Cyber-Angriff – und jetzt?

Was kann und muss im Fall einer Hackerattacke kommuniziert werden?

Nein – kein Beitrag über IT-Sicherheit und Ransomware. Schließlich sind wir Kommunikations- und keine IT-Experten. Aber wie hängt beides trotzdem zusammen?

Hackerangriffe nehmen in ihrer Anzahl und Wucht ständig zu. Bereits 2015 war laut einer Studie des Bundesverbands Bitkom jedes zweite Unternehmen in Deutschland von Datendiebstahl, Industriespionage oder IT-Sabotage betroffen. 2019 waren es bereits 75 Prozent aller Firmen, wobei besonders die kleinen innovativen unter ihnen, jene mit 10 – 99 Mitarbeitern, im Fokus der Angreifer stehen.

Unternehmen versuchen heute mehr denn je, sich davor zu schützen, indem sie sichere IT-Umgebungen schaffen, ihre Mitarbeiter schulen und sensibilisieren. Eine weitere Vorsichtsmaßnahme ist oft ein Versicherungspaket, welches wahlweise als D&O-Versicherung (um das Management aus der Haftung zu entlassen) oder als Cyber-Versicherung (um etwa Zahlungen an Ransomware-Erpresser zu decken) daherkommt. Aber wenn es trotzdem zu einem Angriff kommt…?

Gute Kommunikation ist Prävention

Ein Cyber-Angriff ist zunächst ein Ernstfall für jede Firma. Und wie in jeder Unternehmenskrise haben meistens diejenigen die besseren Karten, die sich kommunikativ vorbereitet haben. Die gängigen Maßnahmen der Krisenprävention greifen auch beim Hackerangriff und sind in unserem Blogbeitrag Unternehmenskommunikation im Krisenfall zu finden. Bestimmte „must haves“ gibt es jedoch im Falle eines Hackerangriffs zu beachten.

Den Cyber-Vorfall kommunizieren: Erste Schritte

Zunächst besteht eine Meldepflicht nach DSGVO, welcher jedes Unternehmen in Deutschland unterliegt: Diese rechtliche Verpflichtung zur Bekanntgabe an die Aufsichtsbehörde – etwa an die Cyberstelle des zuständigen Landeskriminalamtes – greift in jedem Fall dann, wenn personenbezogene Daten betroffen sind. Dies ist der erste und wichtigste Schritt in der Kommunikation eines Cyber-Angriffs und muss innerhalb von 72 Stunden erfolgen.

Die weiteren Schritte richten sich danach, wie hoch das Risiko für die Betroffenen und ihre sensiblen Daten ist. Dazu geben die jeweiligen Cyber-Aufsichtsbehörden der Bundesländer unterschiedliche Auskünfte. Zu entscheiden ist außerdem zügig, ob Strafanzeige gestellt werden sollte, damit Haftungsrisiken vermieden und Versicherungsansprüche gedeckt werden.

Organisationen mit Niederlassungen im Ausland müssen zudem prüfen, welche Meldepflichten im jeweiligen Land zusätzlich gelten und welche Behörden vor Ort zuständig sind.

Zielgruppen der Kommunikation bei Cyber-Attacken

Wurde in die Unternehmens-IT eingedrungen, betrifft dies nicht nur das Unternehmen im Inneren sondern möglicherweise auch außenstehende Parteien. So könnten Daten von Kunden oder Partnern gestohlen worden, aber auch Systeme oder geistiges Eigentum Dritter in Gefahr sein. Es versteht sich daher, dass Unternehmen diese Gruppen ebenso informieren wie Polizei und Behörden. Wichtige Stakeholder sind z. B.

