MSP-Hacks können zu absolutem Kommunikationschaos führen: Mit diesen fünf Maßnahmen können Sie zukünftigen Kopfschmerzen vorbeugen
Ein Gastbeitrag von Meredith Griffanti und Kelly Miller von FTI Consulting
Als eines der führenden Teams bei der Kommunikation von Cybersecurity-Verletzungen nach etlichen der größten Hacks der Geschichte können wir voller Überzeugung behaupten, dass wir schon alles gesehen haben. Insbesondere ein Trend bewahrheitet sich immer wieder: MSP-Hacks können selbst bei den verschwiegensten Kommunikationsteams zu absolutem Chaos führen.
Viele Unternehmen ergreifen heutzutage berechtigterweise gezielte Sicherheitsmaßnahmen, um sich vor Eindringlingen zu schützen. Jene, die bereits einen Cybersecurity-Vorfall erlebt haben, werden Ihnen bestätigen, dass dieser zwar technischen Ursprungs sein mag, dessen angemessene Kommunikation jedoch die größte Herausforderung ist. Daher sollte unbedingt eine entsprechende Kommunikationsstrategie ausgearbeitet werden.
Für MSPs kann sich das zu einem komplizierten Kommunikationsgeflecht entwickeln, wenn Kunden, Endkunden, Kunden von Kunden, Geschäftspartnern … und so weiter und so fort informiert werden müssen. Und selbst wenn das Unternehmen den Betrieb selbst wieder aufnehmen konnte, wird sich die Kundendienstabteilung noch Wochen – mitunter auch Monate – mit Kundenfragen herumschlagen müssen. Bei allen Mandanten stellt die Kommunikationsarbeit in der Reaktion auf einen Vorfall den längsten Rattenschwanz dar.
Basierend auf unserer Erfahrung beim Umgang mit einigen der bisher denkwürdigsten MSP-Hacks können wir einige sofort umsetzbare Maßnahmen empfehlen, mit den MSPs mögliche Cybersecurity-Vorfälle besser handhaben können.
1. Geschäftskontinuität der Kommunikation beurteilen und Back-up-Programme kennen
In der Hitze eines Cybervorfalls kann eine Kommunikation nicht mehr möglich sein, da die Systeme entweder gesperrt oder zum Schutz vor negativen Auswirkungen heruntergefahren sind. Am besten vorbereitete Unternehmen verfügen daher über externe „Out of Band“-Kommunikationskanäle, um wichtige Kontakte und Beteiligte zu erreichen. Dazu sollten Sie nicht nur einen entsprechenden Anbieter zur Bereitstellung dieser Leistung beauftragt haben, sondern auch sicherstellen, dass die Kommunikationsteams und andere Verantwortliche in Ihrem Unternehmen wissen, wie diese einzusetzen sind. Der Versand einer E-Mail an das gesamte Personal wird ironischerweise am meisten benötigt, wenn Sie diese nicht verschicken können. Erwägen Sie beispielsweise Notfallmitteilungen per Textnachricht oder eine Lead-Generierungssoftware, die Sie beim Ausfall herkömmlicher Kommunikationskanäle verwenden können.
2. Eine Kommunikationsgenehmigungsstrategie ausarbeiten
Es geht häufig recht schnell, eine Info an das Personal zu verfassen, allerdings kann deren Genehmigung sehr lange dauern. Der typische Dienstweg für Pressemitteilungen sollte bei einem Notfall nicht im Weg stehen. Arbeiten Sie ein Notfallprotokoll aus, damit die richtigen internen Beteiligten (wie Vorstandsmitglieder, Führungskräfte und technische Teams) schnell einbezogen werden können, und optimieren Sie den Zustimmungsprozess für Ihre Kommunikation.
3. Die Geschäftsbeziehungen verstehen
Die geschäftlichen Netzwerke von MSPs können unglaublich kompliziert sein und viele Support-/Vertriebsteams gleichzeitig mit den Kunden im Kontakt sein. Im Falle einer Cybersicherheitsverletzung können bestehende Strukturen schnell untragbar werden, wenn jeder Kunde ausführlicher informiert werden möchte. Überlegen Sie sich also am besten schon jetzt, wie Sie mit einer großen Anzahl von Anfragen umgehen können und gleichzeitig sicherstellen, dass jeder externe Kontakt einen eindeutigen Ansprechpartner innerhalb des Unternehmens hat. Dazu müssen auch Kontaktdatenbanken auf dem neuesten Stand sein. Häufig sind auch ehemalige Kunden von einem Cybervorfall betroffen. Sie müssen also wissen, wie Sie diese erreichen können (und wer dann für die Kontaktaufnahme zuständig ist).
4. Kontoteams Einsicht in Data-Governance-Richtlinien geben
Richtlinien und Verfahren zur Data Governance dürfen nicht geheim bleiben oder in einem Datenschutzvakuum verschwinden. Bei einem Vorfall sind die Kontoteams dafür zuständig, den Kunden zu erklären, auf welche Art und wie lange bestimmte Daten gespeichert werden. Sie sind sich häufig auch besser bewusst, welche Informationen für die unterschiedlichen Kunden am wichtigsten sind oder als „sensibel“ gelten. Wenn Ihr Unternehmen also Entscheidungen bezüglich seiner Data-Governance-Richtlinien trifft, stellen Sie sicher, dass Ihre Teams mit Kundenkontakt zeitnah darüber informiert werden.
