Mit <kes>+ lesen

Never waste a good Crisis : Cyber-Krisen richtig managen

Wenn der Vorstand ein IT-Problem hat, ruft er seinen IT-Leiter. Der macht dann ein paar kryptische Fenster am PC auf und wirkt Magie – danach geht wieder alles. Das dauert meist nur ein paar Minuten, manchmal ein paar Stunden – bisweilen muss man für ein paar Tage mit einem Workaround leben. Das ist die Erfahrungswelt der meisten Manager, doch spätestens ein Ransomwarevorfall zeigt: Auch in der Unternehmens-IT ist ein Totalschaden möglich. Und dann ist aus einem IT-Vorfall eine Unternehmenskrise geworden, die es in den Griff zu kriegen gilt.

Lesezeit 15 Min.
Never waste a good crisis-min
Never waste a good crisis-min

Im Krisenmanagement unterscheidet man Störungen (kurzer Serviceausfall mit geringem Schaden), Notfälle (Ausfall von zeitkritischen Prozessen oder Ressourcen für einen bestimmten Zeitraum mit geringfügigen Konsequenzen) und Krisen: Letztere kennzeichnet ein Verlust der Kontrolle über kritische Teile der Geschäftsprozesse des Unternehmens auf unbestimmte Zeit. Dieser Artikel beschäftigt sich mit Krisen, die durch einen IT-Vorfall ausgelöst wurden – etwa durch einen Ransomwareangriff [1].

Notfall Krise

Innerhalb der IT-Abteilung mag so manches Problem wie eine „Krise“ erscheinen und als solche benannt werden – im Unternehmenskontext handelt es sich aber meist nur um eine Störung oder einen Notfall.

Im Gegenteil ist die Führungsebene oft sogar überrascht, dass „die IT“ überhaupt eine echte Krisensituation für das Unternehmen nach der obigen Definition auslösen kann. Auf der Ebene einzelner Funktionen eines Unternehmens spricht man von einem „Notfall“ (also z. B. IT-Notfall). Ein solcher Notfall kann eine Krise des Unternehmens zur Folge haben – das ist aber hoffentlich nur selten der Fall.

Neben motivierten und qualifizierten Mitarbeitern sind für Unternehmen gute Organisation und geordnete Prozesse wichtig, um im Markt bestehen zu können. Je öfter eine Situation auftritt, desto effizienter und effektiver wird ein Unternehmen die dafür notwendige Arbeit erledigen.

Eine Krise zeichnet sich hingegen dadurch aus, dass sie sich (hoffentlich) selten ereignet. Regelprozesse der Organisation, die für „normale“ Situationen entworfen wurden, sind nicht geeignet, die dann notwendigen Maßnahmen effizient und effektiv zu erledigen. Gerade die IT-Organisation, die oft für essenzielle Teile der Unternehmensprozesse verantwortlich ist, neigt dazu, auch in Krisenzeiten Regelprozesstreue bewahren zu wollen. Die wichtigste Erkenntnis im Krisenmanagement ist jedoch, dass die üblichen hoch spezialisierten Regelprozesse in einer Krise nicht zielführend sind – dies gilt besonders für IT-Sicherheitsprozesse und die CISO-Organisation.

Die Folge dieses unerwarteten Versagens von Prozessen in einer Krise sind Unsicherheiten, Panik, Lähmung und Ratlosigkeit. Die eingespielten, arbeitsteilig organisierten Führungsstrukturen sind damit überfordert. Im Fall einer Krise muss also eine Krisenorganisation aufgebaut werden, die zeitweilig die Regelorganisation und deren Prozesse ablöst. Um keine wertvolle Zeit zu verlieren, ist es daher wichtig, dass sich ein Unternehmen auf Krisen vorbereitet („präventives Krisenmanagement“). Auf der Ebene der IT-Abteilung wird diese Vorbereitung in Form eines IT-Notfallhandbuchs dokumentiert, auf Unternehmensebene definiert ein Krisenhandbuch die Krisenorganisation.

Jede Krise ist anders

Ziel des präventiven Krisenmanagements ist es, die Zeit zu verkürzen, bis die Krisenorganisation ihre Arbeit aufnehmen kann – über alle Folgemaßnahmen entscheidet dann die Krisenorganisation selbst. Es muss also nicht die Lösung einer spezifischen Krise vorausgedacht oder dokumentiert werden – die beschriebenen Prozesse sind zwangsläufig generischer Natur. Abläufe rund um Meldewege, Einberufung und Organisation von Notfall- und Krisenstäben, Sofortmaßnahmen und Informationsbeschaffung sind dabei zentral.

Eine weitere wichtige Präventionsleistung fällt dem CISO zu: Er muss dem Management die Abhängigkeit von der IT aufzeigen. Die Tatsache, dass ein IT-Notfall das Potenzial hat, eine unternehmensweite Krise auszulösen, muss den Chefetagen gegenüber transparent sein.

In der Krise zählt nur die Krise

Tritt der Ernstfall ein, gibt es nur eine einzige Priorität: Die Krise muss so schnell wie möglich aufgelöst werden. Die Frage, wer für den Ausbruch der Krise verantwortlich ist und wer die Schuld zu tragen hat, lähmt jede Krisenorganisation: „Wir hatten immer zu wenig IT-Budget!“ – „Welcher Benutzer hat einen Fehler gemacht?“ – „Wir durften ja nie etwas modernisieren!“ – „Warum zahlen wir einen Dienstleister, wenn der nichts merkt?“ et cetera. Bis die Krise beendet ist, dürfen Fragen nach der Schuld keine Rolle spielen! Auch Selbstmitleid („Wir waren gerade dabei, alles abzusichern.“) ist kontraproduktiv. Die Konzentration muss nach vorn gerichtet sein. Das gilt für alle, die an der Beseitigung der Krise mitarbeiten.

Auch persönliche Befindlichkeiten und Rangkämpfe sind in der Krise fehl am Platz. Jetzt geht es darum, die richtige Kompetenz an der richtigen Stelle zu haben. Das bedeutet auch: Selbst wenn eine Unternehmenskrise durch einen IT-Vorfall ausgelöst wurde, hat die IT nicht die Führung in der Krisenbewältigung, sondern arbeitet nur dem unternehmensweiten Krisenstab zu.

Krisen-Gremien

Ein solcher hochrangig besetzter Krisenstab (Crisis-Management-Team, CMT) muss in jeder unternehmensweiten Krisensituation einberufen werden. Das CMT steuert die Bearbeitung der Krise unternehmensweit. Falls es im Unternehmen dazu keine vorbereiteten Konzepte gibt, muss der aktuell verfügbare, ranghöchste Manager diesen Krisenstab einberufen.

Gleichzeitig ist die ressourcenintensivste Arbeit in der Bewältigung der Krise eine technische Aufgabe. Daher ist es notwendig, dass sich die IT mit allen Kapazitäten, die hierbei mitwirken, in einem IT-Notfallstab organisiert. Dieser ist dem CMT unterstellt und arbeitet ihm als fachliche Supportfunktion zu. Häufig wird dieser IT-Notfallstab als Cyber-Security-Incident-Response-Team (CSIRT) oder Cyber-Emergency-Response-Team (CERT) bezeichnet. In einigen Firmen gibt es ein CSIRT oder ein CERT als dauerhafte Einrichtung – diese Organisationseinheit hat dann mit dem im Krisenfall einberufenen, temporären IT-Notfallstab aber nichts zu tun. Es bietet sich daher an, die jeweils andere Bezeichnung zu wählen, um diese Abgrenzung deutlich zu machen – für diesen Artikel wird der IT-Notfallstab fortan als CSIRT bezeichnet.

Die Aufgaben des CMT umfassen die Leitung, Steuerung und Koordination aller unternehmensweit in die Krise involvierten Prozesse und Funktionen. Alle Entscheidungen laufen im CMT zusammen. Die Aufgaben des CSIRT sind, zunächst den Betriebsunterbrechungsschaden so gering wie möglich zu halten und danach die Wiederherstellung der IT mit den früheren Businessfunktionen zu organisieren. Kernaspekte müssen dabei eine erhöhte Sicherheit sowie die Gewissheit sein, dass keine Artefakte oder Zugriffsmöglichkeiten etwaiger Angreifer mehr vorhanden sind.

