Home » Fachbeiträge » Security Management » Grundlagen für das Krisenmanagement

Herausforderungen und Lösungen für die Koordination zwischen IT-Fachstab und Krisenstab: Grundlagen für das Krisenmanagement

Im Fall einer Cyberattacke ist eine schnelle und effektive Reaktion entscheidend, um Schäden zu minimieren und die Wiederherstellung zu beschleunigen. Das erfordert eine nahtlose Zusammenarbeit zwischen dem spezialisierten Fachstab, der sich mit den technischen Aspekten der Cybersicherheit befasst, und dem übergeordneten Krisenstab, der die gesamte Reaktion der Organisation steuert und dabei Aspekte wie Produktion und Vertrieb, Anlagensicherheit oder Umweltschutz im Blick behalten muss.

6 Min. Lesezeit
Grafik mit zwei passenden Puzzleteilen, die zusammengeschoben werden
Foto: ©AdobeStock/IRStone

Dieser Artikel beleuchtet die Herausforderungen, die bei der Koordination dieser beiden Teams auftreten können, und schlägt praktische Lösungsansätze vor.

Nach Jahren mit zumeist nur wenigen Fällen praktischer Krisenstabsarbeit haben seit dem Beginn der Corona-Pandemie und dem anschließenden Krieg in der Ukraine die Krisenstäbe oder Taskforces in sehr vielen Unternehmen in hoher Frequenz getagt – gleichzeitig nahmen Cyberattacken weiter zu. Manche Organisationen mussten sogar mehrere Krisen parallel bearbeiten.

Herausforderungen

Dabei haben die Autoren dieses Artikels folgende Herausforderungen beobachtet, die Unternehmen während eine Krise bewältigen müssen:

  • Kommunikationsbarrieren:
    Einer der größten Stolpersteine ist die unterschiedliche Fachsprache, die von IT-Spezialisten und Mitgliedern des Krisenstabs verwendet wird. Während IT-Teams dazu neigen, in technischen Begriffen zu kommunizieren, benötigen Krisenmanagementteams Informationen in einem Format, das die Auswirkungen auf das Geschäft und die notwendigen Entscheidungen klar darstellt.
  • Informationsüberflutung:
    In der Hitze des Gefechts kann die Menge an technischen Daten überwältigend sein. Die Herausforderung besteht darin, relevante Informationen zu filtern und sie in „Actionable Intelligence“ für den Krisenstab zu übersetzen.
  • Entscheidungsfindung unter Unsicherheit:
    Cybersicherheitsvorfälle entwickeln sich schnell und sind oft von Unsicherheit geprägt. Die Entscheidungsfindung kann durch unvollständige Informationen behindert werden. Dadurch wird die Koordination erschwert.
  • Rollen- und Verantwortlichkeitskonflikte:
    Die Abgrenzung der Zuständigkeiten zwischen dem Fachstab und dem Krisenstab kann zu Konflikten führen, insbesondere wenn schnelle Entscheidungen getroffen werden müssen. Besonders der letzte Punkt ist von zentraler Bedeutung, denn technische Entscheidungen und Reaktionen sind nur eine Seite der Antwort auf einen Angriff. Die andere Seite sind die übergeordneten Aspekte wie Kommunikationsstrategie und -umsetzung, rechtliche Aspekte oder ein mögliches Akzeptanzproblem im Markt mit einhergehendem Reputationsschaden für das Gesamtunternehmen.

Lösungsansätze

Aus den genannten Herausforderungen lassen sich folgende Lösungsansätze ableiten:

