Dieser Bereich wird gerade überarbeitet. Wir sind bald mit aktuellen Informationen zurück!

Im Folgenden beschreiben wir verschiedene Rollen, die durch geeignete Personen institutionsintern zu besetzen sind. Diese Rollen sollen dazu geeignet sein, ein Team zur Bewältigung von IT-Krisen kurzfristig zusammen zu stellen.

Es wird davon abgeraten diese Rollen ohne begleitende Maßnahmen zum Aufbau einer Krisenmanagementstruktur für IT-Krisen zu nutzen sowie die Rollen (sofern sie nicht explizit dafür gekennzeichnet sind) durch externe Personen zu besetzen.

Es handelt sich im Folgenden um ein exemplarisch zusammengesetztes Team, welches an die Bedürfnisse der jeweiligen Institution anzupassen ist.

Leitung

Die Rolle „Leitung“ hat die Gesamtverantwortung für die Bewältigung des Cyber- Sicherheitsvorfalls inne. Sie agiert nach den Grundprinzipien der Institution und sollte der obersten Führungs- / Leitungsfunktion der Institution (bspw. Geschäftsführer*in) direkt unterstellt sein.

Weiterhin ist die Rolle „Leitung“ u. a. für folgende Themen verantwortlich:

  • Gewährleistung des Erfolgs der Bewältigung
  • Abstimmung mit / Beratung der obersten Führungs- / Leitungsfunktion
  • Personelle Besetzung des Projektteams und Einbindung eigener, fachspezifischer Mitarbeiter sowie von externen Beratern
  • Abstimmung des Finanzrahmens
  • Vorgaben für die materielle und infrastrukturelle Aussttung des Projektteams
  • Vertretung des Projektteams nach innen und außen
  • Koordination mit anderen Teams und / oder externen Entscheidungsstrukturen
  • Aufgabenzuweisung und Auftragserteilung (Wer macht was bis wann?)
  • Zielvorgaben und Prioritätensetzung
  • Durchführung und Leitung entscheidungsfindender Prozesse
  • Kontrolle der Arbeitsabläufe

Es ist davon abzuraten, dass die oberste Führungs- / Leitungsfunktion der Institution die Leitung des Projektteams selbst übernimmt! Diese nutzt die Beratung des Projektteams zur Vorbereitung von weitreichenden strategischen Entscheidungen und gibt die strategische Ausrichtung der Bewältigung vor, die durch das Projektteam umgesetzt wird.

Notfall- / Business Continuity Manager*in

Diese Rolle kommt nur dann zum Tragen, wenn die Funktion einer / eines Notfall- und/oder Business Continuity Manager*in bereits in der Institution (in der Alltagsorganisation) besetzt ist.

Sofern Sie über eine / einen Notfall- und/oder Business Continuity Manager*in verfügen ist diese Rolle zwingend in das Projektteam einzubinden, da sie über weitreichende Kenntnisse zur Aufrechterhaltung, dem Wiederanlauf und der Wiederherstellung kritischer Geschäftsprozesse besitzt.

Die Aufgaben der Rolle ergeben sich aus dem Business Continuity Management System ihrer Institution.

Sofern die Institution nicht über eine / einen Notfall- und/oder Business Continuity ManagerIn verfügt, entfällt diese Rolle ersatzlos.

Dokumentation

Die Rolle „Dokumentation“ befasst sich mit der Dokumentation der Vorgänge im Rahmen der Bewältigung. Dabei handelt es sich nicht um eine lückenlose Aufzeichnung sämtlicher Vorgänge sondern um eine tabellarische Auflistung relevanter Informationen mit Zeitstempel. Die folgenden Punkte sollen einen Hinweis darauf geben, welche Inhalte dokumentationswürdig sind:

  • Entscheidungen des Projektteams und der obersten Führungs- / Leitungsfunktion mit zentralen Argumenten
    • Auf Basis welcher vorliegenden Informationen wurde die Entscheidung durch wen getroffen?
    • hervorgebrachte Einwände gegen eine Entscheidung sind kenntlich zu machen
  • relevante Lageinformationen , ggf. als Verweis auf die Originalinformation (z. B. E-Mail, Fax, etc.)
    • Originalinformationen (z. B. E-Mail, Fax, etc.) sind der Dokumentation am Ende beizufügen
  • Besprechungen des Projektteams (als klassisches Besprechungsprotokoll)
    • Beginn und Ende der Besprechung
    • Teilnehmer der Besprechung (Projektteam, ggf. oberste Führungs- / Leitungsposition, Externe, Gäste, etc.)
    • relevante Entscheidungen mit der Entscheidungsfindung (s. o.)
  • Übergaben / Übernahme der Leitung des Projektteams

Hauptgeschäftsfeld(-er)

Die Rolle „Hauptgeschäftsfeld(-er)“ kann durch eine oder mehrere gleichberechtigte Personen wahrgenommen werden. In dieser Rolle sollen die kritischen Kernprozesse der Institution abgebildet werden.

