Zum Inhalt springen

Courage Award Wer beweist Mut zur Transparenz nach einem Hackerangriff?

Der Courage Award ehrt die beste Offenlegung nach einem Cyberangriff – und wirft dabei ein Schlaglicht auf die miserable Kommunikation der meisten anderen Betroffenen.

Der Verein der Cybersecurity-Spezialisten (Information Security Society Switzerland, ISSS) vergab diese Woche zum zweiten Mal eine Auszeichnung für die beste Offenlegung nach einem Hackerangriff. Damit möchte der Verein Firmen hervorheben, die mit gutem Beispiel vorausgehen.

Im vergangenen Jahr waren Cybervorfälle vermehrt in den Medien, zum Beispiel jene bei Xplain, beim Basler Erziehungsdepartement und bei der «NZZ». Praktisch keiner dieser Fälle hat mit einer besonders guten Kommunikation geglänzt.

Da stellt sich die Frage:

Warum ist die Kommunikation nach einem Cybervorfall meist so schlecht?

Die «Strategie» der meisten betroffenen Firmen scheint zu sein: Zuerst gar nichts sagen und erst, wenn es unumgänglich wird, beruhigen und abwiegeln.

Angelo Mathis, der Begründer des Courage Awards, sagt, Firmen hätten Angst vor einer negativen Reaktion. Deshalb sei es wichtig, dass Firmen, die gut kommuniziert haben, als gutes Beispiel vorangehen und zeigen: Wenn man proaktiv und ehrlich kommuniziert und sich für seine Kunden einsetzt, kann das unter Umständen sogar positiv sein.

Es gibt diese Scham: Wir sind betroffen und das wird unsere Reputation schädigen. Das muss ändern.
Autor: Angelo Mathis Vorstandsmitglied des ISSS

Es sei auch ein kulturelles Problem, meint Mathis: «Es gibt diese Scham: Wir sind betroffen und das wird unsere Reputation schädigen.» Das müsste nicht sein. Erstens kann jede und jeder Opfer eines Angriffs werden, zweitens gehört es zu einer guten Fehlerkultur, Pannen auch einzugestehen.

Mathis vergleicht das mit dem Me-Too-Movement: Nicht die Opfer sollten sich schämen, sondern die Angreifer. Und nur wenn mehr Opfer über den Angriff sprechen, kann das Tabu gelöst werden.

Wieso wäre mehr Transparenz wichtig?

Box aufklappen Box zuklappen

Angelo Mathis sagt: Je rascher man Transparenz schafft, desto schneller kann man Massnahmen ergreifen. Dies kommt vor allem den eigentlichen Opfern des Angriffs zugute: Den Kunden und Mitarbeitern, deren Daten gestohlen wurden.

Von der offenen Kommunikation der betroffenen Firmen profitieren aber auch alle anderen Firmen. Mathis spricht von einer «Shared Security», einer geteilten Sicherheit. Wenn eine Firma offen über den Angriff spricht, können die anderen sich davor wappnen.

Das wird in Zukunft immer wichtiger: Dank AI-basierten Tools werden Angriffe immer häufiger und ausgefeilter. Aus geklauten Daten werden in Zukunft vermehrt Angaben zu einzelnen Personen herausgepickt und für Phishing oder Erpressung eingesetzt werden.

Eine dritte und letzte Hürde für bessere Transparenz steckt in mangelnder Vorbereitung. Nur wenn die Kommunikation zwischen Cybersecurity-Abteilung und Geschäftsführung funktioniert und ein Notfallplan in der Schublade bereitliegt, können Firmen im Ernstfall rasch und gut organisiert reagieren.

Nur zu sagen: ‹Wir hatten ein Problem und die Polizei untersucht›, genügt nicht. Man muss das Vertrauen wieder aufbauen.
Autor: Angelo Mathis Vorstandsmitglied des ISSS

Zu einer guten Kommunikation gehört nämlich nicht nur, die Öffentlichkeit zu informieren. Nur zu sagen: ‹Wir hatten ein Problem und die Polizei untersucht›, das genüge nicht, meint Angelo Mathis. Man müsse das Vertrauen wieder aufbauen. Dazu müsse man proaktiv auf betroffene Kunden und Behörden zugehen und mit ihnen zusammenarbeiten. Bis zum Ende einer Krise können Monate vergehen, während derer ein intensiver Austausch zentral ist.

    And the Winner is ...

Dass eine gute Krisenkommunikation möglich ist, zeigt der diesjährige Gewinner des Courage Awards: die Unico Data, ein IT-Unternehmen aus Münsigen im Kanton Bern.

Zwei Männer, einer im braunen Pulli mit einem durchsichtigen Pokal, der andere mit einem blauen Gilet und einer Medallie
Legende: Gewinner des Courage Award 2024 Unico Data CEO Vince Lehmann (rechts) und CISO Andreas Bichsel. ISSS / Stephanie Iten Photographie

Im Mai wurde die Firma von der Ransomware-Bande «Play» angegriffen, die ihre Daten verschlüsselte und im Darknet veröffentlichte. Zu den betroffenen Kunden gehörten unter anderem die Pathé Kinos und die Gemeinde Rüegsau.

Die ISSS verlieh der Unico Data den Courage Award für ihre offene Kommunikation und gute Zusammenarbeit mit Kunden und Behörden, aber auch für den mutigen Auftritt des CEO Vince Lehmann in einem Interview bei Inside-IT . Darin sprach der gelernte Informatiker offen über das Erlebte, mit dem Ziel, das Tabu rund um Cyberangriffe aufzubrechen und die eigenen Erfahrungen mit anderen Firmen zu teilen.

Lehmann sagt, es sei zwar unangenehm gewesen, Probleme der Firma öffentlich auszubreiten, doch er hätte dafür viel positive Rückmeldung und Unterstützung aus der Branche erhalten. Er hoffe, dass sein Beispiel Signalwirkung habe.

Radio SRF 3, 11.1.2024, 16:10 Uhr

Meistgelesene Artikel