2. Spurensicherung
IT-Spezialisten müssen das Leck abdichten können, ohne die betroffenen Systeme zu modifizieren. Wenn absehbar ist, dass dies nicht durchführbar ist, sollten schleunigst (externe) Security-Fachleute alarmiert werden. Im Idealfall wurde ein Sicherheitsberater bereits im Vorfeld für eventuelle Notfälle angeheuert, um sich langwierige Abstimmungsprozesse und finanzielle Verhandlungen in der heißen Phase zu ersparen. Eine geringe Verzögerung durch die externen Kräfte kann sich oft positiv auf die Lösung des kompletten Falls auswirken. "Viele Vorfälle sind relativ einfach für uns zu lösen", sagt Bryan Sartin von Security-Dienstleister Cybertrust, "doch häufig hat das betroffene Unternehmen die Spuren am Tatort bereits verwischt, so dass eine Strafverfolgung wegen der fehlenden Beweise nicht mehr möglich ist".
3. Kommunikation und Vertrauen
Nicht immer möchte man die Rechtsabteilung in den eigenen Server-Logs schnüffeln lassen, doch gravierende Vorfälle können nicht isoliert in der IT-Abteilung bewältigt werden. Sicherheitsverantwortliche, die andere Abteilungen des Unternehmens rasch informieren – Recht, Personal, PR und Marketing sowie gegebenenfalls die Vorstandsebene – haben einen besseren Stand als ihre Kollegen, die nn mitteilen, wenn es für Gegenmaßnahmen auf allen Ebenen zu spät ist. Zudem sollten Sicherheitsverantwortliche im Störfall stets auf die Ressourcen der anderen Abteilungen zurückgreifen. "Ein Security-Experte darf nicht glauben, dass er allein für die Klärung des Falles zuständig ist", sagt Randy Barr, oberster Sicherheitsbeauftragter der Cisco-Tochter WebEx.
Die passende Reaktion auf einen Datenverlust läuft immer auf mehreren Ebenen an: Die betroffenen Personen müssen informiert werden (Kunden, Mitarbeiter, Partner), in den USA sind die Strafverfolger und gegebenenfalls die Öffentlichkeit sowie Regulierungsbehörden zu informieren, Pressemitteilungen müssen verfasst und im Extremfall rechtliche Auseinandersetzungen vorbereitet werden. Sind erst einmal Daten verschwunden, ist die Angelegenheit keine reine Veranstaltung der Sicherheitsabteilung mehr: "Der größte Vorteil ist es", so Barr, "wenn sich ein Unternehmen zu diesem Zeitpunkt für die Lösung des Problems nicht mehr allein auf die Security-Einrichtungen verlassen muss".
4. Angriff ist die beste Verteidigung
"Seien Sie unvoreingenommen", berichtet ein Sicherheits-Manager eines US-Finanzdienstleisters, der nicht namentlich genannt werden will. "Viele Security-Verantwortliche betreten Meetings mit CEOs, COOs, CIOs und IT-Leitern in der Angst, dass ihr Job durch den Störfall den Bach runtergeht." Statt dessen sollten sie mit einer offenen Haltung in die die Krisengespräche eintreten und Bereitschaft zur Kooperation demonstrieren.