:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security richtig kommunizieren Die Rolle der Kommunikation in der IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
IT-Sicherheitsvorfälle stellen nicht nur Security-Experten vor große Herausforderungen, sondern betreffen stets die gesamte Organisation. Zur technischen Lösungsebene gesellt sich im Ernstfall die kommunikative: Wer muss wann wie worüber informiert werden? Wie lässt sich die Gefahr des Reputationsverlusts minimieren? Hierüber entscheidet neben einer guten Vorbereitung auch die Durchführung der Krisenkommunikation.
Ein schwerwiegender Cybervorfall setzt Organisationen unter Stress: Reguläres Arbeiten ist durch technische Ausfälle nicht mehr (oder nur noch teilweise) möglich; Informationen über die Ursachen und die Tragweite des Vorfalls sind zunächst nicht vorhanden; Hierarchien und Prozessabläufe sind nicht mehr verlässlich, da die Aufgabenverteilung angesichts einer bisher unbekannten Situation neu erfolgen muss; und so fort.
Wenn Menschen mit einer unbekannten und dazu noch gefährlichen Lage konfrontiert werden, reagieren sie emotional. Das Aufkommen von Panik ist daher keine Seltenheit, und aus einer falschen Reaktion auf die Krise können vergleichbar schlimme Folgen resultieren wie aus der Krise an sich. Auch solche Folgen gilt es, mit der technischen Ebene mitzudenken – denn schließlich sitzen an den Rechnern nach wie vor Menschen aus Fleisch und Blut, die entsprechend agieren und reagieren. Diesen „Nebeneffekten“ einer IT- und Kommunikationskrise lässt sich mit entsprechender Planung und Schulung vorbeugen.
Sich bereits im Vorfeld mit einer möglichen Cyber-Krise zu befassen, kommt keineswegs einem „Eingeständnis“ von schwacher IT-Sicherheit gleich. Sie hilft vielmehr dabei – selbst wenn der Ernstfall nie eintritt – möglichen Szenarien vorzubeugen, aber auch die Auswirkungen von Risiken auf Stakeholder besser zu verstehen. So wären bei einem DDoS-Angriff auf ein E-Commerce-Frontend vor allem der Umsatz betroffen, während ein Daten-Leak sowohl die Kunden (welche laut DSGVO informiert werden müssen) und die Behörden auf den Plan ruft. Ein prophylaktisches Krisenmanagement macht sichtbar, welche internen und externen Kommunikationskanäle bereits funktional sind und welche gegebenenfalls noch ausgebaut werden sollten.
Jedes IT-Organisation sollte einen Plan für die Krisenkommunikation haben
Eine Planung für die Krisenkommunikation ist zwar noch keine Garantie für richtiges Handeln im Ernstfall, aber sorgt zumindest dafür, dass bei den Beteiligten die Emotionen weniger hochkochen und sie die ersten Schritte ohne Zeitverzögerung ausführen können. Die Literatur unterscheidet vier Phasen der Krisenbehandlung: 1. Vorsorge, 2. Vorbereitung, 3. Krisenbewältigung, 4. Nachbereitung. Die ersten beiden Phasen finden im Normalzustand statt, die dritte währenddessen und die vierte danach.
Vorsorge und Vorbereitung lassen sich im technischen Bereich beispielsweise mit Vulnerability-Analysen oder Penetrationstests in Verbindung bringen. Zur kommunikativen Seite gehören hingegen Maßnahmen wie das Erstellen eines Kommunikationsleitfadens, einer Notfall-Liste mit Kontaktdaten, aber auch der Aufbau und die Pflege von funktionierenden Kommunikationskanälen mit den relevanten Stakeholdern. Häufig wird diese Tätigkeit aufgrund anderer Bereiche nachrangig priorisiert – die Folgen im Ernstfall können dann allerdings umso größer sein.
Am Ende gilt jedoch auch, dass ein Plan immer nur eine Abstraktion der Wirklichkeit darstellt, die mit der Realität eines Vorfalls nicht immer korrespondiert. „Kein Kriegsplan überlebt den ersten Zusammenstoß mit dem Feind“, schrieb einst Clausewitz und dies gilt im übertragenen Sinn auch für Krisenpläne. In der realen Situation gilt es dann, die Teile des Plans beizubehalten, die aufgehen; und diejenigen Teile des Plans zu ändern, die nicht funktionieren bzw. auf falschen Annahmen beruhen.
Sollte ein technisches Risk Assessment in Bezug auf Cyber-Sicherheit bereits vorhanden sein, ist dieses ein guter Ausgangspunkt für die kommunikative Krisenplanung. Wie bereits erwähnt, sind je nach Typ eines Cyber-Angriffs unterschiedliche Interessen und Stakeholder betroffen, sodass sich auch die Kommunikationsstrategie darauf einstellen sollte.
Allerdings ist zu beachten, dass technische und kommunikative Risiken durchaus auseinanderlaufen können. Beispielsweise sind nach einem Datenvorfall die IT-Systeme möglicherweise nach wie vor intakt, weil die Cyber-Kriminellen „nur“ die Daten gestohlen haben, ohne die Funktionsfähigkeit zu stören. Allerdings sind die Konsequenzen enorm, welche durch den Reputationsverlust und das juristische Nachspiel entstehen. Sie ziehen neben der Forensik auch einen hohen Kommunikationsaufwand nach sich.
