Information Technology Reference
In-Depth Information
anderweitig beschaffen oder selbst zusammenreimen - beides kann nicht im Sinne
der Security-Profis sein. Wenn sich erst einmal die Meinung durchgesetzt hat, dass
einem der Sicherheitsvorfall über den Kopf gewachsen ist, ändert das auch keine
E-Mail mehr, die darauf hinweist, dass man jederzeit Herr der Lage war.
Zu einer erfolgreichen Krisen-PR gehört daher nicht nur eine funktionierende
externe Kommunikation, sondern auch der interne Informationsfluss muss
gesteuert werden. Je nach Unternehmensgröße kann man sich bei beiden Aufgaben
auf entsprechende Fachabteilungen abstützen, wenigstens bei einer oder man ist
ganz auf sich gestellt. Ist das Unternehmen oder die Behörde so klein, dass es keine
PR-Spezialisten gibt, kann man auch davon ausgehen, dass die Aufgabe der
Krisen-PR an Komplexität abnimmt. In diesen Fällen sollte man sich mit der
Geschäfts- und Behördenleitung abstimmen, wie der Kontakt zu lokalen Medien
stattfinden soll.
Auch für kleine Unternehmen und Behörden ist es jedoch ratsam für die
wahrscheinlichsten Sicherheitsvorfälle interne wie externe Mitteilungen
vorzubereiten. Was in der ersten Meldung zu einem Sicherheitsvorfall wirklich
nichts verloren hat ist die Aussage, man hätte alles im Griff und das Ausmaß des
Schadens sei bekannt! Die folgenden Fragen sollten berücksichtigt werden:
Was ist passiert?
Wie geht es weiter?
Wie lange bleibt das Problem bestehen?
Wer ist betroffen?
Was ist zu beachten?
Wer steht für Fragen zur Verfügung?
Diese Fragen sollten jeweils intern wie extern beatwortet werden. Die Antworten
werden dabei unterschiedlich ausfallen, weil die Leser der Meldung auch
unterschiedliche Dinge interessieren werden. Das folgende Beispiel aus der
ExAmple AG soll diesen Unterschied in groben Zügen verdeutlichen und den
Inhalt der Meldung skizzieren:
Intern
Was ist passiert?
Eine unverschlüsselte DVD mit Kunden-Daten wurde
entwendet und an eine Zeitung übergeben.
Wie geht es
weiter?
Die Datenschutzbeauftragte Alice hat ihre Ermittlungen
aufgenommen und der IT-Sicherheitsbeauftragte Bob die
Maßnahmen
des
Incident
Management
Guides
