Pattsituation im Vorstand

00:00:01: als wir auf eine Entscheidung angewiesen waren.

00:00:04: Die Angreifer haben sehr, sehr viel Druck gemacht und wir waren in Verhandlungssituationen.

00:00:08: Der Vorstand ist zu keiner Entscheidung gekommen.

00:00:11: Es hat einen Tag gedauert, es hat zwei Tage gedauern.

00:00:13: Unser Team, wir waren mit 35 Menschen involviert aus allen Bereichen angefangen von unseren BCM-Experten über die Kreditkartenforensik, über die klassische Forensik die wir betreiben.

00:00:25: Alle waren am Stehen des ganzen Konzernen ist still gestanden.

00:00:28: Wir konnten nicht weiterarbeiten bis diese Entscheidung war.

00:00:31: 72 Stunden standen im Raum. 72 Stunden wofür? Bis zur Veröffentlichung von allem was die Angreifer abgezogen hatten Und der Druck stieg die Angreifer haben angefangen, uns Screenshots von Uploads zu schicken, wo sie gerade veröffentlichen.

00:00:46: Die sensiblen Daten usw.

00:00:48: und wir kamen zu keiner Entscheidung.

00:00:51: Wir sind in den Krisenstab rein.

00:00:54: Am anderen Tag hatten wir mit dem Vorstand und dem Aufsichtsrat.

00:00:57: Es kam keine Entscheidung, es war zwei gegen zwei.

00:00:59: Zwei waren gegenbezahlen, zwei waren für bezahlen.

00:01:01: Das war eine

00:01:01: Pattsituation.".

00:01:20: Hallo und herzlich willkommen zu einer weiteren Folge von HiWay unserem Podcast!

00:01:25: Mit einem Experten habe ich heute den Lorenz mitgebracht und mit dem möchte ich reden über Leadership in Cyberkrisen.

00:01:33: Ja, cool dass du da bist.

00:01:34: Wir haben zum Thema Cyber-Krisen schon ein paar Podcasts gemacht.

00:01:37: wir haben zb mit deinem Kollegen Lukas gesprochen über Hafnium also sozusagen viele Cyberkrisen die in vielen Unternehmen, vielen Organisationen gleichzeitig aufgetreten sind.

00:01:48: Wir hatten auch zwei Podcasts mit dem Jan noch mit dem Volker wo wir geredet haben wie das so wenn man auf der technischen Ebene unterstützt wie das ist also sozusagen entweder in der Ermittlung oder auch beim Wiederaufbau.

00:01:58: und heute soll es aber Entscheidungsfindungen gehen.

00:02:03: In so einer Cyberkrise müssen ja viele Entscheidungen getroffen werden, sie müssen wahrscheinlich auch schnell getroffen worden unter Umständen die andere sind als sonst so.

00:02:12: Bevor wir ins Thema einsteigen erzähle ich aber noch was darüber warum du überhaupt aussagefähig bist zu dem Thema.

00:02:16: zu dem Thema Du korrigierst mich Aber Ich habe mir Notizen gemacht.

00:02:21: Du hast jede Menge Dinge studiert Kommunikationsmanagement integriertes Risikomanagement und setzt gerade noch einen drauf.

00:02:27: mit Wirtschaftspsychologie kann man schon sehen, dass es hier mehr so in die menschliche Leadership Richtung geht.

00:02:33: Du hast fünfzehn Jahre Erfahrungen mitgebracht in verschiedenen Krisen.

00:02:37: Lavinen-Sprengdienst ganz schön krass, Krisen mit Gefahr für Leib und Leben im realsten Sinne bis hin jetzt zum Cyber-Krisenmanager.

00:02:44: Du sagst zweihundert Institutionen hast du begleitet.

00:02:47: wahrscheinlich sind's inzwischen schon ein paar mehr ganz kleine irgendwelche Architekturbüros JVD am Ende der Welt große Konzerne mit vielen vielen Angestellten.

00:02:55: Jetzt selber bist du nicht mehr so oft auf Inzidenz unterwegs.

00:02:59: Leider, okay?

00:03:01: Du bist Teammanager und du teilst noch deine Erfahrungen als Dozent für Incident Response zum Beispiel, correct?

00:03:07: Das ist absolut richtig!

