3min. read

Im Falle einer Cyberattacke möchte der Vorstand natürlich wissen, ob es einen Plan gibt. Der Vorstand möchte die Gewissheit, dass das Unternehmen darauf vorbereitet ist, den Vorfall schnell, effizient und gründlich zu bewältigen, um die Auswirkungen zu minimieren. Deshalb wird die nächste brennende Frage, die Sie beantworten müssen, nachdem Sie über das Cyberrisiko informiert haben, die Frage nach Ihrem Plan zur Schadensbegrenzung sein. Sie sollten eine Antwort auf die Frage „ Wurde die Situation eingedämmt und haben wir angemessen darauf reagiert?“ parat haben.

Das impliziert wiederum die folgenden Fragen:

  • Wie sah unser Notfallplan aus?
  • Wie haben wir Maßnahmen und Ressourcen priorisiert?
  • Was ist noch zu tun?
  • Gab es Überraschungen und konnten wir Lehren für das nächste Mal ziehen?

Schadensbegrenzung bei Cyberrisiken: Haben wir alles getan?

Was Ihre Führungskräfte und Vorstandsmitglieder wirklich interessiert, ist, ob die Situation unter Kontrolle gebracht wurde und welche Zusicherungen Sie geben können, dass angemessen auf das Risiko reagiert wurde.

Um bei der Beantwortung solcher Fragen vom Vorstand (oder später womöglich auch von einem Auditausschuss) eine vertretbare Position einnehmen zu können, benötigen Sie vor allem eines: Dokumentation! Ihre Pläne für die Reaktion auf Vorfälle und Zero-Day-Schwachstellen sowie für das Patchmanagement müssen alle Prozesse, jegliche Kommunikation und alle Schritte zur Risikobeseitigung und Schadensbegrenzung enthalten.

Diese Dokumentation muss umfassend sein und sollte nicht nur die Pläne umfassen, sondern auch: