Organisatorische Aspekte der Incident Response

Zur Reaktion auf einen Cyber-Angriff gehören nicht nur technische und kommunikative Maßnahmen, sondern auch organisatorische Aspekte. Gut organisierte Strukturen und Prozesse sind die Grundlage einer effektiven Incident Response.

Zu den notwendigen organisatorischen Schritten zur Bewältigung einer Cyber-Attacke gehören der Aufbau eines Krisenstabs mit einer klaren Rollenverteilung und einer gezielten Schulung der einzelnen Teammitglieder, das Entwickeln von reibungslosen Krisenstabsprozessen und einer klaren Krisenkommunikationsstrategie, die Koordination von externen Dienstleistern, der Aufbau eines stabilen Notbetriebs und die Einhaltung gesetzlicher Vorschriften.

In diesem Artikel werden wir die verschiedenen administrativen Aspekte der Incident Response näher beleuchten.

Der Aufbau eines Krisenstabs (auch bekannt als Incident Response Team, kurz: IRT) und das Implementieren von funktionalen Krisenstabsprozessen sind zwei zentrale organisatorische Aspekte bei der Abwehr von Cyber-Bedrohungen. Der Krisenstab setzt sich aus Fachpersonal für IT-Sicherheit, PR- und Rechtsexperten sowie Vertretern von anderen Abteilungen und der Führungsebene zusammen.

Die Hauptaufgabe des Krisenstabs besteht darin, die Bedrohung abzuwehren, etwaige Schäden zu minimieren und den regulären Betrieb so schnell wie möglich wiederherzustellen. Darunter fallen verschiedene Aufgaben wie die Identifikation und Analyse des IT-Vorfalls, die Priorisierung und Koordination der Gegenmaßnahmen, die Kommunikation mit internen und externen Akteuren und die Dokumentation des gesamten Vorfalls.

Schauen wir uns an, welche Rollen und Verantwortlichen durch das Incident Response Team abgedeckt und wie die Prozesse im IRT strukturiert werden müssen, damit die Aufgaben bestmöglich erfüllt werden können.

Aufbau eines Krisenstabs

Idealerweise sollten die Rollen und Verantwortlichkeiten im Incident Response Team vorab im Rahmen der organisatorischen Prävention von Cyber-Angriffen definiert und die Krisenstabsprozesse etabliert und geübt werden. Sollte das nicht der Fall sein, müssen die notwendigen Strukturen zur Bewältigung eines Cyber-Angriffs spontan etabliert werden.

Ein gut organisiertes Incident Response Team besteht aus verschiedenen Experten, die bestimmte Rollen übernehmen. Dazu gehören:

• Krisenstabsleiter, der die Incident Response koordiniert und sicherstellt, dass alle Ressourcen genutzt und alle Aufgaben korrekt verteilt und erledigt werden
• IT-Sicherheitsanalysten, die den Vorfall untersuchen und die Ergebnisse der Analyse dokumentieren
• Protokollführer, der die Prozesse, Entscheidungen und Handlungen dokumentiert
• Mitglieder verschiedener Fachabteilungen (z. B. Personalabteilung), die die Verbindung zu den jeweiligen Abteilungen herstellen und in ihrem Fachbereich unterstützen
• Kommunikationsverantwortlicher, der die interne und externe Kommunikation während des Vorfalls koordiniert (bei Bedarf inklusive PR und Medien)
• Vertreter der Rechtsabteilung, der in allen rechtlichen Fragen berät und die Einhaltung geltender Compliance-Anforderungen bei der Beseitigung des Vorfalls überwacht
• Vertreter der Führungsebene (z. B. Chief Information Security Officer), der eine Verbindung zwischen dem IRT und der Geschäftsleitung herstellt
• IT- und Netzwerkadministratoren, die technischen Maßnahmen zur Reaktion auf den Cyber-Angriff implementieren und ausführen
• Verantwortliche für die Visualisierung des Vorfalls, der ein einheitliches Lagebild (z. B. in der Form eines Kanban-Boards) erstellt
• Externe Experten und Dienstleister, die in den Bereichen unterstützen, in denen es dem Unternehmen bzw. der Organisation an Know-how fehlt

Implementierung von Krisenstabsprozessen

Der Aufbau eines IRT allein reicht nicht aus, um ein effektives Krisenmanagement im Falle eines Cyber-Angriffs zu gewährleisten. Auch die Prozesse und Abläufe bei der Bewältigung von IT-Vorfällen müssen klar geregelt sein. Hierunter fallen Aspekte wie:

• Kommunikationskanäle (idealerweise Kommunikation über einen zentralen, sicheren Kommunikationskanal) und Informationsfluss
• Bildung von sinnvollen Substäben
• Häufigkeit von Meetings zum Informationsaustausch und zur Situationsbewertung
• Prozesse zur Entscheidungsfindung
• Dokumentation und Berichtswesen
• Einbindung von und Zusammenarbeit mit externen Dienstleistern

Die Krisenkommunikation ist ein essenzieller Bestandteil der Bewältigung von Cyber-Angriffen. Sie umfasst sowohl die interne als auch die externe Kommunikation von Informationen zum Vorfall und beinhaltet je nach Größe des Unternehmens und Schadensausmaß auch Pressearbeit und Social-Media-Kampagnen.

