Veröffentlicht am von Sebastian Brück

IT-Krisenmanagement mit reduzierten Ressourcen

Dieses Whitepaper baut auf den „Schnelleinstieg IT-Krisenmanagement“ auf und bricht diesen nochmals auf die relevantesten Rollen und Ressourcen für eine kurzfristige Reaktion auf Cyber-Sicherheitsvorfälle herunter. Das Dokument befasst sich ausschließlich mit der spontanen Bildung eines reduzierten Ad-hoc-Teams zur Bewältigung von Cyber-Sicherheitsvorfällen und setzte voraus, dass die Institution nur geringste Ressourcen für die Bewältigung zur Verfügung stellen kann.

Als PDF abrufen

Cyber-Sicherheitsvorfälle sind potenziell dazu geeignet, den Fortbestand Ihrer Institution zu gefährden.
Sie sollten der Bewältigung des bestehenden Cyber-Sicherheitsvorfalls eine entsprechend hohe Bedeutung beimessen und diese ebenenübergreifend kommunizieren.

Generalisten und Spezialisten

Die begrenzten Ressourcen machen eine klare Aufgabenabgrenzung und Aufgabenzuweisung dringend erforderlich. Unterscheiden Sie daher stets zwischen Generalisten zur Erledigung generalistischer Aufgaben sowie Spezialisten für die Erledigung spezieller Aufgaben.
Für die Reaktion auf Cyber-Sicherheitsvorfälle bedeutet das:

  • IT-Fachpersonal / IT-Spezialisten sollten ausschließlich mit der Lösung technischer Probleme befasst werden und keinerlei generalistische Aufgaben wahrnehmen (z. B. Dokumentation, etc.).
  • Generalistische Aufgaben (bspw. Dokumentation, etc.) können durch fachfremdes Personal durchgeführt werden.

Ressourcen

Die Bewältigung von Cyber-Sicherheitsvorfällen erfordert sie Bereitstellung von geeigneten Ressourcen. Diese sind innerhalb eines bestehenden Cyber-Sicherheitsvorfalls ad-hoc schwer zu beschaffen. Im Folgenden werden daher minimale Ressourcen beschrieben, die sofern möglich erweitert und lagebezogen angepasst werden sollten. Da die einzusetzenden Ressourcen spezifisch an die betroffene Institution anzupassen sind, können hier nur generische Anforderungen beschrieben werden. Letztlich ist individuell und fortlaufend zu pürfen, welche Ressourcen für die Bewältigung erforderlich sind.

Mitglieder des Ad-hoc-Teams

Für die Ressource „Personal“ werden im Folgenden Rollen beschrieben, die durch geeignete Personen institutionsintern zu besetzen sind. Es wird dringend davon abgeraten diese Rollen (sofern sie nicht explizit gekennzeichnet sind) durch externe Personen zu besetzen.

Es ist davon auszugehen, dass Personen aufgrund der reduzierten Ressourcen mehrere Rollen einnehmen müssen. Aus diesem Grund wurden die Rollen so zusammengestellt (Hintergrundfarbe), dass diese – wenn nötig – in Personalunion wahrgenommen werden können.
Die den Rollen zugewiesenen Aufgaben- / Themenbereiche sind – mit Hinblick auf die reduzierten Ressourcen – stark verkürzt dargestellt. Weiterführende Informationen sind dem Dokument Schnelleinstieg IT-Krisenmanagement sowie diversen weiteren Publikationen zu entnehmen.

Leitung (des Ad-hoc-Teams)

Die Rolle „Leitung“ hat die Gesamtverantwortung für die Bewältigung des Cyber-Sicherheitsvorfalls inne. Sie agiert nach den Grundprinzipien der Institution und sollte der obersten Führungs- / Leitungsfunktion der Institution (bspw. der/dem GeschäftsführerIn) direkt unterstellt sein.
Weiterhin ist die Rolle „Leitung“ u. a. für folgende Themen verantwortlich:

  • Personelle Besetzung des ad-hoc-Teams und Einbindung eigener, fachspezifischer Mitarbeiter sowie von externen Beratern
  • Zielvorgaben und Prioritätenbildung
  • Aufgabenzuweisung und Auftragserteilung
  • Durchführung und Leitung entscheidungsfindender Prozesse
  • Abstimmung des Finanzrahmens

Hauptgeschäftsfeld

Die Rolle „Hauptgeschäftsfeld“ bildet die kritischen Kernprozesse der Institution ab.

