IT-Security CYBER Lounge | SentinelOne - Krisenkommunikation und Sunburst - Chronologie eines digitalen Alptraums
Markus Ripka | Chief Information Security Officer | RAG AG talkt diesmal für Sie rund um folgende Trend-Themen:
SUNBURST - Chronologie eines digitalen Alptraums
Matthias Canisius | Regional Director DACH | SentinelOne beleuchtet einen der bedeutendsten Angriffe:
SUNBURST war einer der wirkungsvollsten Cyberattacken der letzten Jahre.
Betroffen waren mehr als 420 der Fortune 500-Unternehmen sowie tausende staatliche und kommerzielle Organisationen. Aufgedeckt wurde der Angriff gegen die "digitale Lieferkette" im Dezember 2020, obwohl der Grundstein bereits Ende 2019 gelegt worden war und die ersten Organisationen sich im zweiten Quartal 2020 infizierten.
Wie konnte es trotz des weitverbreiteten Einsatzes von Threat Intelligence und EPP/EDR-Lösungen soweit kommen und weshalb blieb der Angriff so lange unentdeckt?
In diesem Webinar wird der Verlauf der Angriffskampagne nachgezeichnet und über den aktuellen Kenntnisstand gesprochen. Es wird ebenfalls aufgezeigt, weshalb die Kunden von SentinelOne vor SUNBURST geschützt waren und sind.
Krisenkommunikation & Krisenmanagement bei Datenkrisen – wie kann ich mich auf den Tag X vorbereiten?
Mag.Dr. Eva Hammertinger, LL.M. | Rechtsanwältin, Eva Hammertinger Strategy Consulting GmbH gibt im Expert-Talk interessante Einblicke in ein brisantes Thema:
"Krisenkommunikation & Krisenmanagement nach Datenkrisen – wie kann ich mich auf den Tag X vorbereiten?"
Externe & interne Kommunikation nach einem verheerenden Angriff: Wie informiert man die Öffentlichkeit & die Mitarbeiter? Welche Auswirkungen gibt es auf die Markenwirkung und das Vertrauen der Kunden & Mitarbeiter? Schadet ein Zuviel an „diskretem Schweigen? Oder hat man mit dem Publikmachen eines Cyberangriffs die Chance, Transparenz und Verantwortung zu zeigen?
IT Security CYBER Lounge 16 - Krisenkommunikation & SUNBURST Chronologie eines digitalen Alptraums
In unserer 16. IT Security Cyber Lounge erfuhren die TeilnehmerInnen, wie sie ihren Digitalisierungs- und IT-Security-Herausforderungen trotzen können. Der Erkenntnisgewinn und das Voneinander-Lernen können viel dazu beitragen, um die gewaltigen Ansprüche zu meistern und die Problemlösung zu bewältigen.
Das Ziel des Webinars
Im ersten Teil des Webinars talkte der Moderator Markus Ripka mit der Expertin Eva Hammertinger über das heikle sowie brisante Thema Krisenkommunikation. Die Speakerin ist Rechtsanwältin und Unternehmensberaterin. Als Lehrbeauftragte auf der Universität Wien ist Hammertinger spezialisiert auf strategische Kommunikation und Krisenkommunikation. Sie ist in der Lage, Unternehmen auf eventuelle Probleme hinsichtlich der im Webinar behandelten Themen vorzubereiten. Wenn etwas schief geht. Und gemäß Markus Ripka geht früher oder später immer irgendetwas schief.
Anschließend sprach der Moderator mit Matthias Canisius über den SUNBURST Angriff. Hier wurde bei Solarwinds Monitoring Software die Updatesever im Internet gehackt. Das führte dazu, dass tausende Firmen die Schadsoftware über ein reguläres Solarwinds Update selber durch die eigenen Administratoren auf ihren Servern installiert haben.
Die Speaker des virtuellen Seminars
- Markus Ripka: Chief Information Security Officer | RAG Austria AG (Moderator)
- Mag. Dr. Eva Hammertinger, LL.M.: Rechtsanwältin | Strategy Consulting GmbH
- Matthias Canisius: Regional Director DACH | SentinelOne
Kurzumfrage: Haben Sie in Ihrem Unternehmen bereits eine etablierte Krisenkommunikation?
Die WebinarteilnehmerInnen konnten direkt während der virtuell geführten Veranstaltung mit einer erforderlichen Antwort das Umfrage-Ergebnis mitbestimmen:
|
Ja |
62 Prozent |
|
Nein |
15 Prozent |
|
Keine Ahnung |
15 Prozent |
|
Wir planen Krisenkommunikation einzuführen |
8 Prozent |
Warum sollte man eine Krisenkommunikation machen? Und was gehört alles dazu?
