Sicherheitsvorfälle kommunizieren: Intern, extern und an die Presse

Kommunikation entscheidet über den Schaden

Ein Sicherheitsvorfall ist immer eine Krise. Aber die Krise besteht nicht nur aus dem technischen Schaden, den ein Angriff verursacht. Sie besteht genauso aus der Kommunikation, die darauf folgt. Unternehmen, die bei einem Cyberangriff schlecht kommunizieren, erleiden regelmäßig größere Reputationsschäden als solche, die den Vorfall transparent und strukturiert handhaben.

Das liegt daran, dass Kunden, Partner und die Öffentlichkeit einen Sicherheitsvorfall bis zu einem gewissen Grad als unvermeidlich akzeptieren. Jedes Unternehmen kann Opfer eines Angriffs werden, das ist heute allgemein bekannt. Was die Menschen nicht akzeptieren, ist Intransparenz, Verzögerung und das Gefühl, dass ein Unternehmen versucht, etwas zu vertuschen.

Die gute Nachricht: Gute Krisenkommunikation lässt sich vorbereiten. Die schlechte Nachricht: Die meisten Unternehmen tun es nicht. Sie haben einen Incident-Response-Plan für die technische Seite, aber keinen Kommunikationsplan für die menschliche Seite. Und genau diese Lücke wird im Ernstfall zum Problem.

Interne Kommunikation: Wer erfährt wann was?

Die interne Kommunikation ist der erste und wichtigste Schritt bei jedem Sicherheitsvorfall. Bevor irgendjemand außerhalb des Unternehmens informiert wird, muss intern klar sein: Was ist passiert? Wie groß ist der Schaden? Wer tut was?

Eskalationsstufen definieren

Nicht jeder Sicherheitsvorfall erfordert dieselbe interne Kommunikation. Eine Phishing-Mail, die ein Mitarbeiter gemeldet hat und die keine Auswirkungen hatte, muss nicht die Geschäftsführung um 3 Uhr nachts aus dem Bett holen. Ein Ransomware-Angriff, der die Produktion lahmlegt, schon.

Definiere klare Eskalationsstufen, die sich am Schweregrad des Vorfalls orientieren:

Stufe 1: Normaler Sicherheitsvorfall. Keine oder minimale Geschäftsauswirkung. Beispiele: Einzelne Phishing-Mail erkannt, Malware auf einem Client isoliert, fehlgeschlagener Brute-Force-Angriff. Kommunikation: IT-Security-Team intern, Dokumentation im Ticketsystem. Keine Eskalation an Management oder Mitarbeiter nötig.

Stufe 2: Ernsthafter Vorfall. Potenzielle oder begrenzte Geschäftsauswirkung. Beispiele: Erfolgreicher Phishing-Angriff mit kompromittiertem Konto, Datenverlust in begrenztem Umfang, Ausfall eines nicht-kritischen Systems. Kommunikation: IT-Leitung, ISB, betroffene Abteilungsleitung. Geschäftsführung wird informiert, aber nicht zwingend sofort eingebunden.

Stufe 3: Kritischer Vorfall. Erhebliche Geschäftsauswirkung oder meldepflichtiger Vorfall. Beispiele: Ransomware mit Verschlüsselung von Produktivsystemen, großflächiger Datenabfluss, Kompromittierung von Kundendaten. Kommunikation: Sofortige Information der Geschäftsführung, Aktivierung des Krisenstabs, Information aller Mitarbeiter über vordefinierte Kanäle.

Den Krisenstab aktivieren

Bei einem Vorfall der Stufe 3 brauchst du einen Krisenstab, der schnell handlungsfähig ist. Dieser sollte idealerweise bereits benannt und in einem Kommunikationsplan dokumentiert sein. Typische Mitglieder:

• Geschäftsführung (Entscheidungskompetenz)
• ISB oder IT-Leitung (technische Einordnung)
• Rechtsabteilung oder externer Anwalt (regulatorische Pflichten, Haftungsfragen)
• Kommunikation/PR (externe Kommunikation, Presseanfragen)
• HR (Mitarbeiterkommunikation, arbeitsrechtliche Fragen)
• Betroffene Fachabteilungen (operative Einschätzung)

Der Krisenstab muss nicht physisch zusammenkommen. Ein vorab eingerichteter Kanal in einem Messenger-System oder ein Telefonkonferenz-System reicht aus. Wichtig ist, dass alle Mitglieder wissen, wie sie erreichbar sind, auch außerhalb der Geschäftszeiten, und dass die Kontaktdaten aktuell sind.

