Cyber-Sicherheitsvorfälle sind potenziell dazu geeignet, den Fortbestand Ihrer Institution zu gefährden.
Sie sollten der Bewältigung des bestehenden Cyber-Sicherheitsvorfalls eine entsprechend hohe Bedeutung beimessen und diese ebenenübergreifend kommunizieren.

Cyber-Sicherheitsvorfälle die nicht oder nicht vollständig im IT-Notfallmanagement bewältigt werden können, benötigen neben operativ-technischen Bewältigungsmechanismen auch administrativ-organisatorische Bewältigungsmechanismen. Diese werden im Themenkomplex des IT-Krisenmanagements zusammengefasst. Sofern Ihre Institution nicht über etablierte Krisenmanagementstrukturen (ob allgemein oder IT-fachlich) verfügt, gibt Ihnen dieses Dokument im Folgenden Hinweise zur Einrichtung eines Projektteams zur administrativ-organisatorischen Bewältigung von Cyber-Sicherheitsvorfällen.

Hauptmerkmale der administrativ-organisatorischen Bewältigungsmechanismen gegenüber den operativ-technischen Mechanismen sind:

• eine ebenenübergreifende und interdisziplinäre Sichtweise
• die Behandlung strategischer Fragestellungen und Themenfelder
• die Kenntnis kritischer Geschäftsprozesse und deren Bewertung auf Managementebene
• die Steuerung der interne und externe Kommunikation
• die weitreichende Entscheidungs- und Handlungskompetenz

Diese Merkmale (Anforderungen) sollten jederzeit durch ihr Projektteam erfüllt werden und erfordern eine fortlaufende Selbstkontrolle zur Aufrechterhaltung der administrativ-organisatorischen Ausrichtung.

Dieses Whitepaper befasst sich ausschließlich mit der spontanen Bildung eines Projektteams zur Bewältigung von Cyber-Sicherheitsvorfällen außerhalb des IT-Notfallmanagements.

Es sollte nicht zum präventiven Aufbau von Bewältigungsstrukturen herangezogen werden. Wir verweisen dazu auf weitere verfügbare Publikationen – beispielsweise den BSI Standard 100-4 bzw. dessen Nachfolger der im Sommer 2020 erscheinen soll.

Die Rolle des Bundesamtes für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.

Der gesetzliche Auftrag des Bundesamtes im Kontext dieses Dokumentes spiegelt sich in § 3 Abs. 17 BSIG und § 3 Abs. 18 BSIG (konsoliderten Fassung des BSI-Gesetzes) wieder.
Dies umfasst:

• die „Aufgaben nach den §§ 8a bis 8c als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste“ (§ 3 Abs. 17 BSIG) sowie
• die „Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a“ ( § 3 Abs. 18 BSIG).

Sofern die betroffene Institution den Stellen des Bundes, der Länder oder den Kritischen Infrastrukturen im Sinne des BSIG und der BSI-KritisV zuzurechnen ist nutzen Sie bitte die abgestimmten Meldeprozesse sowie das Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz (IT-SiG).
Meldungen weiterer Institutionen nimmt das BSI über die Meldestelle für Cyber-Sicherheit in Deutschland entgegen.

Ressourcen

Die Bewältigung von Cyber-Sicherheitsvorfällen erfordert die Bereitstellung von geeigneten Ressourcen. Diese sind innerhalb eines bestehenden Cyber-Sicherheitsvorfalls ad-hoc schwer zu beschaffen. Im Folgenden werden daher minimale Ressourcen beschrieben, die sofern möglich erweitert und lagebezogen angepasst werden sollten. Da die einzusetzenden Ressourcen spezifisch an die betroffene Institution anzupassen sind, können hier nur generische Anforderungen beschrieben werden. Letztlich ist individuell und fortlaufend zu prüfen, welche Ressourcen für die Bewältigung von Cyber-Sicherheitsvorfällen in der Institution erforderlich sind.

Mitglieder des Projektteams

Für die Ressource „Personal“ werden im Folgenden Rollen beschrieben, die durch geeignete Personen institutionsintern zu besetzen sind. Es wird dringend davon abgeraten diese Rollen (sofern sie nicht explizit dafür gekennzeichnet sind) durch externe Personen zu besetzen.

Die folgende Abbildung zeigt exemplarisch die Zusammensetzung des Projekt- sowie Assistenzteams.

Mit Ausnahme der Rolle „Leitung“ sind alle Rollen in alphabetischer Reihenfolge und ohne Wertung aufgeführt.
Sofern nicht genügend personelle Ressourcen zur Verfügung stehen um alle Rollen zu besetzen, sollten die durch „*“ gekennzeichneten Rollen priorisiert besetzt werden.

Leitung (des Projektteams) *

Die Rolle „Leitung“ hat die Gesamtverantwortung für die Bewältigung des Cyber-Sicherheitsvorfalls inne. Sie agiert nach den Grundprinzipien der Institution und sollte der obersten Führungs- / Leitungsfunktion der Institution (bspw. Geschäftsführer*in) direkt unterstellt sein.
Weiterhin ist die Rolle „Leitung“ u. a. für folgende Themen verantwortlich:

• Gewährleistung des Erfolgs der Bewältigung
• Abstimmung mit / Beratung der obersten Führungs- / Leitungsfunktion
• Personelle Besetzung des Projektteams und Einbindung eigener, fachspezifischer Mitarbeiter sowie von externen Beratern
• Abstimmung des Finanzrahmens
• Vorgaben für die materielle und infrastrukturelle Aussttung des Projektteams
• Vertretung des Projektteams nach innen und außen
• Koordination mit anderen Teams und / oder externen Entscheidungsstrukturen
• Aufgabenzuweisung und Auftragserteilung (Wer macht was bis wann?)
• Zielvorgaben und Prioritätensetzung
• Durchführung und Leitung entscheidungsfindender Prozesse
• Kontrolle der Arbeitsabläufe

Es ist davon abzuraten, dass die oberste Führungs- / Leitungsfunktion der Institution die Leitung des Projektteams selbst übernimmt! Diese nutzt die Beratung des Projektteams zur Vorbereitung von weitreichenden strategischen Entscheidungen und gibt die strategische Ausrichtung der Bewältigung vor, die durch das Projektteam umgesetzt wird.

Notfall- / Business Continuity Manager

Diese Rolle kommt nur dann zum Tragen, wenn die Funktion einer / eines Notfall- und/oder Business Continuity Manager*in bereits in der Institution (in der Alltagsorganisation) besetzt ist.
Sofern Sie über eine / einen Notfall- und/oder Business Continuity Manager*in verfügen ist diese Rolle zwingend in das Projektteam einzubinden, da sie über weitreichende Kenntnisse zur Aufrechterhaltung, dem Wiederanlauf und der Wiederherstellung kritischer Geschäftsprozesse besitzt.

Die Aufgaben der Rolle ergeben sich aus dem Business Continuity Management System ihrer Institution.

Sofern die Institution nicht über eine / einen Notfall- und/oder Business Continuity ManagerIn verfügt, entfällt diese Rolle ersatzlos.

Dokumentation *

Die Rolle „Dokumentation“ befasst sich mit der Dokumentation der Vorgänge im Rahmen der Bewältigung. Dabei handelt es sich nicht um eine lückenlose Aufzeichnung sämtlicher Vorgänge sondern um eine tabellarische Auflistung relevanter Informationen mit Zeitstempel. Die folgenden Punkte sollen einen Hinweis darauf geben, welche Inhalte dokumentationswürdig sind:

• Entscheidungen des Projektteams und der obersten Führungs- / Leitungsfunktion mit zentralen Argumenten

• Auf Basis welcher vorliegenden Informationen wurde die Entscheidung durch wen getroffen?
• hervorgebrachte Einwände gegen eine Entscheidung sind kenntlich zu machen
• relevante Lageinformationen , ggf. als Verweis auf die Originalinformation (z. B. E-Mail, Fax, etc.)
• Originalinformationen (z. B. E-Mail, Fax, etc.) sind der Dokumentation am Ende beizufügen
• Besprechungen des Projektteams (als klassisches Besprechungsprotokoll)

• Beginn und Ende der Besprechung
• Teilnehmer der Besprechung (Projektteam, ggf. oberste Führungs- / Leitungsposition, Externe, Gäste, etc.)
• relevante Entscheidungen mit der Entscheidungsfindung (s. o.)
• Übergaben / Übernahme der Leitung des Projektteams

Hauptgeschäftsfeld(-er) *

Die Rolle „Hauptgeschäftsfeld(-er)“ kann durch eine oder mehrere gleichberechtigte Personen wahrgenommen werden. In dieser Rolle sollen die kritischen Kernprozesse der Institution abgebildet werden.