Laut der Expertin Hammertinger ist Krisenkommunikation ein essenzieller Part eines erfolgreichen sowie professionellen Krisenmanagements. Natürlich fließt auch die Krisenprävention mit hinein. Das Krisenmanagements beinhaltet all jene Maßnahmen, die notwendig sind, um eine Krise innerhalb eines Unternehmens zu meistern. Die Krisenkommunikation ist nicht nur im Akutfall von Relevanz. Es geht auch darum, vorausschauend zu agieren. Die Prävention bzw. Vorbereitungsphase ist gleichermaßen entscheidend.
Die große Herausforderung ist im Ernstfall immer folgender Fakt: Die Uhr tickt! Es herrscht eine angespannte Situation vor. Genau dieser Zeitfaktor ist wesentlich. In der heutigen Zeit ist quasi bereits alles digitalisiert. Mit Social Media ist man sozusagen weltweit vernetzt. So kommt es sehr häufig vor, dass Informationen in kürzester Zeit ins Internet geraten und auf diese Weise schnell rund um die Welt sausen. Im Unternehmen ist es dann ganz essenziell, Stellung zu nehmen.
Der Ernstfall will erprobt sein, um im Notfall in kürzester Zeit alles richtig zu machen
Dabei gilt es für Unternehmen einerseits externe Kommunikationsmaßnahmen nach außen zu setzen und andererseits auch intern alle Mitarbeiter schnellstmöglich zu informieren. An dieser Stelle ist es wichtig zu klären, wer der richtige Ansprechpartner im Betrieb ist. Kurzum gibt es gemäß Eva Hammertinger viele verschiedene Maßnahmen, die aus kommunikationsstrategischer Sicht im Ernstfall relevant sein können. Wenn etwas passiert, dann ist es für ein Unternehmen immens wichtig, schnell und richtig zu reagieren – und zwar binnen Stunden.
Dies ist unumgänglich, damit man die Krise erfolgreich bewältigen und zugleich den Reputationsverlust des Unternehmens oder der Organisation bestmöglich geringhalten kann. Schließlich geht es nicht selten um sensible und unangenehme Themen. Ein gutes Krisenmanagement und eine gut funktionierende Krisenkommunikation innerhalb eines Unternehmens oder einer Organisation können in den allermeisten Fällen eine Schadensbegrenzung bewirken. Es gilt, die auftretende unangenehme und herausfordernde Situation bestmöglich zu manövrieren.
Eine gute Vorbereitung ist diesbezüglich für ein Unternehmen äußerst hilfreich. Es macht laut der Expertin durchaus Sinn, immer wieder die Organisationsabläufe durchzudenken. Um all dies dann im Notfall, also in der Echtzeit abrufen zu können. Auch hier gilt der Spruch: Übung macht den Meister. Üben, das bedeutet, sich konkret auf ein Schreckensszenarium vorzubereiten. Alle Möglichkeiten durchzuexerzieren ist, auf den womöglich eintretenden Ernstfall bezogen, mit Sicherheit die beste Art der Selbstverteidigung bzw. des unternehmerischen Selbstschutzes.
Auf welche Szenarien sollte sich eine Firma vorbereiten? Wie sollte ein Unternehmen die Krisenkommunikation aussuchen, wie wird das gehandhabt?
Die Expertin unterscheidet zwischen diversen Szenarien einer Krise. Die Differenzierung von allgemeinen Risiken ist wichtig. So gibt es Krisen, die alle Unternehmen oder jede Organisation treffen könnten. Zum Beispiel ein Brandfall oder auch Datenkrisen wie Data Leakage oder ein Cyberangriff fallen hier hinein. Es gibt aber auch unternehmensspezifische Risiken, die sehr stark von der Branche abhängig sind. Dabei spielt auch eine große Rolle, ob das Unternehmen ein Industriebetrieb ist oder im Finanzbereichbereich tätig ist.
Somit kommen laut Hammertinger unterschiedliche Risikobereiche in Betracht. Es ist wichtig,
dass alle erdenklich möglichen Risiken, die ein Unternehmen treffen könnten, eruiert werden. Nachher sollte eine Priorisierung, eine Impaktanalyse (Folgenabschätzung/Auswirkungsanalyse) vorgenommen werden.
