Courtney Guss | Leiterin Krisenmanagement

Da Cyberbedrohungen – darunter Ransomware und von Staaten unterstützte Angriffe– immer intensiver und raffinierter werden, incident response ganz oben auf der Prioritätenliste jedes Vorstands gelandet.

Doch selbst in Unternehmen, die alle Voraussetzungen erfüllt haben und über das richtige incident response verfügen, stelle ich fest, dass bei tatsächlichen Vorfällen immer wieder ein Problem auftritt:

Unternehmen wissen, was sie tun sollten – doch sie können sich nicht schnell genug abstimmen, um dies auch tatsächlich umzusetzen.

Im ersten Blogbeitrag dieser Reihe (Cyber-Krisenmanagement neu denken: Warum Pläne scheitern – und was stattdessen entwickelt werden sollte) habe ich dargelegt, dass incident response meisten incident response nicht deshalb scheitern, weil es den Unternehmen an Plänen mangelt, sondern weil es ihnen an klaren Entscheidungsgrundlagen fehlt.

Runbooks, Playbooks und Tabletop-Übungen sind zwar wertvoll, können jedoch die Komplexität einer realen Krise nicht vorhersagen. Wenn das Drehbuch nicht mehr greift, müssen sich Teams auf klare Prioritäten, festgelegte Zuständigkeiten und die Fähigkeit verlassen, unter Druck fundierte Entscheidungen zu treffen.

In einer Krise nach der anderen stelle ich fest, dass incident response meisten incident response genau an dieser Stelle ins Stocken geraten.

  • Nicht aufgrund eines technischen Defekts.
  • Nicht aus Mangel an Fachwissen.
  • Weil die Organisation jedoch nicht in der Lage ist, in Echtzeit zu kommunizieren, Aufgaben zuzuweisen, Vorgänge zu verfolgen und Anpassungen vorzunehmen.

Und genau hier kommt die Krisenkoordination als fehlende Ebene ins Spiel.


Jede Cyberkrise wird zu einem Koordinationsproblem

Ohne Kommunikation kann man keine Entscheidungen treffen. In einer Krise gilt das umso mehr.

Sicherheits-, IT-, Rechts- und Kommunikationsabteilungen, Führungskräfte, Unternehmensleiter sowie externe Partner müssen alle gleichzeitig handeln – oft mit unvollständigen Informationen und sich ändernden Prioritäten.

Ohne einen strukturierten Ansatz zur Koordinierung dieser Aktivitäten greifen die Teams auf die ihnen zur Verfügung stehenden Werkzeuge zurück:

  • E-Mail-Konversationen
  • Chat-Nachrichten
  • Tabellenkalkulationen
  • Persönliche Notizen
  • Telefonkonferenzen
  • Whiteboards
Abbildung 1: Eine zu große Anzahl unterschiedlicher Tools behindert eine effektive Reaktion auf Cyberangriffe.

Für sich genommen funktionieren diese Instrumente. Zusammen führen sie jedoch zu einer Zersplitterung.

Aufgaben gehen unter. Die Zuständigkeiten sind unklar. Informationen sind widersprüchlich. Entscheidungen werden ohne vollständigen Kontext getroffen. Und Führungskräfte sind gezwungen, zu handeln, ohne einen Überblick darüber zu haben, was tatsächlich vor sich geht.

In einer Krise ist diese mangelnde Koordination nicht nur ineffizient – sie ist gefährlich.

  • Man kann keine guten Entscheidungen treffen, wenn man nicht das Gesamtbild vor Augen hat.
  • Ein Plan lässt sich nicht umsetzen, wenn niemand weiß, wer für den nächsten Schritt verantwortlich ist.
  • Sie können Ihr Handeln später nicht rechtfertigen, wenn Sie nicht nachweisen können, was geschehen ist.

Krisenmanagement ist nicht nur incident response– es ist die koordinierte Steuerung

Moderne Cybervorfälle werden nicht mehr von einem einzigen Team bewältigt. Sie erfordern ein koordiniertes Vorgehen im gesamten Unternehmen.

Das bedeutet, dass incident response nicht mehr nur technischer Natur incident response .

  • Es ist betriebsbereit.
  • Es handelt sich um eine Führungsposition.
  • Das ist rechtmäßig.
  • Es ist finanzieller Natur.
  • Es geht um den Ruf.

Um ein solches Maß an Komplexität zu bewältigen, bedarf es mehr als nur Dokumenten.
Es bedarf einer koordinierten Abwicklung.

Eine effektive Koordinierungsfähigkeit im Krisenfall sollte Folgendes gewährleisten:

  • Klare Aufgabenverteilung und Zuständigkeiten
  • Echtzeit-Einblick in den Fortschritt und eventuelle Hindernisse
  • Festgelegte Arbeitsabläufe, die auf die Art des Vorfalls abgestimmt sind
  • Entscheidungsnachverfolgung und Eskalationswege
  • Teamübergreifende Kommunikationskoordination
  • Zentrale Dokumentation von Maßnahmen und Ergebnissen

Ohne diese Elemente versagt selbst das am besten konzipierte Krisenmanagementkonzept bei der Umsetzung.

