Inge van der Beijl

Ransomware: Auf den Angriff folgt das Trauma 

Untersuchung zu den psychischen Auswirkungen von Cyberangriffen  

Von Inge van der Beijl & Eileen Walther, Northwave CERT  

Mehrmals im Monat, manchmal sogar mitten in der Nacht, sucht ein gestresster CISO, CFO oder CIO Hilfe beim Computer Emergency Response Team von Northwave. Das Unternehmen hat ein Problem –  Malware oder einer andere Cyberbedrohung. Das Unternehmen befindet sich bereits in höchster Bedrängnis und ist eventuell sogar im Begriff komplett das Tagesgeschäft komplett schließen zu müssen. Deshalb herrscht jetzt blanke Panik. Unser CERT-Team ist gut vorbereitet und übernimmt sofort die Führung, um den Angriff ab zu wenden, möglichst viel zu retten und dem Unternehmen zu helfen, zur Normalität zurückzukehren.    

„Zur Normalität zurückkehren“ ist allerdings leichter gesagt als getan. Es bedeutet harte und nervenaufreibende Arbeit sowohl für unsere Einsatzkräfte als auch die Responder in dem betroffenen Unternehmen. Der Druck auf das Krisenteam ist immens. Der Vorstand, die Aktionäre, die Mitarbeiter, die Kunden … alle könnten betroffen sein, und alle werden versuchen, sich auf die eine oder andere Weise einzumischen. Vielleicht erfahren auch die Presse und die breite Öffentlichkeit von dem Vorfall. Oft hält der Stress viele Wochen oder gar Monate an.     

Krisen haben in der Regel eine besondere Dynamik und besondere Merkmale. Wenn man weiß, wie man richtig mit ihnen umgeht, kann man ihre Auswirkungen verringern. Wenn wir uns ansehen, wie dieser Prozess in konventionellen Notfalldiensten (wie Militär, Notfallmedizin, Polizei oder Feuerwehr) umgesetzt wird, sehen wir, dass nach einem Vorfall immer auf die Unterstützung und Nachsorge geachtet wird. Betroffene Personen werden betreut und psychische Unterstützung angeboten. Bei Ransomware-Situationen wurde dies bisher ignoriert.   

Diese Vorgehensweise habe ich bei Northwave übernommen, und inzwischen ist sie für unsere CERT-Mitarbeiter ein Standardverfahren. Wir haben in unserem CERT-Team festgestellt, dass das Stresslevel der Mitarbeiter von ihrer beruflichen Erfahrung und der Zusammensetzung des Teams abhängt. Ein weiterer wichtiger Faktor ist die private häusliche Situation. Wenn Mitarbeiter dort Stress haben, verstärkt dies den Stress bei der Arbeit noch zusätzlich.      

Doch was ist mit unseren Kunden? Es stellt sich die Frage, welche Folgen ein Cyberangriff für die Menschen in den Unternehmen hat, denen wir bei der Bewältigung eines solchen Vorfalls geholfen haben. Um das herauszufinden, haben wir die akademische Literatur durchforstet, doch die psychischen Auswirkungen des Stresses bei der Bekämpfung eines Cyberangriffs sind bislang nicht erforscht worden. Deshalb führen wir diese Forschung jetzt selbst durch: Wir möchten mehr Erkenntnisse über solche psychischen Auswirkungen gewinnen, damit wir geeignete Maßnahmen entwickeln können, um psychische Schäden durch stressbedingte Belastungen zu verhindern, zu erkennen und zu lindern.      

In unserer Forschungsarbeit beschäftigen wir uns mit den Reaktionen auf psychosomatische und stressbedingte Symptome von Personen, die im Rahmen ihrer beruflichen Tätigkeit einen Ransomware-Angriff erlebt haben. Wir haben dazu mehr als tausend Fragebögen verschickt. Die Untersuchung umfasst auch Interviews mit Führungskräften internationaler Unternehmen, die in den letzten 24 Monaten von einem Cyberangriff betroffen waren. Die meisten dieser Unternehmen haben ihren Hauptsitz in den Beneluxländern oder in der DACH-Region. Wir werden die Auswirkungen von Krisen jeweils über einen Zeitraum von zwei Jahren bewerten, nachdem sie sich ereignet haben.   

Die wichtigsten Forschungsergebnisse werden am 19. Oktober bei der ONE Conference in den Niederlanden vorgestellt, Europas führendem europäischen Cybersecurity-Event, das eine wichtige Plattform für den Austausch von Wissen, Best Practices und Forschungsergebnissen bietet.   

Wenn Sie Interesse an dem Forschungsbericht haben, geben Sie bitte Ihre Kontaktdaten an. Der Bericht wird in der Woche vom 7. November verfügbar sein.