Die Rolle sollte umfangreiches Wissen über die kritischer Geschäftsprozesse haben und deren Verkettung innerhalb der Institution sowie die externen Schnittstellen kennen. Weiterhin obliegt dieser Rolle die Bewertung der Auswirkungen des Cyber-Sicherheitsvorfalls und die in diesem Zusammenhang geplanten und durchgeführten Maßnahmen auf die kritischen Prozesse auf Managementebene.

Beispiel

Handelt es sich bei der Institution um einen produzierenden Betrieb, so kann die Rolle beispielsweise durch drei Personen wahrgenommen werden:

  • Leiter Vorproduktion
  • Leiter Hauptproduktion
  • Leiter Standortlogistik

Informationstechnik

Die Rolle „Informationstechnik“ sollte durch die / den oberste / -n VertreterIn der Institution auf dem Gebiet der Informationstechnik besetzt werden (z. B. CISO, IT-Leiter). Die Rolle sollte umfassende strategische Kenntnisse über die eingesetzte Informationstechnik haben und in der Lage sein, technische Sachverhalte allgemeinverständlich darzustellen.

Die Rolle berät den Leiter des Projektteams in allen Fragestellungen im Themenkomplex der Informationstechnik sowie zu deren Schnittstellen und bedient sich dazu der fachspezifischen Mitarbeiter aus der / den Organisationseinheit / -en der Institution.

Sofern die Informationstechnik durch einen Dienstleister als Service erbracht wird, ist ein Vertreter des Dienstleisters geeignet in das Projektteam zu integrieren.

Sollten die Service Level Agreements zur Dienstleistung keine entsprechenden Regelungen beinhalten, sind kurzfristige Absprachen mit dem Dienstleister zu treffen. Sofern die Institution selbst und/oder der Dienstleister kein geeignetes Personal zur Verfügung stellen kann, wird auf die Dienstleistungen der freien Wirtschaft zur Unterstützung bei Cyber- Sicherheitsvorfällen verwiesen.

Das BSI stellt dazu eine Liste qualifizierter Dienstleister bereit.

Kommunikation

Die Rolle „Kommunikation“ ist für die interne wie externe Kommunikation verantwortlich und sollte – sofern möglich – durch eine kommunikationserfahrene Person (z. B. PressesprecherIn) besetzt werden. Neben der externen Kommunikation über die Medien ist die interne Kommunikation mit den MitarbeiterInnen der Institution zentrale Aufgabe dieser Rolle. Zur Unterstützung bedient sich die Rolle der fachspezifischen Mitarbeiter aus der / den Organisationseinheit / -en der Institution.

Folgende Aufgaben werden der Rolle zugeschrieben (nicht abschließend):

  • Ansprechbarkeit herstellen: per E-Mail, telefonisch sowie über Social Media (bspw. Twitter)
  • Vorbereitung der Mitarbeiterinformationen
  • Vorbereitung der Kundeninformationen
  • Vorbereitung der Medieninformationen
  • Abstimmung der Informationen mit der Leitung des Projektteams
  • Medienbeobachtung (digital und Printmedien, Social Media, etc.) und Auswertung
    • inkl. Monitoring der Reaktionen auf Mitarbeiter-, Kunden und Medieninformationen
  • geeignete Veröffentlichung der abgestimmten und freigegebenen Informationen (z. B. Intranet, Internet, Kunden-Newsletter, Social Media, etc.)
  • Erstellung von FAQs um wiederkehrende Fragen bzw. die Antworten auf Fragen zu bündeln

Kunden

Die Rolle „Kunden“ sollte durch eine Führungskraft mit direktem Kundenkontakt (z. B. Business Line ManagerIn, Key Account ManagerIn, VertriebsleiterIn, etc.) und weitreichenden Kenntnissen zur Kundenstruktur sowie ein gutes Standing besetzt werden. Zentrale Aufgabe dieser Rolle ist die Vertretung der Sichtweise der Kunden auf den Cyber-Sicherheitsvorfall und die die Auswirkungen des Cyber-Sicherheitsvorfalls aus Kundensicht im Projektteam sowie die Bildung einer zentralen Schnittstelle für (ausgewählte Groß-) Kunden. Zusammen mit der Rolle „Kommunikation“ bereitet die Rolle die Kundeninformationen vor und leitet abgestimmte und freigegebene Informationen geeignet an die Kunden weiter.

Lage

Die Rolle „Lage“ ist der zentrale Ansprechpartner für alle Lageinformationen. Sie sollte durch Personen mit weitreichenden allgemeinen Kenntnissen zur Institution und hohem Organisationsvermögen besetzt werden.

Es wird angeraten diese Rolle in Abhängigkeit des vorliegenden Cyber-Sicherheitsvorfalls mit mehr als einer Person zu besetzen.

