Eskalation & Kommunikation
Eskalationsmatrix
| Schweregrad | Erstinformation | Eskalation an GL | BSI-Meldung | Kundeninformation |
|---|---|---|---|---|
| Kritisch | ISB + GL sofort | Sofort | Prüfung innerhalb 4h | Unverzüglich wenn betroffen |
| Hoch | ISB innerhalb 1h | Innerhalb 4h | Prüfung innerhalb 24h | Wenn Dienste betroffen |
| Mittel | ISB innerhalb 24h | Nächster Regelbericht | Nein (Standardfall) | Nur bei direkter Auswirkung |
| Niedrig | IT-Team | Nein | Nein | Nein |
Kommunikationsplan
Interne Kommunikation
| Empfänger | Kanal | Inhalt | Timing |
|---|---|---|---|
| Incident-Response-Team | Verschlüsselter Messenger / Telefonkonferenz | Technische Details, Maßnahmen | Sofort bei Erkennung |
| Geschäftsleitung | Direktgespräch oder verschlüsselte E-Mail | Lagebild, Auswirkungen, Maßnahmen | Gemäß Eskalationsmatrix |
| Betroffene Fachabteilungen | E-Mail + Meeting | Auswirkungen auf ihren Bereich, erwartete Dauer | Nach Erstbewertung |
| Alle Mitarbeiter | Nur bei Bedarf (z.B. Phishing-Welle) | Warnung + Handlungsanweisung | Nach GL-Freigabe |
Externe Kommunikation
| Empfänger | Kanal | Inhalt | Timing |
|---|---|---|---|
| BSI | Meldeplattform | Gemäß §32-Meldemodell | 24h / 72h / 1 Monat |
| Betroffene Kunden | Direkte Benachrichtigung (E-Mail + Telefon) | Art, Umfang, Maßnahmen, Empfehlungen | Unverzüglich bei Betroffenheit |
| Datenschutzaufsicht | Meldeportal | DSGVO Art. 33/34 wenn personenbezogene Daten betroffen | 72 Stunden |
| Strafverfolgung | Anzeige | Bei Verdacht auf Straftat | Nach GL-Entscheidung |
Kundeninformation bei Vorfällen
Wenn ein Sicherheitsvorfall Kundendaten oder -dienste betrifft, umfasst die Benachrichtigung:
- Art und Umfang des Vorfalls
- Betroffene Daten oder Dienste
- Ergriffene Gegenmaßnahmen
- Empfohlene Maßnahmen für den Kunden
- Ansprechpartner für Rückfragen
- Voraussichtliche Dauer der Einschränkung
NIS2-REGULIERTE KUNDEN
Kunden, die selbst unter NIS2 reguliert sind, müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden. Schnelle und vollständige Information durch die BAUER GROUP ermöglicht es diesen Kunden, ihre eigenen Meldepflichten einzuhalten.
Notfallkontakte
Folgende Kontakte sind jederzeit erreichbar (auch außerhalb der Geschäftszeiten):
| Rolle | Erreichbarkeit |
|---|---|
| ISB | 24/7 per Mobiltelefon |
| IT-Bereitschaft | 24/7 per Rufbereitschaft |
| Geschäftsleitung | Erreichbar per Mobiltelefon |
| BSI-Meldeplattform | Online-Portal (24/7) |