xing icon +49 6751 - 85378-0welcome@medialine.ag
  • de
  • en
Newsletter
Gewitterwolken mit Blitz und Warnschild mit Schriftzug: Are you reday?. Außerdem Schriftzug mit blauem Hintergrund Krisenmanagement

In guten wie in schlechten Zeiten: Die IT als Teil des Krisenmanagements

Was hat die IT mit Krisenmanagement zu tun? Durch den Anstieg von Cyberbedrohungen steigt auch das Risiko das diese Unternehmen gefährden und in Krisen stürzen. Besonders gefährlich daran: Cyberkrisen stellen Unternehmen und ihr Krisenmanagement vor völlig neue Aufgaben und zeigen bewährten Strukturen schnell Grenzen auf. Machen Sie jetzt Ihren Krisenplan cybertauglich!Die Digitalisierung hat unseren Alltag verändert. Digitale Prozesse haben Wirtschaft, Industrie und Konsumverhalten revolutioniert. Die IT genießt einen neuen Stellenwert in Unternehmen. Jetzt will Sie auch im Management mehr Beachtung finden. Muss sie Teil des strategischen Managements und des Krisenplans werden? Und kann die Cyberkrise existenzbedrohend sein?
IT muss vor allem eins – funktionieren! Ein Anspruch der in vielen Unternehmen offen gelebt wird und dem IT-Abteilungen versuchen gerecht zu werden. Darüber hinaus kämpfen IT-Verantwortliche jedoch immer häufiger um ihre strategische Position und die Berücksichtigung Ihrer Belange im Unternehmen. Längst ist es nicht mehr mit der Einrichtung von Hardware getan, die IT-Belange sind so vielfältig, dass sie langfristige Planung, durchdachte Strukturen und hohe Expertise verlangen. Dabei muss vor allem den Punkten Effizienz, Wirtschaftlichkeit, Verfügbarkeit und Sicherheit Rechnung getragen werden. Und genau hier versteckt sich eine Aufgabe die bisher durch nahezu alle Branchen hinweg vernachlässigt wurde: Die IT als Teil des Krisenplans. Doch was ist das eigentlich und betrifft das Thema „Krise“ mich überhaupt?

 

Krise mit Plan
Traditionell spricht man von einer Krise als einer Situation, die den Fortbestand des Unternehmens
substantiell gefährdet oder gar unmöglich macht. Üblicherweise kann die normale Organisation eines Unternehmens sie nicht alleine bewältigen. Ihre Ursachen sind vielfältig, z.B. in Form wirtschaftlicher, technischer oder physischer Bedrohungen.
Viele Unternehmen verfügen glücklicher Weise mittlerweile über einen Krisenplan. Falls dieses Wort in Ihrem Unternehmen jedoch noch nie gefallen ist sollten hier schleunigst Steine ins Rollen gebracht werden. Managementlehre und Kommunikationswissenschaft haben sich dazu jahrzehntelang ereifert, geforscht, getagt, geredet und es immer wieder vorgebetet: In einem akuten Krisenfall ist ein Unternehmen ohne einen zuvor erstellten und erprobten Krisenplan nicht handlungsfähig. Ein solcher Krisenplan umfasst die Zusammensetzung eines Krisenstabs, er definiert Zuständigkeiten, beinhaltet Informationswege, Checklisten, Presseinformationen und konkrete Handlungsszenarien. Im Ernstfall spart er genau die Zeit, die ein Unternehmen im akuten Krisenfall zur angemessenen Reaktion braucht.

 

An issue ignored is a crises invited
Krisenszenarien sind vielfältig, in den meisten Branchen existieren jedoch feste Bilder davon wie eine Krise aussehen könnte: schwarze Rauchwolken oder gelber Regen kommen einem da etwa bei der chemischen Industrie in den Kopf. Im Zuge der Digitalisierung und der immensen Bedeutung die World Wide Web und Social Media gewonnen haben, hat bereits an einigen Stellen ein Umdenken stattgefunden. Den meisten Verantwortlichen ist mittlerweile klar, dass schnellere Kommunikationswegen und Social Media auch im Krisenplan Rechnung getragen werden muss und sich Anforderungen an die Reaktionsgeschwindigkeit deutlich verschärft haben. Aber zurück in die IT-Abteilung: hier ist vor allem klar, dass der Digitalisierung auch in puncto Sicherheit und Abwehr von Cyberangriffen Rechnung getragen werden muss. Informationstechnologie spielt somit nicht nur in der Bewältigung herkömmlicher Krisen eine Rolle, sondern beheimatet auch eine eigene, neuartige Form der Krise: Die Cyberkrise.

