Krisenkommunikation im Falle eines Cyberangriffs – viele Tücken, aber auch Chancen für die Unternehmenskommunikation

Krisenkommunikation bei Cyberangriff, ©Zichuan Han Zahl und Ausmaß von Cyberangriffen auf Unternehmen haben im Laufe des letzten Jahres deutlich zugenommen. Prominente Fälle, in denen selbst große Konzerne von heute auf morgen praktisch lahmgelegt wurden, machten Schlagzeilen. Doch es trifft bei Weitem nicht nur die „großen Fische“, sondern Unternehmen jeder Größe und Branche, vor allem auch Hidden Champions.

Autoren Volker Pulskamp und Stephan Ester

Mit der fortschreitenden Digitalisierung steigt die Zahl der möglichen Schwachstellen und potenziellen Angriffspunkte für Cyberkriminelle. Ein Trend, der seit Beginn der COVID19-Pandemie noch einmal deutlich an Fahrt gewonnen hat, da viele Mitarbeiter/innen verstärkt im Homeoffice arbeiten – oftmals noch immer mit nicht ausreichenden, unzulänglichen Sicherheitsvorkehrungen.

Dabei handelt es sich bei den Angreifern längst nicht mehr um irgendwelche verrückten Hacker-Kids und Nerds, sondern um hoch professionelle und organisierte Kriminelle, die aus Cybercrime ein regelrechtes „Geschäftsmodell“ gemacht haben. Eine gängige Methode ist dabei der Einsatz von Ransomware, mit der die Daten auf den Servern eines Unternehmens verschlüsselt werden. Die Kriminellen fordern dann ein Lösegeld – meist zu zahlen in Bitcoins – um dem Opfer im Gegenzug eine Entschlüsselungssoftware zur Verfügung zu stellen, um den Angriff wieder zu neutralisieren. Andernfalls drohen wochen- oder gar monatelange Produktionsausfälle, mit Kosten in Millionenhöhe oder auch die Veröffentlichung vertraulicher oder kompromittierender Informationen im Darknet. Ein echtes Dilemma für die betroffene Geschäftsführung. Entsprechend groß ist dort häufig die Verunsicherung.

Selbst unter Einhaltung der höchsten Sicherheitsstandards gilt: eine 100 %ige Sicherheit gibt es nicht, es kann sprichwörtlich jeden treffen. Was bedeutet das für die Unternehmenskommunikation?

Die Unternehmenskommunikation muss im Krisenstab mit am Tisch sitzen

Kommt es zum Ernstfall, müssen nicht nur die IT-Sicherheitssysteme schnell und umfassend greifen. Auch der Unternehmenskommunikation kommt gerade in den ersten Stunden und Tagen eine zentrale Rolle zu.

Ein großangelegter Cyberangriff ist eine Ausnahmesituation, die ein Unternehmen in seiner Komplexität kaum allein bewältigen kann. Grundsätzlich ist es daher ratsam, sich möglichst schnell professionelle externe Hilfe an Bord zu holen. Versicherungen mit entsprechenden Cyber-Policen können im Schadensfall innerhalb weniger Stunden ein Expertenteam aus IT-Forensikern, Rechtsberatern und Krisenkommunikationsexperten zusammenstellen. Das A und O dabei: Wenn der Krisenstab aus internen und externen Experten und Entscheidungsträgern zusammentritt, muss die Unternehmenskommunikation stets von Beginn an mit am Tisch sitzen.

Entscheidend ist zunächst eine gründliche Sondierung des entstandenen Schadens: Welche Systeme sind genau betroffen? Ist die IT-Infrastruktur nach außen isoliert oder befinden sich die Angreifer womöglich noch im System? Funktionieren die internen und externen Kommunikationskanäle über E-Mail, Telefon und Website noch? In dieser frühen Phase kann eine überstürzte und unbedachte Kommunikation mehr Schaden als Nutzen stiften. Ein alarmistisches „Wir wurden gehackt!“ oder gar „Wir werden erpresst!“ würde noch mehr Unruhe und Verunsicherung unter Mitarbeitern, Kunden und Partnern schaffen sowie ein Medieninteresse wecken, das man genau in diesem ersten Moment der Krise, in dem andere Aufgaben Priorität haben, gerade eigentlich nicht braucht.

Was und wann kommuniziert wird, hängt vielmehr ganz entscheidend von den aktuellen Erkenntnissen der IT-Experten ab. Welche Systeme sind noch sicher nutzbar und welche Mitarbeiter/innen damit überhaupt noch arbeitsfähig? Besteht oder bestand eine Gefahr für Kunden- oder Lieferanten-Daten? Wurden neben der Datenverschlüsselung auch Firmendaten aus den IT-Systemen exfiltriert und könnten in die Hände unbefugter Dritter gelangen? Sind Mitarbeiter/innen-Daten betroffen? Und wie lange wird die Systemwiederherstellung voraussichtlich dauern? All diese Fragen wirken sich unmittelbar auf die Kommunikation mit den relevanten Zielgruppen aus.

Ist die aktuelle Lage ermittelt und sind erste Gegenmaßnahmen eingeleitet, gilt es einen strukturierten und wohlbedachten Kommunikationsprozess anzustoßen. Schon aus juristischen Gründen müssen neben den Strafverfolgungsbehörden auch die zuständigen Datenschutzbehörden informiert werden – in der EU hat dies gemäß der Datenschutz-Grundverordnung (DSGVO) innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls zu erfolgen. Sind auch Niederlassungen im Ausland betroffen, müssen zusätzlich die dort geltenden Bestimmungen beachtet werden. Ist ein Unternehmen börsennotiert, gelten außerdem entsprechende Ad-hoc-Publizitätspflichten.

