Die Folgen eines Cyberangriffs – was kommt nach dem Wiederanlauf?

Zu diesem Zeitpunkt verliert man als Unternehmen in gewissem Umfang die Kontrolle über seine Systeme und kann nicht mehr frei entscheiden.

Erst nach Abschluss der forensischen Maßnahmen kann mit dem Wiederanlauf und Rückkehr in den Normalbetrieb der IT-Umgebung begonnen werden. Bis dahin können mehrere Wochen vergangen sein, denn es ist wichtig zu ermitteln:

• Welche Schwachstellen wurden ausgenutzt?
• Auf welche Systeme hatte der Angreifer Zugriff?
  
• Was ist dort geschehen?
• Wie ging der Angreifer vor?
  
• Wurden z.B. Datenbanken oder konkrete Daten entwendet oder manipuliert?
  
  

Je nach Ausmaß bestehen unterschiedliche Meldepflichten oder Auswirkungen auf die Geschäftstätigkeit. Eine Manipulation am ERP-System (z.B. SAP) kann dazu führen, dass ausführliche Tiefenprüfungen durchgeführt werden müssen, um die Ordnungsmäßigkeit der Buchführung nach dem Cyberangriff sicherstellen zu können.

Aber auch wenn keine Manipulation an rechnungslegungsrelevanten Systemen erfolgte: Sofern das System während des Notbetriebs nicht genutzt werden konnte, mussten – abhängig von der Dauer des Notbetriebs – Alternativprozesse zur Sicherstellung des Geschäftsbetriebs aktiviert werden. Hierzu kann beispielsweise die Bezahlung von Rechnungen direkt über das Bankkonto oder die Bestellung ohne Beteiligung der Materialwirtschaft zählen. Diese Vorgänge erfolgen während des Notbetriebs außerhalb der Finanzbuchhaltung. Es ist jedoch erforderlich, dass alle entsprechenden Vorgänge und Transaktionen zwingend zeitnah im System nacherfasst und verbucht werden, sobald das ERP-System wieder zur Verfügung steht. Eine nachvollziehbare Dokumentation mit klaren Anweisungen für alle Mitarbeitenden (Geschäftsfortführungsplan) sind hierfür eine Grundvoraussetzung. Die Mitarbeitenden müssen in den Notfallplänen geschult werden, damit sie genau wissen, was sie konkret zu tun haben und der Geschäftsbetrieb trotz dieser Herausforderung aufrechterhalten werden kann.

​Sofern es zu einer Manipulation von rechnungslegungsrelevanten Systemen kam, muss genau nachvollzogen werden, welche Stammdaten manipuliert oder welche Geschäftsvorfälle erfasst wurden. Bei einer Manipulation direkt auf der Datenbankebene gibt es meist nur begrenzte Möglichkeiten diese nachzuvollziehen. Ein Abgleich mit dem Stand der letzten Datensicherung vor dem Angriff kann eine effektive Methode dafür sein. Voraussetzung hierfür ist, dass regelmäßige Backups durchgeführt werden. Ebenso kann eine geeignete IT-Notfallvorsorge in Form von sogenannten Audit-Protokollen bei der Aufklärung im Nachhinein helfen, den letzten manipulationsfreien Stand zu ermitteln. Je nachdem wieviel Zeit dazwischen vergangen ist, können die Analysen extrem aufwendig sein.

Sofern ein System verschlüsselt wurde und eine Entschlüsselung nicht möglich ist, muss es aus einem Backup wiederhergestellt werden. Dadurch gehen i.d.R. einige Stunden, in manchen Fällen auch Tage, an Daten verloren, sodass verbundene Systeme einen unterschiedlichen Datenstand aufweisen. Es benötigt daher für jede Schnittstelle ein Konzept, wie überprüft werden kann, welche Daten aus dem angebundenen System übergeben wurden und welche Daten im Zielsystem vorhanden sind. Das Delta dazwischen stellt eine Abweichung dar, die behoben werden muss.

Der Wirtschaftsprüfer sollte daher frühzeitig informiert und in das Notfallbewältigungsteam aufgenommen werden, damit die Einhaltung der Anforderungen an die Ordnungsmäßigkeit der Buchführung auch bei einem Cybervorfall gewährleistet werden kann. Bei nicht nachvollziehbarer Dokumentation droht ansonsten die Gefahr, dass der Jahresabschluss nicht testiert werden kann.