Die Rolle sollte umfangreiches Wissen über die kritischer Geschäftsprozesse haben und deren Verkettung innerhalb der Institution sowie die externen Schnittstellen kennen. Weiterhin obliegt dieser Rolle die Bewertung der Auswirkungen des Cyber-Sicherheitsvorfalls und die in diesem Zusammenhang geplanten und durchgeführten Maßnahmen auf die kritischen Prozesse auf Managementebene.

Lage

Die Rolle „Lage“ ist der zentrale Ansprechpartner für alle Lageinformationen. Sie sollte durch Personen mit weitrechenden allgemeinen Kenntnissen zur Institution und hohem Organisationsvermögen besetzt werden.
Es wird angeraten diese Rolle in Abhängigkeit des vorliegenden Cyber-Sicherheitsvorfalls mit mehr als einer Person zu besetzen.

Zu den zentralen Aufgaben der Rolle gehören:

  • Aktive Beschaffung von Informationen
  • Auswertung und Bewertung von Informationen
  • Darstelung relevanter Informationen (siehe auch Visualisierung)
  • Visualisierung in grafische und schriftlicher Form
  • Darstellung von Problemen und Prioritäten
  • geplante, eingeleitet und durchgeführte Maßnahmen mit Fristen und Verantwortlichkeiten
  • Übersicht wichtiger Termine (z. B. nächste Besprechung des Ad-hoc-Teams, geplante Medieninformation, Besprechung der Leitung mit der / dem obersten VertreterIn der Institution)
  • Zeitstrahl
  • Vorbereitung und Durchführung von Lagevorträgen und Besprechungen
  • Sicherstellung des Informationsflusses in das Ad-hoc-Team und aus dem Ad-hoc-Team heraus sowie innerhalb des Ad-hoc-Teams
  • Erstellung von Berichten (inkl. Abschlussbericht)
  • Prognose

Dokumentation

Die Rolle „Dokumentation“ befasst sich mit der (möglichst gerichtsfesten) Dokumentation der Vorgänge im Rahmen der Bewältigung. Dabei handelt es sich nicht um eine lückenlose Aufzeichnung sämtlicher Vorgänge sondern um eine tabellarische Auflistung relevanter Informationen mit Zeitstempel. Die folgenden Punkte sollen einen Hinweis darauf geben, welche Inhalte dokumentationswürdig sind:

  • Entscheidungen des Ad-hoc-Teams und der obersten Führungs- / Leitungsfunktion mit der Entscheidungsfindung
  • Auf Basis welcher vorliegenden Informationen wurde die Entscheidung durch wen getroffen?
  • hervorgebrachte Einwände gegen eine Entscheidung sind kenntlich zu machen
  • relevante Lageinformationen , ggf. als Verweis auf die Originalinformation (z. B. E-Mail, Fax, etc.)
  • Originalinformationen (z. B. E-Mail, Fax, etc.) sind der Dokumentation am Ende beizufügen
  • Besprechungen des Ad-hoc-Teams

Informationstechnik

Die Rolle „Informationstechnik“ sollte durch die / den oberste / -n VertreterIn der Institution auf dem Gebiet der Informationstechnik besetzt werden (z. B. CISO, IT-Leiter). Die Rolle sollte umfassende strategische Kenntnisse über die eingesetzte Informationstechnik haben und in der Lage sein, technische Sachverhalte allgemeinverständlich darzustellen.

Die Rolle berät den Leiter des Ad-hoc-Teams in allen Fragestellungen im Themenkomplex der Informationstechnik sowie zu deren Schnittstellen und bedient sich dazu der fachspezifischen Mitarbeiter aus der / den Organisationseinheit / -en der Institution.

Sofern die Informationstechnik durch einen Dienstleister als Service erbracht wird, ist ein Vertreter des Dienstleisters geeignet in das Ad-hoc-Team zu integrieren.
Sollten die Service Level Agreements zur Dienstleistung keine entsprechenden Regelungen beinhalten, sind kurzfristige Absprachen mit dem Dienstleister zu treffen. Sofern die Institution selbst und/oder der Dienstleister kein geeignetes Personal zur Verfügung stellen kann, wird auf die Dienstleistungen der freien Wirtschaft zur Unterstützung bei Cyber-Sicherheitsvorfällen verwiesen.

