Was tun, wenns brennt?

Dichter Rauch steigt aus dem Dach des Hauses, die Flammen suchen sich ihren Weg nach draussen und das Feuer droht auf das Nachbargebäude überzugreifen. Der Einsatzleiter beginnt den gut eingeübten Führungsrhythmus durchzudenken: Wo lauern Gefahren? Wo befinden sich Menschen in Not? Welches Ausmass hat der Vorfall? Wie wird sich die Lage entwickeln? Welche Mittel der Brandbekämpfung stehen zur Verfügung? Beinahe reflexartig legt er die Einsatzreihenfolge fest und entscheidet, was wo mit welchen Mitteln getan werden soll. Während der nächsten Stunden wird der Einsatzleiter den Führungsrhythmus immer wieder durchgehen und kontrollieren, ob die von ihm ergriffenen Massnahmen wirken.

Eine unbekannte Situation, Zeitdruck, ungenügende Information und schwierige Entscheide kennzeichnen nicht nur Feuerwehreinsätze. Wenn eine Firma oder Organisation eine Cyberattacke bewältigen muss, stehen die verantwortlichen Personen vor ähnlichen Herausforderungen. Oft fehlen ihnen aber die nötigen Methoden und die Erfahrung, um in einer solchen Situation effektiv zu führen.

Ein strukturierter, aus fünf Phasen bestehender Führungsrhythmus hat sich in allen Blaulichtorganisationen bewährt. Der erste Schritt «Feststellen» dient dazu, die zu bewältigende Aufgabe zu überblicken, zu gliedern, zu gewichten und ihre Dringlichkeit zu erkennen. Der zweite Schritt «Beurteilen» schafft die Grundlage, um eine Idee zu entwickeln, wie der Vorfall bewältigt werden kann, in welcher Reihenfolge die Handlungen ausgeführt werden und wie die beteiligten Organisationen zusammenwirken sollen.

Im dritten Schritt «Entscheiden» führt die Entwicklung dieser Idee zu konkreten Entscheidungen, die dann im vierten Schritt «Handeln» durch klar formulierte Aufträge Handlungen auslösen. Im fünften Schritt «Kontrollieren» wird schliesslich überprüft, ob die gewählten Handlungen wirken, was zu neuen Erkenntnissen über die Bedrohungslage führt und einen weiteren Zyklus auslöst.

Dieser Rhythmus bietet den Einsatzleitern ein systematisches mentales Modell, das in unbekannten Situationen eine zielgerichtete und flexible Führung ermöglicht.

Dieser Führungsrhythmus kann auch bei der Bewältigung von Cyberattacken angewendet werden, indem er in allen sechs Phasen des Cyber-Response-Prozesses mehrmals durchlaufen wird. Der Cyber-Response-Prozess selbst gliedert sich in die folgenden Phasen:

Damit der Führungsrhythmus im Ernstfall gelebt wird, sind folgende Vorbereitungsschritte nötig. Erstellen Sie einen Cyber-Response-Plan. In diesem werden die Rollen und Verantwortlichkeiten für die Vorfallbewältigung definiert. Es handelt sich dabei nicht nur um technische Rollen; unter anderem müssen auch Aspekte der Kommunikation und der rechtlichen Beurteilung eines Vorfalls berücksichtigt werden. Die Rollen müssen ausserdem ausreichend Handlungskompetenz besitzen, um den ganzen Führungsrhythmus anwenden und Entscheide treffen zu können.

Um den Führungsrhythmus zu verinnerlichen, muss er immer wieder angewendet werden können. Regelmässige Übungen zählen daher als fester Bestandteil zur Vorbereitungsphase des Cyber-Response-Prozesses.

Bleiben Sie wachsam! So wie bei einem Brand allenfalls Nachlöscharbeiten notwendig sind, muss bei einer Cyberattacke sorgfältig geprüft werden, ob die dabei ausgenutzten Schwachstellen eliminiert sind.

Jeder Cybervorfall bietet die Chance, den eigenen Cyber-Response-Prozess zu überprüfen. Schliessen Sie die Vorfallbewältigung ab, indem Sie Massnahmen zur kontinuierlichen Verbesserung beurteilen und initiieren.