Zu den zentralen Aufgaben der Rolle gehören:

  • Aktive Beschaffung von Informationen
    • Wer ist betroffen? Wo? Wie schwer?
    • Welche Konsequenzen?
    • Wie lange?
    • Was wird benötigt? Wer kann helfen / liefern / unterstützen?
  • Auswertung und Bewertung von Informationen
  • Darstellung relevanter Informationen (siehe auch Visualisierung)
    • Visualisierung in grafische und schriftlicher Form
    • Darstellung von Problemen und Prioritäten
    • Darstellung der aus dem Problemen abgeleiteten Aufgaben ( Wer macht was bis wann?)
    • geplante, eingeleitet und durchgeführte Maßnahmen mit Fristen und Verantwortlichkeiten
    • Übersicht wichtiger Termine (z. B. nächste Besprechung des Projektteams, geplante Medieninformation, Besprechung der Leitung mit der / dem obersten VertreterIn der Institution)
    • Zeitstrahl
  • Vorbereitung und Durchführung von Lagevorträgen und Besprechungen
  • Sicherstellung des Informationsflusses in das Projektteam und aus dem Projektteam heraus sowie innerhalb des Projektteams
  • Erstellung von Berichten (inkl. Abschlussbericht)
  • Prognose

Personal

Die Rolle „Personal“ ist der zentrale Ansprechpartner für alle personellen

Fragestellungen. Sie sollte unbedingt durch Personen besetzt werden, deren Betätigungsfeld im Bereich des Personalmanagements liegt.

Zu den zentralen Aufgaben der Rolle gehören:

  • Beschaffung personeller Ressourcen im Zusammenhang mit Bewältigung von Cyber- Sicherheitsvorfällen
  • Erfassung von Anwesenheitszeit und Überführung der erfassten Daten in die Personalabrechnung
  • Überwachung der Arbeitszeiten hinsichtlich einer drohenden Überlastung (in enger Abstimmung mit der Leitungsfunktion)
  • Unterstützung der internen Kommunikation in der Mitarbeiterinformation (siehe Rolle „Kommunikation“)

Recht & Versicherungen

Die Rolle „Recht & Versicherung“ ist der zentrale Ansprechpartner für alle rechtlichen Fragestellungen. Zudem gibt die Rolle Auskunft über bestehende Versicherung und deren Bedingungen. Sie muss durch Juristen der Institution besetzt werden.

Zu den zentralen Aufgaben der Rolle gehören:

  • Beratung der Leitungsfunktion zu rechtlichen Fragestellungen
  • Bewertung der Bewältigung von Cyber-Sicherheitsvorfällen unter rechtlichen Aspekten
  • Beratung zu bestehenden Versicherungen und deren Bedingungen
  • Schnittstelle zu den Ermittlungsbehörden, Versicherern sowie externen Juristen

Unterstützungskräfte für Projektteams (optional)

Sofern genügend personelle Ressourcen zur Verfügung stehen, sollten Unterstützungskräfte (Assistenz-Team) das Projektteam unterstützen. Dabei sind die Aufgaben der Bewältigung des Cyber-Sicherheitsvorfalls (durch das Projektteam) und die Unterstützungsleistungen des Projektteams (durch das Assistenz-Team) klar von einander abzugrenzen. Das Assistenz-Team bildet die dauerhaft ansprechbare Konstante im Wechsel von Arbeits- und Beratungsphasen des Projektteams (Krisenstabes).

Das Assistenz-Team ist seinerseits in verschiedene Handlungsfelder zu unterteilen. Diese sind im Folgenden zusammen mit den zentralen Aufgaben aufgeführt. Der thematische Umfang und die personelle Ausstattung des Assistenz-Teams sowie die Unterteilung / Zuteilung gemäß den Handlungsfeldern hängen stark von der Institution, der zur Verfügung stehenden personellen Ressourcen und der zu bewältigenden Lage ab.

Assistenz-Team
Informationsmanagement
  • die aktive Beschaffung von Informationen im Auftrag der Rolle „Lage“
  • Darstellung relevanter Informationen nach den Vorgaben der Rolle „Lage“
  • Sicherstellung des Informationsflusses in das Projektteam und aus dem Projektteam heraus
Innerer Dienst
  • Alarmierung in enger Abstimmung mit den Rollen „Leitung“ und „Personal“
  • Bereitstellung von Hilfspersonal in enger Abstimmung mit der Rolle „Personal“
  • Betrieb und Sicherung der Infrastruktur
  • Herstellung und Aufrechterhaltung der Arbeitsbereitschaft in Zusammenarbeit mit dem Handlungsfeld „Logistik“ im Assistenz-Team
Logistik
  • Erfassung der Bedarfe zur Ver- und Entsorgung
  • Getränke, Nahrungsmittel, „Nervenfutter“, etc.
  • Hygieneartikel
  • diverses Verbrauchsmaterial
  • ggf. Leerung von Abfallbehältern auch außerhalb der regulären Dienstzeit
  • ggf. Reinigung der Infrastruktur auch außerhalb der regulären Reinigungszyklen
  • Bündelung von Anforderungen / Bedarfe
  • Durchführung der Beschaffung in Abstimmung mit den für den Haushalt zuständigen Stellen
  • Durchführung der Entsorgung

Das Handlungsfeld „Logistik“ darf – insbesondere in produzierenden Institutionen oder Institutionen der Logistikbranche – nicht mit dem Prozessverantwortlichen für die Logistik der Institution (bspw. Leiter Logistikabteilung) verwechselt werden!