Panik, Wut, Schuldgefühle

Die emotionalen Phasen eines Cyberangriffs

Intensive Situationen wie ein erfolgreicher Cyberangriff erfordern von allen Beteiligten Ruhe und Konzentration. Doch das ist leichter gesagt als getan.
Von 
CSO | 30. Juni 2022 06:04 Uhr
Nach der Cyberattacke kommt häufig die Panikattacke. Diese Strategien helfen Ihnen, besser mit den Emotionen nach einem Sicherheitsvorfall umzugehen.
Nach der Cyberattacke kommt häufig die Panikattacke. Diese Strategien helfen Ihnen, besser mit den Emotionen nach einem Sicherheitsvorfall umzugehen.
Foto: AJR photo - shutterstock.com

Es passiert in der Regel an einem Freitagnachmittag gegen 16 oder 17 Uhr: Admins und Sicherheitsexperten erhalten einen Alert, dass etwas Verdächtiges vor sich geht - und die Vorstufe des Wochenendes wird zur Vorhof der Hölle.

Data Breaches und andere Sicherheitsvorfälle strapazieren die Nerven aller Beteiligten - von den Teams, die versuchen, das Problem zu beheben, bis hin zu den wichtigsten Stakeholdern. Das kann ein breites Spektrum von Gefühlen auslösen:

  • Selbstverleugnung (speziell im Anfangsstadium)

  • Panik

  • Wut

  • Angst

  • Schuldgefühle

Diese Emotionen gehen nicht selten einher mit körperlichen Nebenerscheinungen wie einer erhöhten Herzfrequenz, Schweißausbrüchen, Zittern, Übelkeit und langfristig auch psychischen Problemen: "Ich habe schon mit Admins gearbeitet, die damit nicht zurechtkamen und einfach gegangen sind", erzählt Peter Mackenzie, Director des Incident Response Teams bei Sophos.

"Diese Emotionen können sich wie ein Virus im gesamten Unternehmen ausbreiten", meint Dr. Patrick Stacey, der eine Studie über die emotionalen Reaktionen und Bewältigungsstrategien von Mitarbeitern während eines Cyberangriffs veröffentlicht hat.

Wenn sich der Stress aufbaut, neigen Führungskräfte und Vorstandsmitglieder dazu, nervös zu werden - und anschließend Druck auf Technologieexperten auszuüben, damit das Problem schnell gelöst wird. "Diese Art von Druck ist nie hilfreich", sagt Michael Sjøberg, Experte für Geiselnahmen und Krisenmanagement, der für das dänische Militär gearbeitet hat und jetzt als Ransomware-Unterhändler tätig ist.

Dabei kann die Art und Weise, wie ein Unternehmen mit einem Cybersicherheitsvorfall umgeht, über sein Schicksal entscheiden. Technologieexperten und Stakeholder müssen also die richtigen Entscheidungen treffen. Ruhe und Besonnenheit sind allerdings nicht nur während einer Krise wichtig, sondern bereits im Vorfeld, denn die Emotionskette kann schon viel früher beginnen.

Frust - schon vor dem Breach

Für Security-Profis und -Admins ist es keine Seltenheit, dass sie sich wie Sisyphos vorkommen: In vielen Fällen stellt es bereits eine unüberwindbare Hürde dar, die Mitarbeiter dazu zu bringen, grundlegende Regeln - etwa für sichere Passwörter - zu befolgen. Doch Probleme dieser Art beschränken sich nicht nur auf die Mitarbeiter: Auch Vorstände sind teilweise schwer von der Bedeutung der Cybersicherheit zu überzeugen. Im Rahmen einer Umfrage von Lastline gaben 98 Prozent der befragten Sicherheitsexperten an, dass ihnen die finanziellen Mittel fehlen, um Services und Devices anzuschaffen und die erforderlichen Richtlinien umzusetzen. Weitere 23 Prozent zeigten sich davon überzeugt, dass erst ein erfolgreicher Cyberangriff die Führungskräfte in ihren Unternehmen dazu bewegen würde, ausreichende, finanzielle Ressourcen zur Verfügung zu stellen.

"Obwohl Admins und Security-Profis wissen, was getan werden sollte, um die Sicherheit des Unternehmens zu gewährleisten, scheinen sie oft einfach nicht gehört zu werden. Ist das der Fall, kann sich unter den betroffenen Mitarbeitern ein gewisses Level an Frustration und Verärgerung aufbauen", meint Dr. Stacey. Das Fatale daran sei, dass diese Mitarbeiter am Ende auch die Leidtragenden seien, wenn es zu einem Sicherheitsvorfall komme. Auf den 'Ich hab es ja gesagt'-Moment folgten Angst und schlaflose Nächte.

