Free1970 - stock.adobe.com
Incident Response: Die Kommunikation bei Vorfällen regeln
Kommunikation ist für einen wirksamen Reaktionsplan auf Vorfälle von entscheidender Bedeutung. Fünf bewährte Verfahren, wie Firmen Informationen erfassen und weitergeben können.
Cybersicherheitsvorfälle erfordern eine sorgfältige Koordination zwischen dem Vorfallreaktionsteam und einer Vielzahl von internen und externen Interessengruppen. Ein Kommunikationsplan für die Reaktion auf Vorfälle ist eine wichtige Komponente des umfassenderen Reaktionsplans einer Organisation. Dieser Plan steuert und lenkt die Kommunikationsbemühungen.
Wie bei anderen Elementen der Notfallplanung sollte eine Organisation ihren Krisenkommunikationsplan in einer ruhigen Phase entwickeln, um eine fundierte Entscheidungsfindung zu ermöglichen. Der Versuch, spontan gute Entscheidungen zu treffen, während ein Sicherheitsvorfall unter hohem Druck abläuft, kann schnell verheerende Folgen haben.
Lassen Sie uns einen Blick auf fünf Maßnahmen werfen, die Sie ergreifen können, um sicherzustellen, dass Ihr Kommunikationsplan für Vorfälle so effektiv wie möglich ist.
1. Den Aktivierungsprozess des Notfallteams formalisieren
Die erste wichtige Kommunikation, die nach einem Sicherheitsvorfall stattfindet, ist die Aktivierung des Notfallteams. Jeder Mitarbeiter, der einen Sicherheitsvorfall vermutet, sollte das Security Operations Center (SOC) des Unternehmens oder eine andere zugewiesene 24/7-Überwachungsstelle kontaktieren. Das SOC sollte nach einem Standardverfahren feststellen, ob der Vorfall die Aktivierung des gesamten Notfallteams rechtfertigt.
In Fällen, in denen das SOC feststellt, dass die Aktivierung eines Teams erforderlich ist, ist die Zeit von entscheidender Bedeutung. Unternehmen sollten die Einführung eines Alarmierungsmechanismus mit entsprechenden Tools oder Diensten in Betracht ziehen. Diese Tools verwalten Bereitschaftspläne, lösen Alarme über mehrere Kommunikationskanäle aus und liefern Informationen zum Status der Beteiligten. Durch die Auslagerung dieser Aufgaben auf eine spezielle Plattform werden die SOC-Analysten entlastet und das Incident-Response-Team kann schneller einberufen werden.
2. Eine Kontaktperson für die externe Kommunikation benennen
Sobald ein Sicherheitsvorfall bekannt wird, drängen externe Interessengruppen auf Informationen. Das Krisenreaktionsteam wird mit Anfragen von Kunden, Medien, Aufsichtsbehörden und anderen Beteiligten konfrontiert. Die Krisenkommunikation erfordert eine koordinierte Reaktion, um Gerüchte zu kontrollieren und sicherzustellen, dass das Unternehmen über alle Kommunikationskanäle hinweg eine klare und einheitliche Botschaft vermittelt.
Ein Unternehmen sollte eine Kommunikationsfunktion in seinem Incident-Response-Team einrichten, um diese konsistente und koordinierte Sicht auf den Vorfall durch regelmäßige Updates an externe Interessengruppen weiterzugeben.
3. Einbeziehung der Strafverfolgungsbehörden und Meldepflichten
Zwei der wichtigsten Entscheidungen, mit denen ein Krisenreaktionsteam konfrontiert ist, sind die folgenden:
- ob es angebracht ist, die Strafverfolgungsbehörden einzuschalten; und
- wann eine Benachrichtigung der Strafverfolgungsbehörden erfolgen sollte.
Dies sind schwierige Entscheidungen, da die Beteiligung der Strafverfolgungsbehörden häufig die Art der Untersuchung verändert und die Wahrscheinlichkeit erhöht, dass die Öffentlichkeit auf sie aufmerksam wird. Andererseits haben die Mitarbeiter der Strafverfolgungsbehörden Zugang zu erweiterten Ermittlungsinstrumenten, die den internen Teams nicht zur Verfügung stehen.
Kommunikationspläne für die Reaktion auf einen Vorfall sollten dieses Dilemma lösen, indem sie klare Kriterien dafür aufstellen, wann das Team die Strafverfolgungsbehörden unter Berücksichtigung der gesetzlichen Vorschriften benachrichtigen sollte. Der Plan sollte auch festlegen, wer im Team die Befugnis hat, diese Entscheidung zu treffen, und welche internen Benachrichtigungen erfolgen sollten, bevor die Strafverfolgungsbehörden eingeschaltet werden. So sollte sich das Team beispielsweise vor der Einschaltung der Behörden sowohl mit der Geschäftsleitung als auch mit dem Rechtsbeistand beraten.
