Jedes zweite deutsche Unternehmen wird Opfer einer Cyberattacke. Wie reagieren, wenn der Schaden da ist? (c) Getty Images/ChakisAtelier
Jedes zweite deutsche Unternehmen wird Opfer einer Cyberattacke. Wie reagieren, wenn der Schaden da ist? (c) Getty Images/ChakisAtelier
Krisenkommunikation

Wie man Cyberangriffe (nicht) kommuniziert

Auch aus Angst um ihr Image hängen Unternehmen Cyberangriffe ungern an die große Glocke. Kommunikatoren sehen sich dadurch einer besonders sensiblen Herausforderung gegenüber.
Guido Walter

Ein noch nie da gewesenes Ereignis. So bezeichnete das Europäische Polizeiamt Europol „Wannacry“. Jenen Cyberangriff, der am 12. Mai vergangenen Jahres mehr als 230.000 Computer in 150 Ländern infizierte. Unternehmen wie Telefónica, Fedex und Renault waren ebenso betroffen wie die Deutsche Bahn. „Wannacry“ infizierte 450 Rechner im Konzern, was zum Ausfall von Anzeigetafeln an vielen Bahnhöfen führte. Das Schadprogramm zielte auf nicht aktualisierte Windows-Betriebssysteme, es verschlüsselte Benutzerdateien und forderte Lösegeld in Form von Bitcoins – und es drohte renitenten Opfern damit, ihre Daten zu löschen.

Auch wenn drastische Fälle wie „Wannacry“ die Schlagzeilen beherrschen – die meisten Cyberangriffe geschehen unter Ausschluss der Öffentlichkeit. Laut einer Studie des Digitalverbands Bitkom war in Deutschland seit 2015 jedes zweite Unternehmen davon betroffen. Dadurch sei ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden. „Oft merken Unternehmen viel zu spät, dass Daten abgeflossen sind“, sagt Teresa Ritter, Referentin Sicherheitspolitik beim Bitkom. „Die Dunkelziffer ist also erheblich.“

Auch aus Angst vor Imageschäden hängen Unternehmen einen Schadensfall ungern an die große Glocke – was für die Kommunikatoren ein Problem darstellt. „Ein entdeckter Schaden sollte umgehend bei staatlichen Stellen gemeldet werden, damit diese ein Lagebild erstellen können“, sagt Ritter. „Andere Unternehmen bekommen so die Möglichkeit, sich zu schützen.“

Zu frühe Kommunikation kann den Angreifer warnen

Dabei ist Transparenz zwar ehrenvoll, sollte aber dennoch dosiert eingesetzt werden. Denn Cyberangriffe stellen sich höchst unterschiedlich dar. „Ein reiner Virenbefall ist meist schnell in den Griff zu kriegen und keine Nachricht wert“, sagt Stefan Rojacher vom IT-Sicherheitsdienstleister Kaspersky. „Anders ist dies bei großen Datenpannen, wenn auch geistiges Eigentum oder Kundendaten in Mitleidenschaft gezogen wurden.“

Bei einer zu raschen Reaktion auf Krisenfälle bestehe die Gefahr, dass unvollständige oder falsche Informationen herausgegeben werden und die Kommunikation vage wirkt. „Wann der richtige Zeitpunkt ist, sollten Kommunikatoren mit den IT-Experten im Unternehmen klären. Zu offen und zu früh kann auch bedeuten, den Angreifer zu warnen.“ Denn der Hacker wisse zu einem frühen Zeitpunkt möglicherweise noch gar nicht, dass man ihm auf die Schliche gekommen sei.

Laut Rojacher haben große Vorfälle wie „Wannacry“ dafür gesorgt, dass in den Unternehmen das Bewusstsein für Gefahren steigt. „Insbesondere große Unternehmen haben Teams aufgebaut, die professionell darauf reagieren können. Das Problem liegt eher im Mittelstand, wo viele Unternehmen noch keine eigene IT haben und sicherheitsrelevante Bereiche an Serviceunternehmen ausgelagert haben.“

Ein Patentrezept für eine perfekte Kommunikation nach einem Cyberangriff gibt es nach Ansicht von Tim Sausen vom Bundesverband Digitale Wirtschaft (BVDW) zwar nicht. Aber grobe Fehler ließen sich recht einfach vermeiden.