Die Emotionskette nach dem Cyberangriff

Kommt es zu einer Cyberattacke, geht in der Regel alles sehr schnell: Die betroffenen Tech-Mitarbeiter werden - allen Vorbereitungen zum Trotz - meist von einem Emotionsmix heimgesucht. Krisenexperte Sjøberg bestätigt das: "Auch wenn man sich auf eine solche Situation vorbereitet hat, neigt das Gehirn dazu, abzuschalten. Je intensiver die Situation zu sein scheint, desto mehr neigt der Mensch dazu, reaktiv und ohne nachzudenken zu handeln."

Die ersten Stunden nach einem Sicherheitsvorfall sind dabei besonders chaotisch. Peter Mackenzie, Director of Incident Response bei Sophos, nennt das die "Chaosphase": "Wenn die blinde Panik einsetzt, fangen die Leute an, Stromkabel herauszureißen, alles abzuschalten und die Internetverbindung zu kappen, weil sie nicht wissen, was sie tun sollen - außer einfach alles zum Stillstand zu bringen." Manche Mitarbeiter neigten in dieser Phase dazu, ihre Sorgen in körperliche Symptome umzuwandeln, wie der Sophos-Experte erzählt: "Ich kann mich an einen Ransomware-Angriff auf eine Kleinstadt in den USA erinnern. Der Administrator, mit dem ich telefonierte, wollte die Backups überprüfen. Eine Minute der Stille später hörte ich, wie er sich übergeben musste. Alle Backups waren verschwunden, alle Daten weg. Sie hatten nichts mehr."

Überreaktionen und körperliche Symptome seien jedoch natürliche Reaktionen auf einschneidende Ereignisse: "Das sind normale menschliche Reaktionen auf Stress. Es kann sehr niederschmetternd sein, wenn man feststellt, dass nicht nur ins Netzwerk eingedrungen wurde, sondern auch Daten gestohlen oder zerstört wurden. Und zwar nicht nur die eigenen, sondern auch Kunden- oder Patientendaten", sagt Mackenzie. Manche Administratoren und Sicherheitsexperten verspürten daraufhin den Druck, alles sofort zu reparieren, ergänzt Sjøberg . Das sei jedoch meist eine schlechte Entscheidung: "Oft ist es so, dass einige Dinge wichtiger wären als andere. Es ist deshalb empfehlenswert, sich in dieser Situation an die für das Krisenmanagement zuständige Person zu wenden."

Zu den Emotionen, die in den ersten Stunden nach einem Cyberangriff auftreten können, gehört auch Wut. Die richtet sich manchmal gegen den Sicherheitsanbieter, der die Tools zur Verfügung gestellt hat, die den Angriff verhindern hätten sollen. Oder gegen die Angreifer - insbesondere, wenn es sich beim Angriffsziel um ein Krankenhaus, eine kleinere Gemeinschaft oder Kleinunternehmen handelt. Auch Schuldgefühle können in dieser Situation auftreten - oft im Zusammenhang mit Fahrlässigkeit: "Dazu kommt es in der Regel, wenn erkannt wird, dass Warnzeichen übersehen wurden. Aber es gibt immer Tools, die aktualisiert oder besser gemanagt werden müssen."

Manche Mitarbeiter sind nicht in der Lage, Stress dieser Art wegzustecken. In diesen Fällen können Sicherheitsvorfälle langfristige Folgen für die psychische Gesundheit bedeuten. Glücklicherweise wird auf dem Feld der Psychologie schon seit langem geforscht, mit welchen Methoden sich intensive Krisensituationen besser bewältigen lassen. Auch im militärischen Bereich werden hierbei einige Techniken angewandt, die sich auch Tech-Experten zunutze machen können.

Taktisches Atmen

Als Experte für Krisenmanagement hat Sjøberg bereits umfassende Erfahrungen im Umgang mit brenzligen Situationen gesammelt. Eine Methode, die ihm bei der Bewältigung geholfen hat, ist die taktische Atmung (Combat Breathing). Sie wird unter anderem vom Militär, Rettungsdiensten und Strafverfolgungsbehörden eingesetzt, um in gefährlichen Situationen Stress abzubauen. "Bei der taktischen Atmung atmet man ein, während man bis vier zählt. Man hält den Atem an, während man bis vier zählt, atmet aus, während man bis vier zählt", erklärt der Experte. "Bei dieser Übung ist es wichtig, tief einzuatmen und dabei das Zwerchfell zu benutzen."

