Die zehn goldenen Regeln der Cyber-Krisenkommunikation

Die Zahl und Heftigkeit von Cyberangriffen auf Unternehmen und öffentliche Einrichtungen sind auch im zweiten Pandemie-Jahr national wie international in fast erschreckendem Maße weiter angewachsen. Mit Recht kann man von einer „digitalen Pandemie unserer Zeit“ sprechen: So gaben laut einer Studie des Digitalverbands Bitkom neun von zehn befragten Unternehmen an, in den vergangenen zwölf Monaten Opfer von Cyber-Kriminalität geworden zu sein. Besonders zugenommen haben dabei Ransomware-Attacken, bei denen Unternehmensdaten verschlüsselt und häufig auch gestohlen werden, um anschließend ein Lösegeld zu erpressen. Allein die durch Ransomware verursachten Schäden haben sich laut Bitkom in den Jahren 2020 und 2021 gegenüber den Vorjahren 2018/2019 um 358 Prozent mehr als vervierfacht. Jedes elfte Unternehmen (neun Prozent) sieht inzwischen seine geschäftliche Existenz durch Cyber-Angriffe bedroht.

Vernetzen Sie sich mit Volker Pulskamp und Stephan Ester auf LinkedIn

Bei FleishmanHillard haben wir in den letzten beiden Jahren zahlreiche Unternehmen in akuten Cyber-Krisen kommunikativ beraten und begleitet – von kleinen Mittelständlern bis hin zu Global Playern. Auch wenn gerade Ransomware-Angriffe häufig nach einem ähnlichen Muster ablaufen, können die organisatorischen Bedingungen, auf die sie in den attackierten Organisationen treffen, höchst unterschiedlich sein – nicht zuletzt im Bereich der Unternehmenskommunikation.

Ein Cyberangriff ist eine besondere Krisensituation, da sie oft sämtliche Unternehmensbereiche und viele verschiedene Stakeholder gleichzeitig betrifft. Umso mehr kommt in diesem Fall einer professionellen Krisenkommunikation eine besondere Bedeutung zu. Aus unserer Erfahrung kristallisieren sich zehn „goldene Regeln“ der Cyber-Krisenkommunikation heraus, welche die Kommunikationsverantwortlichen in jedweder Organisation dringend beachten sollten – und zwar nicht erst, wenn der Ernstfall eingetreten ist, sondern so früh wie möglich.

1. Holen Sie die richtigen Partner an Bord – und zwar frühzeitig

Bereits in „Friedenszeiten“ sollten Sie prüfen, ob Sie die notwendigen Ressourcen und die Expertise im Hause haben, um im Falle eines Cyberangriffs schnell und angemessen reagieren zu können. Dies betrifft nicht nur Ihre IT-Abteilung, sondern auch die Bereiche Recht und Kommunikation sowie die Spezialbereiche Forensik und Recovery. Gerade ein großangelegter Ransomware-Angriff ist eine Ausnahmesituation, die ein Unternehmen in seiner Komplexität kaum allein bewältigen kann. Daher ist es ratsam, sich bereits im Vorfeld professionelle, externe Hilfe an Bord zu holen. Versicherungen mit entsprechenden Cyber-Policen können im Schadensfall in der Regel innerhalb kürzester Zeit ein Expertenteam aus IT-Forensikern, Rechtsberatern und Krisenkommunikationsexperten zusammenstellen. Diese sind oft als Incident-Team und -Netzwerkpartner bereits eingespielt und bringen sehr, sehr schnell herausragenden Mehrwert und Unterstützung. Prüfen Sie, welche Spezialisten und externen Helfer Ihre Versicherung in ihrem Repertoire hat, und holen Sie sich gegebenenfalls frühzeitig externe Empfehlungen ein. Versichern Sie sich, dass diese Partner auch tatsächlich 365/24/7 für Sie erreichbar sind, national wie international.

2. Stellen Sie sicher, dass die Unternehmenskommunikation im Krisenstab mit am Tisch sitzt

Jedes Unternehmen sollte über ein Cyber Incident Response Team (CIRT) verfügen, dem ein/e leitende/r Kommunikationsverantwortliche/r angehört. Dies hilft dabei, eine Brücke zwischen der IT-Abteilung, der Rechtsabteilung, der Geschäftsleitung sowie externen Partnern zu schlagen und sicherzustellen, dass das Kommunikationsteam in einer dynamischen Situation stets über aktuelle und verlässliche Informationen aus IT-Forensik und -Recovery verfügt. Der schnelle Zugang hierzu ist in der Cyber-Krise essenziell, denn er stellt die Voraussetzung für eine transparente und konsistente Kommunikation nach innen und außen dar. Ebenso bildet er die wichtige Basis für die strategischen Entscheidungen der Kommunikations-Planung inklusive Beurteilung von notwendigen und durchzuführenden Kommunikationsmaßnahmen sowie den Aufbau der „Recovery Story“.