Neben den Strafverfolgungsbehörden sollten an dieser Stelle auch die Meldepflichten an alle anderen Behörden berücksichtigt werden, etwa beim Thema Datenschutz (siehe auch DSGVO: Die Meldepflichten bei Datenpannen richtig einhalten).
4. Kommunikationsvorlagen für die Kundenansprache entwickeln
Viele Sicherheitsvorfälle erfordern ein gewisses Maß an Kommunikation mit Kunden oder der Öffentlichkeit, und jeder Kommunikationsplan zur Reaktion auf einen Vorfall sollte dies berücksichtigen. Je nach Art des Vorfalls, etwa bei Datenschutzverletzungen, können hier auch verschiedene Vorschriften zum Tragen kommen, was die Benachrichtigung von Kunden angeht.
Dabei kann es sich um eine vorgeschriebene Benachrichtigung nach einer unbefugten Freigabe personenbezogener Daten handeln oder um eine Erklärung für Kunden über eine Serviceunterbrechung. Die Häufigkeit, die Qualität und der Inhalt dieser Mitteilungen haben einen erheblichen Einfluss auf die öffentliche Wahrnehmung, und diese Faktoren können den mit einem Sicherheitsvorfall verbundenen Imageschaden entweder begrenzen oder vergrößern.
Deshalb sind Kommunikationsvorlagen so wichtig für einen Kommunikationsplan zur Reaktion auf einen Vorfall. Sie sind vielleicht sogar das wichtigste Instrument, das ein Kommunikationsplanungsteam den Einsatzkräften zur Verfügung stellen kann. Es ist äußerst schwierig, eine durchdachte, sorgfältige Benachrichtigung zu verfassen, und viele Leute werden daran beteiligt sein wollen, von Kundenbetreuern und Führungskräften bis hin zu Anwälten und PR-Experten.
Die Entwicklung von vorab genehmigten Kommunikationsvorlagen für die Reaktion auf Zwischenfälle kann diese Hürden im Voraus beseitigen, so dass das Reaktionsteam nur noch die Lücken ausfüllen und die Sprache der Vorlage bei Bedarf anpassen muss.
5. Soziale Medien überwachen
Soziale Medien sind ein äußerst wichtiger Kommunikationskanal zwischen vielen Unternehmen und der breiten Öffentlichkeit. Kunden sind schnell dabei, ihren Unmut über ein Unternehmen öffentlich zu äußern, indem sie einen Kommentar oder ein Posting. Zwar sollten Unternehmen ihre Erwähnungen in den sozialen Medien ohnehin regelmäßig überwachen, doch wird dies im Falle einer Krise, zum Beispiel eines Cybervorfalls, besonders wichtig.
Social Media Feeds können dem Incident-Response-Team einen schnellen Überblick über die Stimmung der Kunden verschaffen und ein schnelles Eingreifen ermöglichen, wenn die Gerüchte außer Kontrolle geraten. Darüber hinaus können die Berichte in den sozialen Medien dem Team wichtige Indikatoren für die Serviceleistung, die Offenlegung von Informationen und andere Fakten liefern, die die Prioritäten für die Reaktion beeinflussen können.
Eine schnelle und wirksame Kommunikation ist ein wesentlicher Bestandteil einer wirksamen Reaktion auf einen schwerwiegenden Vorfall im Bereich der Cybersicherheit, wie zum Beispiel eine Datenschutzverletzung. Solide Kommunikationspläne für Vorfälle bieten Mechanismen für Folgendes:
- schnelle Benachrichtigung der Beteiligten;
- die Koordinierung der internen und externen Kommunikation; und
- Beobachtung der Stimmung der Kunden.
Diese Instrumente verbessern die Fähigkeit des Unternehmens, auf eine Krise zu reagieren, und tragen dazu bei, den Schaden für den Ruf zu minimieren.
Kommunikationswege klären
Abseits aller inhaltlichen Fragen ist bei einem Kommunikationsplan für einen Vorfall auch der technische beziehungsweise organisatorische Aspekt zu berücksichtigen. Je nach Vorfall ist es wahrscheinlich, dass die gesamte Kommunikationstechnologie des Unternehmens, die IP-basiert ist, nicht zur Verfügung steht. Sprich, sowohl E-Mail, als auch Telefon und Fax sowie Chat-Lösungen können weder zur internen noch zur externen Kommunikation genutzt werden. Daher muss geklärt, wie das Vorfallreaktionsteam informiert wird, wie die Mitglieder des Teams untereinander kommunizieren und die weitere Kommunikation ablaufen kann, bis die hierfür notwendige Infrastruktur wieder zur Verfügung steht. Und auch wenn diese Infrastruktur nach einem Sicherheitsvorfall noch funktioniert, kann es ratsam sein, diese nicht zu benutzen, da Angreifer eventuell verfolgen, welche Kommunikation darüber abgewickelt wird.