5. Vertragliche Vereinbarungen im Voraus abklären
Lange nachdem Sie sämtliche Sicherheits- und Geschäftsprobleme abgeklärt haben, die ein Cybersecurity-Vorfall mit sich bringen kann, werden Sie höchstwahrscheinlich weiter im Gespräch mit den Kunden bleiben, um zu klären, wie Sie im Anschluss weiter verfahren. Stehen ihnen beispielsweise Nachlässe aufgrund von Systemausfallzeiten zu? Wie viele Datencontroller oder Betroffene müssen informiert werden? Wurden Vereinbarungen zur Datenaufbewahrung eingehalten? … also viele Einzelheiten, die bei Vertragsschluss mit neuen Kunden nicht im Vordergrund stehen. Überprüfen Sie Ihre Verträge am besten noch heute darauf, dass sie leicht verständlich und klar gegliedert sind sowie regelmäßig überprüft werden. So stellen Sie sicher, dass Sie bei einem Vorfall die Kommunikation gemäß der vertraglichen Vereinbarungen priorisieren können.
Bei der Kommunikation von Cybervorfällen werden an MSPs – aufgrund der nicht absehbaren Folgen, die sich für deren Kunden aufgrund von Ausfallzeiten ergeben können, – häufig höhere Anforderungen gestellt. Eine effiziente Reaktion muss sicherstellen, dass die Auswirkungen so gering wie möglich bleiben. Dazu muss ein gründlich durchdachter und sorgfältig ausgelegter Kommunikationsplan vorliegen, der Führungskräfte mit Mitteilungen ausrüstet, damit sie Kunden schnell, transparent und genau informieren sowie einheitlich und aufschlussreich über die Übergangslösungen zur Minimierung der betrieblichen Auswirkungen aufklären können. Wenn Sie also Ihren Cybersecurity-Notfallplan ausarbeiten, denken Sie unbedingt auch an die Kommunikation. Sie kann Ihnen im Nachgang großen Zeit- und Kostenaufwand ersparen.
Meredith Griffanti
Meredith Griffanti ist eine preisgekrönte PR-Expertin für Krisenkommunikation und Cybersicherheit und Leiterin der Abteilung Cybersecurity & Data Privacy Communications bei FTI Consulting.
Sie berät Kunden aus den unterschiedlichsten Branchen bei der Kommunikation sowohl hinsichtlich Cybersecurity-Vorbereitungen als auch der Reaktion auf Vorfälle.
Frau Griffanti hat einige der spektakulärsten Datenschutzverletzungen weltweit bearbeitet. Sie hilft ihren Kunden dabei, vor, während und nach einem Cybersecurity-Vorfall angemessen und transparent mit den Hauptbeteiligten zu kommunizieren.
Sie wurde 2020 von PR News als Person des Jahres im Krisenmanagement ausgezeichnet und erhielt 2021 einen Cybersecurity Excellence Award als Cybersecurity-PR-Profi des Jahres. Im selben Jahr wurde sie vom Consulting Magazine für ihre Erfahrung in der Krisenkommunikation mit dem Rising Star Award ausgezeichnet.
Derzeit bereitet sie sich auf ihre CISSP-Prüfung (Certified Information Systems Security Professional) vor, um ihre Cybersecurity-Qualifikationen weiter auszubauen.
Kelly Miller
Kelly Miller ist leitende Führungskraft für Cybersecurity- und Datenschutzkommunikationspraktiken bei FTI Consulting. Sie spezialisiert sich auf die Reaktion auf Cybersicherheitsvorfälle und den Umgang mit Datenschutzproblemen. Frau Miller berät Technologie- und Cybersecurity-Unternehmen – von Start-ups bis hin zu Fortune-100-Organisationen – hinsichtlich Kommunikationsstrategien bei Krisen, öffentlichen Untersuchungen und regulatorischen Diskussionen.
Sie hat bereits die Reaktion auf Ransomware-Vorfälle für Unternehmen in den unterschiedlichsten Branchen geleitet, heikle Datenschutzdebatten von Kunden auf nationaler Ebene mit Leitmedien gelenkt, aufsteigende Marken zu bundesstaatlichen Marktführern der Cybersecurity gemacht und Kampagnen für kabellose Innovationen durch FCC-Genehmigungen unterstützt.
Vor ihrer Arbeit bei FTI war sie Vizepräsidentin bei Banner Public Affairs, wo sie für Konten von Technologiekunden verantwortlich war und die Start-up-Abteilung der Firma gründete.
Zuvor arbeitete sie als Managerin für Öffentlichkeitsarbeit bei CTIA, dem führenden Wirtschaftsverband der US-amerikanischen Industrie für drahtlose Kommunikation. In dieser Funktion war sie an der Ausarbeitung und Implementierung der Kommunikationsstrategie für Kunden und Behörden sowie die Reaktion auf Industriekrisen beteiligt.
Übersetzung: Doreen Schäfer