Mitarbeiterkommunikation

Wenn ein Vorfall die Arbeit der Mitarbeiter beeinflusst, müssen sie informiert werden. Dabei gilt: Schnell, klar und handlungsorientiert. Die Mitarbeiter müssen wissen, was sie tun sollen, nicht unbedingt alle technischen Details.

Eine gute interne Erstmeldung enthält:

• Was ist passiert? (Ein Satz, kein technischer Deep Dive)
• Was bedeutet das für meine Arbeit? (Welche Systeme sind betroffen, was funktioniert nicht?)
• Was soll ich tun? (Konkrete Handlungsanweisungen: PC herunterfahren, bestimmte Links nicht anklicken, etc.)
• Wen kontaktiere ich bei Fragen? (Zentrale Anlaufstelle, nicht fünf verschiedene Nummern)
• Wann gibt es das nächste Update?

Vermeide in der internen Kommunikation Spekulationen über Ursachen und Verursacher. Sage lieber "Wir untersuchen den Vorfall" als eine voreilige Erklärung abzugeben, die sich später als falsch herausstellt.

Ein praktischer Tipp: Weise die Mitarbeiter explizit darauf hin, dass sie keine Informationen über den Vorfall in sozialen Medien teilen sollen. Was als gut gemeinter Post auf LinkedIn beginnt, kann schnell von Journalisten aufgegriffen werden und eine Mediendynamik auslösen, die das Unternehmen nicht mehr kontrollieren kann.

Externe Kommunikation: Kunden, Partner, Lieferanten

Die Kommunikation mit externen Stakeholdern ist der Bereich, in dem die meisten Fehler passieren. Zu spät, zu vage, zu technisch oder schlicht unehrlich. Jede dieser Varianten richtet mehr Schaden an als der Vorfall selbst.

Wann extern kommunizieren?

Die Grundregel: Sobald externe Stakeholder betroffen sind oder betroffen sein könnten, müssen sie informiert werden. "Betroffen" bedeutet in diesem Kontext: Ihre Daten, ihre Systeme oder ihre Geschäftsprozesse sind durch den Vorfall beeinträchtigt.

Konkret heißt das: Wenn Kundendaten abgeflossen sein könnten, müssen die Kunden informiert werden. Wenn ein gemeinsam genutztes System kompromittiert wurde, müssen die Partner informiert werden. Wenn Lieferanten über euer System Zugang zu ihren Daten hatten, müssen die Lieferanten informiert werden.

Die DSGVO gibt hier einen klaren Rahmen vor: Wenn eine Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, müssen die Betroffenen unverzüglich benachrichtigt werden (Art. 34 DSGVO).

Reihenfolge der Kommunikation

Die Reihenfolge ist entscheidend und sollte im Vorfeld festgelegt sein:

1. Geschäftsführung und Krisenstab (sofort)
2. Betroffene Mitarbeiter (innerhalb weniger Stunden)
3. Direkt betroffene Kunden und Partner (so schnell wie möglich, idealerweise innerhalb von 24 Stunden)
4. Behörden (BSI: 24 Stunden, Datenschutzaufsicht: 72 Stunden)
5. Breitere Kundenbasis (wenn relevant)
6. Öffentlichkeit/Presse (nur wenn nötig und nach Abstimmung mit Rechtsabteilung)

Was in der externen Kommunikation stehen muss

Eine gute externe Mitteilung enthält folgende Elemente:

• Was ist passiert? (Kurz und verständlich, keine technischen Details)
• Welche Daten oder Systeme sind betroffen?
• Was tun wir dagegen? (Maßnahmen, die bereits eingeleitet wurden)
• Was bedeutet das für den Empfänger? (Muss er etwas tun? Passwort ändern? Kontoauszüge prüfen?)
• Wo gibt es weitere Informationen? (Hotline, FAQ-Seite, E-Mail-Adresse)
• Wann gibt es das nächste Update?

Was die externe Kommunikation nicht enthalten sollte: Schuldzuweisungen, Spekulationen über Angreifer, technische Details zur Schwachstelle (die helfen nur anderen Angreifern) und Versprechungen, die du nicht halten kannst ("Ihre Daten sind sicher" - wenn du das noch nicht weißt, sage es nicht).