Die Trennung in CSIRT und CMT ist aus mehreren Gründen notwendig: Zum einen benötigt das CMT zwar die Ergebnisse des CSIRT, die Diskussionen im CSIRT sind für die Teilnehmer des CMT aber meist nicht verständlich und für Managemententscheidungen nicht immer relevant. Zum anderen können die (oft spannenden und interessanten) Diskussionen im CMT die IT-Mitarbeiter von deren eigentlichen Aufgaben ablenken, die mit Sicherheit die höchste Priorität im Unternehmen haben.

Unternehmensweiter Krisenstab, Crisis-Management-Team – CMT

Der Leiter des CMT hat die höchste Entscheidungs- und Weisungsbefugnis im Krisenfall. Allerdings sollte man beachten, dass CEOs oder Eigentümer eine endgültige Entscheidungsbefugnis besitzen können. Die Rolle wird bestenfalls mit einem Geschäftsführer oder Bereichsleiter in einer zentralen Verantwortung mit großer Akzeptanz im Führungskreis des Unternehmens besetzt. Es werden tiefe Kenntnisse über alle Zentralprozesse der Organisation, ausgezeichnete Kommunikationsfähigkeiten zu den Gesellschaftern, in das Unternehmen und zu externen Bedarfsträgern (z. B. Presse), Moderations- und Entscheidungsfähigkeit sowie eine hohe psychische und physische Stabilität gefordert.

Weitere Teilnehmer im CMT sind:

  • Moderator – ein erfahrener Mitarbeiter mit gutem Verhältnis zu allen Teilnehmern
  • Externer Krisenberater – bestenfalls mit Erfahrung im Bereich Täterkommunikation, der gleichzeitig Erfahrung und Distanz zur Firma mit an den Tisch bringt
  • Krisenkommunikationsberater oder Vertreter der Unternehmenskommunikationsabteilung
  • Justiziar des Unternehmens, externer Jurist der „Hauskanzlei“ oder ein Vertreter der Rechtsabteilung
  • Leiter IT, CIO oder CISO als Verbindungsperson zum CSIRT
  • Protokollant – verantwortlich für die Dokumentation der Meetings
  • Assistenz – verantwortlich für Einberufung und Organisation der Meetings sowie weitere administrative Funktionen

Zusätzliche Teilnehmer können entweder fest eingeladen oder im Bedarfsfall dazu geholt werden:

  • Weitere Vertreter der Geschäftsführung oder des Vorstands
  • Vertreter/Leiter aus den betroffenen Geschäftsbereichen
  • Finanzchef (Thema Lösegeldzahlung)
  • Personalleiter
  • Leiter Versicherungsabteilung
  • Datenschutzbeauftragter

In vielen kleineren Unternehmen sind mehrere der genannten Funktionen oft in einer Hand vereint. Das CMT sollte so groß wie nötig, aber so klein wie möglich sein. Es herrscht in jedem Fall das „Need-to-know“-Prinzip.

Die Aufgaben des CMT wechseln über die Zeit. Typische Entscheidungen, die im Verlauf einer Krise zu treffen sind, betreffen:

  • Konstituierung und Einberufung von CMT und CSIRT
  • Vorfallmeldung bei relevanten Behörden (Polizei, DSB, ggf. BSI etc.)
  • Koordination der Krisenkommunikation (intern und extern) inklusive regelmäßiger Aktualisierungen
  • Täterkommunikation
  • Entscheidung über Ad-hoc-Maßnahmen und Workarounds
  • Einbindung der Versicherung
  • Etablierung eines Ethikgremiums
  • Einbindung externer Juristen
  • Strategieentscheidungen bezüglich der Wiederherstellung von Systemen
  • Umsetzung von Workarounds und Business-Recovery-Plänen