Um eine Krise gut bewältigen zu können, müssen alle internen Verantwortlichen einer Firma zusammenarbeiten. Eine einzelne Person kann kaum eine Datenkrise in einem großen Unternehmen alleine stemmen. Hierbei ist es essenziell, andere Dinge mitzuberücksichtigen. So müssen auch rechtliche oder betriebswirtschaftliche sowie kommunikationsstrategische Angelegenheiten geregelt werden. Ein Team (Krisenstab) arbeitet in der Krisenkommunikation und managet alle notwendigen strategischen Vorgehensweisen.
Matthias Canisius über SUNBURST – Chronologie eines digitalen Alptraums
Der Speaker Matthias Canisius, aus der Heiligen Stadt Köln zugeschaltet, gehört zu den renommiertesten ExpertInnen im deutschsprachigen Raum, die sich mit dem Herstellen von Cyber-Sicherheitslösungen befassen.
Die WebinarteilnehmerInnen erfuhren von Canisius drei wesentliche Dinge:
- The SUNBURST Attack
- The SentinelOne Way
- Live Snapshot
Auf die ersten beiden Punkte wollen wir nun etwas näher eingehen:
1. SUNBURST
SUNBURST heißt übersetzt: plötzlicher Sonnenschein. In der Hackerszene wird die SUNBURST Attack in etwa wie der Heilige Gral angesehen. 420 von den weltweit 500 größten Unternehmen waren von der Attacke betroffen. Das sind rund 80 Prozent der größten Unternehmen auf diesem Planeten. 18.000 Unternehmen waren in Summe zerstreut auf dem ganzen Globus Angriffsziele der spektakulären SUNBURST Attacke. Traurig, aber wahr: Der Angriff blieb sage und schreibe neun Monate unentdeckt.
Aller Wahrscheinlichkeit nach handelte es sich bei dieser Attacke um eine Nation State Attack, also um einen Angriff, der aus nationalstaatlichen Gründen oder auch durch Geheimdienste etc. motiviert war. Die ATP 29 ist eine Gruppe, die dem russischen Geheimdienst zugeschrieben wird. Diese Gruppe soll angeblich hinter dem Hackerangriff gestanden sein Aufgedeckt wurde der Angriff gegen die „digitale Lieferkette“ erst im Dezember 2020.
2. The SentinelOne Way
Sentinel ist der einzige Hersteller, der seinen Schutzmechanismus auf tatsächliches Verhalten abstellt. Das ist eine sehr gute Möglichkeit, etwas Schadhaftes zu erkennen, was noch zuvor da war. Beim Security-Mechanismus setzt Sentinel nicht auf etwas ab, was man vorher schon weiß. Warum? Gemäß dem Experten Canisius gibt es einfach zu viel Neues, als dass man vorher bereits alles wissen kann, um darauf den Schutz bzw. eine Sicherheit zu gründen. Das Herzstück von Sentinel ist, dass für jeden Prozess auf jedem System und zu jedem Zeitpunkt getrackt wird. Das wird von Sentinel so lange verfolgt, bis der Prozess, die Prozesskette bzw. die Eventkette abgeschlossen ist.
Jeder Prozess und seine Aktionen werden hierbei miteinander in Verbindung gebracht. So gelingt es immer, von einem einzelnen Punkt auf das komplette Bild rückzuschließen. Sentinel bewertet auch die einzelnen digitalen Verhaltensschritte. Dadurch ist man in der Lage, auf Basis von bestimmten Verhaltensindikatoren eine Beurteilung vorzunehmen und bei Bedarf im Ernstfall auch sofort zu reagieren.
Fazit aus dem interessanten Experten-Talk in unserer 16. IT Security Cyber Lounge:
IT-Security-Angriffe stellen eine immense Herausforderung für das Krisenmanagement in Unternehmen dar. Es geht darum zu erkennen, welche Arten von Gefahren grundsätzlich auftreten können und mit welcher Wahrscheinlichkeit diese Gefahren eintreten. In Folge muss herausgefunden werden, welche Schwachstellen im Unternehmen vorhanden sind, um sich vor möglichen Gefahren zu schützen. Ist aber der „Worst Case“ bereits eingetreten, muss die Aufrechterhaltung des Betriebs nach dem Angriff gewährleistet werden. Den Experten zufolge sind innovative und erweiterte Maßnahmen vonnöten, um den besonderen Charakteristiken von IT-Security-Angriffen Rechnung tragen zu können. Die Krisenkommunikation und eine kurze Reaktionszeit für die Vorfallsreaktion spielen in puncto IT-Security eine tragende Rolle.
