Kommunikation in der Krise

Worauf es nach einer Cyberattacke ankommt

30.06.2023 | Die Bedrohung durch Cyberattacken ist allgegenwärtig, das Risiko, selbst Opfer eines Angriffs zu werden, extrem hoch. Aus diesem Grund investieren Unternehmen seit Jahren gezielt in ihre IT-Security – allein 2022 beliefen sich die Ausgaben für Produkte und Services aus dem Bereich IT-Sicherheit laut dem Digitalverband Bitkom auf rund 7,8 Milliarden Euro. Für 2023 erwarten die Experten noch einmal ein weiteres Plus von 10 Prozent.

Ein effektiver Schutz vor Cyberattacken besteht jedoch nicht nur aus präventiven Maßnahmen, sondern beinhaltet ebenso Handlungsempfehlungen für den Ernstfall. Neben einem konkreten IT-Notfallplan (Wer macht was zu welchem Zeitpunkt?) sollte jedes Unternehmen auch eine klare Kommunikationsstrategie bereithalten.

Doch welche sind die Dos & Don'ts der Krisenkommunikation und was sollten Unternehmen nach einem Cyber Incident beachten, um einen schwerwiegenden Imageschaden zu vermeiden?

Krisenkommunikation: Der richtige Zeitpunkt

Ist eine Cyberattacke erst einmal entdeckt, überschlagen sich die Ereignisse. Innerhalb kürzester Zeit müssen zahlreiche wichtige Entscheidungen getroffen werden, es zählt jede Minute. Neben der Begrenzung des Schadens innerhalb der IT-Systeme stehen Unternehmen nun vor der unbequemen Aufgabe, die Betroffenen (Mitarbeitende und Kunden) über den Vorfall in Kenntnis zu setzen.

Dass hierbei der Faktor Zeit eine wesentliche Rolle spielt, beweist der Cyberangriff auf den IT-Dienstleister Adesso, der Anfang Januar entdeckt wurde. Statt seine Kunden – darunter auch Betreiber kritischer Infrastrukturen, das Bundeskriminalamt sowie die Bundesbank – über den Hack zu informieren, schwieg das Unternehmen. Publik wurde der Angriff erst über 1 Woche später durch einen Whistleblower, der neben mehreren Medien auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kenntnis setzte. Adessos Kunden erfuhren durch die öffentliche Berichterstattung von all dem.
Krisenkommunikation? Fehlanzeige!

Krisenkommunikation in der Praxis

Nicht ob, sondern wann Unternehmen Opfer einer Cyberattacke werden, lautet die entscheidende Frage. Deshalb müssen sich Unternehmen unbedingt für den Fall der Fälle wappnen – auch, was ihre Strategie hinsichtlich der Krisenkommunikation betrifft. Wie der Fall von Adesso zeigt, ist Schweigen keine Lösung. Der Schaden, den die zu spät kommunizierte Cyberattacke dem Ruf des Unternehmens zugefügt hat, ist zwar schwer zu messen, aber nicht von der Hand zu weisen.

Dass es auch anders geht, bewiesen die Badischen Stahlwerke in Kehl nach einem Hackerangriff im April. Bereits kurz nach Aufdeckung des Vorfalls informierten sie neben den Behörden auch die Öffentlichkeit. Auf seiner Homepage veröffentlichte das Unternehmen eine kurze Stellungnahme, die einen "unautorisierten Zugriff" bestätigte und die eingeleiteten Maßnahmen zusammenfasste. Kurz und knapp, reduziert auf das Wesentliche.

Bei einem Cyber Incident ist es essenziell wichtig, frühzeitig mit allen Betroffenen zu kommunizieren, um die Integrität zu wahren und nicht das Kundenvertrauen zu verlieren. Denn wer von Anfang an derartige Vorfälle transparent kommuniziert, stößt in der Öffentlichkeit weitestgehend auf Verständnis. Schließlich kann es jeden treffen.
Doch Transparenz bedeutet nicht zwangsläufig, jeden Schritt nach außen zu tragen und sämtliche Details offenzulegen. Vielmehr geht es bei einer transparenten Krisenkommunikation darum, zielgerichtet relevante Informationen an die jeweiligen Ansprechpartner zu kommunizieren.

Kommunikation in der Krise – was ist im Ernstfall zu tun?