Besitzt das CIRT keine formell definierte Rolle für eine leitende Kommunikationsperson, wird die Krisenkommunikation des gesamten Unternehmens zwangsläufig strategisch, inhaltlich und auch zeitlich darunter leiden.

3. Seien Sie vorbereitet – Prävention und Training sind Key!

Die drei Geheimnisse einer professionelle Cyber-Krisenkommunikation lauten: Vorbereitung, Vorbereitung, Vorbereitung! Nutzen Sie die erwähnten „Friedenszeiten“, um alle Vorkehrungen für verschiedene Krisenszenarios bereits jetzt zu treffen. Dazu gehört auch das intensive Training des Krisenteams oder Krisenkommunikationsteams, z.B. in Form einer Krisensimulation des CIRT: Spielen Sie eine Cyber-Krise komplett durch, machen Sie eine Gap-Analyse, um zu ermitteln, wo noch Lücken bestehen, sei es bezüglich der Kommunikation (zum Beispiel: Welche Sprachen müssen wir abdecken? Existieren Textbausteine für diverse Szenarien und Eskalationsstufen?) oder in Bezug auf die IT – gibt es z.B. für die Systemwiederherstellung eine Priorisierung der Server oder auch extern gelagerte Backups oder Cloud-Lösungen? Klären Sie Rollen, Aufgabenverteilung und Verantwortlichkeiten innerhalb der Taskforce und üben Sie diese vorab ein. Denn wie im Sport gilt auch in der Cyber-Krise: Übung macht den Meister!

Bei FleishmanHillard haben wir einen vollständigen Prozess für die professionelle Vorbereitung eines Krisenmanagementteams einschließlich der Krisenkommunikation entwickelt und global implementiert. Wir nennen diese Methodik den A.R.C.-Prozess: Assess – Resolve – Control. Sie beginnt in der Assess-Phase mit einem Audit und einer Gap-Analyse, gefolgt von der Entwicklung von Crisis-Response-Prozessen sowie Kommunikationsmaterialien für verschiedene Krisenszenarien. Hierauf folgt eine Einführungs- und Schulungsphase (Resolve) mit Szenario-basierten Simulationen für das Krisenteam und insbesondere das Krisenkommunikationsteam. In der finalen Control-Phase werden diese Prozesse und Materialien kontinuierlich auf Aktualität überprüft und optimiert; zusätzlich steht FleishmanHillard mit einer rund um die Uhr erreichbaren Krisenkommunikations-Hotline (365/24/7) sowie über 160 A.R.C.-zertifizierten Krisenberater/-innen in mehr als 80 Büros in 35 Ländern zur Verfügung und garantiert so Prozesssicherheit und Krisenberatung auf höchstem Qualitätsniveau – stets skalierbar, je nach Bedarf.

4. Seien Sie auf dem neusten Stand hinsichtlich Compliance und Regulierung

Es ist von entscheidender Bedeutung, dass der Chief Communications Officer mit den regulatorischen Anforderungen an Datenschutz und Cyber Security sowie den entsprechenden Berichtspflichten vertraut ist, ähnlich wie der Chief Compliance Officer. Dies gilt in besonderem Maße, wenn Ihr Unternehmen international tätig ist: Neben der EU-Datenschutz-Grundverordnung (DSGVO) oder der britischen Datenschutzverordnung, die beide im Falle einer Verletzung des Schutzes personenbezogener Daten eine Berichtspflicht an die zuständigen Datenschutzbehörden innerhalb von 72 Stunden vorschreiben, können weitergehende Berichtspflichten bestehen. So sind in den USA beispielsweise börsennotierte Unternehmen von der Securities Exchange Commission verpflichtet, ein Formular 8-K einzureichen, um über „wichtige Ereignisse, von denen die Aktionäre wissen sollten“, zu informieren, zu denen auch ein Cyberangriff zählt. Die Nichteinhaltung dieser Verpflichtung kann zu Bußgeldern und anderen Strafmaßnahmen führen. Hinzu kommen geplante regulatorische Veränderungen, die per Gesetz in die Informations- und Kommunikationspflichten eines Unternehmens eingreifen – diese müssen stets überwacht werden, denn auch die Gesetzgeber der Länder haben die zunehmende internationale Bedrohung durch Cyber-Angriffe erkannt und planen, diesbezüglich in den nächsten Monaten und Jahren aktiver zu werden. Ob durch Vorgaben zu Verhandlungen mit Erpressern oder zu Zahlungen oder Zahlungsverboten von Erpressungsgeldern: Die Bandbreite der Einflussnahme durch den Gesetzgeber variiert von Land zu Land ebenso wie – daran gekoppelt – die Vorgaben durch Versicherungen in den verschiedenen Ländern.

