Cyber-Angriff auf Montenegro – maximale Herausforderung für das Krisenmanagement

Vernetzen Sie sich mit Georgij Schmidt auf LinkedIn.

Was ist passiert?

Ab dem 22. August wurde die staatliche IT-Infrastruktur Montenegros von mehreren Cyberangriffen getroffen. Das gesamte Ausmaß sowie die betroffenen Behörden und Prozesse sind über öffentliche Quellen kaum einzuschätzen, doch die Behörde für Nationale Sicherheit (ANB) spricht von einem „noch nie da gewesenem Ausmaß“ des Angriffs.

Angesichts des Risikos weiterer Attacken wurde die Steuerung des Energiesystems auf manuell umgeschaltet, zudem hat die US-Botschaft in Montenegro einen Sicherheitsalarm herausgegeben. Bei der Aufarbeitung des Cyber-Vorfalls hilft unter anderem die französische Behörde für Sicherheit von Informationssystemen.

Die Nationale Sicherheitsbehörde (ANB) und Marash Dukaj, Minister für öffentliche Verwaltung, beschuldigten russische Behörden, diesen Angriff organisiert und koordiniert zu haben. Bereits wenige Tage nach dem ersten Vorfall sprachen sie von einem hybriden Krieg. Inzwischen hat der Premierminister von Montenegro, Dritan Abazović, diese Aussage jedoch revidiert:

“We do not have clear information about the organizers. Security sector authorities couldn’t confirm that there is an individual, a group, a state behind this, nor could we deny it”.

Inzwischen berichtet das News Outlet ‚Balkan Insight‘ ohne Quellenangabe, es handle sich um eine Ransomware-Attacke – einen Versuch, Daten zu verschlüsseln bzw. zu exfiltrieren und Lösegeld für die Entschlüsselung bzw. die weitere Geheimhaltung der gestohlenen Daten zu verlangen.

Welche Rolle spielt der Krisenstab bei einem Cyber-Vorfall?

Das aktuelle Beispiel Montenegros macht erneut deutlich: Kommt es zu einem Cyber-Angriff, findet sich die betroffene Organisation – ganz gleich, ob Staat oder Unternehmen – in einer ungewissen Situation mit vielen unbekannten Variablen. Zu diesem Zeitpunkt sind die Motivation hinter dem Angriff, das Ausmaß des Eindringens und der genutzte Angriffsvektor normalerweise unbekannt. Die erste Maßnahme ist dann für gewöhnlich, alle betroffenen Server und Rechner herunterzufahren, um den weiteren Fortschritt des Angriffs zu stoppen. Die betroffene Organisation ist dadurch zumeist vollständig lahmgelegt.

Als nächstes kommt der Krisenstab zusammen. Er soll alle Beteiligten laufend über die aktuelle Lage informieren, rasch strategische Entscheidungen treffen und – davon abgeleitet – operative Maßnahmen umsetzen. Im konkreten Fall würde der Krisenstab alle Aktionen rund um die Aufklärung des Cyberangriffs, die Wiederherstellung des IT-Systems und die Kommunikation mit relevanten Stakeholdern koordinieren. Deshalb sollten im Krisenstab bei einem Cyber-Vorfall zumindest eine entscheidungsbefugte Führungskraft sowie IT-Expert:innen und Krisenkommunikatoren vertreten sein.

Krisenkommunikation für die Stakeholder

Auch bei einer Behörde ist die Kommunikation mit allen relevanten Interessensgruppen zentral für den Erfolg des Krisenmanagements. Deshalb ist die Benennung eines Verantwortlichen für die wichtigsten Stakeholdergruppen die effizienteste Möglichkeit, um die relevante Information im richtigen Detailgrad zum richtigen Zeitpunkt an die richtigen Empfänger weiterzuleiten.

Zu den wichtigsten Interessensgruppen gehören neben den Mitarbeiter:innen auch andere Behörden sowie weitere unmittelbar betroffene Personen.

• Mitarbeiter:innen sind nicht nur für die eingeschränkte Fortführung des operativen Geschäftes unverzichtbar, sondern fungieren auch als Multiplikatoren und sollten daher über den Sachstand informiert und mit klaren Handlungsanweisungen ausgestattet werden.
• Behörden und Legislative müssen über den Vorfall informiert und gegebenenfalls in die Aufarbeitung des Vorfalls involviert werden. Eine Schnittstelle verbessert die behördenübergreifende Kooperation, reduziert das Risiko politischer „Alleingänge“, schafft eine Basis für Abstimmung und vermittelt das Bild von Geschlossenheit in Angesicht der Krise.
• Zu den weiteren unmittelbar betroffenen Personen gehören zum Beispiel Anwohner bei einem Unfall in einer Chemiefabrik, die Kunden einer geschlossenen Filiale oder auch die Zulieferer einer betroffenen Organisation.

