Folgen eines schweren Cyberangriffs sind gravierend, lang anhaltend und ziehen sich durch das gesamte Unternehmen

Studie von Northwave:  Die Ergebnisse zeigen, welch tiefe Spuren eine solche Krise bei allen Betroffenen hinterlässt

(ots) Der Spe­zia­list für Infor­ma­ti­ons­si­cher­heit Nor­thwa­ve hat eine wis­sen­schaft­li­che Unter­su­chung zu den psy­chi­schen Aus­wir­kun­gen gro­ßer Ran­som­wa­re-Angrif­fe gegen Unter­neh­men durch­ge­führt. Die Ergeb­nis­se zei­gen, welch tie­fe Spu­ren eine sol­che Kri­se bei allen Betrof­fe­nen hin­ter­lässt. Zugleich machen sie deut­lich, dass es auch nach der Über­win­dung des Angriffs selbst noch lan­ge dau­ern kann, bis bei den IT- und Sicher­heits­teams wie­der Nor­ma­li­tät einkehrt.

Die wich­tigs­ten Ergebnisse

„Die Unter­su­chung belegt, dass die psy­chi­schen Aus­wir­kun­gen von Ran­som­wa­re-Angrif­fen auf die Men­schen in den betrof­fe­nen Unter­neh­men sehr lan­ge anhal­ten kön­nen“, so Eileen Walt­her, Coun­try Mana­ger Nor­thwa­ve Deutsch­land. „Wie die Ergeb­nis­se zei­gen, kann es sein, dass die Mit­glie­der der Kri­sen­teams erst wesent­lich spä­ter ernst­haf­te Sym­pto­me ent­wi­ckeln. Die Unter­neh­mens­lei­tung und die Per­so­nal­ab­tei­lung müs­sen dem ent­ge­gen­steu­ern, und zwar schon zu Beginn der Kri­se. Schließ­lich tra­gen sie die Ver­ant­wor­tung für das Wohl­erge­hen ihrer Mitarbeiter.“

Walt­her wei­ter: „Zudem stell­ten wir fest, dass sich in den Teams oft eini­ge Zeit nach der Kri­se Zer­falls­er­schei­nun­gen zei­gen, weil Mit­glie­der das Unter­neh­men ver­las­sen oder krank­ge­schrie­ben wer­den müs­sen. Die Stu­die belegt, dass sich die Aus­wir­kun­gen auf das gesam­te Unter­neh­men erstre­cken kön­nen. Alles in allem demons­triert sie, dass die­se unsicht­ba­ren Fol­gen eines schwe­ren Cyber­an­griffs auf die Agen­da der Unter­neh­mens­lei­tung und defi­ni­tiv auch der Per­so­nal­ver­ant­wort­li­chen gehören.“

Nor­thwa­ve sieht bei der Reak­ti­on auf einen Cyber­an­griff drei Pha­sen. Zuerst kommt die eigent­li­che Kri­sen­si­tua­ti­on, die nach rund einer Woche in eine Vor­falls­pha­se über­geht. Zu die­sem Zeit­punkt steht ein Akti­ons­plan, und Wie­der­her­stel­lungs­maß­nah­men wur­den ein­ge­lei­tet. Nach etwa einem Monat ist der Brand weit­ge­hend gelöscht, und die ers­ten (Basis-)Funktionen sind wie­der ver­füg­bar. Die voll­stän­di­ge Erho­lung kann ein bis zwei Jah­re dau­ern. Jede Pha­se hat ihre spe­zi­fi­schen Aus­wir­kun­gen auf die Psy­che und den Kör­per der Betei­lig­ten und damit auch auf das Unter­neh­men oder Tei­le davon. „Im All­ge­mei­nen ist ein Unter­neh­men nach einem Mal­wa­re-Angriff drei Wochen lang außer Gefecht“, so Wal­ter. „Über­rascht hat uns jedoch, dass die Aus­wir­kun­gen danach noch so lan­ge anhal­ten. Selbst ein Jahr nach der eigent­li­chen Kri­se wer­den noch psy­chi­sche Pro­ble­me offenbar.“

