Sie müssen davon ausgehen, dass eine:r Ihre:r Mitarbeiter:innen den Vorfall entdeckt. Sie brauchen eine leicht zu merkende, immer erreichbare Kommunikationsmöglichkeit für Ihre Mitarbeiter:innen, um den Vorfall präsent zu machen. Der Abschnitt für Ihr Incident Response Dokument und die Informationen die Sie an Ihre Mitarbeiter:innen kommunizieren, könnte also so aussehen:
Schreiben Sie eine E-Mail an [email protected]. Dies wird die Verantwortlichen sofort benachrichtigen. Schreiben Sie alles in diese erste E-Mail, was Ihnen aufgefallen ist. Egal wie unwichtig Ihnen ein Detail erscheint, erwähnen Sie alles und möglichst zeitnah.
Das erste was Sie als Verantwortlicher tun müssen, ist die Kritikalität des Vorfalls zu bestimmen. Ist es nötig die Geschäftsführung zu benachrichtigen, da der Vorfall kritisch ist? Müssen Sie schnell handeln und auch mitten in der Nacht tätig werden oder sollte der Vorfall zwar untersucht werden aber Sie müssen niemanden wecken? Insbesondere Vorfälle mit hoher Kritikalität sollten erst behandelt werden, wenn klar ist, dass der Vorfall legitim ist. Wenn Sie jedem unbestätigten Indiz nachgehen, schlafen Sie vermutlich nur noch selten.
Verdächtiges Verhalten gehört klassischerweise zu diesen Vorfällen. Es gibt keine eindeutigen Beweise für die Beeinträchtigung eines IT-Systems oder von anderen Unternehmensassets. Verdächtige E-Mails gehören beispielsweise dazu. Tritt ein solches Ereignis auf sollte der Verantwortliche das ganze untersuchen
Es ist äußerst wahrscheinlich, dass ein Angreifer bereits Zugang zur Infrastruktur erhalten haben könnte oder Daten abrufen könnte hat beziehungsweise das Risiko, dass es passiert ist sehr hoch. Wird über solche Vorfälle per E-Mail kommuniziert, sollte im Betreff immer das Schlüsselwort DRINGEND enthalten sein.
Angreifer haben bereits Zugang zur Infrastruktur erhalten und es sind eventuell bereits erste Daten abgeflossen. Die aktive Ausnutzung von Schwachstellen wurde bestätigt. Die Geschäftsführung ist zwingend zu involvieren. Es ist unter Umständen notwendig, externe Hilfe zu beziehen, beispielsweise zur Aufklärung des Vorfalls oder zur Steuerung der Krisenkommunikation.
Ist sichergestellt, dass die Kommunikation nicht komprommitiert ist? Gibt es Anzeichen dafür? Wenn ja, wechseln Sie dringend den Kommunikationskanal.
Der Verantwortliche für den Incident Response wird einen alternativen Kommunikationskanal vorschlagen, wenn es Anzeichen gibt, dass die Kommunikation kompromittiert wurde. Die temporäre Kommunikation wird über Telefonate eingerichtet.
Handelt es sich um einen internen Vorfall, spielen eventuell besondere Aspekte eine Rolle. Die Geschäftsführung und der Personalverantwortliche sollten benachrichtigt werden, auch für die Kommunikationsaufnahme mit dem:der entsprechenden Mitarbeiter:in. Handelt es sich um einen externen Partner oder Lieferanten sind eventuell weitere Stellen ebenfalls mit einzubeziehen.
Ist der Vorfall durch einen internen Mitarbeitenden, Partner oder Lieferanten entstanden muss zuerst die Geschäftsführung informiert werden, um das weitere Vorgehen zu besprechen. Auf keinen Fall dürfen solche Fälle zuerst mit anderen Mitarbeitenden geführt werden.
In dieser Tabelle sammeln Sie alle Informationen, die Sie zur Hand haben müssen über die Personen, die Sie bei kritischen Vorfällen benachrichtigen und in den Krisenstab berufen müssen. Die Personen sollten Risiken kennen, nicht in Panik verfallen und zuhören können.
| Name | Telefonnummer | Funktion |
|---|---|---|
| Barbara Meissner | 000000 | Incident Responder |
| Stefan Zimmermann | 00000 | Geschäftsührung |
| Frauke Handsz | 00000 | Personalabteilung |
Im Falle eines Vorfalls sollten Sie relevante Dokumentationen zur Hand haben beziehungsweise innerhalb kürzester Zeit sammeln können, um einen Überblick zu haben und dem Angreifer einen Schritt voraus zu sein. Wichtige Dokumentation ist beispielsweise eine aktuelle Liste aller IT-Systeme oder ein Netzplan.
Richten Sie ein regelmäßiges Meeting des Krisenstabs ein. Je nach Kritikalität täglich. Damit Sie nicht alleine dastehen und Sie alle Zügel in der Hand halten, ist es sinnvoll vorher bereits feste Rollen zuzuschreiben. Wer ist Zuständig für die Kommunikation im Rahmen des Breaches? Wer sammelt beweise? Wer kommuniziert mit Kunden und Partnern oder den Medien?
Bei kritischen Vorfällen wird ein wiederkehrendes Meeting eingerichtet, bei der alle relevanten Stakeholder auf einen Stand gebracht werden können und weitere Schritte diskutiert werden können. Es wird eine Zeitlinie geführt, die den Vorfall genau dokumentiert. Es werden Fakten und Mythen rund um den Vorfall interaktiv gesammelt und aktualisiert. Es werden dort kurzfristige und langfristige Maßnahmen besprochen, um den Vorfall zu deeskalieren. Eine Kommunikationsstrategie wird abgestimmt und auch rechtliche Fragen werden geklärt, insbesondere wenn Daten abgeflossen sind. Dies kann ein DSGVO-Vorfall sein.
In dieser Liste haben Sie externe Partner stehen, die Ihnen im Falle eines Falles unterstützend zur Seite stehen. Hier können beispielsweise Forensiker, Krisenkommunikatoren oder auch Aufsichtsbehörden stehen.
| Name | Telefonnummer | Funktion |
|---|---|---|
| Datenschutzbehörde | 000000 | muss informiert werden, bei Abfluss von Daten |
| AWARE7 GmbH | 00000 | unterstützt bei der Aufklärung des Vorfalls |
| Polizei NRW | 00000 | unterstützt bei kriminalistischer Aufklärung |
Wenn Sie bereits entsprechende Richtlinien oder Checklisten haben, sollten Sie diese hier erwähnen und auflisten.
Sie sollten ab einer bestimmten Kritikalität des Vorfalls eine Aufarbeitung durchführen, um zukünftige ähnliche Vorfälle zu vermeiden.
Die Aufarbeitung findet in einem Meeting mit der Geschäftsführung und allen beteiligten Akteuren statt. Der IR-Verantwortliche koordiniert und organisiert das Meeting.