  • Integration von Cyberrisikomanagement in die Unternehmenskultur:
    Die Sensibilisierung und Schulung aller Mitarbeiter im Bereich Cybersicherheit kann dazu beitragen, das Bewusstsein für die Bedeutung und die Anforderungen einer effektiven Krisenreaktion zu schärfen.
  • Festlegung klarer Rollen und Verantwortlichkeiten:
    Eindeutige Richtlinien und ein klar definiertes Command-and-Control-Framework können helfen, Überschneidungen und Konflikte zu vermeiden.
  • Gemeinsame Trainings und Simulationen von Krisenstab und Fachstab:
    Regelmäßige gemeinsame Trainings und simulierte Cyberattacken können dabei unterstützen, das Verständnis zwischen den Fachstäben und dem übergeordneten Krisenstab zu verbessern. Cross-Training fördert ein besseres Verständnis der jeweiligen Herausforderungen und Arbeitsweisen.
  • Einrichtung von Kommunikationsprotokollen:
    Vordefinierte Kommunikationsprotokolle und -tools können helfen, die Informationsübertragung zu standardisieren und Missverständnisse zu reduzieren. Klare Richtlinien dafür, welche Informationen wann und in welcher Form geteilt werden, sind essenziell.
  • Klare Kommunikation der Krisenmanagement-Ziele durch den Krisenstab:
    Eine Maßnahme, die über den IT-Sektor hinaus großen Nutzen bringt, ist die Festlegung klarer Ziele, die im jeweiligen Ernstfall durch das Krisenmanagement erreicht werden sollen. Das hat den Vorteil, dass allen beteiligten Fachexperten transparent wird, dass verschiedene Probleme gleichzeitig angegangen werden müssen. So kann zum Beispiel in einem Technologieunternehmen der Schutz des eigenen Know-hows wichtiger sein als die sofortige Wiederaufnahme der Produktion oder in Krankenhäusern das Leben und die Gesundheit der Patienten eine höhere Priorität haben als eine forensische Untersuchung. Je klarer die Prioritäten, desto weniger Reibungsverluste.
  • Einsatz von Cyber-Security-Dashboards:
    Visualisierungstools und Dashboards, die Echtzeitinformationen über den Sicherheitsstatus liefern, können die Informationsaufnahme und Entscheidungsfindung für die übergeordneten Ziele eines Krisenstabs erheblich erleichtern.

Orientierungshilfe ISO 22361

Mit der ISO 22361:2022 „Sicherheit und Resilienz – Krisenmanagement – Leitlinien“ gibt es einen umfassenden Text zum Krisenmanagement, der Organisationen aller Größenordnungen dabei unterstützt, die genannten Herausforderungen zu meisten. Die Norm bietet Leitlinien für die Entwicklung strategischer Fähigkeiten im Krisenmanagement auf organisatorischer Ebene und geht damit über die Anforderungen an einen Fachstab hinaus.

Der von der Internationalen Organisation für Normung (ISO) herausgegebene Standard zielt darauf ab, Organisationen aller Größen und Arten dabei zu unterstützen, effektiver auf Krisen
zu reagieren. Zu den wichtigsten Vorteilen der Anwendung der ISO 22361 gehören:

1. Verbesserte Reaktionsfähigkeit auf Krisen: 
Die Norm bietet einen Rahmen für die Planung, Etablierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Krisenmanagementprogramms. Dies hilft Organisationen, ihre Reaktionsfähigkeit auf unerwartete Ereignisse zu verbessern.

2. Strategische Risikominderung:
ISO 22361 unterstützt Organisationen, potenzielle Krisen und ihre Auswirkungen zu identifizieren und zu bewerten, was eine proaktive Risikominderung ermöglicht.

3. Stärkung der Resilienz:
Durch die Entwicklung und Implementierung von Krisenmanagementstrategien und -plänen können Organisationen ihre Widerstandsfähigkeit gegenüber Unterbrechungen stärken und die Erholungszeit nach einem Vorfall verkürzen.

4. Verbesserte Kommunikation:
Die Norm legt Wert auf effektive Kommunikationsstrategien sowohl intern als auch extern. Das sorgt für klarere Kommunikationswege während einer Krise, was zur Minimierung von Missverständnissen und zur Verbesserung der Koordination beiträgt.

5. Einbindung von Stakeholdern:
ISO 22361 betont die Bedeutung der Einbindung aller relevanten Stakeholder in das Krisenmanagementprogramm, was zu einer verbesserten Zusammenarbeit und Unterstützung führt.

6. Einhaltung gesetzlicher und regulatorischer Anforderungen:
Die Anwendung der Norm kann Organisationen dabei unterstützen, relevante gesetzliche, regulatorische und vertragliche Anforderungen zu erfüllen, insbesondere in Bezug auf Krisenmanagement und Geschäftskontinuität.

7. Kontinuierliche Verbesserung:
Die Norm fördert einen zyklischen Prozess der Planung, Durchführung, Überprüfung und Verbesserung des Krisenmanagements, was zu einer kontinuierlichen Leistungssteigerung führt.

8. Internationale Anerkennung:
Da ISO 22361 international anerkannt ist, können Organisationen, die diese Norm implementieren und befolgen, ihre Glaubwürdigkeit und ihr Engagement für hervorragendes Krisenmanagement gegenüber Kunden, Partnern und Regulierungsbehörden demonstrieren.

