Erfolgsfaktor: Organisationale Resilienz
Keine E-Mails, kein Telefon, der Internetzugang funktioniert nicht mehr, alle Online-Besprechungen wurden unvermittelt unterbrochen und auch die IT-Anwendungen stehen still. Berater Matthias Hämmerle verrät Ihnen, wie Sie mit Hilfe der organisationalen Resilienz gestärkt aus Cyber-Attacken und anderen schweren Krisen hervorgehen.
Bleiben wir bei dem Szenario von eben: Per Hausdurchsage wurden die Mitarbeiter anschließend darüber informiert, dass auf Grund eines vermuteten Angriffs auf das IT-Netzwerk alle IT-Systeme vom Netz getrennt und heruntergefahren werden mussten. Über die Dauer des Ausfalls kann die IT aktuell keine Aussage treffen. Eine kurzfristige Lösung ist jedoch nicht zu erwarten. Die Mitarbeiter können ohne die IT praktisch nichts mehr tun und müssen nach Hause gehen. Für die Kunden konnte zumindest eine Darksite online geschaltet werden, auf der die Kunden lesen müssen, dass das Unternehmen auf Grund eines IT-Ausfalls aktuell nicht mehr erreichbar ist.
Die Mitarbeiter werden aufgefordert nach Hause zu gehen, nur die Kollegen aus der IT richten sich schon auf lange Nächte ein. Auf den Fluren geht die Nachricht rund, dass das Unternehmen Opfer einer Cyber-Attacke wurde und eine hohe Lösegeldsumme für die Entschlüsselung der Daten von den Erpressern gefordert wird. Jetzt kommt die Erinnerung an die etwas merkwürdige E-Mail der Personalabteilung von heute Morgen, in der die Mitarbeiter über einen eingefügten Link an einer Mitarbeiterbefragung teilnehmen sollten. Bislang wurden diese Befragungen zuvor immer im Intranet angekündigt und es fand ja erst vor Kurzem eine Befragung statt. Zudem hat der Link offensichtlich nicht funktioniert und die angesprochenen Mitarbeiter aus der Personalabteilung reagierten sehr überrascht, da sie von keiner Mitarbeiterbefragung wussten.
Unternehmen jeder Art erleben täglich das Schicksal einer Cyber-Attacke
Und das gerade jetzt, wo doch Hochsaison ist, die Aufträge ohnehin kaum abgearbeitet werden können und das Unternehmen die Einnahmen dringend für den Einkauf neuer Waren und die Rückzahlung der Kredite für die neu angeschafften Maschinen benötigt. Ein denkbar schlechter Zeitpunkt für einen kompletten Betriebsstillstand!
So oder so ähnlich ereilt dieses Schicksal täglich Unternehmen jeder Branche und Größe, Kliniken, Verlage, Behörden und Finanzdienstleister. Auch Unternehmen der sogenannten Kritischen Infrastruktur, die eine hohe Bedeutung für das staatliche Gemeinwesen haben, wie Energieversorger, Verkehrs- und Telekommunikationsunternehmen, sind nicht von diesen Angriffen ausgenommen. Denn in vielen Fällen werden staatliche Akteure hinter den Angriffen vermutet, die aus politischen Motiven handeln. Über die Cyber-Attacken auf große Unternehmen und Organisationen wird in den sozialen Medien und den Zeitungen vielfach berichtet. Viele kleine und mittelständische Unternehmen jedoch kämpfen im Stillen um ihr Überleben und versuchen durch die Zahlung von Lösegeld wieder zurück ins Business zu kommen. Je länger dieser Kampf andauert, umso geringer werden jedoch die Überlebenschancen. Die Kosten für die externen IT-Spezialisten steigen und auf der anderen Seite fehlen die Umsätze und Erträge. Ohne entsprechende finanzielle Reserven kann die fehlende Liquidität dann das schnelle Aus bedeuten.
Gemäß der bitkom-Studie Wirtschaftsschutz 2022 sehen 45 Prozent der befragten Unternehmen ihre geschäftliche Existenz durch Cyberangriffe bedroht. Dies ist eine deutliche Steigerung gegenüber 9 Prozent im Jahr 2021. Jedes zweite Unternehmen war von Social-Engineering-Angriffen vornehmlich per E-Mail und Telefon betroffen. Durch die Angriffe entstanden in 2022 Schäden in Höhe von 202 Milliarden Euro. Dies zeigt, dass sich keine Organisation in Sicherheit wiegen sollte. Auch die besten IT-Sicherheitsvorkehrungen können von den Angreifern überwunden werden. Die reine Fokussierung auf technische Abwehrmaßnahmen greift daher zu kurz und muss durch eine ganzheitliche Sicht, bestehend aus Vorsorge, Schutzmaßnahmen und Bewältigungsmechanismen ersetzt werden.