Mit ihnen können Unternehmen schneller handeln, an einem Strang ziehen und auch bei sich verändernden Rahmenbedingungen die Kontrolle behalten.


Die Realität der modernen incident response: Verteilte Teams und keine Zeit für die Zusammenstellung

Früher ging man bei der Krisenbewältigung von einer Annahme aus, die heute nicht mehr zutrifft: dass die richtigen Personen an einem Tisch zusammenkommen könnten.

Heutzutage sind Unternehmen weltweit tätig und nutzen hybride Arbeitsumgebungen, Cloud-Plattformen sowie Dienste von Drittanbietern. Mitarbeiter in kritischen Funktionen können sich in verschiedenen Städten, Ländern oder Zeitzonen befinden. Die Rechtsabteilung arbeitet möglicherweise aus der Ferne. Führungskräfte sind möglicherweise auf Reisen. Wichtige technische Ressourcen können bei Managed-Service-Providern oder externen Partnern angesiedelt sein.

In einer echten Cyberkrise bleibt keine Zeit, einen physischen Krisenstab einzurichten. Und selbst wenn dies möglich wäre, könnten die Personen, auf die Sie am dringendsten angewiesen sind, möglicherweise nicht schnell genug vor Ort sein. Das Warten darauf, dass sich alle versammeln, kostet Zeit – und in einer Krise ist Zeit die wertvollste Ressource, über die Sie verfügen.

Jede Stunde, die durch Koordinationsverzögerungen verloren geht, kann Folgendes bedeuten:

  • Längere Ausfälle
  • Erhöhte finanzielle Auswirkungen
  • Erhöhte Datenexposition
  • Versäumte behördliche Fristen
  • Verlust des Kundenvertrauens

Das traditionelle Modell des Krisenmanagements – bei dem alle Beteiligten an einem Ort zusammenkommen, um sich abzustimmen – lässt sich nicht auf moderne Organisationen übertragen.

Aus diesem Grund ist das Konzept einer virtuellen Leitstelle unverzichtbar geworden.

Abbildung 2: Um ihre Krisenvorsorge zu verbessern, müssen Organisationen regelmäßig Tabletop-Übungen durchführen, bei denen alle Beteiligten an praktischen, realistischen Cyber-Krisenszenarien teilnehmen.

Der virtuelle Krisenstab: Krisenkoordination ohne räumliche Grenzen

Eine moderne Krisenbewältigung erfordert einen Ort, an dem die Koordination unverzüglich erfolgen kann, unabhängig davon, wo sich die Beteiligten befinden.

Eine virtuelle Kommandozentrale – oder ein virtueller Kriegsraum – ermöglicht es Organisationen, die richtigen Personen zusammenzubringen, ohne dass diese physisch an einem Ort anwesend sein müssen. Dieser virtuelle Raum bietet entscheidende Vorteile:

  • Teams können von überall aus sofort beitreten
  • Die Unternehmensleitung kann einen Echtzeit-Überblick behalten
  • Aufgaben können ohne Verwechslungen zugewiesen werden
  • Die Kommunikation bleibt zentralisiert
  • Entscheidungen werden unmittelbar nach ihrer Fassung dokumentiert
  • Bei Bedarf können externe Partner einbezogen werden

Anstatt darauf zu warten, dass alle in denselben Raum kommen, kommt der Raum zu ihnen.

Das ist mehr als nur eine Erleichterung. Es ermöglicht es Unternehmen, sofort mit der Bewältigung der Krise zu beginnen, anstatt wertvolle Zeit damit zu verlieren, die Maßnahmen zu organisieren.

In verteilten Umgebungen ist Orchestrierung nicht nur hilfreich – sie ist unverzichtbar.

Ohne eine zentrale Koordinationsstelle zerfällt die Reaktion schnell in Nebengespräche, unzusammenhängende Informationen und nicht nachverfolgbare Entscheidungen. Wir müssen die wichtigsten Einsatzkräfte zusammenbringen, damit sie kommunizieren, Informationen austauschen, Entscheidungen auf der Grundlage der aktuellen Lage treffen und die Informationslücke zwischen den Teams verringern können.

Ein virtueller Krisenstab schafft in den chaotischsten Momenten eine zentrale Informationsquelle – so können verteilte Teams wie eine einzige, koordinierte Einsatzgruppe agieren, selbst wenn sie über die ganze Welt verstreut sind.


Transparenz führt zu besseren Entscheidungen

In „Rethinking Cyber Crisis Management“ habe ich die Bedeutung der Festlegung von Entscheidungsbefugnissen und geschäftlichen Prioritäten erörtert.

Doch Autorität allein reicht nicht aus. Führungskräfte können ohne Transparenz keine wirksamen Entscheidungen treffen.