Nach der Etablierung des Krisenstabs und der Information der primären Stakeholdergruppen sollten auch die anderen Stakeholder in Kenntnis gesetzt werden. Häufig ist dies nur über öffentliche Kommunikationskanäle möglich, denn die Anzahl der relevanten Personen ist oft zu groß für einen individuellen Kontakt – und ohne die Unterstützung des IT-Systems ohnehin nicht umsetzbar. Dazu eignen sich die eigene Webseite (sofern sie online ist), aber auch Presse und Social-Media-Kanäle.

Prinzipien der Krisenkommunikation

Grundsätzlich gilt es bei der Krisenkommunikation, die Balance zwischen Geschwindigkeit und Genauigkeit zu halten. Einerseits benötigen einige Stakeholder die Informationen dringender als andere. Andererseits variiert der Detailgrad der Informationen und der Grad, mit den vertraulichen Informationen weitergegeben werden.

Selbstverständlich müssen alle Botschaften richtig und wahr sein. Es kann sein, dass einige Fakten aufgrund des unvollständigen Lagebildes nicht mitgeteilt werden können. Wird hier zu voreilig verfahren, müssen Statements unter Umständen (mehrmals) korrigiert werden, was Glaubwürdigkeit kostet. Falsche Informationen hingegen öffnen Tür und Tor für Spekulationen, Gerüchte, Verschwörungstheorien – und schaden ebenfalls der eigenen Reputation.

One-Voice: Grundsätzlich sollte die betroffene Organisation in Krisensituationen mit einer Stimme sprechen. Widersprüchliche Botschaften stiften Verwirrung und nähren Zweifel. Durch den gemeinsamen Krisenstab kann und muss das verhindert werden. Eine zentrale Steuerung aller Kommunikationsmaßnahmen durch den Krisenstab kann die Organisation als glaubwürdige Informationsquelle für die Stakeholder positionieren.

Abschließende Empfehlungen

Auch wenn die zunehmende Bedeutung und Komplexität von IT-Systemen die Unternehmen und Organisationen mit ähnlichen Herausforderungen konfrontiert, ist doch jede Situation einzigartig. Insbesondere in einem komplexen, von unterschiedlichen Interessen geprägten Umfeld können Entscheider leicht den Überblick und damit ihre Handlungsfähigkeit verlieren.

Ohne die richtige Vorbereitung und ein eingespieltes Krisenteam können (vermeidbare) Fehler entstehen. In der Krisenkommunikation gehören dazu typischerweise vorschnelle Spekulationen zur Ursache, zu den Auswirkungen oder zur Geschwindigkeit, mit der IT-Systeme wieder vollständig hergestellt werden können.

Eine ausgeklügelte Cybersecurity-Infrastruktur und eine gezielte Weiterbildung der Mitarbeiter:innen reduzieren die Risiken von Hacker-Angriffen und Social Engineering. Aber auch das sicherste Netzwerk und die vorsichtigsten Mitarbeiter:innen bieten keinen vollständigen Schutz vor Cyberkriminellen.

Deshalb braucht jede Organisation ein eingespieltes Krisenteam, das effektiv und effizient mit unvorhergesehenen Situationen umgehen kann. Gerade ein Cyber-Incident erfordert ein eingespieltes Team aus Experten der Bereiche Recht, IT-Forensik und Kommunikation.

Ein gut vorbereitetes Krisenkonzept hilft, auch unter Druck den Überblick über die relevanten Stakeholder zu behalten und die für sie wichtigen Botschaften richtig zu identifizieren. Krisensimulationen und Krisentrainings ermöglichen darüber hinaus die Integration der Krisenkonzepte in die Gesamtorganisation und bereiten das Unternehmen auf den Ernstfall vor.

Für business-relevante Kommunikationsinhalte wie diesen, melden Sie sich doch zu unserem Newsletter „FleishmanHillard Quarterly“ an, folgen FleishmanHillard Germany auf LinkedIn oder Twitter, lernen unser Team auf Instagram kennen oder besuchen unseren YouTube-Kanal.