Die Rolle sollte umfangreiches Wissen über die kritischer Geschäftsprozesse haben und deren Verkettung innerhalb der Institution sowie die externen Schnittstellen kennen. Weiterhin obliegt dieser Rolle die Bewertung der Auswirkungen des Cyber-Sicherheitsvorfalls und die in diesem Zusammenhang geplanten und durchgeführten Maßnahmen auf die kritischen Prozesse auf Managementebene.

Beispiel
Handelt es sich bei der Institution um einen produzierenden Betrieb, so kann die Rolle beispielsweise durch drei Personen wahrgenommen werden:
• Leiter Vorproduktion
• Leiter Hauptproduktion
• Leiter Standortlogistik

Informationstechnik *

Die Rolle „Informationstechnik“ sollte durch die / den oberste / -n VertreterIn der Institution auf dem Gebiet der Informationstechnik besetzt werden (z. B. CISO, IT-Leiter). Die Rolle sollte umfassende strategische Kenntnisse über die eingesetzte Informationstechnik haben und in der Lage sein, technische Sachverhalte allgemeinverständlich darzustellen.

Die Rolle berät den Leiter des Projektteams in allen Fragestellungen im Themenkomplex der Informationstechnik sowie zu deren Schnittstellen und bedient sich dazu der fachspezifischen Mitarbeiter aus der / den Organisationseinheit / -en der Institution.

Sofern die Informationstechnik durch einen Dienstleister als Service erbracht wird, ist ein Vertreter des Dienstleisters geeignet in das Projektteam zu integrieren.
Sollten die Service Level Agreements zur Dienstleistung keine entsprechenden Regelungen beinhalten, sind kurzfristige Absprachen mit dem Dienstleister zu treffen. Sofern die Institution selbst und/oder der Dienstleister kein geeignetes Personal zur Verfügung stellen kann, wird auf die Dienstleistungen der freien Wirtschaft zur Unterstützung bei Cyber-Sicherheitsvorfällen verwiesen.
Das BSI stellt dazu eine Liste qualifizierter Dienstleister bereit.

Kommunikation *

Die Rolle „Kommunikation“ ist für die interne wie externe Kommunikation verantwortlich und sollte – sofern möglich – durch eine kommunikationserfahrene Person (z. B. PressesprecherIn) besetzt werden. Neben der externen Kommunikation über die Medien ist die interne Kommunikation mit den MitarbeiterInnen der Institution zentrale Aufgabe dieser Rolle. Zur Unterstützung bedient sich die Rolle der fachspezifischen Mitarbeiter aus der / den Organisationseinheit / -en der Institution.

Folgende Aufgaben werden der Rolle zugeschrieben (nicht abschließend):

• Ansprechbarkeit herstellen: per E-Mail, telefonisch sowie über Social Media (bspw. Twitter)
• Vorbereitung der Mitarbeiterinformationen
• Vorbereitung der Kundeninformationen
• Vorbereitung der Medieninformationen
• Abstimmung der Informationen mit der Leitung des Projektteams
• Medienbeobachtung (digital und Printmedien, Social Media, etc.) und Auswertung
• inkl. Monitoring der Reaktionen auf Mitarbeiter-, Kunden und Medieninformationen

• geeignete Veröffentlichung der abgestimmten und freigegebenen Informationen (z. B. Intranet, Internet, Kunden-Newsletter, Social Media, etc.)
• Erstellung von FAQs um wiederkehrende Fragen bzw. die Antworten auf Fragen zu bündeln