Tonalität und Haltung

Der Ton der externen Kommunikation ist mindestens so wichtig wie der Inhalt. Drei Grundprinzipien:

Verantwortung übernehmen. Auch wenn der Angriff von außen kam, bist du für den Schutz der Daten verantwortlich. Formulierungen wie "Trotz unserer umfangreichen Sicherheitsmaßnahmen..." sind in Ordnung. Formulierungen wie "Wir sind Opfer eines Angriffs geworden" klingen nach Opferrolle und Verantwortungsabwehr.

Transparent sein. Sage, was du weißt, und sage offen, was du noch nicht weißt. "Wir untersuchen derzeit, ob und in welchem Umfang Kundendaten betroffen sind" ist besser als Schweigen oder als voreilige Entwarnung.

Empathie zeigen. Für die betroffenen Kunden ist der Vorfall unangenehm, beunruhigend und ärgerlich. Zeige, dass du das verstehst, und mache es den Betroffenen so einfach wie möglich, sich zu informieren und zu schützen.

Behördliche Meldungen: BSI und Datenschutzaufsicht

Neben der Kommunikation mit Kunden und Partnern gibt es gesetzliche Meldepflichten, die feste Fristen haben und deren Nichteinhaltung erhebliche Konsequenzen haben kann.

Meldung an das BSI (NIS2)

Für Unternehmen, die unter NIS2 fallen, gelten folgende Meldefristen:

Innerhalb von 24 Stunden: Frühwarnung. Erste Meldung an das BSI, dass ein erheblicher Sicherheitsvorfall aufgetreten ist. Diese Meldung muss noch keine detaillierten Informationen enthalten, aber den Verdacht eines erheblichen Vorfalls mitteilen und angeben, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen sein könnte.

Innerhalb von 72 Stunden: Vorfallmeldung. Aktualisierung der Erstmeldung mit einer ersten Bewertung des Vorfalls, einschließlich Schweregrad und Auswirkungen, sowie gegebenenfalls Indikatoren für eine Kompromittierung (Indicators of Compromise).

Innerhalb eines Monats: Abschlussbericht. Ausführlicher Bericht mit detaillierter Beschreibung des Vorfalls, der Art der Bedrohung, den ergriffenen Maßnahmen und den grenzüberschreitenden Auswirkungen, falls zutreffend.

Meldung an die Datenschutzaufsichtsbehörde (DSGVO)

Wenn personenbezogene Daten betroffen sind, greift zusätzlich Art. 33 DSGVO. Die Meldung an die zuständige Datenschutzaufsichtsbehörde muss innerhalb von 72 Stunden nach Bekanntwerden der Verletzung erfolgen.

Die Meldung muss enthalten:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl betroffener Personen
• Kategorien und ungefähre Anzahl betroffener Datensätze
• Name und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen

Praktische Tipps für behördliche Meldungen

Bereite die Meldeformulare im Vorfeld vor, soweit möglich. Die Kontaktdaten des BSI und der zuständigen Datenschutzaufsichtsbehörde sollten im Incident-Response-Plan hinterlegt sein, ebenso wie die internen Verantwortlichkeiten (wer erstellt die Meldung, wer gibt sie frei, wer versendet sie).

Dokumentiere den Zeitpunkt, an dem der Vorfall bekannt wurde, sorgfältig. Die Meldefristen beginnen ab Bekanntwerden zu laufen, nicht ab dem Zeitpunkt des tatsächlichen Angriffs. Wenn ein Angriff am Freitag stattfindet, aber erst am Montag entdeckt wird, beginnen die Fristen am Montag.

Melde lieber zu früh als zu spät. Eine Erstmeldung mit dem Hinweis "Details folgen" ist besser als eine verspätete Meldung mit vollständigen Informationen. Die Behörden wissen, dass in den ersten Stunden nach einem Vorfall noch nicht alles klar ist, und akzeptieren Nachmeldungen.

Presseanfragen: Sprachregelungen und Dos and Don'ts

Wenn ein Sicherheitsvorfall groß genug ist, werden Presseanfragen kommen. Manchmal schneller als erwartet, insbesondere wenn Mitarbeiter in sozialen Medien über den Vorfall schreiben oder wenn die Auswirkungen öffentlich sichtbar sind (Website nicht erreichbar, Kunden berichten über Probleme).

