Befinden sich Unternehmen in großen Transformationen, vergrößert sich häufig das Risiko für Cyberangriffe: Höhere Fluktuation, Verunsicherung beim Personal und unklare Verantwortlichkeiten machen das Unternehmen anfälliger – und Hacker nutzen diese Situation aus und nehmen Organisationen gezielt ins Visier. Wie kann das Risiko möglichst gering gehalten werden?

Große Transformationsprojekte bringen viel Unruhe in Unternehmen und betreffen häufig viele verschiedene Unternehmensbereiche. Teilweise kommt es zu Entlassungen und Unsicherheit bei
den Mitarbeitern, Arbeitsabläufe ändern und Verantwortlichkeiten verschieben sich und verursachen häufig Unzufriedenheit.

Während der Veränderung erhöht sich die Anfälligkeit

Diese Situation bietet Angreifern viele Möglichkeiten, dem Unternehmen Schaden zuzufügen. Einerseits besteht die Gefahr eines Insider-Angriffs, also dass ein unzufriedener Mitarbeiter seine vorhandenen Berechtigungen oder sein Wissen um Schwachstellen in Systemen oder Prozessen ausnutzt, um sich zu bereichern, vertrauliche Informationen zu veröffentlichen oder Daten zu beschädigen. Verlässt er das Unternehmen, so besteht zusätzlich die Gefahr, dass er wichtige Informationen, z.B. geistiges Eigentum oder personenbezogene Daten, entwendet, um sie anderen Unternehmen anzubieten oder in der neuen Anstellung zu verwenden.

Risiko CEO Fraud

Andererseits drohen die Gefahren von außen. Änderungen am Aufbau oder den Abläufen der Organisation verursachen nicht nur Unsicherheit bei den Betroffenen, sondern ermöglichen auch Außenstehenden, die Mitarbeiter zu täuschen und zu betrügerischen Aktionen zu bewegen. Beim sogenannten CEO-Betrug versuchen Außenstehende, durch Imitation von Topmanagern Mitarbeiter zur Überweisung von Geldern zu verleiten. Befinden sich Prozesse gerade im Umbau  und wurden Verantwortlichkeiten geändert, erhöht das die Wahrscheinlichkeit, dass Mitarbeiter sich täuschen lassen.

Einfallstor Spear Phishing

Der häufigste Weg, ein Unternehmen zu hacken, ist das sogenannte Phishing, also E-Mails, in denen sich ein Link zum Download von Schadsoftware („Malware“) oder ein Dokument befindet, in dem Malware platziert wurde. Diese gibt dem Angreifer Zugriff auf den Rechner des Mitarbeiters, von wo aus die Schadsoftware sich weiter ausbreitet.

Diese E-Mails tarnen sich durch legitim aussehende Absender, Gestaltung und Inhalt – und sind deshalb häufig nur sehr schwer zu erkennen. Beim Spear Phishing werden die E-Mails gezielt auf eine Opfergruppe ausgerichtet, d.h. es werden scheinbar legitime Absender und Betreffe gewählt, die für das Unternehmen spezifisch sind, z.B. für Mitarbeiterbonusprogramme. Auch hier bieten sich viele Möglichkeiten, Mitarbeiter zum Öffnen von Anhängen zu verleiten, z.B. durch geschickt benannte Dateinamen wie „NeueOrgStruktur.doc“ oder „Gehaltsliste_neu.xls“.

Doch wie können sich Unternehmen aufstellen, um eine Transformation ohne Schaden zu überstehen?

Allgemeine Maßnahmen

Themen wie Change Management und strategische Kommunikation nach innen und außen sollten grundsätzlich Bestandteil jedes Transformationsvorhabens sein, um die Mitarbeiter mitzunehmen. Hierbei sollte das Thema Cybersecurity als ein Element berücksichtigt werden. Neben der Sensibilisierung der Mitarbeiter für die erhöhten Gefahren gilt es auch festzulegen, wann die Mitarbeiter über wesentliche Änderungen informiert werden, welche die Entscheidungsprozesse beeinflussen.