  • Mitarbeiter
  • Niederlassungen (auch im Ausland)
  • Kunden
  • Partner
  • Investoren

Diese blicken mit unterschiedlichen Interessen auf das Unternehmen, aber sie alle wollen Antworten: Wann und was ist passiert? Welche Folgen hat das für die jeweilige Gruppe? Welche Daten sind in Gefahr? Wie groß ist der finanzielle Schaden? Wie sehr ist die Betriebsfortführung durch den Cyber-Vorfall eingeschränkt? Es empfiehlt sich, diese Gruppen sehr gezielt anzusprechen und jede mit den aus ihrer Perspektive wichtigen Informationen zu versorgen. Vertraulichkeit darf dabei eingefordert werden, wenngleich deren Einhaltung nie garantiert ist.

Medien informieren – ja oder nein?

Schwierig gestaltet sich die Frage nach der Kommunikation mit den Medien: Ob und in welchem Maße eine Organisation während eines Cyber-Vorfalls öffentlich transparent sein will, hängt von vielen Faktoren ab. Steht das Unternehmen beispielsweise in der Öffentlichkeit und wird eine vorübergehende Handlungsunfähigkeit extern schnell erkannt? Dann empfiehlt sich auch der Schritt nach vorn – wer aktiv kommuniziert, behält die Informationshoheit für sich und beugt Spekulationen vor. Je nach Ausmaß der Attacke bieten sich auch Social Media oder eine vorbereitete Krisen-Website an, um Kunden oder Medien weitreichend zu informieren.

Reputationsschäden verhindern

Pflegt ein Unternehmen gute Kontakte zu einigen Key-Medien, zahlen sich diese in der Krisenkommunikation aus: Sprecher oder Management können im Idealfall mit ihnen bereits bekannten Medienvertretern Kontakt aufnehmen und bei entsprechender Offenheit auch eine faire Berichterstattung erwarten – aber Vorsicht: Zurückhaltung gibt es hier nicht; wird der Journalist ins Vertrauen gezogen, so wird er auch berichten!

Ist eine Firma hingegen eher verborgen im B2B-Segment tätig und hat nur eine überschaubare Anzahl fester Kunden? Dann ist es legitim, zunächst nicht zu kommunizieren, bevor nicht klar ist, ob überhaupt eine Meldepflicht nach DSGVO besteht oder sonstige größere Schäden zu erwarten sind. Das Reputationsrisiko bei Cyber-Angriffen ist stets hoch, und wer sich unsicher ist, sollte auf die Medienöffentlichkeit lieber verzichten.

Wie in jeder Krise ist es mit den Erstinformationen der verschiedenen Zielgruppen nicht getan – mit jedem Tag und jeder weiteren Stunde steigt das Bedürfnis nach einer aktuellen Lage aus dem Krisenzentrum. Mitarbeiter, Kunden, Behörden oder Medien wollen fortlaufend informiert werden. Hierbei gilt: maximal mögliche Transparenz, aber auch Fokussierung auf das Wesentliche. Im offenen Austausch mit dem Krisenstab finden Kommunikationsexperten hierbei das richtige Maß.

Cyber-Attacke? Kommunikation kann man vorbereiten

Viele Aspekte für die Kommunikation nach einer Hackerattacke kann man in friedlichen Zeiten vorbereiten; dazu gehören:

  • eine Liste der Behörden und genauen Ansprechpartner für das eigene (Bundes-)Land und ggf. Länder der Niederlassungen (Ansprechpartner vor Ort)
  • Statements für die interne Kommunikation
  • Statements für die Kommunikation mit Partnern, Investoren, Kunden
  • Statements für die Medien und eine Liste der relevanten Medienkontakte
  • Festlegen der Mitglieder eines Cyber-Krisenstabs im Unternehmen
  • Festlegen eines Sprechers im Krisenfall und Kommunikationstraining desselben

Vorab-Gedanken und Planung sind übrigens nicht nur für den unmittelbaren Angriffsfall von Bedeutung – sie können auch für die Post-Kommunikation sinnvoll sein: Jedes Unternehmen hat seine Story, weshalb es seinen Stakeholdern einen Mehrwert bietet. Diese Story ist in aller Regel auch nach einem Cyber-Vorfall weiterhin gültig. Indem sie weiter erzählt wird, kehren Unternehmen am schnellsten zurück zu einer positiven Kommunikation und Wahrnehmung.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s