Sausen sagt: „Wenn ein Unternehmen bei einem Diebstahl von Login-Daten der Endkunden hartnäckiges Schweigen einer transparenten Kommunikation vorzieht, kann das fatale Folgen haben.“

Kommunikatoren seien gut beraten, im Sinne einer Schadensabwehr möglichst umfassend zu informieren. „Wenn das Vertrauen in solchen Fällen schon erschüttert ist, muss zumindest die Glaubwürdigkeit erhalten bleiben“, sagt Sausen. „Das ist die Basis für eine erfolgreiche Kommunikation im weiteren Verlauf der Krise.“

Ein Szenario der Krisenkommunikation

Krisenkommunikation bei Cyberangriffen birgt spezifische Probleme. Wenn etwa ein Pressesprecher die IT-Abteilung seines Unternehmens konsultiert, spricht er mit Kollegen, die solche Vorfälle nicht nur erklären, sondern darüber auch Rechenschaft ablegen müssen. Zudem kann ein Kommunikator nicht erwarten, dass in der IT-Abteilung umfassende Kenntnisse über öffentliche Reaktionsketten vorliegen. Umso wichtiger ist es, zu einem gemeinsamen Verständnis der Lage zu kommen.

Melanie Kamann, Sprecherin des Lübecker Medizin- und Sicherheitstechnikunternehmens Dräger, sieht ihre Firma dafür gewappnet. „Bei ‚Wannacry‘ wurden bei uns sofort entsprechende Teams aktiv, die die aktuelle Lage bewertet, Gegenmaßnahmen identifiziert und mit der Umsetzung begonnen haben.“

Dräger bewertet einen Cyberangriff als eines von vielen Szenarien der Krisenkommunikation, die nach den gleichen Regeln behandelt werden. Vorrangig geht es darum, die Kontrolle über die Lage zu behalten und mit einer Stimme zu sprechen. „Alles, was wir sagen, muss wasserdicht und wahrhaftig sein. Wortklaubereien und Verschleierungstaktiken helfen niemandem weiter“, meint Kamann.

Erst recht nicht, wenn es darum geht, die Position des Unternehmens in sozialen Netzwerken zu vertreten. Denn auf Facebook und Twitter lösen Cyberattacken häufig Schadenfreude oder Häme aus. Kamann: „Die emotionale Diskussion in sozialen Netzwerken nehmen wir ernst, steigen aber nicht in hitzige Diskussionen ein.“

Die Deutsche Post DHL Group unterhält ein „Cyber Defense Center“, das nach eigenen Angaben rund um die Uhr Gefährdungen beobachtet und aufbereitet. „Es geht hier weniger um eine regionale Verortung von Bedrohungen, sondern vielmehr um die frühzeitige Erkennung entstehender Risiken, ihre Bewertung und die Einleitung entsprechender Gegenmaßnahmen“, sagt Christina Neuffer, Pressesprecherin Finanzen der Deutschen Post DHL Group.

Der Konzern hält regelmäßig Notfallübungen ab, um Reaktionsgeschwindigkeit und Resilienz zu trainieren. Neuffer: „Die Unternehmenskommunikation ist Teil dieser Prozesse ebenso wie der Übungen.“ Eine konzernweite Aufmerksamkeitskampagne soll in Zeiten immer raffinierterer Social-Engineering-Angriffe die Mitarbeiter auf Cyberangriffe und Abwehrmaßnahmen vorbereiten.

Imagegewinn durch Krisen-PR?