Mögliche Suchbegriffe für eine Recherche im Internet:
„cyber“ + „incident“ + „response“ + „service“

Personal

Die Rolle „Personal“ ist der zentrale Ansprechpartner für alle personellen Fragestellungen. Sie sollte unbedingt durch Personen besetzt werden, deren Betätigungsfeld im Bereich des Personalmanagements liegt.

Zu den zentralen Aufgaben der Rolle gehören:

  • Beschaffung personeller Ressourcen im Zusammenhang mit Bewältigung von Cyber-Sicherheitsvorfällen
  • Erfassung von Anwesenheitszeitung und Überführung der erfassten Daten in die Personalabrechnung
  • Überwachung der Arbeitszeiten hinsichtlich einer drohenden Überlastung (in enger Abstimmung mit der Leitungsfunktion)
  • Unterstützung der internen Kommunikation durch die Kommunikatoren (siehe Rolle „Kommunikation“)

Interne Kommunikation

Die Rolle „Kommunikation“ ist für die interne wie externe Kommunikation verantwortlich und sollte – sofern möglich – durch eine kommunikationserfahrene Person (z. B. Pressesprecher*in) besetzt werden. Neben der externen Kommunikation über die Medien ist die interne Kommunikation mit den MitarbeiterInnen der Institution zentrale Aufgabe dieser Rolle. Zur Unterstützung bedient sich die Rolle der fachspezifischen Mitarbeiter aus der / den Organisationseinheit / -en der Institution.
Lesen Sie dazu auch die Ausführen zum Theme Kommunikation am Ende des Whitepapers.

Folgende Aufgaben werden der Rolle zugeschrieben (nicht abschließend):

  • Vorbereitung der Mitarbeiterinformationen
  • Vorbereitung der Kundeninformationen
  • Vorbereitung der Medieninformationen
  • Abstimmung der Informationen mit der Leitung des Ad-hoc-Teams
  • Medienbeobachtung (digital und Printmedien, Social Media, etc.) und Auswertung
  • geeignete Veröffentlichung der abgestimmten und freigegebenen Informationen (z. B. Intranet, Internet, Kunden-Newsletter, Social Media, etc.)

Material

Büroausstattung

Wie im Kapitel „Durchführung“beschrieben, besteht die Tätigkeit im Ad-hoc-Team aus einem Wechsel von Arbeits- und Beratungsphasen. Die Arbeitsphasen finden – außer für die Rollen „Dokumentation“ und „Lage“ – an den regulären Arbeitsplätzen der Alltagsorganisation (sofern diese zur Verfügung stehen) statt. Dort ist i. d. R. die gängige Büroausstattung vorhanden. Für die Rollen „Dokumentation“ und „Lage“, sowie für die Beratungsphasen des Ad-hoc-Teams und die Arbeit des Assistenz-Teams sollte jedoch Büroausstattung vorgehalten bzw. kurzfristig beschafft werden.

Visualisierung

Die Visualisierung lagerelevanter Informationen ist stark vom jeweiligen Cyber-Sicherheitsvorfall abhängig. Es wird jedoch empfohlen die Darstellung dahingehend zu schematisieren, dass diese sowohl alle relevanten Informationen geeignet darstellt, als auch für die Moderation des Lagevrotrags durch die Rolle „Lage“ geeignet ist.

Die folgenden Inhalte sollten in jedem Fall dargestellt werden:

  • Zeitpunkt des Cyber-Sicherheitsvorfalls
  • Zeitpunkt der nächsten Besprechung des Ad-hoc-Teams
  • Probleme und Priorisierung der Probleme (durch die Leitung)
  • Zeitstrahl zur Darstellung des zeitlichen Verlaufs des Cyber-Sicherheitsvorfalls sowie zukünftiger Termine und deren Abhängigkeiten zueinander

Infrastruktur

Besprechungsraum

Dem Ad-hoc-Team sollte für die Besprechungen (Beratungsphasen) ein geeigneter Besprechungsraum exklusiv zur Verfügung stehen. Dieser sollte dazu geeignet sein, die Mitglieder des Ad-hoc-Teams in einer produktiven Atmosphäre aufzunehmen und eine Visualisierung zu ermöglichen. Zudem sollte er über einen Anschluss an die EDV (sofern nicht durch den Cyber-Sicherheitsvorfall nachhaltig geschädigt) sowie ein Telefon vefügen.

