Es ist Montagmorgen – oder nach Murphys Gesetz bevorzugt Freitagnachmittag –, und Ihre Rechner stehen plötzlich still. Dann die E-Mail der Hacker: „Wenn Sie Ihre Daten behalten wollen, überweisen Sie Betrag X in Bitcoin!“ Eine solche Situation erzeugt Stress, nicht nur bei den IT-Verantwortlichen, sondern bei der gesamten Unternehmensführung. Und es ist eine Situation, die meist auch nicht allein durch die IT lösbar ist. Vielmehr erfordert ein umsichtiges Krisenmanagement das Zusammenwirken vieler Beteiligter. Bei Cyberkrisen sind das in der Regel neben der IT auch die Rechtsabteilung und die Kommunikation. Denn neben dem technischen Schaden und der möglichen Betriebsunterbrechung droht ein massiver Reputationsverlust.

Das obige Szenario ist natürlich nur einer von vielen möglichen Fällen. Generell sind Cyberkrisen Situationen, in denen unerwünschte oder unerwartete Störungen der Informationssicherheit den Geschäftsbetrieb gefährden und die Informationssicherheit bedrohen. Meist handelt es sich um eine IT-Unterbrechung, die die Verfügbarkeit von Diensten einschränkt oder die unbefugte Veröffentlichung, Beschaffung oder Änderung von Informationen ermöglicht. Typische Vorfälle sind die Einführung von Malware oder Ransomware in ein Netzwerk, Attacken auf die Website (z. B. Distributed-Denial-of-Service (DDoS)-Angriffe), zielgerichtete Hacks (Advanced persistent threats) mit unbefugten Änderungen an Daten, Software oder Hardware bis hin zu Fällen von (Online-)-Betrug und Fake-News.

Ihrem Unternehmen drohen gravierende Folgen:
• Ausfall der Unternehmens-IT
• Mögliche Unterbrechung des gesamten Betriebs
• Umsatzausfälle
• Verlust von Kunden und Geschäftspartnern
• Haftungsrisiken in Bezug auf betroffene Daten Dritter
• Direkte finanzielle Einbußen durch falsche Geldtransfers
• Reputationsverlust

Krisenerkennung und Handlungsbedarf

Das Vertrauen der Kunden und Geschäftspartner ist für ein Unternehmen lebenswichtig. Deshalb sollte die Unternehmensführung in jeder Lage Herr der Kommunikation bleiben und entscheiden ob, was und wann kommuniziert wird. Dafür braucht sie eine Strategie – und zwar spätestens dann, wenn sie eine der folgenden Fragen mit „Ja“ beantwortet:

1. Wurde der Schaden durch Externe entdeckt bzw. gemeldet?
2. Können Daten von Dritten (Kunden, Geschäftspartnern) betroffen oder gar „verloren“ sein?
3. Können Außenstehende kurz- oder mittelfristig den Schadenfall bemerken (z. B. Ausfall der Website, Lieferschwierigkeiten, schlechte Erreichbarkeit)?
4. Gibt es bereits Resonanz von Kunden, Journalisten oder auf Social-Media-Kanälen oder ist eine solche Resonanz nicht auszuschließen?
5. Könnte das Problem bei Bekanntwerden zu kritischen Reaktionen führen?
6. Erwarten Kunden, Geschäftspartner, Dritte oder die Öffentlichkeit Aufklärung?
7. Im Fall einer Erpressung: Hat der Erpresser mit Veröffentlichung oder Mitteilung an Dritte gedroht?

Die Kommunikationsstrategie richtet sich im Grundsatz nach dem Grad des Verschuldens. Opfer einer Naturkatastrophe oder eines Verbrechens haben meist kein Reputationsproblem. Doch wenn eigene Versäumnisse den Vorfall begünstigt haben oder wenn rechtzeitige Schutzmaßnahmen sogar bewusst unterlassen wurden, wird es schwierig. Zudem muss man damit rechnen, dass in Zeiten von Social-Media Gerüchte sehr schnell die Wahrnehmung bei Kunden, Geschäftspartnern und der Öffentlichkeit beeinflussen.

Die Hoheit über die Kommunikation verteidigen

Auch wenn es hektisch wird: Sie brauchen einen Plan, was zu tun ist. Studien zeigen, dass die ersten Stunden nach Eintritt einer Krise in hohem Maße Einfluss darauf haben, ob ein Unternehmen langfristig Nachteile davonträgt oder sogar gestärkt aus der Situation hervorgeht. Es lohnt sich also, im Fall der Fälle ohne Kompromisse mit voller Kraft an der Krisenbereinigung zu arbeiten.
Grundlage dafür sind einige einfache Bausteine:

Das Vertrauen der Kunden erhalten
In allen Fällen geht es darum, das Vertrauen von Kunden und Geschäftspartnern zu erhalten. Meist ist das Unternehmen selbst Opfer einer Attacke. Entsprechend wohlwollend werden Ihre Stakeholder Sie in dieser Lage beurteilen – solange Sie selbst angemessen agieren und Sie nicht andere für Sie kommunizieren lassen, zum Beispiel auf Social-Media-Kanälen.

Zielgruppen und ihre Erwartung kennen
Im Krisenfall sollte schnell klar sein, welche Zielgruppen zu informieren sind. Dabei ist die Erwartungshaltung der jeweiligen Gruppe zu berücksichtigen. Ehrlichkeit und Information mit Substanz aus erster Hand schaffen Vertrauen. Vergessen Sie Ihre internen Zielgruppen nicht!

Haltung und Fakten zählen
Information darf weder Alibi noch lästige Pflichterfüllung sein. Neben den Fakten müssen Sie auch deutlich machen, wie Sie mit der Situation umgehen. Was ist Ihre Haltung? Wie geht es weiter? Was empfehlen Sie betroffenen Dritten? Gibt es eine Wiedergutmachung oder eine Entschuldigung?

Schnell auf den richtigen Kanälen präsent sein
Die beste Kommunikation wählt den direkten Weg zu den Kunden oder Betroffenen. Welche eigenen Kommunikationskanäle stehen dafür bereit – und sind sie sofort verfügbar? Was passiert auf den Social-Media-Kanälen? Fragen schon Journalisten an? Jetzt kommt es auf schnelles, präzises und konsistentes Agieren auf allen relevanten Kanälen an. In aller Regel erfordert das ein zentrales Management der Kommunikation mit einer One-Voice-Policy. Um die Möglichkeit einer späteren Eskalation zu erhalten, sollte aber zunächst nicht der CEO kommunizieren, sondern krisenbezogene zentrale Funktionsträger.

Wir machen das!

Kunden der Gothaer haben im Rahmen Ihrer Cyber-Versicherung nicht nur Anspruch auf finanzielle Leistungen. Ihr Versicherer bietet Ihnen Unterstützung bei IT, Rechtsberatung und Öffentlichkeitsarbeit. In diesem Servicenetzwerk unterstützen die Experten von Instinctif Partners schnell und professionell im Krisenmanagement und in der Krisenkommunikation. Dazu gehören unter anderem folgende Bausteine:

1. Schnelle Situationsanalyse und Entwicklung einer Strategie zur Krisenkommunikation
2. Passgenaue Formulierung von Informationen und Statements für die verschiedenen Zielgruppen und Medien
3. Monitoring der Social-Media-Kanäle
4. Bearbeitung von Presseanfragen, aktive Pressearbeit
5. Organisation aller kommunikativen Maßnahmen
6. Koordination des Krisenmanagements
7. Integration weiterer Services (Call-Center-Services, Konferenzen etc.)