Steffen Rinas aus der Konzernkommunikation bei Fresenius berichtet: „Grundsätzlich gibt es bei uns Abläufe für Krisenkommunikation, die auch im Fall von Cyberangriffen gelten.“ IT-Sicherheit habe für das Unternehmen als größten privaten Krankenhausbetreiber Europas und Betreiber von mehr als 3.700 Dialysezentren mit besonders schutzbedürftigen Patientendaten eine sehr hohe Priorität. Auch bei Fresenius werden die Mitarbeiter in Schulungen vorbeugend für das Thema Datensicherheit sensibilisiert. „Hier warten wir nicht, bis solch ein Fall eintritt.“

Von der Vorstellung, eine gemeisterte Krise lautstark zu kommunizieren und auf einen Imagegewinn zu hoffen, sollten sich die Unternehmen aber verabschieden. „Das wäre genau das Falsche“, meint BVDW-Sprecher Sausen. Denn: „Jeder erwartet, dass Unternehmen die Fehler, die ihnen unterlaufen sind, korrigieren. Ich kann mir kaum ein Szenario vorstellen, in dem eine solche Maßnahme einen positiven Einfluss auf das Image hat.“

 

 
 


randbemerkung

Bitte achten Sie bei Ihren Beiträgen unsere Netiquette.

Das könnte Sie auch interessieren.

Wie generiert man im Wettbewerb mit Platzhirschen Aufmerksamkeit? (c) Bo Soremsky
Bild: Bo Soremsky
Lesezeit 1 Min.
Lesestoff

Wie man Platzhirschen die Stirn bietet (1)

Von Post und Bahn bis Onlinehandel: Manche Märkte in Deutschland sind von Monopolen geprägt, von ehemaligen Monopolen, Quasi-Monopolen oder schlichtweg von Giganten. Wie behaupten sich Konkurrenten kommunikativ im Wettbewerb mit den Riesen? Ein Blick auf die Herausforderer. Teil eins: Otto versus Amazon. »weiterlesen
 
Zurückziehen gilt nicht: Auch Aufsichtsräte sollten laut einer Studie im Krisenfall öffentlich kommunizieren. (c) Getty Images/Martin Barraud
Foto: Getty Images/Martin Barraud
Lesezeit 2 Min.
Studie

Auch der Aufsichtsrat sollte sich äußern

Eine Studie zeigt: Die Erwartungen an die Kommunikation von Aufsichtsräten sind gestiegen. Dazu gehört, im Krisenfall Stellung zu nehmen – selbst dann, wenn es rechtlich schwierig ist. »weiterlesen
 
Statt Vollgas lieber einen Gang zurückschalten – das heißt, auch mal mit den Kollegen einen gemütlichen Kaffee zu trinken. (c) Getty Images/rawintanpin
Foto: Getty Images/rawintanpin
Lesezeit 1 Min.
Kommentar

Entschleunigt die interne Kommunikation!

Statt Vollgas lieber einen Gang zurück: Das ist die Devise unseres Gastautors für die interne Kommunikation. Ein Kommentar.  »weiterlesen
 
Unternehmen sind nicht länger auf externe Medien angewiesen. Aber auf sie verzichten wollen sie auch nicht. (c) Getty Images/Svetlana-Cherruty
Foto: Getty Images/Svetlana-Cherruty
Lesezeit 5 Min.
Lesestoff

Hauptsache Pressearbeit?

Earned Media vs. Owned Media: Statt auf das Wohlwollen und Interesse externer Medien zu hoffen, bespielen Unternehmen eigene Kanäle mit Content. Die Vorteile liegen auf der Hand. Und doch wollen viele Unternehmen nicht auf die klassische Pressearbeit verzichten. »weiterlesen
 
Der Nutzen von Kommunikation bei Großprojekten ist oft höher als ihre Kosten. (c) Getty Images/WangAnQi
Foto: Getty Images/WangAnQi
Lesezeit 1 Min.
Studie

Kommunikation steigert Akzeptanz von Großprojekten

Ist Kommunikation bei großen Bau- und Infrastrukturprojekten sinnvoll? Ja, wie eine Studie nun festgestellt hat. »weiterlesen
 
Neun von zehn PR-Managern sind der Ansicht, dass PR eine Führungsfunktion im Unternehmen besitzen sollte. (c) Getty Images/LuckyTD
Foto: Getty Images/LuckyTD
Lesezeit 4 Min.
Studie

Die PR wird selbstbewusster

Sämtliche Kommunikationsprozesse steuern im Sinne einer echten Corporate Communication – das ist Wunsch und Anspruch der Branche. Doch die Wirklichkeit zeigt: In Konkurrenz mit anderen Unternehmensfunktionen hinkt PR nach wie vor oft hinterher.  »weiterlesen