Kunden

Die Rolle „Kunden“ sollte durch eine Führungskraft mit direktem Kundenkontakt (z. B. Business Line ManagerIn, Key Account ManagerIn, VertriebsleiterIn, etc.) und weitreichenden Kenntnissen zur Kundenstruktur sowie ein gutes Standing besetzt werden. Zentrale Aufgabe dieser Rolle ist die Vertretung der Sichtweise der Kunden auf den Cyber-Sicherheitsvorfall und die die Auswirkungen des Cyber-Sicherheitsvorfalls aus Kundensicht im Projektteam sowie die Bildung einer zentralen Schnittstelle für (ausgewählte Groß-) Kunden. Zusammen mit der Rolle „Kommunikation“ bereitet die Rolle die Kundeninformationen vor und leitet abgestimmte und freigegebene Informationen geeignet an die Kunden weiter.

Lage *

Die Rolle „Lage“ ist der zentrale Ansprechpartner für alle Lageinformationen. Sie sollte durch Personen mit weitreichenden allgemeinen Kenntnissen zur Institution und hohem Organisationsvermögen besetzt werden.
Es wird angeraten diese Rolle in Abhängigkeit des vorliegenden Cyber-Sicherheitsvorfalls mit mehr als einer Person zu besetzen.

Zu den zentralen Aufgaben der Rolle gehören:

• Aktive Beschaffung von Informationen

• Wer ist betroffen? Wo? Wie schwer?
• Welche Konsequenzen?
• Wie lange?
• Was wird benötigt? Wer kann helfen / liefern / unterstützen?
• Auswertung und Bewertung von Informationen
• Darstellung relevanter Informationen (siehe auch Visualisierung)
• Visualisierung in grafische und schriftlicher Form
• Darstellung von Problemen und Prioritäten
• Darstellung der aus dem Problemen abgeleiteten Aufgaben ( Wer macht was bis wann?)
• geplante, eingeleitet und durchgeführte Maßnahmen mit Fristen und Verantwortlichkeiten
• Übersicht wichtiger Termine (z. B. nächste Besprechung des Projektteams, geplante Medieninformation, Besprechung der Leitung mit der / dem obersten VertreterIn der Institution)
• Zeitstrahl
• Vorbereitung und Durchführung von Lagevorträgen und Besprechungen
• Sicherstellung des Informationsflusses in das Projektteam und aus dem Projektteam heraus sowie innerhalb des Projektteams
• Erstellung von Berichten (inkl. Abschlussbericht)
• Prognose

Personal *

Die Rolle „Personal“ ist der zentrale Ansprechpartner für alle personellen Fragestellungen. Sie sollte unbedingt durch Personen besetzt werden, deren Betätigungsfeld im Bereich des Personalmanagements liegt.

Zu den zentralen Aufgaben der Rolle gehören:

• Beschaffung personeller Ressourcen im Zusammenhang mit Bewältigung von Cyber-Sicherheitsvorfällen
• Erfassung von Anwesenheitszeit und Überführung der erfassten Daten in die Personalabrechnung
• Überwachung der Arbeitszeiten hinsichtlich einer drohenden Überlastung (in enger Abstimmung mit der Leitungsfunktion)
• Unterstützung der internen Kommunikation in der Mitarbeiterinformation (siehe Rolle „Kommunikation“)

Recht & Versicherung

Die Rolle „Recht & Versicherung“ ist der zentrale Ansprechpartner für alle rechtlichen Fragestellungen. Zudem gibt die Rolle Auskunft über bestehende Versicherung und deren Bedingungen. Sie muss durch Juristen der Institution besetzt werden.

Zu den zentralen Aufgaben der Rolle gehören:

• Beratung der Leitungsfunktion zu rechtlichen Fragestellungen
• Bewertung der Bewältigung von Cyber-Sicherheitsvorfällen unter rechtlichen Aspekten
• Beratung zu bestehenden Versicherungen und deren Bedingungen
• Schnittstelle zu den Ermittlungsbehörden, Versicherern sowie externen Juristen

Unterstützungskräfte für Projektteams (optional)

Sofern genügend personelle Ressourcen zur Verfügung stehen, sollten Unterstützungskräfte (Assistenz-Team) das Projektteam unterstützen. Dabei sind die Aufgaben der Bewältigung des Cyber-Sicherheitsvorfalls (durch das Projektteam) und die Unterstützungsleistungen des Projektteams (durch das Assistenz-Team) klar von einander abzugrenzen. Das Assistenz-Team bildet die dauerhaft ansprechbare Konstante im Wechsel von Arbeits- und Beratungsphasen des Projektteams (Krisenstabes).

