Wie sag ich’s meinen Stakeholdern? Für die Kommunikation nach Cyberangriffen gelten einige Grundregeln.

Cosinart/iStock/Thinkstock/Getty Images

01.02.18
CFO

FINANCE-Ratgeber: Kommunikation nach Cyberangriffen

Nach einem Cyberangriff müssen betroffene Unternehmen nicht nur umgehend die Sicherheitslücke schließen, sondern auch unangenehme Fragen beantworten. Eine Strategie dafür sollten sie schon vorbereiten, bevor der Ernstfall eintritt.

Kaum eine Situation setzt die Unternehmensführung so sehr unter Stress wie eine Cybercrime-Attacke: Die IT arbeitet fieberhaft daran, die Sicherheitslücke zu schließen und Daten wiederherzustellen. Die Unternehmensjuristen versuchen zu ermitteln, welche Haftungsrisiken drohen. Und dann rufen auch noch Kunden, Geschäftspartner und Journalisten an und stellen Fragen, die für das Unternehmen sehr unangenehm sind.

„Der häufigste Fehler ist mangelhafte Vorbereitung.“

Johannes Gunst, Hering Schuppener

In der Hektik unmittelbar nach einem Cyberangriff eine klare Kommunikationslinie von Grund auf zu entwickeln, ist nahezu unmöglich. Genau deshalb sollte ein entsprechender Krisenplan inklusive Kommunikationsempfehlung schon in der Schublade bereit liegen, rät Johannes Gunst, Director bei der Kommunikationsberatung Hering Schuppener, die Kunden mit einer eigenen Task Force zur Krisenkommunikation bei Cyber-Angriffen berät. „Der häufigste Fehler ist mangelhafte Vorbereitung“, beobachtet er.

Unternehmen sollten im Vorfeld am besten ein szenarienbasiertes Krisen-Manual entwickeln, das nicht nur notwendige Maßnahmen aus IT-Sicht beinhaltet, sondern auch die Perspektiven der Unternehmenskommunikation und möglichst auch der Rechtsabteilung einbezieht.

Verschiedene Arten von Cyberangriffen durchspielen

Das bedeutet aber auch: So unangenehm es auch ist, Unternehmen sollten etwaige Krisenszenarien vorab und möglichst realitätsnah durchspielen. Welche Handlungsoptionen gibt es beispielsweise, wenn Festplatten durch Angriffe mit Erpressungssoftware wie Wannacry oder Petya verschlüsselt werden, wie im vergangenen Sommer unter anderem bei dem Konsumgüterkonzern Beiersdorf? Wann und in welcher Form sollten Kunden und Geschäftspartner bei einem Datendiebstahl am besten informiert werden?

„Je nach Szenario gibt es unterschiedliche Handlungsoptionen für die IT, verschiedenste juristische Risiken und eben auch spezifische Empfehlungen, wie durch eine zielgerichtete Kommunikation mögliche Reputationsschäden vermieden werden können“, bilanziert Gunst. Ein guter Notfallplan sollte für jedes Szenario die Handlungsoptionen aller Beteiligten koordiniert skizzieren.

Für die Kommunikationsstrategie bedeutet dies etwa, festzulegen, welche Informationen das Unternehmen wann und an wen weitergibt. Auch über Kommunikationswege sollten sich die Verantwortlichen früh Gedanken machen: Je nach Art der Attacke stehen vielleicht Firmennetzwerk und E-Mail-Kommunikation im Notfall nicht zur Verfügung.

Manche Konzerne haben kaum Spielraum

Börsennotierte Unternehmen haben allerdings oftmals so gut wie keinen Spielraum, was den Zeitpunkt der Kommunikation angeht: Über kursrelevante Cyberangriffe müssen sie ihre Aktionäre unmittelbar informieren, so wie der Industriekonzern Leoni, bei dem Angreifer über die Fake-President-Masche 40 Millionen Euro von den Konten geholt hatten.

In anderen Fällen können Unternehmen ein Stück weit beeinflussen, wann sie eine Cyberattacke publik machen. Dabei müssen sie aber eine heikle Abwägung treffen. „Wenn das Unternehmen zu lange wartet und der Angriff ohne eigenes Zutun von der Presse aufgedeckt wird, kann schnell der Eindruck entstehen, man habe etwas vertuschen wollen“, warnt Gunst.

Manchmal kann es aber auch gute Gründe dafür geben, mit der Kommunikation noch zu warten – etwa wenn eine Sicherheitslücke erst geschlossen werden muss, bevor weitere Angreifer auf sie aufmerksam werden.

Kunden verlangen nach Cyberangriffen Hilfestellung

In jedem Fall gilt die Grundregel: Wer kommuniziert, sollte auch etwas zu sagen haben. Eine verunglückte Kommunikation macht die Situation noch schlimmer, als sie nach dem Cyberangriff ohnehin schon ist. Beispielsweise nach einem Datenklau: „Die Kunden wollen in solchen Fällen natürlich wissen, welche Daten genau gestohlen wurden und ob sie selbst aktiv werden müssen, etwa indem sie Passwörter ändern“, sagt Gunst. Wer zu diesen Punkten noch keine Antworten parat hat, läuft Gefahr, Kunden zusätzlich zu verunsichern und wartet unter Umständen besser ab, bis er zumindest die wesentlichen Fakten beisammen hat.

Viele Fragen von verunsicherten Stakeholdern lassen sich zudem im Vorfeld einer Attacke antizipieren. „Je nach Szenario sollten in den Antworten unterschiedliche Botschaften enthalten sein, die man bereits vorab definieren und abstimmen kann. Dann hat man im Notfall schnell eine Basis zur Hand hat, auf der man in der Kommunikation aufsetzen kann“, rät Gunst.

Keinesfalls sollten Unternehmen versuchen, den Cyberangriff kleinzureden. Gunsts Tipp: Nachdem die akute Krise aufgearbeitet ist, sollte das Unternehmen den Vorfall noch einmal aufgreifen und zeigen, was es aus der Krise gelernt hat. Zu den künftigen Abwehrmaßnahmen können je nach Art der Attacke etwa verstärkte Investitionen in die IT-Sicherheit, veränderte IT-Strukturen oder auch zusätzliche Schulungen der Mitarbeiter zählen. Indem es darüber informiert, kann ein Unternehmen zeigen, dass es den Cyberangriff ernst genommen hat – und dass es alles daran setzt, dass er sich nicht wiederholen kann. 

sabine.reifenberger[at]finance-magazin.de

Was Unternehmen tun können, um sich gegen verschiedene Angriffsmethoden zur Wehr zu setzen, lesen Sie auf unseren Themenseiten zum Fake President und zu Cybercrime.

Weitere Tipps und Hinweise zu den unterschiedlichen Herausforderungen im Arbeitsalltag finden sich auf unserer Themenseite FINANCE-Ratgeber.