IT-Notfallstab, Cyber-Security-Incident-Response-Team – CSIRT

Das CSIRT ist für die eigentliche Lösung der Krise verantwortlich – die Wiederherstellung der Betriebsfähigkeit des Unternehmens hat dabei vorrangige Bedeutung. Oft ist dazu zunächst eine Notbetriebsphase unter besonderen Sicherheitsmaßnahmen einzuplanen, und erst im zweiten Schritt ist eine vollständige Wiederherstellung der IT-Systeme möglich. Gleichzeitig gilt es aber auch, gestärkt aus der Krise hervorzugehen („Never waste a good Crisis“).

„Teilen und Herrschen“ in größeren Strukturen
„Teilen und Herrschen“ in größeren Strukturen

Denn jeder kann sich den Vertrauensverlust vorstellen, der entsteht, wenn ein Unternehmen eine ähnliche Krise zweimal kurz hintereinander durchleiden muss.

Die Kollegen im CSIRT haben ab Tag eins über Wochen hinweg viel zu tun: Viele Aufgaben bedingen eine Wartezeit (Neuaufsetzen von Systemen, große Kopieraufträge, Säuberungsläufe, Wiederherstellung aus dem Backup) – vieles lässt sich parallelisieren, erfordert dann aber einen hohen Organisationsgrad. Oft muss auf die Beendigung der Arbeit eines anderen Kollegen gewartet werden. Auch diese Koordination erhöht die Anforderungen an die Organisation.

Das Gremium tagt typischerweise ein- bis zweimal am Tag – etwa morgens zur Planung und abends, am Ende des Arbeitstags zur Statusfeststellung. Um eine effiziente und effektive Arbeit des CSIRT sicherzustellen, hat es sich bewährt, dass alle IT-Kollegen zusammen in einem „War-Room“ sitzen – so lässt sich die Frequenz der CSIRT-Meetings auch leichter auf einmal täglich reduzieren.

Leiter des CSIRT ist der IT-Leiter oder CIO. Dieser hat die endgültige Entscheidungs- und Weisungsbefugnis für alle technischen Entscheidungen im Rahmen der Notfallbearbeitung. Gibt es einen CISO, so hat dieser bei Sicherheitsthemen – je nach Stellung im Unternehmen – ein Veto-Recht.

Ständige Teilnehmer neben dem IT-Leiter/CIO und dem CISO im CSIRT sind:

  • alle IT-Mitarbeiter, die am Fall arbeiten
  • alle wichtigen Mitarbeiter von IT-Dienstleistern
  • Digital-Forensics- und Incident-Response- (DFIR)-Consultants
  • Protokollant (verantwortlich für die Dokumentation der Meetings)

Oft sind diese Mitarbeiter noch mit weiteren Aufgaben beschäftigt. Dann müssen sie einen kurzen Status per E-Mail an den Leiter oder mündlich einem anderen Teilnehmer übermitteln – außerdem sollten sie während der Meetings telefonisch erreichbar sein.

Vor allem das Thema „IT-Dienstleister“ ist in Unternehmen, die sich nicht vorbereitet haben, oft ein Stolperstein: Welche IT-Dienstleister werden in einer Krise benötigt? Sind eventuell sogar bestimmte Mitarbeiter eines Dienstleisters notwendig? Wie kann man sie erreichen? Sind entsprechende Vereinbarungen mit den Dienstleistern getroffen? Solche Fragen müssen in einem IT-Notfallhandbuch behandelt und beantwortet werden.

Die Arbeit der Kollegen geht teilweise bis spät in die Nacht; das muss mit dem Wachdienst/Werkschutz besprochen werden. Eventuell muss auch vom Betriebsrat und dem Gewerbeaufsichtsamt eine Genehmigung für Sonntags- und Mehrarbeit organisiert werden. Um eine konzentrierte Arbeit dieses Teams sicherzustellen, sollten Störungen reduziert werden – folgende Maßnahmen haben sich bewährt:

  • Das CSIRT berichtet an das CMT – alle Manager kanalisieren ihre Anfragen über das CMT.
  • Räume, in denen das CSIRT arbeitet, sind abgesperrt – nur CSIRT-Mitarbeiter haben Zutritt.
  • Mitarbeiter, die Fragen haben, werden per Aushang an eine zentrale Hotline oder einen zentralen Ansprechpartner verwiesen. Dieser ist kein IT-Mitarbeiter (sondern z. B. ein Non-IT-Abteilungsleiter) und kanalisiert die Anfragen an das CSIRT beziehungsweise vorzugsweise an das CMT.