Das Assistenz-Team ist seinerseits in verschiedene Handlungsfelder zu unterteilen. Diese sind im Folgenden zusammen mit den zentralen Aufgaben aufgeführt. Der thematische Umfang und die personelle Ausstattung des Assistenz-Teams sowie die Unterteilung / Zuteilung gemäß den Handlungsfeldern hängen stark von der Institution, der zur Verfügung stehenden personellen Ressourcen und der zu bewältigenden Lage ab.

Assistenz-Team

Informationsmanagement

• die aktive Beschaffung von Informationen im Auftrag der Rolle „Lage“
• Darstellung relevanter Informationen nach den Vorgaben der Rolle „Lage“
• Sicherstellung des Informationsflusses in das Projektteam und aus dem Projektteam heraus

Innerer Dienst

• Alarmierung in enger Abstimmung mit den Rollen „Leitung“ und „Personal“
• Bereitstellung von Hilfspersonal in enger Abstimmung mit der Rolle „Personal“
• Betrieb und Sicherung der Infrastruktur
• Herstellung und Aufrechterhaltung der Arbeitsbereitschaft in Zusammenarbeit mit dem Handlungsfeld „Logistik“ im Assistenz-Team

Logistik

• Erfassung der Bedarfe zur Ver- und Entsorgung
• Getränke, Nahrungsmittel, „Nervenfutter“, etc.
• Hygieneartikel
• diverses Verbrauchsmaterial
• ggf. Leerung von Abfallbehältern auch außerhalb der regulären Dienstzeit
• ggf. Reinigung der Infrastruktur auch außerhalb der regulären Reinigungszyklen
• Bündelung von Anforderungen / Bedarfe
• Durchführung der Beschaffung in Abstimmung mit den für den Haushalt zuständigen Stellen
• Durchführung der Entsorgung

Das Handlungsfeld „Logistik“ darf – insbesondere in produzierenden Institutionen oder Institutionen der Logistikbranche – nicht mit dem Prozessverantwortlichen für die Logistik der Institution (bspw. Leiter Logistikabteilung) verwechselt werden!

Material

Büroausstattung

Wie im Kapitel „Durchführung“beschrieben, besteht die Tätigkeit im Projektteam aus einem Wechsel von Arbeits- und Beratungsphasen. Die Arbeitsphasen finden – außer für die Rollen „Dokumentation“ und „Lage“ – an den regulären Arbeitsplätzen der Alltagsorganisation (sofern diese zur Verfügung stehen) statt. Dort ist i. d. R. die gängige Büroausstattung vorhanden. Für die Rollen „Dokumentation“ und „Lage“, sowie für die Beratungsphasen des Projektteams und die Arbeit des Assistenz-Teams sollte jedoch Büroausstattung vorgehalten bzw. kurzfristig beschafft werden.

Dazu zählen vor allem folgende Aussattungsgegenstände:

• Telefon mit zentraler Rufnummer des Projektteams
• Mobiltelefon als Backup (für Telefonie und E-Mail)
• Flipcharts inkl. Papier und Flipchartmarker
• Notizblöcke
• Stifte (Kugelschreiber, Textmarker etc.)
• Whiteboards inkl. Whiteboardmarker und Schwamm / Tuch
• PC / Notebook mit zentralem E-Mail Ein- / Ausgang
• Klebezettel
• Magnete
• Tacker
• Locher

Visualisierung

Die Visualisierung lagerelevanter Informationen ist stark vom jeweiligen Cyber-Sicherheitsvorfall abhängig. Es wird jedoch empfohlen die Darstellung dahingehend zu schematisieren, dass diese sowohl alle relevanten Informationen geeignet darstellt, als auch für die Moderation des Lagevortrags durch die Rolle „Lage“ geeignet ist.