00:03:09: Guck mal ich kann ablesen sehr schön aber jetzt gehen wir ins Thema.

00:03:14: Frage eins

00:03:15: genau Entscheidung haben wir schon eingeleitet.

00:03:17: du hast ja viele Erfahrungen in dem also sozusagen im Gremium wo man Entschaltung häufig trifft in so einer Krisensituation, im Krisenstab.

00:03:24: In der Moderation du hast viele Situationen miterlebt?

00:03:27: Was ist da das Besondere und was sind vielleicht auch die besonderen Herausforderungen?

00:03:32: Ich glaube wenn man so Mäuschen spielen will und so ein Krisenstäbe reinguckt dann sind es nicht nur diese typischen Herausforderungen die man trainieren kann mit Krisenstabsmitgliedern oder wie stelle ich das Gremium zusammen oder was sondern es sind ganz einfache Mechanismen würde ich mal sagen, in Diskussionen über Erfolg oder Misserfolge entscheiden.

00:03:55: Man lernt so im Zuge von Entscheidungsfindungen und dass Menschen müssen interagieren damit sie zur passenden Entscheidung kommen.

00:04:03: Das kann aber nicht zu viel Zeit in Anspruch nehmen.

00:04:06: Im Endeffekt gute Entscheidungen zu finden, gute Entscheidung zu treffen bedeutet immer das die Entscheidung die getroffen wurde möglichst wenig Zeit braucht nach zu korrigieren wenn es ihnen nicht optimal war.

00:04:18: Also ich würde pauschal davon abraten, zu sagen das Ziel ist immer die optimale Entscheidung zu treffen.

00:04:24: Sondern das Ziel ist zu entscheiden.

00:04:26: und in den Szenarien wo wir sehen, wo ganz viele unterschiedliche Eben aufeinandertreffen Wir haben im Krisenstab vermutlich einen Vertriebsleiter, ein Produktionsleiter.

00:04:35: Wir haben jemand der für die Finanzen verantwortlich ist Und wer am Teil für IT Security oder grundsätzlich für die IT Verantwortliches kommt es immer zum so einem Missverständnis der Welten.

00:04:46: Es gibt Menschen, die haben total anderen Anspruch wenn sie am Morgen in den Raum kommen und sehr lösungsorientierten Anspruchs sagen, die wissen um was das Problem ist.

00:04:54: Wir sehen kurz vor allem Verschlüsselung.

00:04:56: wir möchten den Standort abschotten und der Vertriebsleiter sagt aber so bevor wir nicht verschlüsselt sind müssen wir weiterarbeiten, wir müssen verkaufen Und die Momente die man so erlebt brauchen recht viel fein gefühl um die zu moderieren können immer sehr, sehr schwierig.

00:05:17: Wenn man als externer Berater oder Krisenmanager, wie wir das bezeichnen wollen in so eine Situation gerät und nicht erkennt wann ist der Moment zu sprechen?

00:05:28: Und wann muss ich einschreiten?

00:05:30: Weil indirekt beeinflusst man jede Situation.

00:05:33: Die Leute gucken sehen einen an und sagen ja sie haben das schon erlebt was ist ihre Empfehlung?

00:05:38: und wenn ich dann sage Ich kann für sich nicht entscheiden oder wir können nicht entscheiden Ist es ja trotzdem so einen Schub in eine Richtung, wenn wir sagen hier an der Stelle würde ich.

00:05:48: Und das ist immer ein sehr intensiver Prozess zwei oder drei Tage bis man wirklich in so einem Krisenmanagement-System kommt und dabei ist es meistens tatsächlich an dem impliziten Krisen-Management.

00:06:05: Viele Berater werden wahrscheinlich jetzt verwundert gucken, wenn ich sage, in den schlimmsten Situationen reichen zwei Menschen um Probleme zu lösen.

00:06:14: Das hat aber die Voraussetzung, dass es ein bestehendes Krisenmanagement gibt.

00:06:18: Also das ist wie... Ich sage immer gerade bei großen Konzernen und bei großem Unternehmen, also so, dass jeder hat diese Trainings, jeder hat die Übungen und es gibt immer zwei, drei, vier Menschen oder eine kleine Peer Group an Personen wo die Leute einfach Vertrauen haben in einem Maß, wo sie sich darauf verlassen.