Die Arbeit des CSIRT ist kein Sprint, sondern ein Marathon! Um die Motivation der Kollegen langfristig sicherzustellen, können periodische Besuche des Top-Managements und Goodies wie Kaffee, Getränke und regelmäßige Essenslieferungen (Obst, Süßigkeiten, Pizza etc.) helfen. Grundsätzlich gilt: Je länger sich die CSIRT-Mitarbeiter ungestört auf die Lösung der IT-Probleme konzentrieren können, umso schneller ist die Krise beendet.

Das CSIRT muss überdies die technischen Vorgaben für alle Mitarbeiter an das CMT kommunizieren, das dann die geeignete Weiterverteilung übernimmt. Dazu gehören im Speziellen:

  • Wer darf wann welche Rechner einschalten und benutzen?
  • Welche Netzwerkports und WLAN dürfen verwendet werden?
  • Welche privaten Geräte sind verwendbar?
  • Was ist im Heimnetzwerk der Homeoffice-Kollegen zu beachten?

Auch Vorgaben für den technischen Umgang mit der Krise sind zu kommunizieren – zum Beispiel das Verbot, selbstständig Dateien auf Internetseiten zum Check auf Malware hochzuladen (Stichwort „VirusTotal“), oder die Erinnerung an die Geheimhaltung gegenüber Dritten (Stichwort „Ransomnote“).

Krisenkommunikation

Krisen und Katastrophen sind grundsätzlich von hohem öffentlichem Interesse, da sie einzigartig und „beeindruckend“ sind und eine Störung des Alltäglichen darstellen. Da die Bevölkerung über Ereignisse und Hintergründe informiert werden will, besitzen Krisen auch journalistische Relevanz. Eine Gemengelage aus öffentlichem Interesse, Medienwettbewerb und der Macht sozialer Medien führt dabei schnell zur Veröffentlichung besonders aufsehenerregender und reißerischer Nachrichten.

Ohne effektive Krisenkommunikation laufen Verantwortliche Gefahr, das Vertrauen ihrer Stakeholder zu verlieren. Eine qualitativ schlechte oder gar kontraproduktive Krisenkommunikation kann irreversible langfristige Folgen nach sich ziehen. Effektive Krisenkommunikation kann hingegen dazu beitragen, die negativen Auswirkungen von Krisen zu reduzieren: Sie schafft, erhält und fördert Vertrauen. Sie kann einen Ruhepol bereitstellen und damit die Akteure verlässlich durch die Extremsituation führen. Ziel ist dabei, Imageschäden für das Unternehmen so weit wie möglich zu reduzieren.

Die erste Kommunikationsaufgabe ist es, die Einberufung des CMT und die Tatsache, dass alle Entscheidungen im CMT getroffen werden, unternehmensintern an alle in- und ausländischen Tochter- oder auch Beteiligungsgesellschaften sowie das gesamte Management zu kommunizieren. Es gibt immer wieder Fälle, in denen Mitarbeiter oder Dienstleister die Verhandlungen mit Tätern oder die Kommunikation an die Presse in die eigenen Hände nehmen und unabgestimmt handeln – ein eingerichtetes und kommuniziertes CMT verhindert solche „Selbstläufer“ automatisch.

Die Krisenkommunikation hat viele Zielgruppen: Mitarbeiter, Eigentümer/Gesellschafter/Aufsichtsorgane, Kunden, Geschäftspartner, Tochtergesellschaften, Lieferanten, Medien, Öffentlichkeit, Behörden, Versicherungen, usw. Eine zielgruppengerechte Formulierung ist dabei hilfreich – wichtig ist aber: DieKernbotschaft muss für alle Zielgruppen die gleiche sein („One Voice Policy“)! Verschiedene Nachrichten an verschiedene Adressaten fallen schnell auf und erzeugen unangenehme Nachfragen.