Die folgenden Inhalte sollten in jedem Fall dargestellt werden:

• Zeitpunkt des Cyber-Sicherheitsvorfalls
• Zeitpunkt der nächsten Besprechung des Projektteams
• Probleme und Priorisierung der Probleme (durch die Leitung)
• geplante, eingeleitet und durchgeführte Maßnahmen mit Fristen und Verantwortlichkeiten
• Übersicht wichtiger Termine (z. B. nächste Besprechung des Projektteams, geplante Medieninformation, Besprechung der Leitung mit der / dem obersten VertreterIn der Institution)
• Zeitstrahl zur Darstellung des zeitlichen Verlaufs des Cyber-Sicherheitsvorfalls sowie zukünftiger Termine und deren Abhängigkeiten zueinander
• Personalübersicht und Erreichbarkeiten (z. B. Rufbereitschaft, etc.)

Infrastruktur

Besprechungsraum

Dem Projektteam sollte für die Besprechungen (Beratungsphasen) ein geeigneter Besprechungsraum exklusiv zur Verfügung stehen. Dieser sollte dazu geeignet sein, die Mitglieder des Projektteams in einer produktiven Atmosphäre aufzunehmen und eine Visualisierung zu ermöglichen. Zudem sollte er über einen Anschluss an die EDV (sofern nicht durch den Cyber-Sicherheitsvorfall nachhaltig geschädigt) sowie ein Telefon verfügen.

Weiterhin sollte der Besprechungsraum nach Möglichkeit folgende Merkmale erfüllen:

• nicht von Außen einsehbar (ggf. Verschattungs- / Verdunkelungssysteme nutzen)
• in einem gesicherten Bereich (Zutrittskontrolle)
• Drucker / Kopierer in erreichbarer Nähe (im gesicherten Bereich)
• Sanitäranlagen in erreichbarere Nähe
• Möglichkeit zur Versorgung (Getränke, Essen, Snacks) außerhalb des Besprechungsraumes

Durchführung

Führungsrhythmus

Die Tätigkeit des Projektteams besteht aus einem Wechsel von Arbeits- und Beratungsphasen. Diese Phasen sollte lagebezogen angepasst werden.

Sofern durchführbar kann der Führungsrhythmus wie folgt gestaltet werden:

Phase	Zeit
Arbeitsphase	06:00 – 09:00
Beratungsphase („Morgenlage“)	09:00 – 09:30
Arbeitsphase	09:30 – 12:00
Beratungsphase („Mittagslage“)	12:00 – 12:30
Arbeitsphase	12:30 – 15:00
Beratungsphase („Nachmittagslage“)	15:00 – 15:30
Arbeitsphase	15:30 – 18:00
Beratungsphase („Abendlage“)	18:00 – 18:30
Arbeitsphase	18:30 – 00:00
Beratungsphase	00:00 – 00:30
Arbeitsphase	00:30 – 06:00

Bei signifikanten Lageveränderungen oder aus sonstigen strategischen Gründen, kann die Arbeitsphase jederzeit unterbrochen und eine Besprechung des Projektteams angesetzt werden.

Beratungsphase

Die Beratungsphasen werden durch die Rolle „Leitung“ lagebezogen terminiert und durch die Rolle „Lage“ durchgeführt bzw. moderiert. Die Durchführung sollte strukturiert und immer nach dem gleichen Schema erfolgen.

• Welche Situation liegt aktuell vor?
• Vortrag der allgemeinen Informationen durch die Rolle „Lage“
• Situationsanalyse und Faktensammlung
• Beteiligung der anderen Rollen durch Rolle „Lage“ (Moderation)
• Trennung von Wissen und Unwissen / Vermutung
• Müssen auf Basis der dargestellten Situation Sofortmaßnahmen (ohne weitere Diskussion / Planung) eingeleitet werden?
• Welche der bestehenden oder absehbaren Probleme kann mit welchen Handlungsoptionen entgegnet werden?
• Welche Risiken, chancen und Aufwendungen sind mit den verschiedenen Optionen verbunden?