 

Des Pudels Kern: Im Gegensatz zu rauchenden Industriehallen oder Compliance-Verstößen hat es die Cyberkrise bisher in kaum einen Krisenplan geschafft. Und das ist in der aktuellen Bedrohungslage mehr als nur fahrlässig. Die Erfahrungen der letzten Jahre haben gezeigt, dass traditionelles Krisenmanagement keinen angemessenen Schutz vor Cyberangriffen bietet. Hierfür gibt es zwei herausragende Gründe. Zum einen fokussiert traditionelles Krisenmanagement auf praktische Reaktionen, d.h. den Versuch, die Ursache möglichst schnell zu finden und zu entfernen sowie gleichzeitig die Geschäftsunterbrechung so gering wie möglich zu halten. Die Folgen eines Cyberangriffs gehen jedoch weit über das Firmennetz und den laufenden Geschäftsbetrieb hinaus. Ein Cyberangriff kann eine Vielzahl von Problemen hervorrufen, die auf den ersten Blick nicht sichtbar sind. Produktion, Lieferanten, Kunden, Datenschutz, Kommunikation, Mitarbeiter, Reputation, – alle diese Bereiche können betroffen sein und müssen vom Cyberkrisenmanagement angemessen behandelt werden. Zum anderen orientiert sich traditionelle Krisenreaktion an althergebrachten Problemlösungsstrategien. Aber Cyberkrisenmanagement ist etwas grundlegend Anderes als strategische Geschäftsplanung. Herkömmliche Planungsprozesse und Führungsmodelle versagen in einer Cyberkrise, die sich mit Netzgeschwindigkeit ausbreitet und häufig mit dem Verlust von Daten, Kommunikationswegen und erprobten Strukturen einhergeht. Der Verlust von intellektuellem Eigentum, Forschungs- und Entwicklungsdaten, sowie persönlichen Daten von Kunden, Lieferanten oder Partnern; die Stilllegung von Produktion und Prozessen; gestörte interne wie externe Kommunikationswege; immense rechtliche Folgen sowie schwere Reputationsschäden sind nur einige der möglichen Folgen einer Cyberkrise.

 

Cybercrime – doch nicht bei uns!
Trotz häufiger und ausführlicher Berichte in der Tages- und Wirtschaftspresse werden Unternehmen nach wie vor von Cyberkrisen überrascht und sind durch mangelnde Vorbereitung in ihrem Handlungsspielraum zusätzlich eingeschränkt. Häufig liegt es nicht auf der Hand warum gerade das eigene Unternehmen Opfer eines Cyberangriffs werden sollte. „Bei uns gibt es doch nichts zu holen“ – ein Irrglaube der sich hartnäckig hält. Die Motivlage der Täter ist vielfältig und geht weit über den einfachen Datenklau hinaus. Hierbei reicht die Bandbreite der Angreifer von Cyber-Aktivisten über
Cyber-Kriminelle bis hin zu Hackern und von Eigeninteresse bis hin zu Auftragstätern. Diese Gruppen verfolgen unterschiedlichste Ziele, etwa:

 

• Massive Unterbrechung des Geschäftsbetriebs
• Veröffentlichung sensibler Informationen zur Erlangung finanzieller Vorteile (Erpressung)
• Rufschädigung des Unternehmens aus ideologischen Gründen, um deren Geschäftstätigkeit zu stören bzw. möglichst zu unterbinden
• Beschaffung von Insiderinformationen für Wettbewerbsvorteile
• Kontrolle über die IT-Infrastruktur oder die Produktionsanlagen aus strategischen Gründen

 

Wussten Sie eigentlich, dass man im Internet schon für wenige 100€ ganz anonym einen Cyberangriff auf ein beliebiges Ziel buchen kann?
Unternehmen und Institutionen, die einem Cyberangriff ausgesetzt sind, führen meist einen aussichtslosen Kampf gegen Kriminelle, die genug Zeit und Geld haben, um sich intensiv auf den Angriff vorzubereiten und diesen sehr gezielt ausführen. Cyberattacken kann eine monatelange Vorlaufzeit vorausgehen, um Abläufe, Genehmigungsprozesse oder persönliche Beziehungen innerhalb einer Organisation auszuspionieren. Sie können jedoch auch binnen weniger Stunden geplant und durchgeführt werden. Die Qualität der Angriffe und die technische Professionalität der Durchführung steigt zunehmend.

