Information Technology Reference
In-Depth Information
Gibt es vorgefertigte Pressemitteilungen zu gängigen Sicherheitsvorfällen,
zum Beispiel Website-Defacements oder Verletzungen des Kunden-
Datenschutzes?
Sind den PR-Profis alle relevanten Medien mit Security-Bezug bekannt
und kennen sie Ansprechpartner in den Redaktionen?
Existiert ein auf Sicherheitsvorfälle im Bereich IT und Datenschutz
ausgerichteter Presse-Verteiler?
Ist bekannt, in welchen Schritten Sicherheitsvorfälle von den IT-
Sicherheitsbeauftragten, Datenschützern oder Sicherheitsbeauftragten
abgearbeitet werden?
Ist bekannt, wer bei Sicherheitsvorfällen für die PR-Profis intern der
Ansprechpartner ist und wie die Kommunikation während der Krise
laufen soll?
Mit diesen Fragen ist der Grundstein gelegt, um die Kompetenzen der Medien-
Profis mit denen der Security-Profis zu einer sinnvollen Krisen-PR zu kombinieren,
die dem Security-Team den Rücken frei hält, sich um den eigentlichen Vorfall
kümmern zu können. Dadurch kommt der Krisen-PR die Aufgabe zu, über den
Vorfall zu informieren und in gewisser Weise vom eigentlichen Geschehen
abzulenken. Wenn zum Beispiel einer Zeitung eine CD mit vertraulichen
Kundendaten zugespielt wird, gibt es die Möglichkeit auf die Öffentlichkeit
zuzugehen, bevor die Artikel der Fach-Medien geschrieben sind, oder erst danach.
Im ersten Fall handelt man, während man im zweiten Fall nur noch reagiert. Die
Zeitspanne zwischen Handeln und Reagieren ist dabei reichlich kurz. Wenn der
Pressesprecher keine Ansprechpartner hat und sich darauf verlässt, die Presse über
die Website mit Meldungen zu versorgen, dann kann das natürlich nicht
funktionieren, wenn die Website offline ist.
Aber nicht nur extern muss richtig informiert werden. Auch intern gibt es unter
Umständen Informationsbedarf. Dies betrifft zuerst den Personenkreis, für den
man - wie im vorigen Abschnitt empfohlen - festgelegt hat, dass ihm tiefere
Einblicke in den Sicherheitsvorfall zu gewähren sind, aber auch die Mitarbeiter
haben einen Anspruch auf Informationen, die über ein knappes
„Website offline“
hinaus gehen. Dieser Aspekt der internen Kommunikation greift auch auf den
Ratschlag aus Abschnitt 4.6 zurück:
„Tue Gutes und rede darüber.“
Der
Sicherheitsvorfall darf im Flurgespräch zwischen den Mitarbeitern nicht zu einem
Verriss des Security-Teams werden. Spekulationen darüber, ob man auch
„alles im
Griff“
habe, oder
„den Vorfall hätte verhindern können“
, wenn man nur nicht immer
„die Leute mit Bildschirmschonern und abgeschlossenen Türen quälen“
würde, müssen
dringend verhindert werden.
Im Grunde hat man intern denselben Mechanismus wie extern: Wenn Menschen