5. Richten Sie unabhängige Kommunikationskanäle zu Ihren Stakeholdern ein

Haben Sie schon einmal darüber nachgedacht, wie Sie Ihre Mitarbeiter, Kunden und Geschäftspartner erreichen können, wenn Ihr E-Mail-System nicht mehr funktioniert? Wenn Sie nicht mehr auf Adressbücher zugreifen können und auch die Telefonanlage außer Gefecht ist? Für diesen Fall benötigen Sie alternative Kommunikationskanäle, um mit Ihren Stakeholdern weiterhin Kontakt zu halten und Informationen schnell und effektiv verbreiten zu können – gerade auch in Krisensituationen. Unternehmen sollten daher auch Cloud-basierte, von der eigenen IT unabhängige Plattformen in Erwägung ziehen, die eine Kommunikation in beide Richtungen ermöglichen und im Bedarfsfall schnell per Knopfdruck in Betrieb genommen werden können.

6. Nutzen Sie digitale Tools – aber behalten Sie analoge Alternativen in der Hinterhand

Erreichbarkeit und Verfügbarkeit sind die Voraussetzung, um im Krisenfall handlungsfähig zu bleiben. Neben separaten E-Mail-Plattformen bieten sich hierfür gerade in der internen Kommunikation auch mobile Mitarbeiter-Apps an, über die sich Mitarbeiter/innen ortsunabhängig mobil erreichen lassen. Ebenfalls sollten Sie bereits im Vorfeld klären, wie sie Mitarbeiter/innen im Home Office auch abseits der unternehmenseigenen Kanäle per Telefon oder E-Mail erreichen können – hier gilt es, etwaige Betriebsvereinbarungen zu beachten und gegebenenfalls den Betriebsrat frühzeitig für einen etwaigen Krisenfall einzubinden. Hat Ihr Unternehmen Mitarbeiter/innen in der Produktion, die nicht direkt über Telefon oder E-Mail erreichbar sind, sollten Sie auch über analoge Kommunikationsmittel im Vorfeld nachdenken. Neben (Corona-konformen) Team- und Townhall-Meetings können dies auch schlichte Aushänge oder Kopien aus Papier sein.

7. Haben Sie Ihre Botschaften parat

Ja, jede Krise ist anders. Dennoch gibt es viele Dinge, die Sie vorbereiten können, um in einer Krisensituation wie einem Cyberangriff schneller reagieren zu können. Vorbereitung ist das A und O – aber haben Sie bereits die Bedürfnisse und Anforderungen aller Ihrer Stakeholder und Hauptzielgruppen bedacht? Haben Sie Vorlagen für Mitarbeiter- und Kundeninformationen – und wenn ja, auch für verschiedene Eskalationsstufen? Wie steht es mit Pressemitteilungen, Holding- und Leak-Statements – je nachdem, ob Sie sich mit Ihrer Kommunikationsstrategie im reaktiven oder aktiven Modus befinden? Aus Erfahrung lässt sich sagen: Es ist viel einfacher, mit etwa 70 bis 90 Prozent an bereits vorbereiteten Texten zu beginnen, als mit einem leeren Blatt Papier – insbesondere dann, wenn Sie dafür juristische Beratung oder spezielle, interne Freigaben benötigen, zum Beispiel von Fachabteilungen oder dem Datenschutz. Nutzen Sie jetzt die Zeit für Krisenprävention und professionelle Vorsorge, solange die Lage noch ruhig ist. Im Krisenfall wird es hektisch, und der allgemeine Druck wie auch der Zeitdruck steigen immens.