Spezifische Cybersecurity-Maßnahmen

Die allgemeinen Maßnahmen helfen, die Fehlerrate bei den Mitarbeitern zu reduzieren und die Wahrscheinlichkeit für dolose Handlungen zu senken. Flankiert werden sollten sie aber von spezifischen Cybersecurity-Maßnahmen, die idealerweise schon vor der Transformation implementiert werden.

Beispiele hierfür sind:

• Multi-Faktor-Authentifizierung (MFA): Der Zugangsschutz wird durch zusätzliche Verteidigungsebenen erhöht.
• E-Mail-Authentifizierung: Damit können unberechtigter Zugriff und Phishing-Versuche vermieden werden.
• Regelmäßige Schulungen für Mitarbeiter: Die Mitarbeiter entwickeln ein Bewusstsein für die Bedrohungen und sind besser auf Social-Engineering-Angriffe vorbereitet.
• Umfassende Erkennung von Angriffen: Durch Überwachung von Netzwerk und Systemen können Angriffe frühzeitig entdeckt werden.
• Technische und organisatorische Simulation von Angriffen: Wird die Verteidigung gegen Angriffe regelmäßig simuliert (sog. Table Top Exercises oder Red Teaming), kann das Unternehmen im Ernstfall sehr viel gezielter reagieren.

Die Maßnahmen sind je nach Reifegrad des Unternehmens sehr spezifisch zu planen und umzusetzen. Hilfreich ist es, zu Beginn ein standardisiertes Assessment und Benchmarking der aktuellen Sicherheitsmaßnahmen durchzuführen.

Durch stürmische Gewässer: Im Krisenfall richtig handeln

Trotz aller Vorbereitung kann es jederzeit zu einem erfolgreichen Angriff kommen. Dann ist es wichtig, gezielt zu handeln, um den Schaden so gering wie möglich zu halten. Wichtige Bausteine sind dabei:

• Notfallplanung („Incident Response“): Es ist wichtig, vor dem Notfall einen Plan erarbeitet zu haben, in dem Rollen, Verantwortlichkeiten und sofortige Maßnahmen festgelegt wurden.
• Klare Kommunikationswege: Es sind transparente, effiziente und sichere Kommunikationskanäle einzurichten, um kritische Informationen intern und extern zu verbreiten.
• Zusammenarbeit mit Cybersicherheitsexperten: Schon im Vorfeld sollten  Partnerschaften mit Experten  abgeschlossen werden, um im Krisenfall Unterstützung für Entscheidungen zu erhalten.
• Gründliche Analyse nach dem Vorfall: Es ist essenziell, die Ursachen zu verstehen, um die Verbesserungspotentiale zu identifizieren und das Risiko eines weiteren Vorfalls zu senken.
• Anpassung von Sicherheitsmaßnahmen: Da sich die Bedrohungslage permanent verändert, müssen auch die Sicherheitsmaßnahmen agil weiterentwickelt werden.

Strategische Vorbereitung ist essenziell

Ein proaktiver Ansatz ist von entscheidender Bedeutung, um Sicherheitsvorfälle zu vermeiden und im Krisenfall effizient reagieren zu können.

Dies gilt insbesondere für das erhöhte Risiko während einer Transformation – Cybersicherheitsmaßnahmen erfordern Ressourcen, die während der Transformation ohnehin sehr knapp sind. Umso wichtiger ist es also, sich im Vorfeld ein klares Bild der aktuellen Schutzmaßnahmen zu verschaffen und an den entscheidenden Stellen nachzubessern.

Der Autor:
Hans-Peter Fischer ist Senior Managing Director und Head of Cybersecurity Germany bei FTI Consulting. Er hat über 25 Jahre Erfahrung im Bereich Cybersecurity. In seiner beruflichen Laufbahn hat er sich auf Cybersecurity-Strategien und die Entwicklung von innovativen und praktikablen Lösungen konzentriert. Dabei stellen Advanced Cyber Defense und Incident Response Schwerpunkte seiner Tätigkeit dar.