 

Angriffe erkennen und Krisen meistern
Bei der Bewältigung einer Krise ist es zunächst unerheblich, ob die Krise durch einen externen Angriff oder einen internen Fehler ausgelöst wurde. Ausschlaggebend ist, wie das betroffene Unternehmen damit umgeht und wie kompetent es im Krisenmanagement von der Öffentlichkeit wahrgenommen wird. Erfolgreiches Krisenmanagement setzt eine sinnvolle Organisation voraus. Deren primäre Merkmale sind klare Verantwortlichkeiten und Abläufe: Jedes Mitglied der Krisenorganisation muss seine Rolle kennen und diese erfüllen können. Entscheidend für eine rasche Reaktionsmöglichkeit seitens des betroffenen Unternehmens ist eine genaue Kenntnis darüber, welche Reputationsschäden durch schlechtes Krisenmanagement entstehen können. Erfährt die Kommunikationsabteilung erst durch den Anruf eines Journalisten von einem Problem in der eigenen Firma, geht wertvolle Zeit verloren, die für
interne Recherchen und die Vorbereitung von Stellungnahmen fehlt. Aber Cyber-Angriffe lassen sich selten schnell, einfach und eindeutig erkennen. Den Tätern stehen vielfältige Angriffspunkte zur Verfügung die unterschiedlichsten Auswirkungen und Symptome haben können. Hier macht es durchaus Sinn Mitarbeiter über alle Abteilungen hinweg auf die Erkennung und Reaktion möglicher Symptome eines Cyberangriffs vorzubereiten und im Umgang zu schulen.

 

Das Wort Krise setzt sich im Chinesischen aus zwei Schriftzeichen zusammen – das eine bedeutet Gefahr und das andere Chance
Die Gefahr ist da, das werden Sie nicht ändern können. Die Gelegenheit für Angreifer können Sie jedoch maßgeblich minimieren und die Chancen zur Weiterentwicklung nutzen. Unvorbereitete Unternehmen ohne angemessenes Cyber-Krisenmanagement geraten leicht in Gefahr, dass sich ein unscheinbares IT-Problem plötzlich zu einer Krise infolge von Datenverlust oder Erpressung ausweitet. Bei einer wachsenden Zahl von Unternehmen wächst die Erkenntnis, dass sie Zugriff auf Experten benötigen. Die Aufgabe von IT-Experten ist es, Unternehmen in die Lage zu versetzen, Bedrohungen, die aufgrund der Verwendung bzw. den Möglichkeiten von Informationstechnologie bestehen oder erst entstehen, handhabbar zu machen. So lassen sich Bedrohungslagen, Angriffsmöglichkeiten sowie die möglichen Herausforderungen im Bereich der Cyber-Sicherheit in ihren vielfältigen Dimensionen und mit ihren oft nicht abschätzbaren Auswirkungen für Unternehmen transparent und beherrschbar machen. Denn selbst, wenn über die tatsächliche Situation Klarheit besteht, kann es noch geraume Zeit in Anspruch nehmen, bis klar ist, welche Daten betroffen sind und welcher Schaden daraus entsteht. Ein traditioneller Ansatz des Krisenmanagements scheitert spätestens dann, wenn der Krise ein technischer Vorfall von hoher Komplexität zugrunde liegt, der das Unternehmen gleichzeitig vor rechtliche, finanzielle und kommunikative Herausforderungen stellt, die oftmals Entscheidungen binnen Minuten erfordern.
Minimieren Sie Gelegenheiten und treffen Sie konkrete Maßnahmen um ihre Widerstandsfähigkeit
gegenüber Cyber-Angriffen deutlich erhöhen:

 

1. Potentielle Cyber-Krisenfälle identifizieren
Jenseits des klassischen IT-Risikomanagements erfordern Cyberrisiken eine gründliche Analyse der Auswirkungen eines erfolgreichen Angriffs auf das Business und auf die durch die Krise betroffenen Interessenseigner.
2. Integrierte Cyber-Krisenpläne erstellen
Cyber-Krisen sind eine Aufgabe für das Top-Management des Unternehmens. Aber ihre Bewältigung setzt das koordinierte Zusammenwirken der Rechts-, Kommunikations- und IT-Abteilung voraus – oftmals unter Beteiligung Dritter, die das Unternehmen in dieser Situation unterstützen. Entsprechende Pläne können helfen, Ordnung in das drohende Chaos von Kompetenzen, Verantwortlichkeiten und
Aufgaben zu bringen.
3. Krisenpläne trainieren
Das Proben von Ernstfällen und das regelmäßige Üben von Notfallplänen unter Beteiligung der potentiell betroffenen Organisationen und Experten schaffen erst Handlungssicherheit und schnelle Entscheidungsfähigkeit im Krisenfall.

