Krisenmanagement in der Cybersicherheit? Erstellen Sie einen Incident Response Plan

Organisationen werden immer häufiger Ziel von Cyber-Attacken. Diese Attacken kommen zudem immer unerwartet. Denken Sie nur an die Log4J-Sicherheitslücke aus 2021: Am Freitagnachmittag tritt eine Krise ein und Sie müssen handeln – und zwar sofort und richtig. Wie stellen Sie sicher, dass Sie in einem solchen Moment die richtigen Informationen an die richtigen Personen weitergeben? Was müssen Sie regeln, damit Sie schnell reagieren können? Wie verhindern Sie, dass Ihre Mitarbeiter in Panik geraten und Fehler machen?

Cybersicherheit bei TOPdesk

Im Krisenmanagement-Team von TOPdesk arbeiten wir ständig an solchen Fragen, um möglichen Problemen immer einen Schritt voraus zu sein. Meine Erfahrung in diesem Team hat mich gelehrt, dass es schwierig ist, eine (Cyber-)Attacke zu bewältigen, ohne einen vorbereiteten Plan in der Schublade zu haben. Die Betroffenen geraten in Panik, brauchen sofort Informationen und verlieren schnell den Überblick. Sie müssen im Voraus wissen, wie Ihre Organisation auf eine Krise reagieren wird.

Das ist der eigentliche Zweck eines Incident Response Plan (IPR, Vorfallreaktionsplan): noch Unbekanntes bekannt machen. Ein solcher Vorfallreaktionsplan beschreibt beispielsweise, was bei einem Datenleck zu tun ist. Gibt es in Ihrer Organisation bereits einen Incident Response Plan? In vielen Organisationen ist das nicht der Fall. Dann ist es höchste Zeit, einen solchen Plan auszuarbeiten. In diesem Blogartikel erkläre ich Ihnen, warum ein Vorfallreaktionsplan notwendig ist und wie Sie ihn erstellen.

Datenleck? Dann verlieren Sie keine Zeit

Sobald Sie eine Meldung zu einem Vorfall wie zum Beispiel eine Ransomware-Attacke erhalten, tickt die Uhr. Hinzu kommt, dass Sie als Organisation gesetzlich verpflichtet sind, eine Datenschutzverletzung innerhalb von 72 Stunden an die Datenschutzbehörde zu melden. Diese Zeit vergeht jedoch schneller, als Sie denken; der Countdown läuft auch am Wochenende weiter!

Außerdem benötigen Sie diese Stunden dringend, um das Ausmaß der Attacke zu bestimmen, Systeme herunterzufahren, Protokolldateien zu sichern, die Organisation zu informieren usw. Deshalb brauchen Sie ein bereits ausgearbeitetes Konzept – oder anders ausgedrückt: einen Incident Response Plan.

Ein guter Incident Response Plan erspart viel Panik

Ein Incident Response Plan beschreibt Schritt für Schritt, was im Ernstfall zu tun ist. Wie Sie den Plan ausgestalten, bleibt Ihnen überlassen. Wichtig ist, dass der Plan auf Ihre Organisation abgestimmt ist. Sie können beispielsweise Kriterien zur Bestimmung der Art des Incidents aufnehmen oder vorgefertigte E-Mail-Vorlagen hinzufügen, mit denen Sie die Organisation oder Kunden über den Incident und seine möglichen Auswirkungen informieren.

Achten Sie darauf, dass der Plan umsetzbar und vollständig ist, damit Sie bis ins kleinste Detail auf einen Vorfall vorbereitet sind. Ganz gleich, ob der Incident am Montagmorgen oder in der Silvesternacht eintritt.

Der Hilferuf braucht nur einen Mausklick: Unser Krisenmanagement-Team erhält automatisch in Microsoft Teams eine Benachrichtigung und in dringenden Fällen auch eine SMS.

Erstellen des Incident Response Plans

Aber wo fangen Sie bei der Erstellung eines solchen Plans an? TOPdesk verfügt über die nötige Erfahrung. Gerne teile ich mit Ihnen meine Tipps und Tricks.

Ein Team, eine Aufgabe

Stellen Sie zunächst ein Krisenmanagement-Team zusammen. Schließlich wollen Sie vermeiden, dass Mitarbeiter, die einen Incident melden, von Pontius zu Pilatus geschickt werden. Wählen Sie daher Personen aus, die die Organisation kennen, einen kühlen Kopf bewahren und gut erreichbar sind. Achten Sie zum Beispiel darauf, dass die Mitglieder Ihres Krisenmanagement-Teams nicht alle zur gleichen Zeit in den Ferien sind. So haben die Mitarbeiter Ihrer Organisation immer einen Ansprechpartner, auf den sie zurückgreifen können.

Wenn Sie dies im Vorfeld regeln, haben Sie Zeit, die am besten geeigneten Personen zusammenzustellen, abteilungsübergreifend zu suchen und Schulungen zu organisieren, um das Team mit den Verfahren vertraut zu machen. Bei TOPdesk haben wir ein zehnköpfiges multidisziplinäres Team zusammengestellt, das alle sechs Monate eine hypothetische Krisensituation übt. So ist das Team immer bereit zu handeln, wenn ein Vorfall vermutet wird.

TOPdesk als Retter in der Not

Nun, da Sie ein Team haben, müssen Sie sicherstellen, dass jeder es erreichen kann. Wussten Sie, dass Sie dies direkt über die TOPdesk Umgebung veranlassen können? Unter anderem mit einer Panik-Knopf. Bei TOPdesk haben wir auf der Startseite unseres eigenen Self Service Portals eine Panik-Schaltfläche eingeführt. Die Schaltfläche ist gut sichtbar und steht all unseren Mitarbeiter zur Verfügung. Gibt es einen Grund zur Panik? Hat jemand einen Fehler gemacht, zum Beispiel auf einen falschen Link geklickt, oder jemand braucht Hilfe?

Der Hilferuf braucht nur einen Mausklick: Unser Krisenmanagement-Team erhält automatisch in Microsoft Teams eine Benachrichtigung und in dringenden Fällen auch eine SMS. So wird der Meldung sofort nachgegangen – und unsere Mitarbeiter wissen, was Sache ist. Und was wir können, das können Sie auch! Installieren daher auch Sie eine solche Schaltfläche in Ihrer TOPdesk Umgebung.

Bei einem großen Incident bündeln Sie alle Fragen zu einem Themenschwerpunkt und erreichen schnell alle Beteiligten.

Ein weiterer wichtiger Punkt besteht darin, wie Sie die Beteiligten informieren. Auch dabei kann Ihnen TOPdesk helfen. Schließlich ist es mühsam, jede Stunde ein Update per E-Mail zu verschicken. Vor allem, wenn Sie in mehreren Ländern tätig sind und Meldungen oder Nachrichten übersetzen müssen. Was tun Sie beispielsweise, wenn Sie unmittelbar nach einer solchen E-Mail Kenntnis von neuen, wichtigen Informationen erhalten? Und wie antworten Sie auf Fragen, die bereits in einer früheren Nachricht beantwortet wurden?

Aus diesem Grund eröffnet TOPdesk im Falle einer Krisensituation immer einen Major Incident und erstellt einen Wissensartikel. Bei einem Major Incident bündeln Sie alle Fragen zu einem Themenschwerpunkt und erreichen schnell alle Beteiligten. Wenn Sie in Ihrer Kommunikation auf einen Wissensartikel verweisen, können alle Personen jederzeit auf die neuesten Informationen zugreifen und auch die Übersetzung können Sie schnell in die Wege leiten.

Von A bis Z geregelt

Das Krisenteam zu benennen und den Panik-Knopf zu installieren, ist das eine. Aber das eigentliche Krisenmanagement beginnt erst danach. Kommunikation ist dabei das A und O. Denn Sie wollen Ihre Mitarbeiter nicht zusätzlich in Panik versetzen oder Ihren eigenen Helpdesk mit Fragen überschwemmen. Die Feinabstimmung der richtigen Kommunikation während einer Krise nimmt jedoch viel zu viel Zeit in Anspruch. Kümmern Sie sich daher im Vorfeld darum und hinterlegen Sie Mustertexte in Ihrem Incident Response Plan.

Das Gleiche gilt für das Regeln von Genehmigungen. Stellen Sie sich vor, Outlook oder ein anderes kritisches System ist mit Malware infiziert. Dann müssen Sie vielleicht entscheiden, das Programm (vorübergehend) abzuschalten. Wer trifft diese Entscheidung? Sie können die Berechtigungen sehr gut im Voraus regeln und in Ihren Vorfallreaktionsplan aufnehmen. Tatsächlich sollten Sie dies sogar im Voraus tun. Denn wenn der Vorfall eintritt, haben Sie dafür keine Zeit mehr.

Eine Teamleistung

TOPdesk glaubt, dass das Management von Incidents eine Teamleistung sein sollte. Deshalb helfen wir Ihnen gerne, Ihre Umgebung so einzurichten, dass Ihre Organisation Incidents schnell, effizient und gemeinsam lösen kann.

Lassen Sie TOPdesk für sich arbeiten und übernehmen Sie rechtzeitig die Kontrolle, zum Beispiel mit einem Panik-Knopf und den korrekten zugehörigen Verfahren. Ein Vorfallreaktionsplan ist dabei enorm hilfreich. Wenn Sie einen solchen Plan ausgearbeitet haben, können Sie sicher sein, dass Sie auf Incidents vorbereitet sind und Panik vermeiden.

Sind Sie inspiriert, sich für eine sicherere Datenumgebung einzusetzen? Und brauchen Sie Hilfe bei der Erstellung Ihres Incident Response Plans? Gerne können Sie einen Blick auf unseren eigenen Incident Response Plan werfen.