Zur internen Kommunikation gehören zum einen die Kommunikationsprozesse und der Austausch innerhalb des Incident Response Teams und zum anderen das Informieren der Belegschaft. Die externe Kommunikation umfasst das Informieren von Geschäftspartnern und weiteren Stakeholdern, Kunden, Drittanbietern und sonstigen Akteuren der Lieferkette. Hierunter fallen auch das Melden des Vorfalls an die zuständigen Behörden und an die Cyberversicherung (sofern vorhanden) sowie das Ausarbeiten einer PR-Strategie und die Kommunikation mit den Medien.

Allgemein ist es wichtig, eine klare Kommunikationsstrategie zu entwickeln und umzusetzen, die sicherstellt, dass Informationen in dem Maße und zu dem Zeitpunkt an die Öffentlichkeit kommuniziert werden, wie es dem Unternehmen dienlich ist.

Die Dienstleistersteuerung ist ein weiterer zentraler Bestandteil der Incident Response. Da die meisten Unternehmen nicht über die notwendigen internen Strukturen und Ressourcen verfügen, um angemessen auf Cyber-Angriffe zu reagieren, spielen externe Dienstleister eine wichtige Rolle. Für einen reibungslosen Ablauf müssen letztere aber effektiv koordiniert und in die internen Krisenstabsprozesse eingebunden werden.

Zu den externen Spezialisten, deren Dienste häufig bei der Reaktion auf Cyber-Angriffe in Anspruch genommen werden, gehören IT-Forensiker, IT-Sicherheitsexperten, Rechtsberater, Kommunikationsagenturen und auch die Mitarbeitenden der Cyberversicherung des Unternehmens bzw. deren Spezialmakler.

Tatsächlich sollte der erste Schritt bei der Bewältigung von IT-Vorfällen für Unternehmen und Organisationen, die über eine Cyberversicherung verfügen, darin bestehen, den Cyber-Angriff zu melden und darüber Unterstützung bei der Bewältigung des Vorfalls zu erhalten. Viele Anbieter von Cyberversicherungen decken auch den Bereich Incident Response mit ab und verfügen über ein Netzwerk an Dienstleistern, die im Ernstfall schnell mobilisiert werden können.

Sind die externen Dienstleister zur Verstärkung des internen Incident Response Teams einmal ausgewählt, müssen sie wirksam in die Prozesse eingebunden und koordiniert werden. Im Incident Response Team sollte es einen zentralen Ansprechpartner geben, der die Dienstleistersteuerung übernimmt und sicherstellt, dass alle immer auf dem neuesten Stand sind und synchron arbeiten. Auch der Zugriff auf Daten, Systeme und Anwendungen muss bei der Einbindung von externen Dienstleistern zentralisiert gesteuert werden.

Je nach Schwere und Ausmaß des Cyber-Angriffs kann es passieren, dass die IT-Infrastruktur weitgehend lahmgelegt ist. Deshalb besteht eines der wichtigsten Ziele der Incident Response darin, einen stabilen Notbetrieb aufzubauen.

Als Notbetrieb wird die Fähigkeit eines Unternehmens verstanden, selbst während eines Cyber-Angriffs und der daraus resultierenden Systemeinschränkungen die wichtigsten Geschäftsprozesse aufrechtzuerhalten. Das bedeutet, dass nur die unbedingt notwendigen Systeme und Prozesse betrieben werden, während die betroffenen Systeme gesperrt bzw. isoliert sind.

Es handelt sich hierbei um eine temporäre Phase, die es dem Unternehmen ermöglicht, den Zeitraum zu überbrücken, bis die IT-Systeme wiederhergestellt sind und ein normaler Betrieb möglich ist. Um das zu gewährleisten, muss geklärt werden, welche kritischen Prozesse und Funktionen in jedem Fall aufrechterhalten werden müssen und ob bei Bedarf eventuell vorübergehend auch auf manuelle Prozesse umgestellt werden kann, um die Geschäftskontinuität zu gewährleisten.

Dazu gehört es auch zu klären, welche Prozesse wie und wann in den Notbetrieb überführt und welche Systeme priorisiert wiederhergestellt werden müssen. Idealerweise liegt hierfür ein detaillierter Notfallplan bereit, der genau diese Aspekte der organisatorischen Reaktion auf Cyber-Angriffe regelt. Die konkrete Umsetzung fällt dann in den Bereich der technischen Reaktionsmaßnahmen auf Cyber-Vorfälle.

Je nach Unternehmensgröße, Branche und Art des Cyber-Vorfalls müssen Unternehmen und Organisationen bei der Bewältigung von IT-Vorfällen bestimmte Melde- und Dokumentationspflichten sowie Compliance-Anforderungen bezüglich Datenschutz beachten. Diese Anforderungen stammen aus verschiedenen Gesetzen und regulatorischen Vorgaben wie der DSGVO (Datenschutzgrundverordnung), der NIS2-Richtlinie und weiteren branchenspezifischen Regelungen.

Laut DSGVO muss ein IT-Vorfall, der zu einer Verletzung personenbezogener Daten führt (z. B. Datenleck oder ein Ransomware-Angriff auf Kundendaten), binnen 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Außerdem müssen die durch den Vorfall betroffenen Personen zeitnah informiert werden.

Sicherzustellen, dass alle geltenden Meldepflichten und sonstigen Compliance-Anforderungen erfüllt werden, ist ebenfalls Teil der organisatorischen Aspekte, die es im Rahmen der koordinierten Reaktion auf Cyber-Attacken zu berücksichtigen gilt.