00:06:37: Darum sind in diesen Sondersituationen halt sehr viele Hebel ausgesetzt Und man muss sich einfach darauf besinnen, was funktioniert im normalen Arbeitsalltag und das funktioniert nicht.

00:06:48: Das hat ganz viel damit zu tun dass der Krisenstabsleiter meistens oder oft häufig fachfremd ist oder gar unterstellt ist.

00:06:55: Die Empfehlung ist halt immer, dass die Vorstände wenn wir in so einem großen Konzern sind Entscheidungsfreiheit haben also dass das Arbeitsgremium dass die Entscheidung vorlegt eine Ebene vielleicht drunter ist.

00:07:08: Manöver, beziehungsweise die Momente muss man erkennen als externer Berater.

00:07:13: Und als Externe Berater bleiben und dann richtig zu entscheiden.

00:07:16: Das machen wir sehr häufig bis jetzt Gott sei Dank sehr erfolgreich.

00:07:24: Ich finde eine Rolle ganz spannend in diesen Situationen.

00:07:28: Weil die so erfahrungsgemäß, die eine andere Rolle einnehmen müssen im Krisenfall, als sie das sonst in ihrem Alltagsgeschäft tun müssen Und das sind die CISOs, also die Informationen sich jetzt beauftragten was auch immer.

00:07:41: Kannst du was darüber erzählen?

00:07:43: Wie die Anforderungen anders sind, was da im Kontext oft ist?

00:07:46: Also

00:07:47: wir haben sie ja gerade vor kurzem gelesen CSU Online.

00:07:49: ein Viertel aller CISO werden entlastet nach der erfolgreichen Ransomware-Attacke.

00:07:55: sehr oft sind die CISOS in einem Spannungsmoment.

00:07:59: auf der einen Seite müssen Sie sehr viel insichtlich Security oder... Sicherheit entscheiden.

00:08:04: Und auf der anderen Seite aber kaum Weisungsbefugt oder haben keinen Budget, sondern arbeiten Vorschläge und müssen das dann irgendwo vorlegen.

00:08:11: Also mit normalen Betriebsmodus sozusagen

00:08:13: außerhalb

00:08:14: der Krise schon eigentlich?

00:08:15: Genau!

00:08:16: Wenn es dann zum schlimmsten Fall kommt, dann kommt halt der Zeigefinger.

00:08:21: Das ist eben der Punkt den man überspringen muss.

00:08:25: Ich habe das letztes Mal so dieses Stiefel im Genick.

00:08:30: wird man keine Krise gewinnen?

00:08:31: Man muss sich selber auch die Absolution erteilen und sagen, bis zu dem Zeitpunkt war das nicht eine Person, die hier gegebenenfalls falsch entschieden hat oder auf denen wir es jetzt ablegen.

00:08:42: Sondern man muss einfach einen Cut ziehen und versuchen so schnell wie möglich in einer neuen Arbeitsfähigkeit zu finden.

00:08:48: Und dieser Übergang wird halt ... Weil wir alles Menschen sind?

00:08:51: Weil alle Menschen sind schon immer ein bisschen der Schuldfrage getrieben.

00:08:56: Wenn man das schafft, sich davon zu lösen, dann ist das ... ein sehr großer Mehrwert, den man sich selber und dem Team ermöglicht.

00:09:06: Das ist halt für uns als Externe dann unfassbar schwierig weil man ist in einer Situation wo man merkt es schwappt jetzt in Richtung einer Person die Lösungsvorschläge bringt, die teilweise die Ursache des Problems in diesem Raum im Szenario nicht alle verstehen.

00:09:23: und dann wird aber das Fingerpointing auf der anderen Seite.

00:09:25: Das heißt wir müssen immer kontinuierlich moderieren und versuchen eine Gleichstellung, eine Gleichfügung der Situation zu ermöglichen.

00:09:33: Das klingt was ein bisschen wie, als wäre der Fokus erst mal auf eine Akzeptanz zur Situation zu gehen und die Ursachenanalysen.

00:09:38: Wie sind wir hierhergekommen?

00:09:39: Wer ist schuld sozusagen wirklich beiseitezulegen und zu sagen jetzt sind wir ihr Jetzt sind wird diese Gruppe von Menschen Und wenn wir jetzt eine Lösung finden dann finden wir die in dieser Gruppe

00:09:48: absolut also die.

