Es ist ein gefürchteter Moment: Man erkennt, dass es einen Sicherheitsvorfall gab und Daten kompromittiert oder gestohlen wurden – und nun steht man vor der Herausforderung, Kunden, Partner und die Öffentlichkeit darüber zu informieren.
Jahrelanger Vertrauensaufbau und der gute Ruf stehen plötzlich auf dem Spiel – und alles hängt davon ab, wie man mit der Situation umgeht und darüber kommuniziert.
Sollte es zu einem solchen Vorfall kommen, gibt es wesentliche Schritte, die ergriffen werden müssen, um Vertrauen zu bewahren und möglichen Schaden zu minimieren. Aus meiner eigenen Erfahrung heraus ist Transparenz dabei der entscheidende Faktor. Auch wenn noch nicht alle Informationen vorliegen, ist es wichtig, den Vorfall anzuerkennen, Verantwortung zu übernehmen – und dabei Mitgefühl zu zeigen – sowie die Informationen, die bereits verfügbar sind, offen zu teilen. Dies ermöglicht es Kunden und Behörden, eigene Einschätzungen zu treffen und bei der Risikobewältigung zu helfen.
Klarheit über das Geschehen, die betroffenen Systeme, die kompromittierten Daten und die Auswirkungen auf die Kunden ist essenziell. Erste Untersuchungen spielen eine Schlüsselrolle, um den Betroffenen präzise und verständlich die Details zu erläutern. Der anfängliche Schock bei den Kunden weicht oft schnell dem Handlungsdrang: Sie wollen wissen, was passiert ist, wann, wie und wer betroffen ist. Wenn man in der Lage ist, diese Fragen zeitnah und präzise zu beantworten, schafft dies das Vertrauen, dass das Unternehmen die Situation im Griff hat und Maßnahmen ergreift, um künftige Vorfälle zu verhindern.
Viele Kunden erwarten, dass ein unabhängiges externes Cybersecurity-Team hinzugezogen wird, um den Vorfall vollständig zu analysieren und zu bewältigen. Daher ist es ratsam, im Vorfeld entsprechende Vereinbarungen zu treffen, um diese Expertise bei Bedarf schnell einsetzen zu können. Das stärkt das Vertrauen der Kunden und gibt zusätzliche Sicherheit.
Der Dialog mit Kunden und der Öffentlichkeit bietet den Beteiligten die Möglichkeit, Fragen zu stellen – und die Fähigkeit, diese effizient zu beantworten, sollte ein fester Bestandteil des Kommunikationsplans eines jeden Unternehmens bei Vorfällen sein. Es muss geklärt werden, wer die Anrufe koordiniert, wie sie terminiert werden, wer befugt ist, Erklärungen abzugeben und wie man rund um die Uhr erreichbar bleibt. All diese Faktoren müssen berücksichtigt werden, wenn neue Informationen verfügbar sind oder öffentliche Erklärungen abgegeben werden. Regelmäßige Updates über den Stand der Untersuchungen ermöglichen es dem Unternehmen, die Kontrolle über die Darstellung zu behalten, Maßnahmen und nächste Schritte zu erklären und den Vorfall schließlich zu einem klaren Abschluss zu bringen. Dazu können auch Empfehlungen an die Kunden gehören, etwa das Teilen von Indikatoren für Kompromittierungen (IoCs), Taktiken und Techniken (TTPs) oder Prozessen, um den Schutz der Kundendaten weiter zu verbessern. Im Gegensatz dazu führt ein Mangel an Informationen dazu, dass Dritte Spekulationen anstellen und Fehlinformationen verbreiten.
Am Ende des Vorfalls und der Untersuchung ist es wichtig, den Abschluss des Vorfalls klar zu kommunizieren: Welche Maßnahmen stehen noch aus, welche nächsten Schritte werden unternommen und wie werden zukünftige Updates bereitgestellt? Instrumente wie eine Nachbesprechung des Vorfalls, das Ziehen von Lehren aus den gemachten Erfahrungen und die Implementierung von Verbesserungen, um den Reaktions- und Kommunikationsprozess kontinuierlich zu optimieren, sind entscheidend, um sicherzustellen, dass Best Practices eingehalten werden und sich die Prozesse stetig weiterentwickeln.
Aus unseren eigenen Erfahrungen heraus entstanden so Initiativen wie „Project Bedrock“ und das „Okta Secure Identity Commitment“. Diese Mechanismen halfen uns nicht nur, notwendige Maßnahmen festzulegen, sondern vor allem auch, sicherzustellen, dass unser Fokus auf den festgelegten Verbesserungen und den kulturellen Veränderungen lag, die für unser Unternehmen unerlässlich waren.
Letztendlich ist es für Okta von entscheidender Bedeutung, nicht nur die eigenen Sicherheitsstrukturen zu verbessern, sondern auch die gesamte Technologiebranche besser vor Angriffen zu schützen. Im Oktober 2024, hat Okta gemeinsam mit der OpenID Foundation eine Arbeitsgruppe gegründet, um einen quelloffenen Standard für Identitätssicherheit, das Interoperability Profile for Secure Identity in the Enterprise (IPSIE), zu etablieren. Dieses Projekt wird auch von Microsoft, SGNL, Beyond Identity und weiteren Technologiefirmen unterstützt.
Mit dem IPSIE verfolgen wir das Ziel, einen einheitlichen Sicherheitsstandard für SaaS-Anbieter zu schaffen, der es ihnen ermöglicht, ihre Produkte von vornherein und durchgängig abzusichern und ein branchenweites Ökosystem für sichere Unternehmensanwendungen zu fördern. Das ist wichtig, weil heutzutage 80% aller Cyberangriffe auf irgendeine Art von kompromittierter Identität zurückgehen.
Solche Initiativen verdeutlichen, wie wichtig es ist, um aus jedem Sicherheitsvorfall die entsprechenden Lehren zu ziehen. Denn auch wenn Vorfälle unvermeidlich sind, wird der Erfolg eines Unternehmens letztlich daran gemessen, wie es auf solche Herausforderungen reagiert – und wie es das Vertrauen seiner Kunden zurückgewinnt und bewahrt.