8. Achten Sie auf die richtige Sprache – und verhindern Sie „undisziplinierte“ Kommunikation

Gerade zu Beginn einer Cyber-Krise kann der weitere kommunikative Verlauf ganz wesentlich davon abhängen, was wie und wann kommuniziert wird. Eine vorschnelle, unüberlegte Kommunikation richtet in aller Regel mehr Schaden als Nutzen an. Es macht einen riesigen Unterschied, ob ein CEO direkt über Twitter veröffentlicht „Wir wurden gehackt – ich stehe bereits in Kontakt mit den Erpressern“, oder ob die Firmen-Website vermeldet „Es gibt derzeit eine IT-Störung aufgrund von Wartungsarbeiten“. Die Wirkung der richtigen Worte und Botschaften ist erheblich. Jede Botschaft, egal ob sie per E-Mail, über eine/n Unternehmenssprecher/in, in sozialen Medien oder über eine Pressemitteilung verbreitet wird, muss zudem das richtige Gleichgewicht finden, um die wichtigsten Anliegen und Bedenken der Betroffenen zu adressieren. Dabei darf sie den Angreifern natürlich nicht zu viel preisgeben, sie damit womöglich noch weiter anstacheln und so zu zusätzlichen Aktivitäten bewegen. Wie oder wann das Unternehmen kommuniziert, kann ebenso direkte Auswirkungen auf die Lösegeldforderung haben – in die eine oder andere Richtung. Verhandlungstaktiker oder Personen mit Verhandlungserfahrung sollten involviert werden. Auch hier gilt: Holen Sie sich für diese Fälle Profis an Ihre Seite.

9. Bestimmen Sie das Narrativ – Sitzen Sie „im Driver Seat“ der Kommunikation

Bei einem laufenden Cyberangriff gibt es mehr unbekannte als bekannte Variablen. Als Kommunikationsverantwortliche/r sind Sie die zentrale Informationsquelle nach innen und außen – nutzen Sie diesen Vorteil, um sich in den „Driver Seat“ der Kommunikation zu setzen. Jeder wird auf Ihre Botschaften zur aktuellen Entwicklung und zum Status hören, seien sie positiv bei voranschreitender Wiederherstellung der Betriebsabläufe oder negativ bei neuen Eskalationen – aber Sie sollten die Geschichte in der Hand haben, steuern und navigieren. Umso wichtiger ist es, dass Sie stets über die neusten Erkenntnisse aus Forensik und IT-Recovery verfügen.

10. Lernen Sie aus der Krise

Nach der Krise ist vor der Krise. Ist der Cyberangriff erfolgreich abgewehrt oder beendet und sind die IT-Systeme sind wieder hergestellt, sollte der Krisenstab bzw. das CIRT direkt die wichtigsten Lehren und Erkenntnisse aus allen Bereichen ziehen, um nachhaltig gestärkt aus der Krise hervorzugehen. Oftmals können Unternehmen sogar aus der Not eine Tugend machen und den „Schwung“ der Krise nutzen, um weitere, häufig längst überfällige Maßnahmen in Angriff zu nehmen. Dazu kann die Einführung zusätzlicher IT-Sicherheitsmaßnahmen wie Multi-Faktor Authentifizierungen, IT-Sicherheits- und Datenschutz-Schulungen für Mitarbeiter/innen, die Erstellung bzw. Aktualisierung von Krisenhandbüchern, Medien- und Krisentraining für Pressesprecher/innen ebenso zählen wie die Erstellung von Social-Media- oder Kommunikations-Guidelines. Eben alles was hilft, eine Krise noch stringenter und konsequenter durchzustehen – oder noch besser: gar nicht erst in eine solche Krise zu geraten.

Angesichts der weiter zunehmenden Bedrohungslage ist es heute weniger eine Frage, ob ein Unternehmen Ziel eines Cyberangriffs wird, sondern eher, wann. Daher ist es unabdingbar, ein tiefes Bewusstsein und Verständnis für IT- und Datensicherheit in der Unternehmenskultur zu schaffen und immer wieder neu zu verankern. Kommunikations-, HR- und IT-Abteilungen sollten eng zusammenarbeiten, um entsprechende Schulungs- und Informationsprogramme aufzusetzen, damit Cyber-Sicherheit im Unternehmensalltag gelebt wird und stets präsent ist.

Für business-relevante Kommunikationsinhalte wie diesen, melden Sie sich doch zu unserem Newsletter “FleishmanHillard Quarterly” an, folgen FleishmanHillard Germany auf LinkedIn, lernen unser Team auf Instagram kennen oder besuchen unseren YouTube-Kanal.