00:09:50: Wir haben in der heutigen Zeit dieses so dass man sich sehr sehr sehr viel sehr stark auf technische Lösungen verlässt Und die Interpretation dieser technischen Lösungen gebührt halt einem kleinen Teilnehmerkreis.

00:10:02: Wenn diese Interpretations in eine falsche Richtung läuft, die eine Person vielleicht auch nur nicht richtig verstanden hat dann hat man automatisch eine Kluft zwischen anderen gekraben und wenn das in der Krise passiert ist es natürlich umso herausfordernder.

00:10:21: Das sind die Herausforderungen.

00:10:23: Die haben wir groß dargestellt.

00:10:24: und jetzt ist es ein bisschen die Frage, was macht ihr?

00:10:26: Was macht ihr in der Situation?

00:10:27: Was machst du?

00:10:29: Was sind Fälle, die du kennst von Mechanismen, von Tricks, von Kniffen oder von Methoden mit denen man da wieder rauskommt um wirklich wieder in ein konstruktives Arbeiten zu kommen?

00:10:41: Also wenn man so hinter die Kulissen blicken lässt... Es gibt schon Drahtseile-Akte würde ich sagen.

00:10:47: Es gibt ein recht berühmtes Beispiel wo?

00:10:50: Für mich ist es so, dass vor allem für mich als wir auf eine Entscheidung angewiesen waren.

00:10:57: Die Angreifer haben sehr viel Druck gemacht und wir waren in Verhandlungssituationen.

00:11:02: Der Vorstand ist zu keiner Entscheidung gekommen.

00:11:04: Es hat einen Tag gedauert, es hat zwei Tage gedauert.

00:11:07: Unser Team, wir waren mit 35 Menschen involviert aus allen Bereichen angefangen von unseren BCM-Experten über der Kreditkartenforensik, über die klassische Forensik die wir betreiben.

00:11:19: Alle waren am Stehen.

00:11:20: Der ganze Konzern ist stirgestanden, wir konnten nicht weiterarbeiten bis diese Entscheidung war.

00:11:24: Zweiundsiebzig Stunden stand im Raum und es gab ... Zwei-seitzig

00:11:27: Stunden?

00:11:27: Wofür?

00:11:28: Bis zur Veröffentlichung von allem was die Angreifer abgezogen

00:11:31: hatten.

00:11:32: Und der Druck stieg, die Angreifer haben angefangen uns Screenshots von Uploads zu schicken wo sie gerade veröffentlichen die sensiblen Daten usw.

00:11:41: Und bekamen zu keine Entscheidung.

00:11:44: Wir sind in das In den Krisenstab rein, am anderen Tag hatten wir mit dem Vorstand und einem Aufsichtsrat.

00:11:50: Es kam keine Entscheidung.

00:11:51: Es war zwei gegen zwei.

00:11:52: Zwei waren Gegenbezahlen, zwei waren für Bezahlung.

00:11:54: Das war eine Pattsituation.

00:11:58: Weil man ja in einer Krise ist und weil man oft außergewöhnliche Lösungen oder vielleicht ein bisschen Show braucht habe ich mich ... haben wir uns mit dem Head of Security abgestimmt, dass wir die Situation manipulieren.

00:12:10: Wir haben gesagt, dass die Frist gerade auf zwölf Stunden verkürzt wurde und haben einen Notfall-Meeting einberufen.

00:12:20: Und der Vorstand hat die nach einer halb von anderthalb Stunden eine Entscheidung getroffen.

00:12:24: Wir haben nicht bezahlt, die Daten wurden nicht veröffentlicht.

00:12:26: wir haben alles rechtzeitig innerhalb von drei Tagen so hinbekommen dass sie kein Futter mehr hatten und es war die richtige Entscheidung.

00:12:38: Heute gibt's fünf Vorstände.

00:12:40: Allerdings muss man dazusagen Es gibt oft Situationen wo man sich denkt Wenn das jetzt schief geht, dann haben wir ein richtiges Problem.

00:12:48: Das geht natürlich nicht wenn man die entsprechenden Leute nicht mitnimmt.

00:12:51: also man kann keinen Alleingang machen bei sowas.

