Courtney Guss | Leiterin Krisenmanagement

Ich arbeite seit Jahren mit Unternehmen zusammen, um sie auf den schlimmsten Fall vorzubereiten – indem ich Risikomanagementprogramme aufbaue, potenzielle Auswirkungen beziffern und Führungskräften dabei helfe, zu verstehen, was für das Unternehmen am wichtigsten ist.

Eines fällt jedoch nach wie vor besonders auf: Viele Organisationen sind nach wie vor völlig unvorbereitet, eine echte Cyberkrise zu bewältigen.

  • Nicht, weil es ihnen an Einsatz mangelt.
  • Nicht, weil es ihnen an Talent mangelt.
  • Weil ihnen jedoch konkrete Anhaltspunkte für Entscheidungen unter Druck fehlen.

Heutzutage misst die Cybersicherheitsbranche das Vorhandensein von Plänen – nicht die Wirksamkeit der Reaktion.

Abbildung 1: Lücken in der Kommunikation und Koordination behindern eine wirksame Reaktion auf Cybervorfälle – selbst bei Organisationen, die über integrierte Krisenreaktionspläne verfügen. (Quelle: Semperis | The State of Cyber Crisis Readiness)

Die meisten Unternehmen glauben, sie seien gut vorbereitet, da sie über Notfallpläne, Leitfäden und Simulationsübungen verfügen. Doch diese Hilfsmittel versagen oft, wenn sie mit der Komplexität der realen Welt konfrontiert werden.

Warum? Weil sie versuchen, das Unvorhersehbare vorherzusagen.

Echte Bereitschaft für Cyberkrisen entsteht nicht durch mehr Dokumentation. Sie entsteht durch Klarheit hinsichtlich der geschäftlichen Prioritäten und der Entscheidungsbefugnisse.


Die Branche misst das Falsche

Dies ist kein neues Problem, doch die Rahmenbedingungen der Branche fördern weiterhin eine auf Compliance ausgerichtete Denkweise.

In Bewertungen wird häufig gefragt:

  • Haben Sie einen Notfallplan?
  • Verfügen Sie über Standardverfahren?
  • Führen Sie Tabletop-Übungen durch?

Wenn die Antwort „Ja“ lautet, ist die Anforderung erfüllt. Das Kästchen ist angekreuzt. Die Organisation gilt als vorbereitet.

Doch wenn es um ein umfassendes Krisenmanagement im Cyberbereich geht, stellen Unternehmen selten die Fragen, auf die es wirklich ankommt:

  • Wissen Führungskräfte, wie sie in einer Krise Prioritäten im Geschäftsbetrieb setzen müssen?
  • Sind sich die Teams der finanziellen und betrieblichen Auswirkungen eines Systemausfalls bewusst?
  • Wissen die Einsatzkräfte, wer befugt ist, wichtige Entscheidungen zu treffen?
  • Kann die Organisation funktionieren, wenn die Situation nicht dem Drehbuch entspricht?

Indem wir die falschen Kennzahlen messen, schaffen wir eine gefährliche Kluft – eine Kluft, die auf dem Papier Vertrauen schafft, während Organisationen bei tatsächlichen Ereignissen operativ anfällig bleiben.


Der Mythos vom perfekten Leitfaden für Cyberkrisen

Eine weitere häufige Quelle für Verwirrung ist die Art und Weise, wie wir die Begriffe Runbook und Playbook verwenden, obwohl sie sehr unterschiedlichen Zwecken dienen. Allein diese Verwirrung kann zu Lücken in der Vorbereitung führen.

Runbooks sind taktische Anleitungen zur Umsetzung. Sie enthalten Schritt-für-Schritt-Anweisungen zur Durchführung einer bestimmten technischen Aufgabe. Sie sind auf Schnelligkeit, Konsistenz und Wiederholbarkeit ausgelegt – und bewähren sich besonders in vorhersehbaren Situationen.

Playbooks hingegen sind auf einer übergeordneten Ebene angesiedelt. Sie bieten Anleitungen für die Reaktion auf eine bestimmte Art von Vorfällen und umfassen häufig Koordinationsmaßnahmen, Kommunikationsrichtlinien sowie Eskalationswege zwischen den Teams.

Beide Ansätze sind wertvoll. Doch beide weisen dieselbe Einschränkung auf: Sie gehen davon aus, dass sich die Krise nach einem bekannten Szenario entwickeln wird.

Echte Cyberkrisen tun dies selten.

Ein Ransomware-Vorfall kann Identitätsdiebstahl, Systemausfälle, Datenexfiltration, behördliche Meldungen, Auswirkungen auf Kunden, rechtliche Prüfungen und die Einbeziehung von Strafverfolgungsbehörden umfassen – und das alles gleichzeitig.

Kein Leitfaden kann ein solches Ausmaß an sich gegenseitig verstärkender Komplexität vorhersehen.

In der Praxis stelle ich fest, dass Teams das Playbook schon nach wenigen Stunden beiseite legen und sich stattdessen auf Erfahrung, Intuition und Improvisation verlassen.

Das ist kein Versagen der Einsatzkräfte. Es ist ein Versagen des Modells.

Wir haben unsere Teams darauf geschult, sich an Vorgaben zu halten, aber wir haben sie nicht dazu befähigt, Entscheidungen zu treffen, wenn diese Vorgaben nicht mehr gelten.