In Krisenzeiten müssen Entscheidungsträger Folgendes verstehen:

  • Was bereits abgeschlossen wurde
  • Was noch in Arbeit ist
  • Was ist gesperrt?
  • Welche Systeme sind betroffen?
  • Welche Risiken nehmen zu?
  • Welche Maßnahmen werden die größte Wirkung erzielen?

Ohne diese Transparenz werden Entscheidungen zu Vermutungen, die sich nur schwer begründen oder verteidigen lassen – was zu einer Entscheidungsunfähigkeit beiträgt.

Wenn die Koordination gewährleistet ist, können Führungskräfte den Stand der Maßnahmen in Echtzeit verfolgen. Sie können Prioritäten auf der Grundlage von Fakten und nicht von Annahmen setzen. Sie können Kurskorrekturen vornehmen, ohne die Kontrolle über die Umsetzung zu verlieren.

Dies ermöglicht es einem Unternehmen, von reaktivem Handeln zu bewusster Vorgehensweise überzugehen – selbst mitten in einer Krise.


Auch nach dem Ende des Vorfalls ist Rechenschaftspflicht wichtig

Einer der am häufigsten übersehenen Aspekte der Krisenbewältigung ist das, was nach dem Ereignis geschieht.

Jeder schwerwiegende Cybervorfall wirft letztendlich Fragen auf:

  • Was ist passiert?
  • Wann haben wir davon erfahren?
  • Wer hat diese Entscheidung getroffen?
  • Warum haben wir diese Maßnahme ergriffen?
  • Haben wir unseren Prozess eingehalten?
  • Hätten wir es besser machen können?

Diese Fragen können von Aufsichtsbehörden, Kunden, Wirtschaftsprüfern, Vorständen, Versicherern oder der internen Unternehmensleitung gestellt werden.

Wenn die Reaktion über E-Mails, Chat-Protokolle und vereinzelte Notizen abgewickelt wurde, ist es nahezu unmöglich, den zeitlichen Ablauf nachzuvollziehen. Dies birgt auch lange nach der Behebung des technischen Vorfalls noch Risiken.

Eine koordinierte Reaktion bietet etwas anderes:

  • Eine Aufstellung der ergriffenen Maßnahmen
  • Eine Zeitleiste der Entscheidungen
  • Dokumentation der Genehmigungen
  • Anzeichen für eine Abstimmung
  • Nachweis dafür, dass die Organisation ihren Prozess eingehalten hat

Dies dient nicht nur der Einhaltung von Vorschriften. Es schützt das Unternehmen. Es ermöglicht Führungskräften, ihre Entscheidungen selbstbewusst zu vertreten.

Und im heutigen regulatorischen und rechtlichen Umfeld ist dies ebenso wichtig wie die Reaktion selbst.


Die Orchestrierung trägt auf jeder Ebene zur Reifung bei

Eines der größten Missverständnisse ist, dass Orchestrierung nur für sehr ausgereifte Unternehmen gedacht ist.

In Wirklichkeit ist das Gegenteil der Fall.

  • Organisationen mit geringem Reifegrad benötigen Struktur.
  • Organisationen mit hohem Reifegrad benötigen Koordination.
  • Unternehmen in der Mitte brauchen Beständigkeit.

Die Orchestrierung ist in jeder Phase hilfreich.

  • Weniger ausgereifte Organisationen gewinnen an Struktur.
  • Erfahrenere Organisationen gewinnen an Tempo.
  • Reife Organisationen gewinnen an Kontrolle und Verteidigungsfähigkeit.

Orchestrierung ersetzt die Planung nicht. Sie sorgt dafür, dass die Planung auch unter Druck umsetzbar bleibt.

Abbildung 3: Das Capability Maturity Model (CMM) – ein weithin anerkanntes Rahmenwerk zur Bewertung von Geschäftsprozessen – wird häufig eingesetzt, um Unternehmen dabei zu unterstützen, ihre Reife im Bereich Cybersicherheit zu steigern.

Wie Unternehmen nach einem Cybervorfall wieder die Oberhand gewinnen

Jede Organisation hofft, eine Krise vermeiden zu können. Doch Zwischenfälle lassen sich nicht vermeiden .

Der Unterschied zwischen Organisationen, die sich schnell erholen, und solchen, die damit zu kämpfen haben, liegt nicht in der Anzahl ihrer Leitfäden.

Die Frage ist, ob sie dazu in der Lage sind:

  • Sich auf das Wesentliche konzentrieren
  • Treffen Sie Entscheidungen ohne zu zögern
  • Unternehmensweit koordinieren
  • Behalten Sie auch unter Druck den Überblick
  • Halten Sie fest, was geschehen ist
  • ihre Handlungen im Nachhinein rechtfertigen

Genau das ermöglicht eine effektive Krisenbewältigung.

  • Es setzt Pläne in die Tat um.
  • Es setzt Entscheidungen in Taten um.
  • Es verwandelt Chaos in Ordnung.

Und wenn sich der Staub gelegt hat, können die stärksten Organisationen etwas sagen, was nur wenige andere können.

Wir haben nicht nur reagiert. Wir haben die Krise bewältigt.


Erfahren Sie mehr