Krisenmanagement

Krisendefinition

Eine Krise liegt vor, wenn ein Sicherheitsvorfall:

• Die Handlungsfähigkeit der Organisation gefährdet
• Mehrere Systeme oder Standorte gleichzeitig betrifft
• Externe Kommunikation mit Kunden, Behörden oder Medien erfordert
• Die regulären Eskalationswege nicht ausreichen

Krisenstab

Rolle	Person	Aufgabe
Krisenstabsleitung	Geschäftsleitung	Entscheidungen, Ressourcenfreigabe, externe Kommunikation
Technische Leitung	ISB	Lagebild, technische Maßnahmenkoordination
IT-Operations	IT-Leitung	Wiederherstellung, Systemmanagement
Kommunikation	Geschäftsleitung / PR	Kunden-, Behörden-, ggf. Medienkommunikation
Recht / Datenschutz	DSB / extern	DSGVO-Meldung, Strafanzeige, Haftungsfragen

Krisenablauf

Phase 1: Alarmierung (< 1 Stunde)

• ISB alarmiert Krisenstab per Mobiltelefon (kein E-Mail wenn Systeme kompromittiert)
• Erstlagebild: Was ist bekannt, was ist betroffen, was ist die unmittelbare Bedrohung?
• Krisenstab-Meeting (physisch oder Telefonkonferenz über Backup-Kanal)

Phase 2: Lagebild (< 4 Stunden)

• Vollständige Betroffenheitsanalyse
• Entscheidung über Kommunikationsstrategie
• BSI-Meldung vorbereiten (falls meldepflichtiger Vorfall)
• Kundeninformation vorbereiten (falls betroffen)

Phase 3: Bewältigung (Tage bis Wochen)

• Koordinierte Wiederherstellung nach DR-Plan
• Regelmäßige Krisenstab-Updates (mindestens täglich)
• Laufende BSI-Kommunikation
• Kundenkommunikation (Statusupdates)

Phase 4: Rückkehr zum Normalbetrieb

• Verifizierung aller wiederhergestellten Systeme
• Aufhebung des Krisenmodus durch Geschäftsleitung
• Übergabe an Regelbetrieb

Phase 5: Nachbereitung (< 30 Tage)

• Umfassende Post-Mortem-Analyse
• BSI-Abschlussbericht
• Lessons Learned und Maßnahmenplan
• Anpassung von DR-Plan, Playbooks und Risikoanalyse

Krisenübungen

Übungstyp	Intervall	Teilnehmer
Tabletop-Exercise	Jährlich	Krisenstab + IT
Kommunikationsübung	Jährlich	Krisenstab
Technische DR-Simulation	Jährlich	IT-Team