Unternehmensperspektive

Wie die Rechtsabteilung ihr Unternehmen auf einen Cyberangriff vorbereiten sollte

Der Leiter der Rechtsabteilung eines Unternehmens ist mit zahlreichen rechtlichen und geschäftlichen Herausforderungen konfrontiert, doch kaum eine ist so beängstigend wie ein Cyberangriff. Der Stress beginnt schon vor dem ersten Angriff, weil mittlerweise jeder weiß, dass es keine vollkommen sichere Abwehrmethode gibt und dass heutzutage jedes Unternehmen ins Visier von Hackern geraten kann. Die Daten aus unserem aktuellen Bericht M-Trends 2019 belegen, dass Unternehmen aus nahezu allen Branchen und Märkten im letzten Jahr Opfer von Cyberangriffen wurden.

Deshalb müssen die Mitarbeiter der Rechtsabteilung genau wissen, was bei einem Angriff auf dem Spiel steht, bevor sie mit der Ausarbeitung eines Incident-Response-Plans (IR-Plan) beginnen.Angreifer verwenden inzwischen nicht nur wesentlich komplexere Tools und Methoden als je zuvor, sondern können ihre Aktivitäten auch besser verbergen. Dadurch sind sie nur schwer zu erkennen, wenn sie sich erst einmal Zugriff auf ein Unternehmensnetzwerk verschafft haben. Laut M-Trends 2019 lag der globale Medianwert für die Verweildauer (die Zeit, während der ein Angreifer unbemerkt Zugang zu einem Netzwerk hat), is im Jahr 2018 bei 78 Tagen,Das ist mehr als lange genug, um sensible Daten wie geistiges Eigentum, personenbezogene Daten und Geschäftsgeheimnisse zu stehlen.

Ein weiterer wichtiger Gesichtspunkt sind die Kosten. Laut einer Studie, die Mitte 2018 durchgeführt wurde, betragen die durchschnittlichen Kosten eines Datenlecks weltweit 3,86 Millionen US-Dollar. Hinzu kommt der immaterielle Schaden: die Beeinträchtigung des Markenimage und des Rufs des Unternehmens, die Abwanderung von Kunden und der Vertrauensverlust der Aktionäre, sowie der Zeitaufwand, die Störung des Geschäftsbetriebs und die Kosten der darauf folgenden Prozesse und Vergleiche. Und das ist vielleicht noch nicht alles. Von Regulierungsbehörden verhängte Strafen, Ausgaben für die Verbesserung der IT-Sicherheitsmaßnahmen und der Protokollierung sowie verlorene Mitarbeiterproduktivität können ebenfalls Kosten bzw. Schäden verursachen.

Effektive Cybersicherheit ist also extrem wichtig – und möglicherweise sogar überlebenswichtig – für das Unternehmen. Daher kann und sollte die Rechtsabteilung diese Verantwortung nicht allein tragen. Hier ist Teamarbeit gefragt. Insbesondere sollten der Leiter der Rechtsabteilung und der CISO bei der Ausarbeitung und Umsetzung des IR-Plans eng zusammenarbeiten. Auch Absprachen mit anderen internen Teams wie der Finanz- und Marketingabteilung werden notwendig sein. Darüber hinaus sollten Führungsriege und Vorstand zumindest über den Plan informiert sein und ihn unterstützen. Höchstwahrscheinlich werden Sie zusätzlich externe Spezialisten heranziehen müssen.

Bei dieser arbeitsteiligen Vorgehensweise gegen die heutigen Cyberrisiken besteht der wichtigste Beitrag der Rechtsabteilung in der Vorbereitung des Unternehmens auf einen Cyberangriff und in der Ausarbeitung einer entsprechenden Krisenstrategie. Im Folgenden stellen wir einige wichtige Schritte vor, mit denen Sie sich und ihr Unternehmen auf einen Cyberangriff vorbereiten können.

Kontakte knüpfen: Bauen Sie Beziehungen zu den Führungskräften im gesamten Unternehmen auf. Besonders wichtig sind Absprachen mit dem CISO, denn Sie müssen mehr über die Unternehmensdaten erfahren: welche Daten wichtig sind, wie sie geschützt werden, wo sie gespeichert sind, wie darauf zugegriffen wird und ob das IT-Team einen umfassenden Überblick über die IT-Ressourcen hat. Ermitteln Sie gemeinsam, an welchen Ressourcen und Daten Angreifer interessiert sein könnten und warum (finanzielle Motive, Diebstahl von Geschäftsgeheimnissen, Insiderhandel usw.). Cybersicherheit ist längst nicht mehr nur die Aufgabe des CISO. Angesichts der aktuellen Bedrohungslage ist eine enge Zusammenarbeit zwischen dem CISO und dem Leiter der Rechtsabteilung unbedingt erforderlich.

Planen: Entwickeln Sie einen IR-Plan und stellen Sie das Team zusammen, das ihn umsetzen wird. Typische Mitglieder eines Incident-Response-Teams sind CEO, CISO, CMO, interne oder externe Rechtsberater, Kommunikationsfachleute (PR, Investorenbeziehungen usw.) und externe Incident-Response-Teams oder Forensikexperten.

Wenn Sie die wichtigsten Teammitglieder identifiziert haben, sollten Sie die erforderlichen Verträge schließen, damit alle im Ernstfall verfügbar sind und schnell eingreifen können. So ist ein Forensikanbieter für eine schnelle Spurensuche bei einem Angriff unerlässlich. Er kann herausfinden, wie die Angreifer sich Zugang verschafft haben, was sie gestohlen haben, welche weiteren Ressourcen oder Daten kompromittiert wurden und welche zusätzlichen Cybersicherheitsmaßnahmen sofort eingeleitet werden sollten. Je genauer die Rahmenbedingungen vorab geklärt werden, desto schneller kann das Team im Notfall reagieren.

Ein weiterer wichtiger Aspekt ist die Prüfung der Verträge mit Anbietern, die Zugriff auf sensible Informationen oder personenbezogene Daten haben. So erfahren Sie, welche Cybersicherheits- und Abwehrmaßnahmen bereits implementiert wurden. Arbeiten Sie in Zukunft mit dem CISO zusammen, um die Sicherheitsmaßnahmen potenzieller Anbieter zu überprüfen, bevor neue Verträge abgeschlossen werden. Dazu gehören auch externe Anwaltskanzleien, die einige der sensibelsten Daten und vertraulichsten Dokumente wie Kommunikation und Entwürfe zu Prozessen, Fusionen, Übernahmen und Patenten sowie Akten der Personalabteilung aufbewahren. Erstellen Sie ein Standard-Addendum zu Datenschutz und -sicherheit, das den Verträgen mit Anbietern hinzugefügt werden kann. Auf diese Weise stellen Sie sicher, dass die Daten Ihres Unternehmens geschützt sind, und regeln die Risikoverteilung im Falle eines Angriffs oder Datendiebstahls bei dem Anbieter.

Berücksichtigen Sie auch die Meldepflicht von Sicherheitsverletzungen und sonstige Verpflichtungen Ihres Unternehmens gegenüber den Kunden, falls ihre vertraulichen Daten von einem Cyberangriff betroffen sind.

Testen: Testen Sie den IR-Plan. Führen Sie Planübungen durch und stellen Sie sicher, dass sowohl die unternehmensinternen als auch die externen Mitglieder Ihres Incident-Response-Teams bekannt und jederzeit erreichbar sind. IAngesichts der weiten Verbreitung von Mobilgeräten und der aktiven Nutzung sozialer Netzwerke hat die schnelle Krisenbewältigung höchste Priorität. Hinzu kommen die heute geltenden kurzen gesetzlichen Meldefristen: Laut DSGVO müssen Unternehmen Vorfälle innerhalb von 72 Stunden melden. Legen Sie mit dem CMO und CEO vorab eine Kommunikationsstrategie fest und testen Sie die Reaktion auf verschiedene Szenarien. Betrachten Sie jede dieser Übungen als Gelegenheit, Möglichkeiten zur genaueren Definition und zur Verbesserung des gesamten Prozesses aufzudecken. Wenn Ihr Team bei einer Übung keine Schwachstellen erkannt und keine Fragen gestellt hat, hat Ihr Plan vermutlich Lücken.

Schützen: Legen Sie (wo möglich) schon vor oder zumindest sofort nach einem Sicherheitsvorfall fest, welche Dokumente unter das Anwaltsgeheimnis fallen. Das ist ein wichtiger Grund dafür, dass der Leiter der Rechtsabteilung die Kommunikation und den Incident-Response-Einsatz koordinieren sollte. Da auf einen Sicherheitsvorfall häufig Prozesse, Untersuchungen und behördliche Anfragen folgen, ist es empfehlenswert, schon vorab eine Vereinbarung für die Drei-Wege-Kommunikation mit externen Beratern, IR-Beratern und anderen Personen abzuschließen.

Vorstand einbinden:. Informieren Sie den Vorstand (oder ein Komitee des Vorstands) regelmäßig über die Arbeit des CISO. Aufgrund seiner Treuhänderpflichten muss der Vorstand ausreichend über Cybersicherheitsmaßnahmen informiert und an ihnen beteiligt sein, um fundierte Entscheidungen treffen zu können. (Die Kriterien ähneln denen in der Business Judgement Rule.) TDie geltenden Standards schreiben vor, dass im Unternehmen gängige Methoden für Nutzer-IDs und Passwörter verwendet, Drittanbieter für Penetrationstests ausgewählt und bekannte Sicherheitslücken behoben werden.

Versicherung erwägen: Erwägen Sie, ob Ihr Unternehmen eine Cyberversicherung benötigt. Berücksichtigen Sie dabei, welche anderen Versicherungen bereits vorhanden sind. Ermitteln Sie die potenziellen Kosten und Risiken eines Sicherheitsvorfalls, bevor Sie entscheiden, ob eine Cyberversicherung eine lohnende Investition wäre. Dazu kann eine Risikobewertung vor dem Abschluss einer Cyberversicherung sinnvoll sein. Bei einer solchen Bewertung werden die Technologie, die Mitarbeiter und die Prozesse eines Unternehmens analysiert, um die relevanten Risiken zu identifizieren und zu klassifizieren, denen das Unternehmen ausgesetzt ist.

In den letzten Jahren wurde der Cybersicherheit eine wesentlich höhere Priorität eingeräumt und das Thema steht jetzt auch bei Vorstandssitzungen regelmäßig auf der Tagesordnung. In den meisten Unternehmen geht man mittlerweile davon aus, dass der nächste Cyberangriff nur eine Frage der Zeit ist. Mit den hier genannten Schritten kann die Rechtsabteilung das Unternehmen angemessen darauf vorbereiten und den schlimmsten Schaden abwenden.