Geschrieben von Uwe Sievers
Was tun, wenn ein Ransomware-Angriff den Betrieb lahmlegt? Wer vorbereitet ist, kann mit solchen Situationen besser umgehen. Notfallmanagement sollte daher sowohl die IT-Security als auch die Unternehmensleitung interessieren.
Spätestens seit dem Hochwasser in NRW und anderen Teilen der Republik sind Krisenstäbe jedem geläufig. Doch über deren Aufbau und Methodik ist wenig bekannt. Erst recht nicht, wenn es um IT-basierte Notsituationen geht. Dabei ist gerade bei Cyber-Angriffen eine schnelle Reaktion notwendig.
Allerdings ist nicht jede gravierende Störung sofort eine Krise. Fachleute unterscheiden zwischen verschiedenen Kategorien, die Ausmaß und Schwere eines Ereignisses ausdrücken. Probleme der einfachsten Kategorie werden als Vorfälle bezeichnet. Es handelt sich dabei gewöhnlich um Störungen, die eine IT-Fachabteilung mit eigenen Mitteln relativ kurzfristig bewältigen kann. Dem Vorfall und dessen Bewältigung widmet sich ein zweiter Beitrag zum Thema Incidence Response.
Ist das Ausmaß größer, müssen Experten hinzugezogen werden, oder ist der Schaden unüberschaubar, ist vom Notfall die Rede. Dann kommt ein Notfallmanager zum Einsatz. Er muss die unternehmensweiten Prozesse kennen und in der Lage sein, die richtigen Experten im Haus zusammenzuziehen. Das IT-Notfallmanagement fällt normalerweise in den Verantwortungsbereich der IT-Sicherheit. Erst wenn ein Ereignis Ausmaße annimmt, die etwa die Existenz des Unternehmens bedrohen oder zur Gefahr für Personen werden, gilt es als Krise. Nun wird ein Krisenstab eingesetzt, der im Falle einer vorherigen Eskalation schon in der Notfallphase über die Bedrohungslage informiert wurde.
Die Katastrophe bildet die letzte Eskalationsstufe. Sie tritt bei einem Großschadensereignis ein, dessen Gefahrenpotenzial über das Unternehmen hinausreicht, zum Beispiel ein Chemieunfall. Aber auch außerhalb des Unternehmens entstehende Problemsituation wie Überschwemmungen können einen Katastrophenfall auslösen. Eine kurze Übersicht über diese Kategorien liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Spezielle Einrichtungen wie etwa Krankenhäuser oder Kraftwerke haben oft von der beschriebenen Einteilung abweichende Kategorisierungen.
Während bei Notfällen zumeist ein Notfallmanager zum Einsatz kommt, wird der Krisenstab erst bei einer Krise aktiviert. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) definiert eine Krise als eine „vom Normalzustand abweichende Situation mit dem Potenzial für oder mit bereits eingetretenen Schäden an Schutzgütern, die mit der normalen Ablauf- und Aufbauorganisation nicht mehr bewältigt werden kann“. Daher wird in solchen Situationen eine „besondere Aufbauorganisation“ (BAO) notwendig und als solche fungiert der Krisenstab. Er ist für die strategische Steuerung des Unternehmens im Krisenfall verantwortlich. Um in einer solchen Situation schnelle Handlungsfähigkeit zu erreichen, bedarf es allerdings umfangreicher Vorbereitungen.
Ein Krisenstab sollte so zusammengesetzt sein, dass alle Unternehmensbereiche eingebunden sind. Das entwickelt sich jedoch häufig zu einem Politikum, insbesondere, wenn zwischen verschiedenen Unternehmensbereichen Machtkämpfe toben. Neben Vertretern aller Fachbereiche sollten auch IT und Personalabteilung vertreten sein. Bei einem IT-Sicherheitsvorfall ist natürlich die IT-Security einzubinden. Oft vergessen wird der Bereich Unternehmenskommunikation, er kann jedoch in kritischen Situationen von besonderer Bedeutung sein. Schließlich müssen Maßnahmen und Verhaltensregeln an die Mitarbeiter vermittelt werden. Ferner muss die Kommunikation zu externen Instanzen geführt werden, wie etwa Presse, Lieferanten oder Kunden.
Außerdem sollten Vertreter benannt werden, denn es ist nicht davon auszugehen, dass der Krisenstab nur „nine to five“ arbeiten wird. Zu den weiteren Aufgaben des Krisenstabs gehören regelmäßige Lageberichte, um sich über die aktuelle Lage zu informieren und diese zu bewerten, die Anordnung von Notfallmaßnahmen sowie die Überwachung der Umsetzung, insbesondere hinsichtlich ihrer Wirkung. „Es ist wünschenswert, dass die Entscheidungen im Krisenstab einvernehmlich getroffen werden“, schreibt das BSI. Aber es weiß auch, dass das nicht immer der Fall ist: „Sollte dies nicht gelingen, entscheidet der Leiter des Stabs“.