Methoden und Werkzeuge für einen sachgerechten Umgang mit Kommunikationskrisen
Um in der Phase der Krisenbewältigung weiterhin handlungsfähig zu bleiben, sollten die entsprechenden Werkzeuge im Vorfeld bereitgestellt werden. Eine Basis-Ausstattung der Vorbereitung könnte wie folgt aussehen (wobei sich natürlich noch viele weitere Punkte ergänzen ließen):
Krisen-Organigramm und „War Room“: Beim Eintreten eines IT-Vorfalls besteht zunächst Unklarheit darüber, wer die Verantwortung über das Krisenmanagement innehat. Verschiedene Fachbereiche müssen weiterhin für eine Lösung zusammenarbeiten (z.B. die IT-Abteilung bei der Behebung des technischen Problems, Marketing bei der Krisenkommunikation), gleichzeitig braucht es Führung. Um die Rollen und Verantwortlichkeiten im Vorab zu klären – denn im Krisenfall können sie voneinander abweichen – empfiehlt sich ein Krisen-Organigramm, das Ressourcen und Verantwortlichkeitsbereiche festlegt. Hierdurch lässt sich vermeiden, dass Konflikte in der Hierarchie und Organisationsstruktur entstehen, die einer schnellen Problemlösung im Weg stehen. Sehr wichtig ist im Krisenfall auch die enge Abstimmung zwischen den Verantwortlichen. Hierfür sollte ein Kommunikationsraum vorbereitet werden, in dem sie sich zusammenfinden. Dies kann neben einem physischen Raum auch ein digitales Collaboration-Werkzeug bewerkstelligen, in dem alle relevanten Informationen aggregiert werden und für den schnellen Zugriff bereitstehen.
Stakeholder-Analyse und -Kommunikation: Sehr wichtig für eine gelungene Krisenkommunikation ist eine Antwort auf die Frage: Mit wem kommuniziere ich und welche Botschaft kommt dabei zum Tragen? Damit die Krisenbewältigung gelingt, ist nicht nur eine reaktive, sondern auch proaktive Kommunikation erforderlich. Daher sollte schon im Vorfeld eine genaue Analyse der möglicherweise betroffenen Stakeholder erfolgen. Auf Basis dieser Analyse lassen sich dann Kommunikationskanäle einrichten oder zumindest vorbereiten, die im Ernstfall bereitstehen.
Textbausteine und „Dark Site(s)“: Wenn die „Hütte brennt“ sind lange Freigabeschleifen für Kommunikationsmaßnahmen nicht denkbar. Deshalb sollten je nach den zu erwartenden Vorfällen und betroffenen Stakeholdern Sprachregelungen vorliegen, die ein schnelles Reagieren ermöglichen. Selbstverständlich werden diese auf den aktuellen Informationsstand hin angepasst. Die sogenannte „Dark Site“ ist eine Webseite, die bereits vorformatiert ist und sich rasch live schalten lässt. Hier können Betroffene und Interessenten alle Informationen abrufen, die das Unternehmen aktuell zum Stand der Krise herausgibt. Die Webseite schafft für die Öffentlichkeit und hilft dabei, die Kommunikationskontrolle über das Krisenthema zu behalten.
Sensibilisierung und Trainings für die Belegschaft: Neben der Strategie für externe Krisenkommunikation braucht es auch interne Verhaltens- und Kommunikationsregeln für Mitarbeiter in einer Krisensituation. Zum Beispiel könnte es sich um den Anruf eines neugierigen Journalisten oder verärgerten Kunden handeln, die einen Cyber-Vorfall schildern. Oder auch den Ausfall des Endgeräts, mit dem ein Mitarbeiter arbeitet. In solchen Fällen sollten Mitarbeiter wissen, wie sie am besten reagieren. Die in Schulungen vermittelten Inhalte lassen sich auch in der Praxis eintrainieren. Jeder kennt aus der Schulzeit noch den Probe-Feueralarm, der in regelmäßigen Abständen durchgeführt wurde. Ähnliche unangekündigte Simulationen können ein sinnvolles Mittel sein, um Mitarbeiter auch auf die Kommunikationsrisiken hin zu sensibilisieren.
Über den Autor:Felix Schönherr ist freier Redakteur und Kommunikationsberater. Er befasst sich schwerpunktmäßig mit IT-Themen und arbeitet derzeit an seinem ersten Fachbuch mit dem Titel „IT-Sicherheit richtig kommunizieren“.
(ID:46654716)
:quality(80)/images.vogel.de/vogelonline/bdb/1882800/1882821/original.jpg "Mit der stetig steigenden Zahl von Sicherheitsbedrohungen und -vorfällen steigt auch die Notwendigkeit bei Unternehmen und Organisationen, die eigenen Informationen zu schützen. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937673/original.jpg "Smart Cities gehört die Zukunft, aber wird eines der kritischen Systeme kompromittiert, kann das gravierende Auswirkungen auf den Datenschutz und die Datensicherheit der Bürger haben. (SasinParaksa - stock.adobe.com)")