IT-Security richtig kommunizieren Die Rolle der Kommunikation in der IT-Sicherheit

Anbieter zum Thema

FTAPI Software GmbH

Mimecast Germany GmbH

Felix Schönherr Sprache fürs Geschäft

IT-Sicherheitsvorfälle stellen nicht nur Security-Experten vor große Herausforderungen, sondern betreffen stets die gesamte Organisation. Zur technischen Lösungsebene gesellt sich im Ernstfall die kommunikative: Wer muss wann wie worüber informiert werden? Wie lässt sich die Gefahr des Reputationsverlusts minimieren? Hierüber entscheidet neben einer guten Vorbereitung auch die Durchführung der Krisenkommunikation.

Ein schwerwiegender Cybervorfall setzt Organisationen unter Stress: Reguläres Arbeiten ist durch technische Ausfälle nicht mehr (oder nur noch teilweise) möglich; Informationen über die Ursachen und die Tragweite des Vorfalls sind zunächst nicht vorhanden; Hierarchien und Prozessabläufe sind nicht mehr verlässlich, da die Aufgabenverteilung angesichts einer bisher unbekannten Situation neu erfolgen muss; und so fort.

Wenn Menschen mit einer unbekannten und dazu noch gefährlichen Lage konfrontiert werden, reagieren sie emotional. Das Aufkommen von Panik ist daher keine Seltenheit, und aus einer falschen Reaktion auf die Krise können vergleichbar schlimme Folgen resultieren wie aus der Krise an sich. Auch solche Folgen gilt es, mit der technischen Ebene mitzudenken – denn schließlich sitzen an den Rechnern nach wie vor Menschen aus Fleisch und Blut, die entsprechend agieren und reagieren. Diesen „Nebeneffekten“ einer IT- und Kommunikationskrise lässt sich mit entsprechender Planung und Schulung vorbeugen.

Sich bereits im Vorfeld mit einer möglichen Cyber-Krise zu befassen, kommt keineswegs einem „Eingeständnis“ von schwacher IT-Sicherheit gleich. Sie hilft vielmehr dabei – selbst wenn der Ernstfall nie eintritt – möglichen Szenarien vorzubeugen, aber auch die Auswirkungen von Risiken auf Stakeholder besser zu verstehen. So wären bei einem DDoS-Angriff auf ein E-Commerce-Frontend vor allem der Umsatz betroffen, während ein Daten-Leak sowohl die Kunden (welche laut DSGVO informiert werden müssen) und die Behörden auf den Plan ruft. Ein prophylaktisches Krisenmanagement macht sichtbar, welche internen und externen Kommunikationskanäle bereits funktional sind und welche gegebenenfalls noch ausgebaut werden sollten.

Jedes IT-Organisation sollte einen Plan für die Krisenkommunikation haben

Eine Planung für die Krisenkommunikation ist zwar noch keine Garantie für richtiges Handeln im Ernstfall, aber sorgt zumindest dafür, dass bei den Beteiligten die Emotionen weniger hochkochen und sie die ersten Schritte ohne Zeitverzögerung ausführen können. Die Literatur unterscheidet vier Phasen der Krisenbehandlung: 1. Vorsorge, 2. Vorbereitung, 3. Krisenbewältigung, 4. Nachbereitung. Die ersten beiden Phasen finden im Normalzustand statt, die dritte währenddessen und die vierte danach.

Vorsorge und Vorbereitung lassen sich im technischen Bereich beispielsweise mit Vulnerability-Analysen oder Penetrationstests in Verbindung bringen. Zur kommunikativen Seite gehören hingegen Maßnahmen wie das Erstellen eines Kommunikationsleitfadens, einer Notfall-Liste mit Kontaktdaten, aber auch der Aufbau und die Pflege von funktionierenden Kommunikationskanälen mit den relevanten Stakeholdern. Häufig wird diese Tätigkeit aufgrund anderer Bereiche nachrangig priorisiert – die Folgen im Ernstfall können dann allerdings umso größer sein.

Am Ende gilt jedoch auch, dass ein Plan immer nur eine Abstraktion der Wirklichkeit darstellt, die mit der Realität eines Vorfalls nicht immer korrespondiert. „Kein Kriegsplan überlebt den ersten Zusammenstoß mit dem Feind“, schrieb einst Clausewitz und dies gilt im übertragenen Sinn auch für Krisenpläne. In der realen Situation gilt es dann, die Teile des Plans beizubehalten, die aufgehen; und diejenigen Teile des Plans zu ändern, die nicht funktionieren bzw. auf falschen Annahmen beruhen.

Sollte ein technisches Risk Assessment in Bezug auf Cyber-Sicherheit bereits vorhanden sein, ist dieses ein guter Ausgangspunkt für die kommunikative Krisenplanung. Wie bereits erwähnt, sind je nach Typ eines Cyber-Angriffs unterschiedliche Interessen und Stakeholder betroffen, sodass sich auch die Kommunikationsstrategie darauf einstellen sollte.