Durchführung

Führungsrhythmus

Die Tätigkeit des Ad-hoc-Teams besteht aus einem Wechsel von Arbeits- und Beratungsphasen. Diese Phasen sollte lagebezogen angepasst werden. Sofern keine relevanten Gründen dagegen sprechen sollten Besprechungen im Rhythmus von ca. 3 Stunden (innerhalb der Regelarbeitszeit) durchgeführt werden. Die Besprechungen sollten die Dauer von 30 Minuten nicht übersteigen.

Beratungsphase

Die Beratungsphasen werden durch die Rolle „Leitung“ lagebezogen terminiert und durch die Rolle „Lage“ durchgeführt bzw. moderiert. Die Durchführung sollte strukturiert und immer nach dem gleichen Schema erfolgen.
Dazu bietet sich das FOR-DEC Schema an, welches im Folgenden anhand von Leitfragen dargestellt ist:

  • Welche Situation liegt aktuell vor?
  • Vortrag der allgemeinen Informationen durch die Rolle „Lage“
  • Situationsanalyse und Faktensammlung
  • Beteiligung der anderen Rollen durch Rolle „Lage“ (Moderation)
  • Trennung von Wissen und Unwissen / Vermutung
  • Müssen auf Basis der dargestellten Situation Sofortmaßnahmen (ohne weitere Diskussion / Planung) eingeleitet werden?
  • Welche der bestehenden oder absehbaren Probleme kann mit welchen Handlungsoptionen entgegnet werden?
  • Welche Risiken, chancen und Aufwendungen sind mit den verschiedenen Optionen verbunden?
  • KURZE DENKPAUSE FÜR ALLE – KEINE WORTMELDUNGEN – KEINE DISKUSSION
  • Welche der Handlungsoptionen zu den jeweiligen Problemen wird verfolgt?
  • Eine Option je Problem
  • Option 2 als „Plan B“ festhalten
  • Überprüfung der aktuellen Situation bzgl. der Ausführbarkeit der gewählten Option
  • finale Entscheidung der Rolle „Leitung“
  • Wer macht was bis wann zur Durchführung der ausgewählten Handlungsoptionen?
  • Führen die gewählten Handlungsoptionen zum Ziel?
  • Überprüfung der Zielerreichung und ggf. Korrektur der Maßnahmen
  • Sonstiges
  • Terminierung der nächsten Sitzung

Kommunikation

Mitarbeiterinformation

Die Mitarbeiterinformation sollte stets vor der Medieninformation erfolgen.
Dabei sind Mitarbeiterinnen und Mitarbeiter im Rahmen einer offenen Kommunikation geeignet und zeitgerecht über krisenhafte Situationen zu informieren. Ziel der frühzeitigen Kommunikation ist es, Frustration zu vermeiden und die Mitarbeiterinnen und Mitarbeiter zur Unterstützung zu motivieren.

Die Mitarbeiterinformation sollte den gleichen Grundsätzen wie die Krisenkommunikation folgen. (siehe unten)

Krisenkommunikation

Für Informationen zur Krisenkommunikation verweisen wir auf den Leitfaden Krisenkommunikation (Bundesministerium des Innern für Bau und Heimat).

In jedem Fall muss die Krisenkommunikation folgenden Grundsätzen folgen:

  • sie muss einheitlich, koordiniert, zielgruppenorientiert und kontinuierlich erfolgen,
  • sie muss frühzeitig begonnen und anhaltend durchgeführt werden,
  • sie muss Informationen sachlich, transparent und verständlich darstellen,
  • sie muss der Wahrheit entsprechen sowie
  • bildhaft, einfach, kurz und unkompliziert vermittelt werden.

Die in diesem Whitepaper enthaltenen Informationen erfüllen nicht den Anspruch auf Vollständigkeit. Der Hauptzweck dieses Whitepapers besteht darin, potentiellen Anwendern sachdienliche Informationen zur Verfügung zu stellen, Entscheidungshilfen und Erklärungen zu liefern um das eigenverantwortliche Handeln zu unterstützen.

Für nichtgewerbliche Zwecke sind Vervielfältigung und unentgeltliche Verbreitung, auch auszugsweise, mit folgender Quellenangabe gestattet:
Brück, S. (2020 Mai 19). WHITEPAPER – Schnelleinstieg IT-Krisenmanagement.
https://www.brueck-engineering.com/it-km-mit-reduzierten-ressourcen/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.