Die meisten Menschen glauben, dass sie sehr gut kommunizieren können. Die Presse- und Öffentlichkeitsarbeit ist jedoch ein besonderes Tätigkeitsfeld, das bestimmten Gesetzmäßigkeiten unterliegt [2,3] – und für die Krisenkommunikation gilt dies im Besonderen, da hier unter nochmals erschwerten Bedingungen gearbeitet werden muss. Die Mitarbeiter im Krisenstab und in den IT-Gremien haben potenziell zusätzliche Informationen, die (noch) nicht verlautbart wurden. Es muss sichergestellt sein, dass die Kommunikation nur von einer zentralen Stelle kommt – ein starker Krisenstab und eine qualitativ hochwertige und breit ausgerichtete Kommunikation sind die Basis dafür.

Gleichzeitig sollte man die Wichtigkeit einer zentralen Kommunikation nochmals in allen relevanten Gremien betonen. Mitarbeitern sollte ein Kommunikationstext als Vorschlag für Antworten an die Hand gegeben werden, etwa: „Die Fäden laufen bei uns im Haus im Krisenstab zusammen. Wende Dich / Wenden Sie sich bitte an xx@xx.de. Die Kollegen haben immer die neusten Informationen.“

Kern der Kommunikation: Kernbotschaften

Wichtigster Teil der Krisenkommunikation sind die Kernbotschaften, die vom Krisenstab festgelegt sind. Der Krisenstab muss dabei authentisch bleiben, das heißt, Kernbotschaften müssen auch im Krisenstab selbst Leitlinie des Handelns sein! Kommuniziert ein Unternehmen eine Botschaft, handelt aber nicht entsprechend, hat das meist negative Konsequenzen. Auf abstrakter Ebene haben sich folgende Kernbotschaften bewährt:

  • Das Unternehmen hat die Situation im Griff und kümmert sich aktiv.
  • Fehler und Missverständnisse werden umgehend korrigiert.

Die „Situational Crisis Communication Theory“ [4] teilt die möglichen Kernbotschaften in drei Überkategorien ein: In einer „Victim-Crisis“ stellt man sich selbst als unschuldiges Opfer dar – bei IT-Angriffen wird dies zunehmend unglaubwürdiger. Eine „Accident-Crisis“ schildert eine unvorhersehbare Situation, auf die man sich nicht vorbereiten konnte. Auch dies ist bei IT-Sicherheitsvorfällen oft schwer vermittelbar, sodass Unternehmen zunehmend den schwierigsten Weg gehen müssen: Sie haben dann eine „Preventable Crisis“ zu kommunizieren. Dabei muss glaubhaft Verantwortung übernommen werden.

Krisenfall Ransomware
Krisenfall Ransomware

Weitere Kernbotschaften können sich zum Beispiel mit der Wiederherstellung der Produktions- oder Lieferfähigkeit oder der Wichtigkeit des Vertrauens der Partner/Kunden beschäftigen. Solche Aussagen müssen dann aber auch mit ausreichend belastbaren Aktionen und Informationen hinterlegt sein. Das Ziel muss sein, entschlossen, sicher und eindeutig aufzutreten. Daher müssen kommunizierte Informationen ebenfalls gesichert sein. Vermutungen und Konjunktive sind zu vermeiden – sie liefern nur Anlass für weitere Spekulationen und werden von Dritten oft fälschlicherweise als Tatsachen aufgegriffen.

Dokumentation

Die Arbeit beider Gremien – CMT und CSIRT – ist zu dokumentieren. Denn später werden verschiedene Stakeholder wie Cyber-Versicherer, Wirtschaftsprüfer oder Datenschutzbehörden diese Dokumentation anfordern. Selbst wenn das CMT keinen direkten gesetzlichen Berichts- oder Informationspflichten unterliegen sollte, kann man aus allgemeinen Sorgfaltspflichten sehr wohl Anforderungen an die Dokumentation ableiten. Sie dient darüber hinaus auch als Basis für eine Nachbereitung im Rahmen eines „Lessons-Learned“-Meetings nach Beendigung der Krise.