Allerdings ist zu beachten, dass technische und kommunikative Risiken durchaus auseinanderlaufen können. Beispielsweise sind nach einem Datenvorfall die IT-Systeme möglicherweise nach wie vor intakt, weil die Cyber-Kriminellen „nur“ die Daten gestohlen haben, ohne die Funktionsfähigkeit zu stören. Allerdings sind die Konsequenzen enorm, welche durch den Reputationsverlust und das juristische Nachspiel entstehen. Sie ziehen neben der Forensik auch einen hohen Kommunikationsaufwand nach sich.

Methoden und Werkzeuge für einen sachgerechten Umgang mit Kommunikationskrisen

Um in der Phase der Krisenbewältigung weiterhin handlungsfähig zu bleiben, sollten die entsprechenden Werkzeuge im Vorfeld bereitgestellt werden. Eine Basis-Ausstattung der Vorbereitung könnte wie folgt aussehen (wobei sich natürlich noch viele weitere Punkte ergänzen ließen):

Krisen-Organigramm und „War Room“: Beim Eintreten eines IT-Vorfalls besteht zunächst Unklarheit darüber, wer die Verantwortung über das Krisenmanagement innehat. Verschiedene Fachbereiche müssen weiterhin für eine Lösung zusammenarbeiten (z.B. die IT-Abteilung bei der Behebung des technischen Problems, Marketing bei der Krisenkommunikation), gleichzeitig braucht es Führung. Um die Rollen und Verantwortlichkeiten im Vorab zu klären – denn im Krisenfall können sie voneinander abweichen – empfiehlt sich ein Krisen-Organigramm, das Ressourcen und Verantwortlichkeitsbereiche festlegt. Hierdurch lässt sich vermeiden, dass Konflikte in der Hierarchie und Organisationsstruktur entstehen, die einer schnellen Problemlösung im Weg stehen. Sehr wichtig ist im Krisenfall auch die enge Abstimmung zwischen den Verantwortlichen. Hierfür sollte ein Kommunikationsraum vorbereitet werden, in dem sie sich zusammenfinden. Dies kann neben einem physischen Raum auch ein digitales Collaboration-Werkzeug bewerkstelligen, in dem alle relevanten Informationen aggregiert werden und für den schnellen Zugriff bereitstehen.

Stakeholder-Analyse und -Kommunikation: Sehr wichtig für eine gelungene Krisenkommunikation ist eine Antwort auf die Frage: Mit wem kommuniziere ich und welche Botschaft kommt dabei zum Tragen? Damit die Krisenbewältigung gelingt, ist nicht nur eine reaktive, sondern auch proaktive Kommunikation erforderlich. Daher sollte schon im Vorfeld eine genaue Analyse der möglicherweise betroffenen Stakeholder erfolgen. Auf Basis dieser Analyse lassen sich dann Kommunikationskanäle einrichten oder zumindest vorbereiten, die im Ernstfall bereitstehen.

Textbausteine und „Dark Site(s)“: Wenn die „Hütte brennt“ sind lange Freigabeschleifen für Kommunikationsmaßnahmen nicht denkbar. Deshalb sollten je nach den zu erwartenden Vorfällen und betroffenen Stakeholdern Sprachregelungen vorliegen, die ein schnelles Reagieren ermöglichen. Selbstverständlich werden diese auf den aktuellen Informationsstand hin angepasst. Die sogenannte „Dark Site“ ist eine Webseite, die bereits vorformatiert ist und sich rasch live schalten lässt. Hier können Betroffene und Interessenten alle Informationen abrufen, die das Unternehmen aktuell zum Stand der Krise herausgibt. Die Webseite schafft für die Öffentlichkeit und hilft dabei, die Kommunikationskontrolle über das Krisenthema zu behalten.

Sensibilisierung und Trainings für die Belegschaft: Neben der Strategie für externe Krisenkommunikation braucht es auch interne Verhaltens- und Kommunikationsregeln für Mitarbeiter in einer Krisensituation. Zum Beispiel könnte es sich um den Anruf eines neugierigen Journalisten oder verärgerten Kunden handeln, die einen Cyber-Vorfall schildern. Oder auch den Ausfall des Endgeräts, mit dem ein Mitarbeiter arbeitet. In solchen Fällen sollten Mitarbeiter wissen, wie sie am besten reagieren. Die in Schulungen vermittelten Inhalte lassen sich auch in der Praxis eintrainieren. Jeder kennt aus der Schulzeit noch den Probe-Feueralarm, der in regelmäßigen Abständen durchgeführt wurde. Ähnliche unangekündigte Simulationen können ein sinnvolles Mittel sein, um Mitarbeiter auch auf die Kommunikationsrisiken hin zu sensibilisieren.

Über den Autor:Felix Schönherr ist freier Redakteur und Kommunikationsberater. Er befasst sich schwerpunktmäßig mit IT-Themen und arbeitet derzeit an seinem ersten Fachbuch mit dem Titel „IT-Sicherheit richtig kommunizieren“.

(ID:46654716)