KURZE DENKPAUSE FÜR ALLE – KEINE WORTMELDUNGEN – KEINE DISKUSSION

• Welche der Handlungsoptionen zu den jeweiligen Problemen wird verfolgt?
• Eine Option je Problem
• Option 2 als „Plan B“ festhalten
• Überprüfung der aktuellen Situation bzgl. der Ausführbarkeit der gewählten Option
• finale Entscheidung der Rolle „Leitung“
• Wer macht was bis wann zur Durchführung der ausgewählten Handlungsoptionen?
• Führen die gewählten Handlungsoptionen zum Ziel?
• Überprüfung der Zielerreichung und ggf. Korrektur der Maßnahmen
• Sonstiges
• Terminierung der nächsten Sitzung

Diese Darstellung entspricht dem FOR-DEC Schema.

Weitere Informationen finden sich um Whitepaper
„Die FOR-DEC-Methode im Krisenmanagement„

Kommunikation

Mitarbeiterinformation vor Medieninformation

Die Mitarbeiterinformation sollte stets vor der Medieninformation erfolgen.
Dabei sind Mitarbeiterinnen und Mitarbeiter im Rahmen einer offenen Kommunikation geeignet und zeitgerecht über krisenhafte Situationen zu informieren. Ziel der frühzeitigen Kommunikation ist es, Frustration zu vermeiden und die Mitarbeiterinnen und Mitarbeiter zur Unterstützung zu motivieren.

Das Projektteam muss darauf vorbereitet sein, dass Mitarbeiterinformationen öffentlich werden. Daher muss im Vorfeld eingehend geprüft werden, welche Informationen an die Mitarbeiter weitergegeben werden können und welche Informationen vertraulich – ausschließlich innerhalb des Projektteams – behandelt werden.

Die Mitarbeiterinformation sollte den gleichen Gründsätzen wie die Krisenkommunikation folgen. (siehe unten)

Krisenkommunikation

Für Informationen zur Krisenkommunikation verweisen wir auf den Leitfaden Krisenkommunikation (Bundesministerium des Innern für Bau und Heimat).

In jedem Fall muss die Krisenkommunikation folgenden Grundsätzen folgen:

• sie muss einheitlich, koordiniert, zielgruppenorientiert und kontinuierlich erfolgen,
• sie muss frühzeitig begonnen und anhaltend durchgeführt werden,
• sie muss Informationen sachlich, transparent und verständlich darstellen,
• sie muss der Wahrheit entsprechen sowie
• bildhaft, einfach, kurz und unkompliziert vermittelt werden.

Sofern die Institution selbst keine geeignete Krisenkommunikation durchführen kann, wird auf die Dienstleistungen der freien Wirtschaft zur Unterstützung in der Risiko- und Krisenkommunikation verwiesen.
(Mögliche Suchbegriffe für eine Recherche im Internet: „krise“ + „risiko“ + „kommunikation“ + „management“)

Sichere Kommunikation

Zur Kommunikation bei einem Cyber-Sicherheitsvorfall sollte die Institution eine sichere E-Mail-Kommunikation ermöglichen. Vor allem im Austausch mit Behörden sowie zum Austausch vertraulicher Informationen mit vertrauenswürdigen Partnern ist die sichere E-Mail-Kommunikation dringend angeraten. Zur kurzfristigen Einrichtung einer sicheren E-Mail-Kommunikation unter Windows kann Gpg4win empfohlen werden.
Weitere Informationen finden Sie hier.

Nachbereitung

Sicherung der Informationen

Alle im Rahmen der Reaktion auf Cyber-Sicherheitsvorfälle gesammelten Informationen, erstellten Dokumente sowie der gesamte Informationsaustausch (E-Mail, Fax, Telefonnotiz, etc.) sollten am Ende der Reaktion zentral gesichert werden. Zum einen können diese Informationen für Ermittlungs- und Strafverfahren herangezogen werden. Zum anderen dienen die Informationen der Nachbereitung / Auswertung und der Verbesserung der Bewältigungsorganisation.

