Krisenkommunikation bei einer Cyberattacke – aber wie?

Cyberattacken können jede:n treffen. Wie sich Kommunikator:innen zielgerichtet für den Krisenfall wappnen, offenbart unser Neuland-Event.

Zweifelsohne: Die fortschreitende Digitalisierung eröffnet zahlreiche Chancen für Unternehmen. Gleichzeitig birgt sie aber auch neue, weitreichende Risiken. Seit Jahren nimmt organisierte Kriminalität im Cyberspace deutlich zu, die Angriffe werden zudem immer raffinierter und unberechenbarer. Die Frage nach dem „Ob“ einer Cyberattacke stellt sich daher für Unternehmen kaum mehr; vielmehr rücken das „Wann“ und das „Wie“ in den Fokus. Welche Kommunikationsstrategien helfen im Ernstfall? Welche Akteur:innen braucht es, um eine solche Krise zu bewältigen? Und welche rechtlichen Anforderungen spielen dabei eine Rolle?

Um möglichst präzise Antworten auf diese Fragen zu erhalten, luden wir drei echte Themenexperten zu unserem Neuland-Event am Dienstag, 5. März 2024, ein: Nino Tlapak, Partner bei DORDA Rechtsanwälte GmbH, Volker Pulskamp, Head of Corporate Communications & Crisis Lead Germany bei FleishmanHillard, und Vince Lehmann, CEO bei Unico Data AG.

Schnell, korrekt und transparent kommunizieren

Nino Tlapak ließ die rund 60 Teilnehmer:innen zu Beginn des Events durch seine juristische Brille blicken: Einen starken Anstieg beobachtet er derzeit bei Ransomware-Attacken, DDoS-Attacken und Social Engineering. Die Gemeinsamkeit dieser Angriffe: Sie starten meist mit einer erfolgreichen Phishing-Attacke und entpuppen sich als besonders tückisch, da Angreifer:innen oft mehrere Monate unbemerkt auf das System zugreifen und sich dort von User:in zu User:in hangeln. Zu ihren Motiven zählen beispielsweise die Erpressung von Lösegeld und politische Hintergründe. Auf was es aus kommunikativer Sicht konkret im Fall einer Cyberattacke ankommt, erklärte Volker Pulskamp: „Erfolgsfaktoren in der Krise sind Schnelligkeit, Richtigkeit und Transparenz. Zudem fallen je nach Situation unterschiedliche Aspekte bei der Auslegung der Kommunikationsstrategie ins Gewicht: Ist das betroffene System komplett oder nur teilweise verschlüsselt? Ist der Vorfall schon öffentlich bekannt? Wie schnell merken Kund:innen, dass etwas nicht stimmt? Gibt es vertragliche Verpflichtungen?“

Gute Vorbereitung ist nicht alles

Vince Lehmann hat mit seinem Unternehmen einen Ransomware-Angriff bereits erlebt – und bewältigt. Daher weiß er: Cyberkriminalität lässt sich auch mit einer durchdachten Vorbereitung nicht vollumfänglich ausschließen. Korrekte und effiziente Prozesse, Zertifizierungen sowie wiederkehrende Schulungen für Mitarbeitende seien zwar hilfreich, dennoch können Schwachstellen beispielsweise bei Kund:innen, Partner:innen oder Zuliefer:innen liegen, erklärte Vince Lehmann. Deshalb sei es enorm wichtig, sich konkrete Lösungsstrategien für den Ernstfall zurechtzulegen. Volker Pulskamp ergänzte: „Krücken für die Kommunikation sind vorgefertigte Textbausteine, wie Kundenstatements, Handzettel für Mitarbeitende und Pressemitteilungen, und ein Krisenstab aus erfahrenen Spezialist:innen. Dazu gehören Entscheider:innen, IT- und Kommunikationsverantwortliche, Legal-Expert:innen sowie interne oder externe Forensiker:innen und Datenschutzverantwortliche.“ Nino Tlapak empfahl zudem, die vorbereiteten Muster regelmäßig auf Aktualität zu prüfen. Dabei sei eine enge Abstimmung mit Ansprechpartner:innen aus HR, IT sowie der Kommunikations- und Rechtsabteilung von zentraler Bedeutung.

Zusätzlich legte Volker Pulskamp den Anwesenden die Simulation eines Cyberangriffs ans Herz. In dieser spielen die Beteiligten innerhalb von vier Stunden drei Tage einer Cyberattacke durch und meistern dabei im Viertelstundentakt verschiedene Extremsituationen. Denkbare Trigger seien Medienanfragen, die Kundenansprache oder unterschiedliche Eskalationsstufen.

Was tun im Krisenfall?