Eine Besonderheit der Norm ist ihr Schwerpunkt auf dem Thema „Führen in der Krise“. Dem wird beispielsweise durch Abschnitte zur Auswahl und Ausbildung geeigneter Personen und zur strukturierten Entscheidungsfindung Rechnung getragen.

Indem sie die ISO 22361 Norm umsetzen, können Organisationen nicht nur ihre Fähigkeit verbessern, auf Krisensituationen zu reagieren, sondern auch das Vertrauen ihrer Stakeholder stärken und langfristig nachhaltigen Erfolg sichern. Bei der Umsetzung dieser Norm hilft auch der praxisorientierte Leitfaden der Risk Management Association (RMA). Das von Experten auf diesem Gebiet verfasste Dokument listet Schritt für Schritt die Maßnahmen auf, die zum Aufbau einer funktionsfähigen Krisenorganisation notwendig sind (siehe Kasten).

Cover Leitfaden zum Krisenmanagement ISO 22361

Leitfaden zum Krisenmanagement ISO 22361

Leitfaden zum Krisenmanagement nach ISO 22361:2022

Der Leitfaden zum Krisenmanagement ISO 22361 ist als Band 10 in der Schriftenreihe der Risk Management Association (RMA) erschienen. Er stellt eine detaillierte Anleitung zur Umsetzung der ISO 22361 in der Praxis für alle Organisationen dar. Der Leitfaden basiert neben den praktischen Erfahrungen der Mitglieder der Autorengruppe auf den persönlichen Beobachtungen von Klaus Bockslaff während der Verhandlungen der Norm in der ISO-Arbeitsgruppe. Das Werk ist für alle Organisationen – unabhängig von ihrer Größe und den regulatorischen Anforderungen an ein Krisenmanagement (Stufenmodell) – nutzbar und enthält praktische Tipps als Umsetzungsideen.

Als Mitglied der Schweizer Delegation in der zuständigen Arbeitsgruppe der ISO hat Klaus Bockslaff, Autor und Gründer der Verismo GmbH, an den Arbeiten zur Erstellung der neuen ISO 22361 mitgewirkt und die dabei gewonnenen Erkenntnisse in den Leitfaden einfließen lassen. Zudem enthält der Leitfaden ein Stufenmodell für die Umsetzung des Krisenmanagements.

Im Wesentlichen richtet sich der Leitfaden an strategische Entscheidungsträger, also alle Personen, die sich in ihren Organisationen, wie zum Beispiel Unternehmen und Organisationen des öffentlichen Rechts, mit der Einführung und Fortentwicklung eines Krisenmanagement-Systems beschäftigen. Dabei sind insbesondere die Krisenmanagement-Verantwortlichen, aber auch Risiko- und Business-Continuity-Manager in den Organisationen zu nennen.

Zudem bietet der Leitfaden eine Grundlage für die interne Revision der Organisationen bei der Prüfung des Krisenmanagements.

Bestellungen sind über den Buchhandel möglich. Der Preis beträgt 29,95 €.

Fazit

Die Koordination zwischen Fachstab und Krisenstab bei einer Cyberattacke ist eine komplexe Aufgabe, die klare Kommunikation, vordefinierte Protokolle und ein tiefes gegenseitiges Verständnis erfordert. Durch die Umsetzung der vorgeschlagenen Lösungsansätze unter Berücksichtigung der Norm ISO 22361 können Organisationen ihre Resilienz gegenüber Cyberbedrohungen stärken und eine effektive Reaktion im Fall eines Angriffs sicherstellen.

Porträt Peter Markovitz

Peter Markovitz ist Senior Consultant für Notfall- und Krisenmanagement und PECB Certified ISO/IEC 27001 Lead Auditor bei der Verismo GmbH.

Porträt Dr. Petra Sonne-Neubacher

Dr. Petra Sonne-Neubacher ist Chemikerin mit langjähriger Industrieerfahrung und seit 2007 geschäftsführende Gesellschafterin der PSN Wirtschaftsberatung.

Andere interessante Fachbeiträge

Digitales Schild

So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder en...

Abstrakte Collage zu KI und Gesetzen

KI und IT-Governance: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist bereits heute ein unverzichtbares Werkzeug für Unternehmen, die ihre Wettbewerbsfähigkeit stärken und neue technologische Möglichkeiten ausschöpfen ...

Cybercrime

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

TLS ist der wichtigste kryptografische Standard für digitale Kommunikation im Internet. Durch Implementierungsfehler entstehen jedoch immer wieder Sicherheitslücken, die für komple...