00:12:53: Man kann nicht als externe Berater hingehen und sich aufführen wie das Windschwein beim Eichel suchen.

00:13:00: Das funktioniert so nicht aber es muss halt oft einen Schubs in die richtige Richtung rauchen und es sind immer noch Menschen unabhängig davon von der Position.

00:13:09: Das heißt, es braucht einen gewissen Mut.

00:13:10: Es braucht einen Willen zum Risiko aber auch ein Erfahrungshintergrund aus dem man die Situation abschätzen kann.

00:13:17: wie muss ich einbinden?

00:13:18: Was könnte der richtige Hebel sein?

00:13:21: Wie weit kann ich sozusagen gehen und wie muss sich nicht einfach...

00:13:23: Absolut!

00:13:24: Also das funktioniert nur wenn man das Verständnis hat für die Personen im Raum.

00:13:28: Also ganz wichtig ist, Rhetorik sich klar auszudrücken, klar die Probleme darzustellen Und versuchen die Menschen mit zu nehmen.

00:13:36: Man merkt sehr schnell Auf wen hören die Leute im Raum?

00:13:40: Wie interagieren sie auf dich und wie können wir diese Entscheidungen fördern, wie kann man ins sogenannte pauschale Doing kommen.

00:13:48: Und das sieht man bei uns – wir haben 46 Menschen, die im Incident Response arbeiten.

00:13:53: Wir haben Leute, die machen zwischen dreißig und vierzig Vorfälle im Jahr und sind einfach gewohnt diese klassischen Hoppalas oder diese Hickups, wie man es nennt einfach so ein bisschen zu mittigeren und schauen dass die Ansprechpartner schneller unter Anführungszeichen ins Laufen kommen.

00:14:10: Es darf sehr viel Arbeit also.

00:14:13: ich habe jeder Nacht die Tage nachgearbeitet und eine Stunde früher aufgestanden um einfach die Informationen oder die Hürden die am Tag kommen vorzubereiten unabhängig davon von jedem Gremium weil wenn all eyes on you die Situation ist sehr oft Man steht da und sagt, Herr Engler was sagen Sie dazu?

00:14:33: Das passiert kontinuierlich.

00:14:34: Und man muss einen Schritt voraus sein.

00:14:36: Früher ganz am Anfang ist es warm.

00:14:39: Wir sind am Abend.

00:14:39: Da ist man zusammen in Essen gegangen hat ein Bier getrunken.

00:14:42: das funktioniert heute nicht mehr.

00:14:43: wir brauchen alles ist schneller geworden wir haben weniger Zeit zur Verfügung wir müssen besser vorbereitet sein.

00:14:49: ja das klingt nach wenig Spaß aber der Erfolg ist schon bisschen sehr sehr befriedigend.

00:14:56: Ab und zu ist einfach das soziale Akku von Leuten leer.

00:14:58: Das betrifft mich, das betriffe jeden anderen.

00:15:00: Wenn man da sagt okay heute Abend ziehe ich mich zurück und verbringe mal einen Abend im Hotelzimmer mit einer Tütechips oder Scrups oder weiß ich was, dann ist das sehr hilfreich.

00:15:11: Danke für den Einblick!

00:15:13: Sehr spannend.

00:15:15: Ich glaube es sind viele wichtige Gedanken für die Zuhörerinnen und Zuhöre vor unserer Publikum dabei.

00:15:20: Ich fand's auch spannend zu hören Geschichten, die man nicht so im Alltag so oft hört.

00:15:25: Danke, dass du da warst.

00:15:26: Viel Spaß bei deiner weiteren Tätigkeit!

00:15:29: Dankeschön!

00:15:29: Viel Spaß dabei all die Erkenntnisse deines neuen Studiums mit einfließen zu lassen und damit noch psychologisch fundierte hervorzugehen in allen Aspekten der Arbeit.

00:15:39: Euch vielen dank fürs Zuhören, vielen danke fürs Einschalten, vielen dank für's Zuschauen.

00:15:45: Wir sehen uns demnächst wieder bei einer neuen Folge von HiWay, den Podcast von der HiSolutions Mit einem Experten drei Fragen in zehn Minuten

00:15:55: Der Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:16:02: Hat dir diese Episode gefallen?

00:16:04: Dann abonniere den Podcast und empfehle unsere Folgen weiter!