Doch was passiert, wenn der Ernstfall tatsächlich eintritt? Unico Data machte als betroffenes Unternehmen eines Cyberangriffs vier Kommunikationsphasen durch, wie Vince Lehmann verriet. Zu Beginn sind in der „Major-Incident-Phase“ verschiedene externe Kommunikationskanäle, wie SMS, die Startseite der Webseite und eine Bandansage auf dem Anrufbeantworter zu bespielen. Im zweiten Schritt gilt es, die eigenen Mitarbeitenden zielgerichtet zu informieren, um negative Emotionen und Spekulationen zu vermeiden. Zudem sollten Richtlinien sowie Verantwortlichkeiten für die Kundenkommunikation weit oben auf der Agenda stehen. „Bei der Kundenansprache ist der persönliche Kontakt entscheidend. Hier lohnt es sich, das Telefon in die Hand zu nehmen, um Nähe zu vermitteln und das Vertrauen zu fördern“, riet Vince Lehmann. Die Kommunikation mit Behörden, der Polizei und einem nationalen Zentrum für Cybersicherheit haben ebenfalls hohe Priorität. Dasselbe gilt für Stellungnahmen in Form von Pressemitteilungen oder auf einer Pressekonferenz.

Die anschließende Wiederaufbauphase lebt von täglichen Statusreports, persönlicher Kommunikation mit Kund:innen und deren individueller Beratung. Mindestens genauso fundamental ist im Nachgang die Aufarbeitung der Cyberattacke durch eine Stellungnahme, in der strategische und operative Maßnahmen transparent nach außen kommuniziert werden. Dass dies ein echter Drahtseilakt werden kann, offenbarte Vince Lehmann: „Die Herausforderung besteht darin, Kund:innen kontinuierlich mit neuen Informationen zu versorgen – selbst wenn sich noch keine weiteren Entwicklungen ergeben haben. Transparenz und der Schutz von sensiblen Details kollidieren hier schnell miteinander. Das stellt nicht nur organisatorisch und kommunikativ, sondern auch nervlich eine echte Herausforderung dar.“ Dennoch sei Transparenz ein elementarer Faktor, wie Volker Pulskamp betonte: „Wer offen kommuniziert, wird erfahrungsgemäß viel Verständnis erfahren. Ich rate dringend von einer Salami-Taktik ab, bei der Verantwortliche immer nur unter Zugzwang Informationen preisgeben. Das schadet letztendlich der Reputation. Zielführender ist es, eine aktive Rolle im ‚Driver-Seat‘ einzunehmen, um das Geschehen rund um den Cyberangriff so gut wie möglich zu steuern.“

Keine Krisenbewältigung ohne Eigeninitiative

Unabhängig davon betreffen derartige Attacken in der Regel personenbezogene Daten, sodass die Meldefrist von 72 Stunden nach der Datenschutz-Grundverordnung (DSGVO) unbedingt zu beachten ist. Das sei gerade dann herausfordernd, wenn die Angriffe wie üblich Freitag über Nacht starten, ergänzte Nino Tlapak. Abseits der gesetzlichen Vorgaben seien vertragliche Verpflichtungen und Obliegenheiten genauestens unter die Lupe zu nehmen. Das treffe nicht nur auf Cyberversicherungen zu, wie der Experte fortführte: „Wann muss ich die Versicherungsverantwortlichen über welchen Kanal informieren? Was habe ich mit meinen Kund:innen, Lieferant:innen und Geschäftspartner:innen rund um die Geheimhaltung vereinbart? Gibt es dort Pönalen oder vergleichbare Vertragsstrafen? Eine saubere Vorbereitung und Dokumentation in der Präventionsphase wappnet Betroffene hierbei bestmöglich für den Krisenfall.“ Vince Lehmann schloss ab: „Versicherungen sind gewiss ein wichtiges Puzzleteil zur Krisenbewältigung. Am Ende des Tages helfen sie allerdings nur dabei, die Existenz der Betroffenen zu sichern und lösen nicht das eigentliche Problem. Wir als Kommunikator:innen müssen bereit sein, die Krise selbst zu meistern – durch gute Vorbereitung, zielgerichtete Lösungen, Bereitschaft und Willenskraft.“ Die gute Nachricht: Die Kommunikation bietet hierfür in jedem Fall vielfältige Lösungsansätze.

Ãœber #Neuland

Gemeinsam knöpfen sich die PRVA NewcomersYoung LSA und die GPRA Young Professionals ab jetzt regelmäßig die Trendthemen der Branche in der Veranstaltungsreihe „Neuland“ vor. Denn: Was für manche noch immer ein Buch mit sieben Siegeln ist, wurde für sie schon längst ein zweites Zuhause. Werdet mit ihnen vom Digital Immigrant zum Digital Native! Auf unseren Social Media-Kanälen (LinkedIn) weisen wir regelmäßig auf die kommenden #Neuland-Veranstaltungen hin. Folgt uns und stay tuned!


Veröffentlicht am 28.03.2024

Kommentare zu diesem Beitrag

Einen Kommentar hinzufügen

Ihr Kommentar wird nach einer Überprüfung freigegeben.