Organisationale Resilienz ist ein Managementsystem
Diese gesamthafte Erhöhung der Widerstands- und Überlebenskraft der Organisation mit dem Ziel, gestärkt ein solches existenzbedrohendes Szenario zu überwinden, wird als organisationale Resilienz bezeichnet. Der Begriff organisationale Resilienz umschreibt die Fähigkeit von Organisationen, Krisen durch einen optimalen Einsatz ihrer Ressourcen zu bewältigen und zu meistern. Die organisationale Resilienz ist ein Managementsystem, vergleichbar mit einem Qualitätsmanagementsystem, bestehend aus organisatorischen Strukturen und Prozessen, die die gesamte Organisation durchziehen. Erst durch das erfolgreiche Zusammenwirken der unterschiedlichen Organisationen und Prozesse lässt sich sukzessive der Grad der Resilienz einer Organisation erhöhen.
In der Studie Unternehmerreport 2021 wurden von der Schweizer Unternehmensberatung PROVIDA die Merkmale resilienter Unternehmen erhoben. Auffallend ist bei den Ergebnissen dieser Befragung nach den wichtigsten Merkmalen resilienter Unternehmen, dass vor allem die Führungsqualität, zufriedene Mitarbeitende, die rasche Anpassungsfähigkeit (schnelle Anpassung von Strukturen und Prozessen) und die Unternehmenskultur die höchsten Zustimmungswerte aufweisen. Es sind somit primär weiche Faktoren, die die unternehmerische Resilienz auszeichnen. Die Studie zeigt auch, dass eine wesentliche Eigenschaft resilienter Unternehmen die Resilienz der eigenen Mitarbeiter ist. Die persönliche Resilienz der Mitarbeiter ist gekennzeichnet durch eine hohe Einsatzbereitschaft, Akzeptanz, Eigenverantwortung für Entscheidungen, Optimismus und Lösungsorientierung.
Neben diesen weichen Faktoren zeichnen resiliente Organisationen widerstandsfähige Geschäftsprozesse, ein sicherer IT-Betrieb, robuste Lieferketten und eine ausreichende Liquidität zur Überbrückung von Krisen aus. Doch wie vermag sich ein Unternehmen vor den existenziellen Folgen einer Cyber-Attacke schützen? Hierzu hilft es, sich die Schutzmechanismen eines Unternehmens wie im „Schweizer-Käse-Modell“ vorzustellen. Jede personelle, organisatorische und technische Schutzschicht, die wir um das Unternehmen legen, um uns vor Angriffen zu schützen, weist Lücken auf. Schafft es ein Angreifer, alle Lücken zu durchstoßen, resultiert aus dem anfänglichen Risiko ein konkreter Schaden für das Unternehmen.
Je länger sich Angreifer unbemerkt im IT-Netzwerk aufhalten, desto schlechter für das Unternehmen
Der Schutz vor Angriffen beginnt daher bereits mit der Prävention. Geschulte Mitarbeiter erkennen Phishing-Mails, noch immer das Haupteinfalltor für Cyber-Attacken, viel besser und bilden damit die erste wichtige Schutzschicht gegen Angreifer. Regelmäßige Schulungen und Awarenessmaßnahmen sind daher eine lohnenswerte Investition in die organisationale Resilienz einer Organisation. Kann der Angreifer eine Schwachstelle in dieser ersten Schutzschicht ausnutzen, gilt es den Angriff so schnellstmöglich zu erkennen, um Schäden zu vermeiden. Hierbei zählen nicht Stunden, sondern Minuten und Sekunden. Gemäß des Cyber-Resilience-Reports 2023 des Business Continuity Instituts können rund 67 Prozent der befragten Unternehmen [1] eine Cyber-Attacke innerhalb einer Stunde erkennen und auf die Attacke reagieren.
Je länger sich die Angreifer unbemerkt im IT-Netzwerk des Unternehmens aufhalten können, umso tiefer können sie zu den „Kronjuwelen“ des Unternehmens vordringen und sensible Daten erbeuten. Das Pfand für die nachfolgende Ransomware-Attacke. Wird dies den Angreifern zu leicht gemacht, können hohe Schäden entstehen, für die Vorstand und Geschäftsführung haftbar gemacht werden können, wenn die gesetzlichen Anforderungen an das Risikomanagement nicht eingehalten werden.
Viele Unternehmen werden nach Cyber-Attacke erneut angegriffen
Bei der Reaktion auf eine Cyber-Attacke ist das Zusammenspiel vieler Disziplinen im Unternehmen erforderlich. Das Security Operation Center SOC, das Incident Management, die IT-Security und das IT-Service Continuity Management sind von Seiten der IT und IT-Sicherheit gefragt. Das Business Continuity Management hat die Aufgabe, die Schäden durch Prozessunterbrechungen zu mindern, der Datenschutz ist bei Datenverlust mit im Boot und der Krisenstab hat die Aufgabe, das Unternehmen durch die schwere Krise zu manövrieren und „vor die Lage“ zu bringen. Viele Beteiligte, die bei einer Cyber-Attacke womöglich nicht auf die bewährten Instrumente wie Videokonferenzen, E-Mail, Internet und Dateizugriff zurückgreifen können. Dies kann nur gelingen, wenn die Organisation und Abläufe für solche Ereignisse regelmäßig geübt werden. Hierzu dienen Alarmierungsübungen, Stabsrahmenübungen, Schreibtischtests, Funktionstests der Geschäftsfortführungs- und IT Disaster Recovery Pläne.
