IT-Sicherheitsvorfall – was tun? (2)

Organisieren Sie sich – ruhig, aber zügig

Zwei Aufgaben sollten als erstes bearbeitet werden. Zum einen müssen Sie alle für die

Datensicherheit verantwortlichen oder mitverantwortlichen Personen informieren. Dazu zählen der Datenschutzbeauftragte – intern oder extern, die für die IT-Sicherheit verantwortliche Stelle und selbstverständlich die IT. Ebenso muss selbstverständlich die Geschäftsleitung informiert werden. Genauso wichtig ist, dass ein Krisenstab entweder gebildet oder – wenn dieser Kreis bereits definiert ist – aktiviert wird. Damit wird Ihr Unternehmen in die Lage versetzt, die Krisensituation zu managen.

Die Lage klären

Versuchen Sie, alle verfügbaren Informationen zu sammeln und an alle Beteiligten zu kommunizieren. Nur so können tragfähige Entscheidungen getroffen werden.

Mögliche zu klärende Fragen sind die folgenden: Was ist geschehen? Wie wurde es bemerkt? Wer hat es bemerkt? Welche Auswirkungen kann der Cyber-Angriff haben? Welche Funktionsbereiche im Unternehmen müssen unter allen Umständen weiter betrieben werden? Ist die Sicherung der Beweise sichergestellt? Wie wird der Vorfall nach außen kommuniziert? Je nach Einzelfall sind einige weitere Punkte zu erörtern.

Kommunikation in Krisensituationen

Der gezielten Kommunikation kommt im Fall von IT-Sicherheitsproblemen eine entscheidende Rolle zu. Deswegen sollte umgehend ein Experte die Verantwortung für die Weitergabe von Informationen übernehmen. Das kann beispielsweise der Pressesprecher des Unternehmens oder eine beratende Person außerhalb des Unternehmens sein. Grundsätzlich sollten alle Informationen, die das Unternehmen verlassen, nicht nur wahr, sondern auch in Bezug auf ihre Wirkung auf Herz und Nieren geprüft werden. Dabei ist übrigens nicht nur an die externe Kommunikation zu denken, sondern ebenso an interne Benachrichtigungen. Letztere können auch genutzt werden, um den Mitarbeiterinnen und Mitarbeitern zu erklären, wie mit externen Stellen über den Vorfall kommuniziert wird.

Meldepflichten

Sofern Meldepflichten bestehen, etwa weil eine Verletzung des Datenschutzes vorliegt, ist die Aufsichtsbehörde für Datenschutz zu informieren. Im Bereich Kritischer Infrastrukturen sind weitere Stellen zu benachrichtigen. Ansonsten ist immer auch an Geschäftspartner, Auftraggeber und -nehmer sowie an Versicherungen zu denken. Bei kriminellen Cyber-Angriffen müssen auch die ermittelnden Stellen involviert werden.

Sie möchten Ihr Unternehmen für den Fall der Fälle vorbereiten?

Dann sind wir gern an Ihrer Seite! Rufen Sie uns unter Telefon 09122 6937302 an oder senden Sie uns eine Nachricht. Dann besprechen wir in Ruhe, wie wir Sie am besten unterstützen können.

Ihr Team von Datenschutz Prinz

Lesen Sie auch hier weiter:

• Folge 1: Erste Maßnahmen bei Cyberangriffen
• Folge 3: Technische Sofortmaßnahmen für den Notfall
• Folge 4: Vorfälle melden, richtig reagieren, für die Zukunft planen