Runbooks und Playbooks sind nach wie vor wichtige Instrumente, doch sie sind nicht dafür ausgelegt, das schwierigste Problem im Cyber-Krisenmanagement zu lösen: die unternehmensweite Koordinierung von Entscheidungen mit weitreichenden Konsequenzen, wenn die Situation nicht einem vordefinierten Szenario entspricht.


Das eigentliche Problem während einer Cyberkrise: Entscheidungsunfähigkeit

In den meisten Cyberkrisen sind die größten Verzögerungen nicht technischer Natur. Sie sind auf Entscheidungsprozesse zurückzuführen.

  • Wer ruft eine Krise aus?
  • Wer kann Systeme herunterfahren?
  • Wer genehmigt die Kundenkommunikation?
  • Wer entscheidet, was zuerst wiederhergestellt wird?
  • Wer geht ein Risiko ein, wenn es keine perfekte Lösung gibt?

Unklarheiten hinsichtlich der Zuständigkeiten können selbst die dringendsten Maßnahmen verzögern.

Um unter Druck effektive Entscheidungen treffen zu können, benötigen Einsatzkräfte mehr als nur einen Plan. Sie benötigen einen Entscheidungsrahmen.

Ein wirksamer Rahmen für Krisenentscheidungen sollte drei Dinge festlegen:

  1. Was ist für das Unternehmen am wichtigsten
    Eine klare Vereinbarung über kritische Abläufe, Prioritäten und akzeptable Kompromisse
  2. Wo wichtige Entscheidungen getroffen werden
    Erfassung der wichtigsten Entscheidungspunkte, die bei verschiedenen Arten von Vorfällen auftreten
  3. Wer hat an diesen Stellen die Entscheidungsbefugnis?
    Es wurde festgelegt, wer für Entscheidungen verantwortlich ist, damit die Teams unverzüglich handeln können

Wenn diese Elemente im Voraus festgelegt werden, können die Einsatzkräfte schneller handeln, mit Zuversicht vorgehen und Entscheidungen treffen, die auch nach der Krise vertretbar bleiben.

Ohne sie zögern selbst gut ausgebildete Teams. Und Zögern kommt teuer zu stehen.

Abbildung 2: 90 % der Unternehmen sehen sich mit erheblichen Hindernissen bei der effektiven Reaktion auf Cybervorfälle konfrontiert. (Quelle: „The State of Enterprise Cyber Crisis Readiness“)

Die richtigen Dinge testen

Wenn Runbooks und Playbooks die Komplexität einer echten Krise nicht erfassen können, müssen sich auch die Simulationsübungen für Cyberkrisen weiterentwickeln.

Zu viele Simulationsübungen bestätigen den Plan, anstatt ihn auf den Prüfstand zu stellen .

Wirksame Übungen sollten sich auf Fragen wie die folgenden konzentrieren:

  • Sind sich die Führungskräfte wirklich über die geschäftlichen Prioritäten einig?
  • Sind sich Entscheidungsträger der Kompromisse bewusst?
  • Können Teams unter Druck zusammenarbeiten?
  • Kann die Organisation mit unvollständigen oder widersprüchlichen Informationen funktionieren?

Die Übungen sollten Folgendes simulieren:

  • Kettenreaktionen
  • Ungewisse oder sich ändernde Informationen
  • Entscheidungspunkte auf Führungsebene
  • Herausforderungen bei der funktionsübergreifenden Koordination

Das Ziel besteht nicht darin, zu beweisen, dass der Plan funktioniert. Das Ziel besteht darin, zu beweisen, dass sich die Organisation anpassen kann, wenn der Plan nicht funktioniert.

Wahre Bereitschaft entsteht dadurch, dass man die Fähigkeit entwickelt, sich anzupassen und dabei stets das Wesentliche im Blick zu behalten.


Der Weg in die Zukunft: Beginnen Sie mit einem Leitstern

Wenn wir akzeptieren, dass wir nicht jeden Vorfall im Voraus planen können, muss das Krisenmanagement im Cyberbereich an anderer Stelle ansetzen.

Alles beginnt mit der Abstimmung. Stellen Sie Ihrem Führungsteam eine einfache Frage:

Was ist für dieses Unternehmen am wichtigsten?

Ich bezeichne dies oft als den Leitstern der Organisation .

Wenn Teams den „North Star“ verstehen, können sie auch in unklaren Situationen Entscheidungen treffen. Sie können fragen:

  • Schützt diese Maßnahme unsere wichtigsten Betriebsabläufe?
  • Steht diese Entscheidung im Einklang mit den Prioritäten unserer Stakeholder?
  • Bringt uns dieser Schritt der Erholung dort näher, wo es am wichtigsten ist?

Wenn die Antwort „Ja“ lautet, ist die Entscheidung vertretbar. Wenn die Antwort „Nein“ lautet, sollte dies in einer Krisensituation keine Priorität haben.

Der North Star ersetzt weder Runbooks noch Playbooks. Er sorgt dafür, dass sie nutzbar werden.

Denn wenn der Plan scheitert – und das wird er –, weiß die Organisation dennoch, wie sie entscheiden muss.

Und in einer echten Cyberkrise entscheidet die Entscheidungsfähigkeit darüber, ob Chaos oder Kontrolle herrscht.


Verwandte Ressourcen