Resiliente Organisationen zeichnen sich dadurch aus, dass sie aus Krisen lernen und hierdurch widerstandsfähiger werden. Dies gelingt nur durch eine kritische Analyse bewältigter Ereignisse und die kontinuierliche Verbesserung der Prozesse und Organisation aus den Lessons learned. Viele Unternehmen werden nach einer Cyber-Attacke ein zweites Mal angegriffen. Wenn die IT-Systeme, Prozesse und Organisation einfach nur in gleicher Form wiederhergestellt wurden, ist die Chance groß, dass sich das Drama wiederholt. Die Investitionen in die Verbesserung der organisationalen Resilienz hätten sich schnell ausbezahlt.
Investitionen in organisationale Resilienz als Überlebensversicherung
Resilienz stellt eine dauerhafte Investition in die Mitarbeiter, Organisation, IT und Technik dar. Resilienz macht nicht an Unternehmensgrenzen halt, sondern bezieht die Lieferketten mit den Dienstleistern, Lieferanten und Kunden mit ein. Im Fall der Fälle können diese Investitionen die Überlebensversicherung sein und sich mehrfach auszahlen. Auch bei den „kleinen“ Störungen, Unterbrechungen und Notfällen sind resiliente Unternehmen besser in der Lage, darauf zu reagieren und die Schäden zu minimieren. Die ersten hilfreichen Schritte auf diesem Weg sind auch für Sie mit den folgenden Maßnahmen möglich.
Handlungsempfehlungen
- Identifizieren Sie die für das Überleben Ihres Unternehmens kritischen Produkte, Kunden, Geschäftsprozesse, Personal, Dienstleister und Zulieferer, IT-Systeme sowie Gebäude und Anlagen incl. Der Versorgungen mit Strom, Gas, Wasser etc. Dies erfolgt zum Beispiel im Rahmen einer Business Impact Analyse des Business Continuity Managements.
- Identifizieren Sie Risiken und Schwachstellen, die zu einem Ausfall dieser kritischen Assets führen können. Richten Sie hierbei Ihren Blick nicht nur auf externe Bedrohungen, sondern insbesondere auch auf unternehmensinterne Risiken sowie Ereignissen, denen Sie eine geringe Eintrittswahrscheinlichkeit beimessen, die aber für Ihr Unternehmen existenzkritisch werden können. Spielen Sie gedanklich mögliche Szenarien durch und analysieren Sie deren mögliche maximale Schadenswirkungen auf Ihr Unternehmen.
- Erstellen Sie Notfallpläne für diese Schadensszenarien. Konzentrieren Sie sich hierbei auf die Aktivitäten zur Herstellung eines Notbetriebs bei einem Ausfall einer dieser kritischen Assets (Personal, Gebäude, IT, Dienstleister und Lieferanten). Planen Sie insbesondere auch die Schritte zur Wiederherstellung des Normalbetriebs aus dem Notbetrieb mit den erforderlichen Nacharbeiten.
- Bereiten Sie die interne und externe Kommunikation in einem Notfall vor. Wer muss durch wen wie und wann informiert werden? Berücksichtigen Sie bei der Kommunikation alle Stake- und Shareholder des Unternehmens (zum Beispiel Kunden, Öffentlichkeit, Presse, Behörden, Anteilseigner, Anrainer etc.).
- Bedenken Sie bei der Planung des Notbetriebs, dass im Notfall wichtige Kommunikationsmittel wie Telefon und Internetzugang nicht zur Verfügung stehen können (zum Beispiel in Folge einer Cyber-Attacke).
- Testen und Üben Sie regelmäßig die Notfall- und Krisenpläne mit den beteiligten Personen. Hierzu gehört auch die Alarmierung des Krisenstabs und die Durchführung Krisenstabsarbeit mit den Mitgliedern des Krisenstabs sowie deren Vertretern.
- Schaffen Sie fortlaufend Awareness bei den Mitarbeitern über die Bedrohungen und Maßnahmen, die jeder Mitarbeiter zum Schutz des Unternehmens unternehmen kann. Dies gilt insbesondere für die besonders hohe Gefährdung durch Angriffe über E-Mails.
Quelle:
[1] BCI Cyber Resilience Report 2023, 303 befragte Unternehmen aus 61 Ländern und 26 Sektoren
Zur Person: Matthias Hämmerle ist selbstständiger Unternehmensberater für die Themen Business Continuity Management, Informationssicherheit, IT Service Continuity Management sowie Krisenmanagement. Er berät Unternehmen bei der Prävention unternehmenskritischer Ereignisse als auch bei der Bewältigung im Krisenmanagement. Er ist Herausgeber der BCM-News dem führenden deutschen Portal für Business Continuity Management. Neben seiner Beratungstätigkeit ist er als Dozent und Autor tätig, u.a. als Dozent bei der Frankfurt School of Finance & Management.