Eine Studie von Experten des Militärpsychologischen Forschungsinstituts der Bundeswehr in Bonn zeigt: Die taktische Atmung ist bei der passiven Bewältigung am effektivsten - also dann, wenn eine schwierige oder bedrohliche Situation erwartet wird und es keine andere Möglichkeit gibt, als sich dem Stressor zu stellen.

Bei der aktiven Bewältigung können hingegen einfachere Techniken besser funktionieren: Dazu gehören das verlängerte Ausatmen und die langsame Atmung. Verlängertes Ausatmen bedeutet, dass wir normal einatmen, aber langsam ausatmen. Langsames Atmen hingegen bedeutet, dass wir nur etwa sechs Zyklen des Ein- und Ausatmens pro Minute haben - im Gegensatz zu den normalen 12 bis 14. Wenn wir langsamer atmen, signalisieren wir unserem Körper, dass alles in Ordnung ist. Diese Techniken scheinen das parasympathische Nervensystem zu beeinflussen, das die unbewussten Handlungen des Körpers reguliert. Diese Übungen können unseren Herzschlag verlangsamen, unsere Muskeln entspannen und den Blutdruck senken.

Angriffstraining und -planung

Wenn Atemtechniken nicht so Ihr Ding sind, können Sie auch darauf setzen, die Abläufe im Fall einer Cyberattacke so gut wie möglich vorab einzustudieren. Diese Übungen sollten idealerweise von jemandem außerhalb des Unternehmens durchgeführt werden - allerdings sollten alle Mitarbeiter daran teilnehmen, nicht nur Sicherheitsexperten. "Die Geschäftsleitung muss mindestens einmal jährlich an einem Krisenmanagement-Workshop teilnehmen", fordert Sjøberg. "Ich habe schon oft erlebt, dass der CEO oder der CFO nicht an einem solchen Training teilnehmen wollten, weil sie es als zu schwierig empfanden oder einfach keinen Gewinn darin gesehen haben."

Um das zu verhindern, sollte es in dem Workshop darum gehen, die Mitarbeiter im Umgang mit den Instrumenten zu schulen - und nicht darum, Krisenmanagementpläne zu testen: "Man sollte nie Mitarbeiter schulen, denen man nicht vorher die Antworten gibt", sagt Sjøberg. Eine solche Schulung könne auch dazu beitragen, Schuldgefühle zu lindern, wenn Administratoren, Sicherheitsforscher und Stakeholder das Gefühl bekommen, alles getan zu haben, um einen Vorfall zu verhindern.

Übungen wie diese können sowohl Einzelpersonen als auch Unternehmen dabei helfen, reifer zu werden. Im Anschluss sind sie dann in der Lage, bei Vorfällen besser zu reagieren und Emotionen effizienter zu filtern. Auch Pläne für potenzielle Cyberangriffe können sich als nützlich erweisen: "Gibt es einen ausgereiften Prozess - also einen dokumentierten Weg, mit einem Sicherheitsvorfall umzugehen - kann man es sich leisten, Emotionen auszuschalten, weil man nicht subjektiv handeln muss", weiß Almerindo Graziano, CEO von Cyber Rangers. Graziano ist außerdem der Ansicht, dass erfahrerene Fachleute davon profitieren könnten, die Situation umzudrehen und die Katastrophe in eine Chance zu verwandeln: "Beweisen Sie, wie gut Sie den Angriff stoppen oder die Bedrohung verfolgen können."

Während all diese Strategien für Admins und Security-Profis funktionieren können, müssen auch die Stakeholder lernen, besser mit Stress umzugehen.

Stakeholder-Einfluss

Auch Führungskräfte und Vorstandsmitglieder stehen bei einem Cybersecurity-Vorfall unter Druck: Ihr Unternehmen könnte Millionen verlieren und Reputationsschäden erleiden. Zudem müssen sich die Stakeholder unter Umständen mit verärgerten Kunden oder Geschäftspartnern auseinandersetzen, wenn deren Daten vom Angriff betroffen sind.