Gerade im Falle einer Erpressung mit Ransomware ist es wichtig, die richtige Balance zwischen Transparenz und wahrheitsgemäßer Kommunikation einerseits und der gebotenen Diskretion andererseits zu finden. Eine offene Kommunikation kann daher vertrauensbildend wirken und auch Solidarität erzeugen – intern wie extern. Zu Beginn der Krise kommt es darauf an, für Beruhigung zu sorgen und zu zeigen, dass man schnell und entschlossen reagiert und die Lage im Griff hat, unter Hochdruck an einer Wiederherstellung des normalen Geschäftsbetriebs sowie einer gründlichen Untersuchung des Vorfalls arbeitet. Zudem gilt es, Spekulationen vorzubeugen. Wann immer Bedenken entkräftet werden können, sollte dies geschehen – gerade deshalb ist es entscheidend, dass die Unternehmenskommunikation stets über die neuesten Erkenntnisse informiert ist, um kommunikativ im „Driver´s Seat“ zu sitzen.

Transparente Kommunikation nach innen und außen

Wie in jedem Krisenfall gilt auch für die Kommunikation in der Cyberkrise: intern geht vor extern. Für die Mitarbeiterkommunikation sollte es schon im Vorfeld Prozesse geben für den Fall, dass E-Mail, Telefon und Intranet durch den IT-Angriff außer Gefecht sind und entsprechende Kommunikationsketten und Kaskadierungen innerhalb der Organisation etabliert und trainiert sind. Mitarbeiter/innen müssen zeitnah informiert werden, ob sie noch zur Arbeit kommen können und welche Endgeräte sie noch nutzen dürfen. Je größer eine Organisation ist, desto mehr gilt jedoch auch „intern gleich extern“, denn die Wahrscheinlichkeit, dass Informationen nach außen sickern, Gerüchte gestreut oder verstärkt werden, steigt mit der Zahl der Mitarbeiter/innen. Eine abgestimmte, konsistente und faktenbasierte Kommunikation nach innen und außen ist daher essenziell und muss zentral gesteuert werden. Für die Mitarbeiter/innen ist es zudem besonders wichtig, dass sie regelmäßig über den aktuellen Stand der Wiederherstellungsmaßnahmen informiert werden und ihnen Ansprechpartner/innen im Unternehmen für Fragen zur Verfügung stehen.

Anschließend sollten auch Kunden, Lieferanten und sonstige Geschäftspartner frühzeitig und transparent über den Vorfall informiert werden. Denn deren erste Frage wird sein: „Sind meine Daten sicher? Ist mein IT-System jetzt auch in Gefahr?“ Sich hier bedeckt zu halten, kann langfristig aufgebautes Vertrauen nachhaltig schädigen, besonders wenn Kunden zuerst aus den Medien über die aktuelle Situation erfahren anstatt vom Unternehmen selbst. Auch hier sollten die Erkenntnisse der IT-Forensiker genutzt werden, die zur Beruhigung beitragen – oder falls doch begründete Risiken bestehen, diese klar, sachlich und transparent kommunizieren.

Gegenüber den Medien gilt es abzuwägen, ob man vorerst rein reaktiv bleibt oder mit einer aktiven Kommunikation nach außen geht. Entscheidend dafür ist das Ausmaß des Vorfalls: Ist der Schaden schwerwiegend, kann eine aktive Presseansprache durchaus geboten sein. Entsprechende reaktive Statements und Q&As – auch für mögliche Szenarien zur weiteren Entwicklung des Vorfalls – sollte man in jedem Fall frühzeitig abstimmen und parat haben. Dass die Unternehmenskommunikation zentrale und einzige Anlaufstelle für Presseanfragen ist, sollte sich von selbst verstehen. Die zentrale Rolle der Sprecher sollte ebenfalls frühzeitig geklärt und die Sprecher mittels Briefings und Trainings vorbereitet sein. Wie andere Stakeholder sollten auch die Medien im Falle einer aktiven Kommunikation in regelmäßigen Abständen über den Stand der Dinge unterrichtet werden.

Aus der Krise lernen – gestärkt in die Zukunft gehen

Ist der Cyberangriff erfolgreich abgewehrt, ist die Kommunikation noch lange nicht beendet. Die Mitarbeiter/innen müssen über mögliche zusätzliche Sicherheitsmaßnahmen informiert werden und ein tiefes Bewusstsein für IT- und Datensicherheit geschaffen und in der Unternehmenskultur verankert werden.

Geeignete sogenannte „Recovery-Meldungen“ helfen, die Normalität für das Unternehmen nach innen und nach außen wiederherzustellen. Anhand der Cyberkrise lässt sich gegebenenfalls sogar eine positive Geschichte darüber erzählen, wie das Unternehmen eine solch extreme Herausforderung gemeistert und sich die Organisation in der Not bewährt hat. Dies vermittelt nicht nur ein positives Bild nach außen, sondern trägt auch zu Motivation und Zusammenhalt, mit neuem „Wir-Gefühl“ intern im Unternehmen bei.

Wie nach jeder Krise sollte zudem eine gründliche Nachbetrachtung stattfinden, um mögliche Verbesserungspotenziale zu identifizieren. Doch auch bevor der Ernstfall eintritt können Krisensimulationen und -Trainings, Krisen-Playbooks sowie nicht zuletzt unternehmensweite Kommunikationsrichtlinien dazu beitragen, im Falle einer Cyberkrise besser vorbereitet zu sein. Denn eins ist sicher: Cyberkriminelle werden auch 2021 weiter Hochkonjunktur haben.

 

Ihr Unternehmen benötigt schnellen Krisen Support? Wir helfen Ihnen! Sie erreichen unser Krisenteam am besten über unser Kontaktformular. Sämtliche Angaben werden selbstverständlich streng vertraulich behandelt.