Die wich­tigs­ten Erkennt­nis­se der Studie

  • Einer von sie­ben Mit­ar­bei­tern, die direkt oder indi­rekt von dem Angriff betrof­fen waren, weist meh­re­re Mona­te spä­ter Sym­pto­me auf, die so schwer­wie­gend sind, dass sie über der kli­ni­schen Schwel­le lie­gen, ab der eine pro­fes­sio­nel­le Trau­ma­be­hand­lung erfor­der­lich ist.
  • Jeder fünf­te Mit­ar­bei­ter gibt an, dass er mehr pro­fes­sio­nel­le Hil­fe gebraucht hät­te, um mit dem Erleb­ten zurechtzukommen.
  • Jeder Drit­te hät­te sich gewünscht, über mehr Wis­sen und kon­kre­te Instru­men­te zu ver­fü­gen, um die psy­chi­schen Fol­gen des Angriffs zu bewältigen.

Ein Angriff hat nach­hal­ti­ge Aus­wir­kun­gen auf die Art und Wei­se, wie die Mit­ar­bei­ter die Welt sehen. Zwei Drit­tel der Mit­ar­bei­ter, ein­schließ­lich sol­cher, die von dem Angriff gar nicht betrof­fen waren, hal­ten die Welt jetzt für weni­ger sicher. So erklär­te ein IT-Ver­ant­wort­li­cher: „Ich bin viel miss­traui­scher gewor­den. Die Welt da drau­ßen ist gefährlich.“

Die­se lang­fris­ti­gen Aus­wir­kun­gen haben auch Ein­fluss auf die Personalfluktuation:

  • Jeder Fünf­te, der direkt von dem Angriff betrof­fen war, hat einen Stel­len­wech­sel in Erwä­gung gezo­gen oder tut dies immer noch.
  • Über die Hälf­te der Mana­ger und IT-Mit­ar­bei­ter berich­ten, dass meh­re­re Beschäf­tig­te Mona­te oder sogar ein Jahr nach dem Angriff län­ge­re Zeit abwe­send waren.

Zu beach­ten ist dabei, dass Per­so­nen, die eine Stel­le außer­halb des Unter­neh­mens ange­nom­men haben, mög­li­cher­wei­se nicht in die Stich­pro­be auf­ge­nom­men wur­den, da die Fra­ge­bo­gen durch die betrof­fe­nen Fir­men selbst an die Arbeit­neh­mer ver­teilt wurden.

Posi­ti­ve Auswirkungen

Neben den nega­ti­ven Fol­gen von Ran­som­wa­re-Angrif­fen gab es durch­aus auch posi­ti­ve Nach­wir­kun­gen. IT-Abtei­lun­gen stell­ten fest, dass sie end­lich längst über­fäl­li­ge Sicher­heits­maß­nah­men umset­zen konn­ten, da ihr Unter­neh­men der Cyber­si­cher­heit jetzt höhe­re Prio­ri­tät ein­räumt. Auch die Kol­le­gen außer­halb der IT-Abtei­lung zeig­ten mehr Soli­da­ri­tät und Empathie.

  • Fast die Hälf­te der Befrag­ten ist der Mei­nung, dass sich die Zusam­men­ar­beit erheb­lich ver­bes­sert habe.
  • Jeder fünf­te von einem Ran­som­wa­re-Angriff betrof­fe­ne Mit­ar­bei­ter gab an, er habe jetzt bes­se­ren Kon­takt zu sei­nen Kollegen.