 

Im Falle der Cyberkrise bieten Ihnen hochspezialisierte Expertenteams der Medialine AG eine Bandbreite von Präventionsmöglichkeiten. Mit Penetrationtests suchen Experten beispielsweise ganz gezielt nach Sicherheitslücken und Angriffspunkten in Ihrem Unternehmen und kommen so möglichen Angriffen zuvor. Darüber hinaus kann in individuellen Security Audits Ihr Update- und Patchmanagement auf Herz und Nieren geprüft werden, denn hier liegen große Potentiale für Cyberkriminelle. Auch die Schulung und Sensibilisierung von Mitarbeitern gegenüber alltäglichen Cyberbedrohungen durch individuell konzipierte Workshops trägt maßgeblich zur Verbesserung der Sicherheit und der Früherkennung potentieller Krisen bei. Dies kann sowohl die Schulung der IT-Abteilung im Umgang mit akuten Krisensituationen, als auch die Schulung fachfremder Mitarbeiter im Umgang mit potentiellen Gefahren im Arbeitsalltag sein. Die Cyber-Krisenprävention der Medialine AG umfasst neben der technischen Umsetzung höchster Securitystandards auch die Implementierung in den Krisenplan des Unternehmens und die unkomplizierte und schnelle Hilfe im akuten Krisenfall.

 

Verantwortung übernehmen. Jetzt!
Unternehmen sind in der Verantwortung, sich für Krisenfälle das nötige Handwerkszeug anzueignen, ihre Organisation entsprechend vorzubereiten und ihre Mitarbeiter zu schulen. Das Management der Krise besteht immer aus einem Krisenhandbuch, einem Krisenstab und einer professionellen Krisenkommunikation. All dies wird das Praxis-Forum der DECHEMA aufnehmen und erfahrene Praktiker zu Wort kommen lassen. In verschiedenen Breakout-Sessions haben die Teilnehmer dann die Qual der Wahl: TV-Training oder Krisenstabsübung? Schutz vor der Cyber-Attacke oder Krisenhandbuch entwerfen? Auch Medialine COO Stefan Hörhammer wird Vortragsredner sein und zum persönlichen Gespräch zur Verfügung stehen. Besuchen Sie uns auf dem Praxisforum Krisenmanagement in Frankfurt.

Praxisforum Krisenmanagement
Datum: 28.11. – 29.11.2017
Ort: DECHEMA-Haus, Frankfurt am Main
Alle Informationen zur Veranstaltung
Das Krisenforum wird ausgerichtet von DECHEMA – Gesellschaft für Chemische Technik und Biotechnologie. Es steht jedoch Interessenten aus allen Branchen offen und bietet interessante Impulse für jedes Unternehmen, dass die Themen Krisenmanagement und Cybersicherheit oben auf die Agenda stellen möchte.

Bitte kontaktieren Sie uns unter sales@medialine.ag für weitere Informationen und ermäßigte Tickets.

 

Über Medialine AG

Als Full-Service IT&C-Systemhaus steht die Medialine AG für maßgeschneiderte Lösungen für den Mittelstand. Seit über 15 Jahren verlassen sich Kunden auf Expertise und Know-how in den Bereichen IT&C Infrastructure, Managed & Cloud Services sowie Business Solutions. Heute betreut die Medialine AG hunderte mittelständische und große Unternehmen mit Premium IT-Services. Durch die bundesweite Ausrichtung profitieren die Kunden von einem engen Netz von Vertriebs- und Technikressourcen, mit der eine optimale Servicebetreuung vor Ort ermöglicht wird.

 

Kontakt:

Saskia Brose

– Marketing/PR –

Mail: saskia.brose@medialine.ag

Tel: +49 6751 – 85378-0

Alle Artikel
nach oben button
↑ Back To Top ↑