Vorbereitung

Die beste Vorbereitung auf Presseanfragen besteht aus drei Elementen:

Sprachregelung. Ein vorab abgestimmtes Statement, das die wesentlichen Punkte enthält und von allen autorisierten Sprechern einheitlich verwendet wird. Die Sprachregelung muss aktuell gehalten werden, wenn sich neue Erkenntnisse ergeben.

Autorisierter Sprecher. Genau eine Person (plus Vertretung) ist autorisiert, mit der Presse zu sprechen. Alle anderen Mitarbeiter verweisen Presseanfragen an diese Person. Das klingt selbstverständlich, funktioniert in der Praxis aber nur, wenn es vorher klar kommuniziert und geübt wurde.

Q&A-Dokument. Eine Liste der wahrscheinlichsten Fragen mit vorbereiteten Antworten. Typische Fragen: Was ist passiert? Seit wann wissen Sie davon? Sind Kundendaten betroffen? Was tun Sie, damit das nicht wieder passiert? Wer steckt dahinter?

Dos

• Reagiere schnell auf Presseanfragen, auch wenn du noch nicht viel sagen kannst. "Wir haben den Vorfall bestätigt und untersuchen ihn. Wir werden Sie informieren, sobald wir weitere Erkenntnisse haben" ist eine akzeptable erste Antwort.
• Bleibe bei den Fakten. Sage, was du weißt, und nicht mehr.
• Zeige Handlungsfähigkeit. "Wir haben sofort unser Incident-Response-Team aktiviert und arbeiten mit externen Forensik-Spezialisten zusammen" signalisiert Kompetenz.
• Aktualisiere die Sprachregelung regelmäßig und gib proaktiv Updates, statt auf jede Anfrage einzeln zu reagieren.
• Bereite ein schriftliches Presse-Statement vor, das auf der Unternehmenswebsite veröffentlicht werden kann. Das reduziert die Anzahl individueller Anfragen.

Don'ts

• Sage niemals "Kein Kommentar". Das wird als Schuldeingeständnis oder Verschleierung interpretiert.
• Spekuliere nicht über Angreifer, Motive oder Ausmaß. "Das ist Gegenstand der laufenden Untersuchung" ist die richtige Antwort auf spekulative Fragen.
• Mache keine Versprechungen, die du nicht halten kannst. "Wir garantieren, dass keine Daten abgeflossen sind" ist eine Aussage, die dich einholen wird, wenn sich das Gegenteil herausstellt.
• Gib keine technischen Details preis, die anderen Angreifern helfen könnten.
• Beschuldige niemanden, weder Mitarbeiter noch vermeintliche Angreifer, solange die Untersuchung läuft.

Social Media: Schnelligkeit und Kontrolle

Social Media ist der Kanal, auf dem Krisenkommunikation am schnellsten außer Kontrolle geraten kann. Gleichzeitig ist es oft der Kanal, auf dem Betroffene zuerst nach Informationen suchen. Ignorieren ist daher keine Option.

Erstreaktion auf Social Media

Wenn der Vorfall öffentlich bekannt wird, sollte innerhalb von maximal zwei Stunden ein kurzes Statement auf den relevanten Social-Media-Kanälen des Unternehmens erscheinen. Dieses Statement muss nicht alle Details enthalten, es soll signalisieren: Wir wissen Bescheid, wir arbeiten daran, wir informieren euch.

Ein Beispiel für eine Social-Media-Erstreaktion: "Wir sind von einem Sicherheitsvorfall betroffen und arbeiten mit Hochdruck an der Analyse und Behebung. Wir nehmen den Schutz eurer Daten sehr ernst und werden euch zeitnah über die Ergebnisse informieren. Aktuelle Informationen findet ihr unter [Link zur Statusseite]."

Monitoring und Umgang mit Kommentaren

Setze ein Social-Media-Monitoring auf, um Fehlinformationen frühzeitig zu erkennen und zu korrigieren. Reagiere auf sachliche Fragen mit vorbereiteten Antworten. Lösche keine kritischen Kommentare, es sei denn, sie enthalten Beleidigungen oder Falschinformationen, die aktiv schaden. Gelöschte Kommentare werden fast immer bemerkt und führen zu noch mehr negativer Aufmerksamkeit.