Emp­feh­lun­gen

Die For­schungs­er­geb­nis­se unter­strei­chen, wie wich­tig es ist, dass sich die Unter­neh­mens­lei­tung aktiv an der Erho­lung sowohl von den sicht­ba­ren als auch unsicht­ba­ren Fol­gen eines Ran­som­wa­re-Angriffs betei­ligt. Sor­gen Sie in der Pha­se 1 für regel­mä­ßi­ge Check-ins. Einen Mara­thon kann man nicht im Sprint­tem­po lau­fen, und ein Ran­som­wa­re-Angriff ist ein Mara­thon. Stel­len Sie sicher, dass die Mit­ar­bei­ter regel­mä­ßig Pau­sen machen und in Schich­ten arbei­ten. Men­schen füh­len sich ver­ant­wort­lich, und man­che wird man dazu auf­for­dern müs­sen, sich Aus­zei­ten zu neh­men. Ach­ten Sie dar­auf, wel­che Bewäl­ti­gungs­stra­te­gien die Mit­ar­bei­ter anwen­den, denn unge­sun­de Stra­te­gien sind kei­ne Sel­ten­heit. In der Pha­se 2 soll­ten Sie Richt­li­ni­en auf­stel­len, um die Arbeits­be­las­tung des Not­fall­teams zu steu­ern. Unter­schei­den Sie dabei zwi­schen Arbei­ten, die mit dem Vor­fall zu tun haben, und den regu­lä­ren Auf­ga­ben. Wenn mög­lich, set­zen Sie für die regu­lä­ren Auf­ga­ben zusätz­li­che Mit­ar­bei­ter ein. Schaf­fen Sie einen Rhyth­mus, bei dem Ruhe- und Erho­lungs­zei­ten für alle sicher­ge­stellt sind. In der Pha­se 3 soll­ten Sie Bewer­tun­gen durch­füh­ren. Sei­en Sie sich bewusst, dass Mit­ar­bei­ter, die von Ran­som­wa­re-Angrif­fen betrof­fen sind, sehr oft psy­chi­sche Sym­pto­me ent­wi­ckeln. Da nach einem sol­chen Angriff auch das Zusam­men­ge­hö­rig­keits­ge­fühl unter den Kol­le­gen wächst, kann ein wirk­sa­mes Instru­ment dar­in bestehen, ein offe­nes Umfeld zu schaf­fen, in dem nega­ti­ve Gefüh­le geäu­ßert wer­den kön­nen. Die Men­schen möch­ten über das spre­chen, was gesche­hen ist und was es für sie bedeu­tet, und wenn sie die­se Mög­lich­keit bekom­men, kann das enorm hilf­reich sein.

Über die Untersuchung

Nor­thwa­ve möch­te mit die­ser Unter­su­chung das Ver­ständ­nis für die oben beschrie­be­nen Fol­gen von Cyber­an­grif­fen ver­bes­sern, damit Unter­neh­men geeig­ne­te Maß­nah­men ent­wi­ckeln kön­nen, um Schä­den durch stress­be­ding­te Beschwer­den zu ver­hin­dern, zu erken­nen und zu bewäl­ti­gen. Für die groß ange­leg­te, meh­re­re Stu­di­en umfas­sen­de Unter­su­chung wur­den Per­so­nen, die in ihrer beruf­li­chen Funk­ti­on mit der Bewäl­ti­gung eines Ran­som­wa­re-Angriffs zu tun hat­ten, zu psy­cho­so­ma­ti­schen und stress­be­ding­ten Beschwer­den befragt. Die Unter­su­chung fand in drei Etap­pen statt. Zunächst führ­ten die For­scher halb­struk­tu­rier­te Inter­views mit Mit­ar­bei­tern des Cyber Emer­gen­cy Respon­se Teams (CERT) von Nor­thwa­ve, nach­dem die­se an der Bewäl­ti­gung von Ran­som­wa­re-Angrif­fen mit­ge­wirkt hat­ten. Anschlie­ßend wur­den hoch­ran­gi­ge Füh­rungs­kräf­te inter­na­tio­na­ler Unter­neh­men, die in den letz­ten 24 Mona­ten von Ran­som­wa­re-Angrif­fen betrof­fen waren, zu ihren per­sön­li­chen Erfah­run­gen und den Aus­wir­kun­gen auf ihr Unter­neh­men befragt. Die meis­ten die­ser Fir­men haben ihren Haupt­sitz in den Bene­lux-Staa­ten oder der DACH-Regi­on (Deutschland/​Österreich/​Schweiz). Und schließ­lich füll­ten die Mit­ar­bei­ter der betrof­fe­nen Unter­neh­men einen Fra­ge­bo­gen aus. Die Feld­pha­se wur­de Ende Sep­tem­ber abge­schlos­sen. Eileen Wal­ter: „Was die Inter­views beson­ders wert­voll macht, ist das Bild, das sie uns von den Aus­wir­kun­gen bis zu zwei Jah­re nach einer sol­chen Kri­se vermitteln.“

 

Quel­le: Kaf­ka Kom­mu­ni­ka­ti­on, Susan­ne Sothmann
Ori­gi­nal-Con­tent von: Nor­thwa­ve, über­mit­telt durch news aktuell

Foto­credit: Ado­be­Stock 381764779