Die Dokumentation sollte aus drei Teilen bestehen:

  • Personenliste (Name, Firma, Position/Aufgabe)
  • Fallbeschreibung (fortgeführt)
  • chronologisches Protokoll der Arbeit des CMT und CSIRT

An „heißen“ Tagen erzeugt das CMT 20–40 Einträge für das Protokoll, das CSIRT 15–30. Insgesamt kann ein Protokoll eines Krisenfalles schnell 400 Einträge beziehungsweise einen Umfang von 50–60 Seiten erlangen.

Beenden des Krisenmodus

Eine Krisenorganisation ist nur temporär und muss so bald wie möglich wieder in die normale Aufbauorganisation überführt werden. Nach etwa zwei bis drei Wochen bestimmt der Leiter des CMT einen Nachfolger (z. B. den bisherigen Moderator).

Danach zieht sich das Top-Management sukzessive aus dem CMT zurück und lässt sich von fortan vom neuen Leiter berichten. In einem nächsten Schritt wird das CMT als regelmäßiges Gremium beendet und in den Ad-hoc-Modus versetzt. Nach der förmlichen Beendigung der Krise – durch einen letzten und offiziellen Eintrag im Protokoll – werden jeweils Lessons-Learned-Veranstaltungen für alle Krisenorganisationen (CMT, LCMT, CSIRT/IT-Notfallstab) durchgeführt.

Das CSIRT benötigt man allerdings länger als das CMT: Peu à peu wird die Infrastruktur wieder in den Normalbetrieb überführt. In manchen Organisationen geht das CSIRT einfach in ein IT-Betriebsmeeting über – andere Unternehmen dünnen die Teilnehmerdecke des CSIRT zunehmend aus.

Der Krisenmodus ist für alle Seiten anstrengend. Ein klar definierter Abschluss – ein „Freedom-Day“ – ist daher ein gutes und wichtiges Signal. Dieser Schlusspunkt sollte ähnlich einem Projektabschluss auch zelebriert werden. Für Mitarbeiter, die in einer Krisenzeit mit Überstunden und außerordentlichem Engagement für die Firma gearbeitet haben, sollte man überdies eine Gratifikation ausloben.

Dipl.-Inf. Florian Oelmaier ist Prokurist und Leiter IT-Sicherheit & Computerkriminalität, IT-Krisenmanagement bei der  Corporate Trust Business Risk & Crisis Management GmbH.

 Literatur

  1. Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe, Krisenfall Ransomware, Strategien für Wiederaufbau, Forensik und Kommunikation, Springer Vieweg „Edition <kes>“, Wiesbaden, September 2023, E-Book-ISBN 978-3-658-41614-0, Softcover-ISBN 978-3-658-41613-3, (https://link.springer.com/book/10.1007/978-3-658-41614-0) (kostenpflichtig)
  2. Institute for Public Relations, Crisis Management and Communications, Oktober 2007, (https://instituteforpr.org/crisis-management-and-communications/)
  3. W. Timothy Coombs, State of Crisis Communication: Evidence and the Bleeding Edge, in: Research Journal of the Institute for Public Relations, Vol. 1 No. 1, Sommer 2014, (https://instituteforpr.org/wpcontent/uploads/CoombsFinalWES.pdf)
  4. W. Timothy Coombs, Protecting Organization Reputations During a Crisis: The Development and Application of Situational Crisis Communication Theory, in: Corporate Reputation Review Volume 10, S. 163, September 2007, (https://link.springer.com/article/10.1057/palgrave.crr.1550049)
  5. Florian Oelmaier, DEFCON 2 – Alarmstufe Orange?, Notfall- und Alarm-Zustände für die Informations-Sicherheit, <kes> 2021#6, S. 12

Diesen Beitrag teilen: