Gastbeitrag 16.11.2018, 08:00 Uhr

Was tun, wenns brennt?

Eine systematische Führungsmethodik hilft, zielgerichtet und gleichzeitig flexibel auf Cyberattacken zu reagieren. Im Umgang mit herausfordernden Situationen kann auf Erfahrungen von Blaulichtorganisationen zurückgegriffen werden.
Der Autor: Jörg Ochsner ist Senior Consultant im Bereich «Cyber Security & Privacy» beim ICT-Beratungsunternehmen AWK Group und Feuerwehrkommandant. www.awk.ch
Dichter Rauch steigt aus dem Dach des Hauses, die Flammen suchen sich ihren Weg nach draussen und das Feuer droht auf das Nachbargebäude überzugreifen. Der Einsatzleiter beginnt den gut eingeübten Führungsrhythmus durchzudenken: Wo lauern Gefahren? Wo befinden sich Menschen in Not? Welches Ausmass hat der Vorfall? Wie wird sich die Lage entwickeln? Welche Mittel der Brandbekämpfung stehen zur Verfügung? Beinahe reflexartig legt er die Einsatzreihenfolge fest und entscheidet, was wo mit welchen Mitteln getan werden soll. Während der nächsten Stunden wird der Einsatzleiter den Führungsrhythmus immer wieder durchgehen und kontrollieren, ob die von ihm ergriffenen Massnahmen wirken.
Eine unbekannte Situation, Zeitdruck, ungenügende Information und schwierige Entscheide kennzeichnen nicht nur Feuerwehreinsätze. Wenn eine Firma oder Organisation eine Cyberattacke bewältigen muss, stehen die verantwortlichen Personen vor ähnlichen Herausforderungen. Oft fehlen ihnen aber die nötigen Methoden und die Erfahrung, um in einer solchen Situation effektiv zu führen.

Führungsrhythmus

Ein strukturierter, aus fünf Phasen bestehender Führungsrhythmus hat sich in allen Blaulichtorganisationen bewährt. Der erste Schritt «Feststellen» dient dazu, die zu bewältigende Aufgabe zu überblicken, zu gliedern, zu gewichten und ihre Dringlichkeit zu erkennen. Der zweite Schritt «Beurteilen» schafft die Grundlage, um eine Idee zu entwickeln, wie der Vorfall bewältigt werden kann, in welcher Reihenfolge die Handlungen ausgeführt werden und wie die beteiligten Organisationen zusammenwirken sollen.
Im dritten Schritt «Entscheiden» führt die Entwicklung dieser Idee zu konkreten Entscheidungen, die dann im vierten Schritt «Handeln» durch klar formulierte Aufträge Handlungen auslösen. Im fünften Schritt «Kontrollieren» wird schliesslich überprüft, ob die gewählten Handlungen wirken, was zu neuen Erkenntnissen über die Bedrohungslage führt und einen weiteren Zyklus auslöst.
Dieser Rhythmus bietet den Einsatzleitern ein systematisches mentales Modell, das in unbekannten Situationen eine zielgerichtete und flexible Führung ermöglicht.

Von der Feuerwehr lernen

Dieser Führungsrhythmus kann auch bei der Bewältigung von Cyberattacken angewendet werden, indem er in allen sechs Phasen des Cyber-Response-Prozesses mehrmals durchlaufen wird. Der Cyber-Response-Prozess selbst gliedert sich in die folgenden Phasen:
  1. Vorbereitung: Aufbauen, Erhalten und Verbessern der Reaktionsfähigkeit bei sicherheitsrelevanten Vorfällen
  2. Identifikation: Bestätigen, Kategorisieren, Eingrenzen und Priorisieren von sicherheitsrelevanten Vorfällen
  3. Eindämmung: Minimieren des Schadens durch Datenverlust, Informationsdiebstahl oder Serviceunterbruch
  4. Beseitigung: Entfernen der Bedrohung
  5. Wiederherstellung: Sicheres und schnelles Wiederherstellen der Systeme und Services
  6. Lessons Learned: Identifizieren von prozessualen sowie organisatorischen und technischen Massnahmen für die Verbesserung der Abläufe beim nächsten Event

Umsetzung in der Praxis

Damit der Führungsrhythmus im Ernstfall gelebt wird, sind folgende Vorbereitungsschritte nötig. Erstellen Sie einen Cyber-Response-Plan. In diesem werden die Rollen und Verantwortlichkeiten für die Vorfallbewältigung definiert. Es handelt sich dabei nicht nur um technische Rollen; unter anderem müssen auch Aspekte der Kommunikation und der rechtlichen Beurteilung eines Vorfalls berücksichtigt werden. Die Rollen müssen ausserdem ausreichend Handlungskompetenz besitzen, um den ganzen Führungsrhythmus anwenden und Entscheide treffen zu können.
Um den Führungsrhythmus zu verinnerlichen, muss er immer wieder angewendet werden können. Regelmässige Übungen zählen daher als fester Bestandteil zur Vorbereitungsphase des Cyber-Response-Prozesses.
Bleiben Sie wachsam! So wie bei einem Brand allenfalls Nachlöscharbeiten notwendig sind, muss bei einer Cyberattacke sorgfältig geprüft werden, ob die dabei ausgenutzten Schwachstellen eliminiert sind.

Lernen Sie aus tatsächlichen Vorfällen

Jeder Cybervorfall bietet die Chance, den eigenen Cyber-Response-Prozess zu überprüfen. Schliessen Sie die Vorfallbewältigung ab, indem Sie Massnahmen zur kontinuierlichen Verbesserung beurteilen und initiieren.

Das könnte Sie auch interessieren