Im Krisenfall stehen Führungskräfte vor der Aufgabe, die Kommunikation zu koordinieren, um einen möglichen Imageschaden des Unternehmens zu verhindern, bzw. so gering wie möglich zu halten. Dafür empfiehlt sich die Bildung eines Krisenstabs, der im Wesentlichen folgende Aufgaben übernimmt:

  • Informationsbeschaffung & Bewertung der Lage
  • Ermittlung möglicher Handlungsoptionen
  • Festlegen einer Kommunikationsstrategie
  • Durchführung, Kontrolle und Evaluierung von geeigneten Maßnahmen

Jedes Unternehmen, das Opfer von Cyberkriminellen wurde, sollte Strafanzeige erstatten. Dies kann über eine Polizeidienststelle oder auch die Zentralen Ansprechstellen Cybercrime vorgenommen werden, die bundesweit vertreten sind. Auch hier gilt wieder, möglichst wenig Zeit zu verlieren und eine unverzügliche Meldung zu machen.

Auch eine Meldung an die Datenschutzbehörden bzw. die zuständigen Verantwortlichen muss gemäß der Datenschutz-Grundverordnung (DSGVO) binnen 72 Stunden nach Bekanntwerden des Vorfalls erfolgen.

Sollte das betroffene Unternehmen Betreiber Kritischer Infrastrukturen sein, muss zudem unverzüglich das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert werden.

Was sollte noch abgeklärt werden?

Eine gute Vorbereitung ist die halbe Miete: Legen Sie bereits im Vorfeld fest, wie die Vorgehensweise im Ernstfall aussieht, denn kommt es zur Krise, drängt die Zeit und die Ressourcen werden zur Schadensbegrenzung benötigt. Benennen Sie vorab Mitglieder des Krisenstabs, sorgen Sie für Redundanzen und halten Sie die grundsätzlichen Schritte und Kommunikationswege schriftlich fest.

Ist der K-Fall eingetreten, sorgen Sie jederzeit für eine klare Kommunikation mit der Forensik und dem Cyber Incident Response Team. So können die Aufgaben und der dafür vorgesehene Zeitplan herausgearbeitet und befolgt werden.

Intern gilt es zu klären, inwieweit das Unternehmen durch Versicherungen hinsichtlich Lösegeldzahlungen abgedeckt ist. Hierzu müssen praktische Entscheidungen bezüglich des weiteren Vorgehens getroffen werden. Lassen Sie sich auf Verhandlungen ein? Falls ja, welche finanziellen Mittel stehen überhaupt zur Verfügung? Wer entscheidet letztendlich über eine Bezahlung und – last but not least – fließt diese Information in die externe Kommunikation ein?

Summary: Was ist in der Krisenkommunikation zu beachten?

Zuallererst ist es, insbesondere für das Image des Unternehmens, wichtig, zu den Tatsachen zu stehen, statt zu versuchen, die Situation durch Ausreden oder Vertuschen zu verharmlosen.

Alle relevanten Stakeholder – intern wie extern – sollten zeitnah nach Aufdecken des Cyber Incidents über eine strategische Kommunikation erreicht werden. Die Gefahr, dass Informationen unkontrolliert nach außen gelangen, steigt mit jedem Tag – nehmen Sie die Kommunikation deshalb von Anfang selbst in die Hand. Bevor Sie jedoch an die Öffentlichkeit gehen, sollten Sie Ihre Mitarbeitenden informieren und dafür sorgen, dass interne Ansprechpartner für Fragen erreichbar sind. Denn mit einer offenen und transparenten internen Kommunikation können Sie – gerade in der Krise – das Vertrauen Ihrer Mitarbeitenden in Sie als Arbeitgeber stärken.

Generell gilt, dass eine umgehende und wahrheitsgemäße Kommunikation in der Krise erheblichen Einfluss auf das Ausmaß des Imageschadens haben kann. Setzen Sie deshalb unbedingt auf Transparenz. Passen Sie dabei die Maßnahmen an die Schwere des Vorfalls an und kommunizieren Sie proaktiv. Wichtig ist es, keine Panik zu erzeugen, sondern klar zu vermitteln, dass unter Hochdruck mit allen nötigen Mitteln dafür gesorgt wird, die Situation zu klären und zu bereinigen.

Positiv denken!

Eine gemeisterte Krise birgt auch Chancen – ziehen Sie auch positive Rückschlüsse!

Die Krise wurde gemeinsam gemeistert und es konnten wertvolle Erfahrungen für die Zukunft des Unternehmens gesammelt werden. Beraten Sie sich, wo verstecktes Potenzial zur weiteren Verbesserung der Krisenkommunikation Ihres Unternehmens schlummert und bringen Sie die Krisenkommunikation auf diesem Weg weiter voran.

Sie haben Fragen oder interessieren sich fürKrisenkommunikation? Dann füllen Sie einfach das Kontaktformular aus und wir melden uns bei Ihnen.

Kontakt

Informationen zum Datenschutz finden Sie hier.