Im Allgemeinen gibt es zwei Arten von Stakeholdern: diejenigen, die in kritischen Zeiten wütend werden und Sicherheitsexperten unter Druck setzen, um das Problem zu beheben - und diejenigen, die Empathie und Mitgefühl zeigen und diejenigen unterstützen, die daran arbeiten, alles wieder in Ordnung zu bringen. Eigentlich unnötig zu erwähnen: Erstgenannte Gruppe macht die Dinge nur noch schlimmer. "Solche Stakeholder müssen einen Schritt zurücktreten und verstehen, dass sie wahrscheinlich nicht die kompetenteste Person in dieser Situation sind", sagt Sjøberg.

Mackenzie fügt hinzu, dass Sicherheitsexperten Dinge übersehen könnten, wenn sie in Eile handeln müssen: "Wenn Druck aufgebaut wird, werden Fehler gemacht. Sicherheitsexperten neigen dazu, sich mehr auf die Wiederherstellung als auf die Forensik zu konzentrieren. Sie müssen verstehen, wie es zu dem Angriff gekommen ist - nicht nur, damit Sie Ihr Sicherheitsniveau in Zukunft verbessern können, sondern auch, um sicherzustellen, dass die Angreifer nicht mehr im Netzwerk sind."

Im Gegensatz dazu kann ein unterstützendes Management dazu beitragen, die Krise schneller aufzulösen. Dr. Stacey empfiehlt Führungskräften, ihr Team zu fragen, wie sie unterstützen können: "Es ist wichtig, dass die Führungsebene diese Art von Einfühlungsvermögen an den Tag legt. Emotionen können Menschen herunterziehen, aber sie können sie auch aufrichten und motivieren. Es geht darum, das System und die Menschen so zu führen, dass wir immer einen positiven Antrieb haben und nicht den Rückwärtsgang einlegen."

Sein Doktorand Omotolani Olowosule fügt hinzu, dass die kritische Phase eines Sicherheitsvorfalls nicht die Zeit für "Schuldzuweisungen" sei und Unternehmen ihre Mitarbeiter unterstützen sollten: "Wenn Administratoren und Sicherheitsexperten nicht das Gefühl haben, ihren Ruf schützen zu müssen, sondern die Gewissheit, bei einem Vorfall nicht alleine gelassen zu werden, finden sie auch innovative Wege, um das Problem zu lösen."

Es sei jedoch komplizierter, einen verärgerten leitenden Angestellten zu beruhigen, als einem Sicherheitsingenieur dabei zu helfen, sich zu entspannen.

C-Level-Beruhigung

In den intensiven Momenten einer Datenschutzverletzung verbringen externe Berater einen Großteil ihrer Zeit damit, nervöse Führungskräfte zu beruhigen. "Wir sind bis zu einem gewissen Grad die Schulter zum Ausweinen und helfen dabei, mit all diesen Gefühlen umzugehen", sagt John Prieto, Incident Response Consultant bei Mandiant und ehemaliger Cyber Warfare Operator bei der U.S. Air Force. Kommunikation und Transparenz seien dabei von entscheidender Bedeutung, da jeder einen Überblick über den Stand der Dinge haben möchte. "Seien Sie offen und lassen Sie einfach die Beweise für sich sprechen", so Prieto. "Jeder Mensch nimmt Informationen auf unterschiedliche Weise auf. Manche Menschen sind sehr praktisch veranlagt, andere bevorzugen schriftliche Reportings. Viel Zeit für Gespräche bedeutet allerdings auch, dass weniger an der Behebung des Problems gearbeitet wird."

Mit diesen Informationen könne ein externer Berater einen verärgerten Manager effizienter beruhigen, so Sjøberg: "Ich verlasse oft mit der Führungskraft den Besprechungsraum, führe eine Anti-Stress-Nachbesprechung und erkläre, wie man die Dinge wieder in den Griff bekommen kann."

In gefährlichen Situationen sei es von entscheidender Bedeutung, dass alle Beteiligten Ruhe bewahren, erklärt Dr. Stacey: "Wir können noch so viele Hilfsmittel einsetzen - wenn die betreffende Person nicht über die nötige Belastbarkeit verfügt, wird es trotzdem schwierig, die gewünschten Ergebnisse zu erzielen." (fm)

Andrada Fiscutean ist Technische Journalistin. Sie schreibt für unsere US-Kollegen von CSOonline.com über Hacker, Malware, Frauen in IT und osteuropäische Techologieunternehmen.