Vorbereitete Templates

Templates für die Krisenkommunikation sollten Teil deines Incident-Response-Plans sein. Hier sind die wichtigsten:

Template: Interne Erstmeldung

Betreff: Sicherheitsvorfall - Erstinformation

Liebe Kolleginnen und Kollegen,

wir haben heute einen Sicherheitsvorfall festgestellt, der [betroffene Systeme/Bereiche] betrifft. Unser Incident-Response-Team arbeitet seit [Uhrzeit] an der Analyse und Behebung.

Was das für euch bedeutet: [Konkrete Auswirkungen, z.B. "Das System X ist derzeit nicht verfügbar" oder "Bitte verwendet vorübergehend keine USB-Sticks"]

Was ihr tun sollt: [Konkrete Handlungsanweisungen]

Wichtig: Bitte teilt keine Informationen über den Vorfall in sozialen Medien oder mit externen Personen. Presseanfragen leitet bitte an [Name/Kontakt] weiter.

Wir werden euch bis [Zeitpunkt] mit einem Update informieren.

[Name, Funktion]

Template: Externe Kundeninformation

Betreff: Wichtige Sicherheitsinformation

Sehr geehrte Damen und Herren,

wir möchten Sie darüber informieren, dass wir am [Datum] einen Sicherheitsvorfall festgestellt haben. [Ein Satz zur Art des Vorfalls, z.B. "Unbefugte Dritte haben sich Zugang zu einem unserer Systeme verschafft."]

Was wir wissen: [Aktuelle Erkenntnisse über Art und Umfang]

Was wir tun: [Eingeleitete Maßnahmen]

Was das für Sie bedeutet: [Empfohlene Schutzmaßnahmen, z.B. Passwort ändern]

Wir nehmen diesen Vorfall sehr ernst und arbeiten mit [externen Forensik-Spezialisten / den zuständigen Behörden] an der vollständigen Aufklärung.

Für Fragen stehen wir Ihnen unter [Hotline / E-Mail] zur Verfügung. Aktuelle Informationen finden Sie unter [URL].

Mit freundlichen Grüßen [Geschäftsführung]

Template: Presse-Statement

[Unternehmensname] bestätigt einen Sicherheitsvorfall, der am [Datum] festgestellt wurde. Wir haben unverzüglich unser Incident-Response-Team aktiviert und arbeiten mit externen Sicherheitsexperten an der Analyse und Behebung des Vorfalls.

[Optional: Ein Satz zum Umfang, wenn bekannt]

Die zuständigen Behörden wurden informiert. Wir werden die Öffentlichkeit über wesentliche Entwicklungen auf dem Laufenden halten.

Anfragen richten Sie bitte an [Kontaktdaten Pressestelle].

Praxisbeispiel: Kommunikation bei einem Ransomware-Angriff

Um die bisherigen Empfehlungen in einen konkreten Kontext zu setzen, hier ein durchgespieltes Szenario:

Tag 1, 06:30 Uhr: Entdeckung

Der erste Mitarbeiter bemerkt, dass mehrere Dateien verschlüsselt sind. Er meldet es an die IT-Hotline. Um 07:15 Uhr bestätigt die IT: Ransomware, mehrere Server betroffen, Produktion teilweise lahmgelegt.

07:30 Uhr: Krisenstab wird aktiviert. Telefonkonferenz mit GF, IT-Leitung, ISB, Rechtsabteilung, HR und Kommunikation. Erste Lageeinschätzung: 40 % der Produktivsysteme betroffen, Backups werden geprüft, kein Hinweis auf Datenabfluss bisher.

08:00 Uhr: Interne Erstmeldung. Per E-Mail und Aushang (weil E-Mail-System teilweise betroffen): "Sicherheitsvorfall festgestellt, IT arbeitet an Behebung, bitte keine PCs einschalten die noch aus sind, keine USB-Sticks verwenden, bei Fragen an IT-Hotline wenden."

09:00 Uhr: Geschäftsführung informiert Abteilungsleiter in einem kurzen Briefing. Abteilungsleiter geben Informationen an ihre Teams weiter. Klare Botschaft: Wir haben die Situation unter Kontrolle, die Arbeit an der Wiederherstellung läuft.

Tag 1, Nachmittag: Behördliche Meldungen

14:00 Uhr: Frühwarnung ans BSI über das Meldeportal. Inhalt: Ransomware-Vorfall, Umfang wird untersucht, keine Hinweise auf Datenabfluss, Systeme teilweise betroffen.