Stakeholder-Information

Im Nachgang der Bewältigung sollten alle Stakeholder (Kunden, Lieferanten, Mitarbeiter, etc.) zielgruppengerecht über die Beendigung des Cyber-Sicherheitsvorfalls sowie die Rückführung in den Normalbetrieb informiert werden. Sofern weiterhin Einschränkungen bestehen oder aufgrund erhöhter Sicherheitsanforderungen Prozesse verändert wurden, sind die Stakeholder darüber in Kenntnis zu setzen.

Auswertung

Die Auswertung im Anschluss an eine erfolgreiche Bewältigung ist ein wesentliches Instrument zur Verbesserung der Krisenmanagementorganisation. Zudem soll die Auswertung die psychische Belastung im Rahmen der Reaktion auf schwere Sicherheitsvorfälle durch kurz-, mittel- und langfristig ausgelegte, strukturierte Nachbesprechungen abmildern. Die Auswertung sollte stets institutionsintern erfolgen, da hier die internen Prozesse, Strukturen und handelnden Akteure in den Fokus gerückt werden. Diese Informationen sind vertraulich zu behandeln. Sofern erforderlich, können die Ergebnisse der Auswertung in geeigneter, sanitarisierter Form im Kreis der Partner der Institution geteilt werden.

Regeln für die Auswertung

Persönlicher Dank und Wertschätzung der Führungs- / Leitungsebene für die geleistete Arbeit sollten die Auswertung einleiten und folgende Regeln klar herausstellen

• Kein „name“, „blame“, „shame“!
• Es geht um konstruktive Kritik an der Funktion, nicht an der Person
• Denken Sie in Prozessen und nicht in Personen
• Eine Null-Fehler-Erwartung ist illusionär!

Die Auswertung sollte – sofern die Ressourcen der Institution dies ermöglichen – in drei zeitlich aufeinander folgenden Phasen durchgeführt werden.

• hot wash-up: sofort im Anschluss an die Bewältigung
  Der hot wash-up dient dazu, die aktuellen Eindrücke aller in die Bewältigung eingebundenen Akteure einzufangen. Die Eindrücke und Erkenntnisse sollten chronologisch anhand dem Ablauf der Bewältigung dokumentiert werden.
• Rekapitulation: einige Tage / wenige Wochen nach Beendigung der Bewältigung
  Die Rekapitulation betrachtet die Ergebnisse des hot wash-up mit einiger zeitlicher Distanz um ggf. emotionale Wertungen aus der belastenden Situation der Bewältigung zu nivellieren. Die Erkenntnisse aus der Rekapitulation sollten der Dokumentation hinzugefügt werden.
• Interner Abschlussbereicht: einige Wochen / wenige Monate nach Beendigung der Bewältigung
  Die Erstellung eines internen Auswertungsberichtes wird durch die chronologisch geordneten Erkenntnisse des hot wash-up und die Ergebnissen der Rekapitulation deutlich vereinfacht. Nachdem der Bericht die durch die Institution zu definierenden Freigabe durchlaufen hat, sollten die wesentlichen Elemente auszugsweise den Beteiligten zur Verfügung gestellt werden.

Es sollte geprüft werden, ob die Inhalte des Berichtes dazu geeignet sind um – ausgehend von der Struktur des Projektteams – eine Bewältigungsorganisation zur Reaktion auf (Cyber-) Sicherheitsvorfälle aufzubauen.

Die in diesem Whitepaper enthaltenen Informationen erfüllen nicht den Anspruch auf Vollständigkeit. Der Hauptzweck dieses Whitepapers besteht darin, potentiellen Anwendern sachdienliche Informationen zur Verfügung zu stellen, Entscheidungshilfen und Erklärungen zu liefern um das eigenverantwortliche Handeln zu unterstützen.

Für nichtgewerbliche Zwecke sind Vervielfältigung und unentgeltliche Verbreitung, auch auszugsweise, mit folgender Quellenangabe gestattet:
Brück, S. (2020 Mai 05). WHITEPAPER – Schnelleinstieg IT-Krisenmanagement.
https://www.brueck-engineering.com/schnelleinstieg-it-krisenmanagement/