15:00 Uhr: Forensik-Team (extern beauftragt) beginnt mit der Analyse. Erste Erkenntnis: Der Angriff erfolgte über eine kompromittierte VPN-Verbindung.

16:00 Uhr: Internes Update an alle Mitarbeiter: Fortschritt bei Wiederherstellung, voraussichtliche Dauer bis zur Normalisierung, welche Systeme wann wieder verfügbar sein werden.

Tag 2: Externe Kommunikation

Vormittag: Forensik-Ergebnisse deuten darauf hin, dass Kundendaten nicht betroffen sind. Die Geschäftsführung entscheidet dennoch, die wichtigsten Kunden proaktiv zu informieren, weil der Produktionsausfall Lieferverzögerungen verursacht.

11:00 Uhr: Kundeninformation per E-Mail an alle aktiven Kunden. Inhalt: Sicherheitsvorfall, Produktion vorübergehend eingeschränkt, Lieferverzögerungen möglich, Kundendaten nach aktuellem Stand nicht betroffen, Hotline für Fragen eingerichtet.

14:00 Uhr: Erste Presseanfrage einer Lokalzeitung (ein Mitarbeiter hatte auf LinkedIn über "den Hack" geschrieben). Antwort: Vorbereitetes Presse-Statement wird versendet. Keine weiteren Details, Verweis auf Website für Updates.

Tag 3: Vorfallmeldung ans BSI

Die 72-Stunden-Meldung ans BSI wird eingereicht mit einer ersten Bewertung: Ransomware-Gruppe identifiziert, Angriffsvektor bekannt, keine Hinweise auf Datenexfiltration, Wiederherstellung aus Backups läuft, voraussichtlich 80 % der Systeme innerhalb von 5 Tagen wieder operational.

Woche 2 bis Monat 1: Normalisierung und Abschluss

Produktion läuft wieder auf 95 %. Abschluss-Kommunikation an Kunden: Vorfall ist behoben, Maßnahmen zur Verhinderung zukünftiger Vorfälle, Dank für das Verständnis. Abschlussbericht ans BSI. Interner Bericht für die Geschäftsführung mit Lessons Learned und Investitionsempfehlungen.

Lessons Learned: Was die meisten Unternehmen falsch machen

Aus der Analyse zahlreicher Sicherheitsvorfälle lassen sich wiederkehrende Kommunikationsfehler identifizieren:

Zu spät kommunizieren. Die Hoffnung, dass der Vorfall schnell behoben wird und niemand etwas merkt, führt fast immer zu schlimmeren Konsequenzen. Kunden, die den Vorfall aus der Presse erfahren statt vom Unternehmen selbst, fühlen sich hintergangen.

Zu viel versprechen. "Ihre Daten sind sicher" ist eine Aussage, die in den ersten Stunden nach einem Vorfall fast nie mit Sicherheit getroffen werden kann. Sage lieber: "Nach aktuellem Stand gibt es keine Hinweise auf einen Datenabfluss. Sollte sich das ändern, informieren wir Sie unverzüglich."

Inkonsistente Aussagen. Wenn der ISB etwas anderes sagt als die Pressestelle und die Geschäftsführung wieder etwas anderes, entsteht Verwirrung und Misstrauen. Eine zentrale Sprachregelung ist Pflicht.

Keine Updates und kein Abschluss. Betroffene wollen wissen, wie es weitergeht. Regelmäßige Updates sind besser als Funkstille. Und viele Unternehmen vergessen, den Vorfall offiziell abzuschließen: "Der Vorfall ist behoben, diese Maßnahmen haben wir ergriffen, das haben wir gelernt." Ein sauberer Abschluss stellt Vertrauen wieder her.

Krisenkommunikation bei Sicherheitsvorfällen lässt sich nicht improvisieren. Die Vorbereitung kostet wenige Stunden und zahlt sich im Ernstfall tausendfach aus. Tools wie ISMS Lite tracken Meldefristen automatisch und stellen sicher, dass kein Kommunikationsschritt vergessen wird.

Weiterführende Artikel

• Sicherheitsvorfall erkennen und melden
• Incident-Response-Plan erstellen
• Ransomware-Angriff: Sofortmaßnahmen
• NIS2-Erstmeldung ans BSI: Inhalt, Fristen und Vorlage
• DSGVO-Datenpanne melden