krisenkommunikation im falle eines cyberangriffs

Schritt 1: Risikoanalyse

Beschreiben Sie und stellen Sie dar, von welchen Cyberangriffen Ihr Unternehmen oder Ihre Organisation Opfer sein könnte und was dies für die Kontinuität der Dienstleistungen oder der Produktion bedeuten würde. Die häufigsten Angriffe sind:

• Ein Ransomware-Angriff

Ransomware ist ein Virus, der ohne Erlaubnis des Besitzers auf einem Gerät installiert wird. Der Geiselvirus hält das Gerät und die Dateien als Geiseln (verschlüsselt) und fordert ein Lösegeld.

• Ein DDOS-Angriff

Bei einem DDoS-Angriff oder einem Distributed-Denial-Of-Service-Angriff versuchen Kriminelle, einen Webserver lahmzulegen, indem sie ihn mit einer sehr großen Anzahl von Seitenanfragen überlasten. Ein DDOS-Angriff an sich ist nicht gefährlich und geht von selbst wieder vorbei, aber oft wird ein solcher Angriff genutzt, um einen anderen Angriff  zu verbergen oder als zusätzliches Druckmittel z. B. bei einem Ransomware-Angriff.

• Ein Virus im Netzwerk
• Betrug, z. B. durch CEO-Betrug
• Ein Data Breach, ein Verstoß gegen das DS-GVO-Gesetz…

Überprüfen Sie den Krisenplan oder den cybersecurity incident management plan Ihres Unternehmens oder Ihrer Organisation. Prüfen Sie, ob die Krisenkommunikation darin enthalten ist und auf welcher Art und Weise. Enthält sie mindestens die folgenden Elemente?

• Eine Kontaktliste Unterstützung (auf dem Papier): An wen können wir uns während eines Vorfalls wenden?
• Eine Kontaktliste Mitarbeiter, Stakeholder, Partner und Presse (auf dem Papier): Wen sollen wir über den Vorfall informieren?
• Ein Überblick über die Kommunikationskanäle die bei einem Cyberangriff verwendet werden können (also auch Offline-Kanäle).
• Eine Übersicht der Kernbotschaften: Für eine Reihe von häufigen Cyberangriffen kann eine kurze Nachricht im Voraus vorbereitet werden.
• Eine Aufgabenverteilung, Auflistung der verschiedenen Rollen bei einem Cybervorfall und der mit jeder Rolle verbundenen Aufgaben.

Jedes Unternehmen oder jede Organisation sollte mindestens einmal einen Cybervorfall üben. Achten Sie darauf, die Kommunikationsabteilung oder den Kommunikationsbeauftragten in diese Übung einzubeziehen.

Gute Kommunikation während eines Vorfalls ist entscheidend, um keine Zeit zu verschwenden und die Rufschädigung zu begrenzen.

Bitte beachten Sie diese Reihenfolge der Kommunikation. Informieren Sie nacheinander:

1. Mitarbeiter
2. Stakeholder
3. Partner
4. Kunden
5. Presse

Sobald Sie die Mitarbeiter informiert haben, sollten Sie auch die anderen Parteien so schnell wie möglich informieren. Es ist immerhin eine Illusion zu glauben, dass Mitarbeiter Informationen vertraulich behandeln werden. Mit anderen Worten: Die Informationen werden schnell nach außen dringen.

Wenn personenbezogene Daten möglicherweise gestohlen oder geleckt sind, sollte die Datenschutzbehörde kontaktiert werden.

Bestimmen Sie die Botschaften:

• Erwägen Sie es, proaktiv zu kommunizieren.  Noch bevor der Vorfall „geleckt“ ist, können Sie im Prinzip schon darüber kommunizieren. Dieses Prinzip wird als „Stealing Thunder“ bezeichnet. Sie teilen die (schlechten) Nachrichten selbst mit, bevor die Presse die Nachrichten hört und ihre eigene Geschichte daraus macht. Wenn Sie proaktiv kommunizieren, ist die Wahrscheinlichkeit hoch, dass Sie die Kontrolle über die Kommunikation behalten können.
• Machen Sie umgehend eine Wartemeldung. Kommunizieren Sie die folgenden Elemente:
  • We know: Wir wissen, was passiert ist.
  • We do: Wir beschäftigen uns mit den folgenden Sachen,  wir arbeiten an einer Lösung.
  • We care: Wir nehmen das sehr ernst, wir sind einfühlsam.
  • We are sorry: Wir bedauern den Vorfall, wir entschuldigen uns.
  • We’ll be back: Wir legen fest, wann wir mehr Informationen ermitteln werden.
• Definieren Sie die Kernbotschaften
  • Was ist passiert?
  • Wie konnte das passieren?
  • Wer war dafür verantwortlich?
  • Was sind die Folgen? Für die Mitarbeiter, die Kunden, die Partner…
  • Was tun wir, um den Schaden zu beheben? Welche Lösung haben wir in der Hinterhand?
  • Was machen wir, um dies in Zukunft zu verhindern?

Geben Sie den Ton an:

• Entschuldigen Sie sich, wenn es Opfer gibt oder wenn ein Fehler gemacht wurde.
• Gehen Sie nicht in die Defensive, aber zeigen Sie, was Ihre Organisation getan hat, um dies zu vermeiden oder schnell zu lösen.
• Sie brauchen sich nicht zu schämen, Sie sind das Opfer von Kriminellen und das kann jedem passieren.
• Reagieren Sie nicht aggressiv auf anklagende Fragen, sondern weisen Sie auf „gewonnene Erkenntnisse“ hin.
• No comment: Das Nichtbeantworten von Fragen ist eine Botschaft an sich, die oft als „die müssen einen Fehler gemacht haben“ oder „die haben bestimmt etwas zu verbergen“ interpretiert wird.

Wählen Sie einen Wortführer. Ratschläge für Wortführer:

• Zeigen Sie Einfühlungsvermögen.
• Lügen Sie nicht.
• Seien Sie transparent.
• Antizipieren Sie schwieriger Fragen und üben Sie sie ein.
• Verwenden Sie Brücken, um immer wieder auf die Kernbotschaft zurückzukommen.
• Seien Sie klar und bündig.
• Achten Sie auf Fachjargon/Cyberjargon.

Pferdefüsse

• Im Falle eines Cyberangriffs ist es möglich, dass die wichtigsten Kommunikationskanäle nicht verfügbar sind: Intranet, E-Mail, Website.  Denken Sie im Voraus über alternative Kanäle nach, um die verschiedenen Zielgruppen zu erreichen.
• Wenn eine gerichtliche Untersuchung des Cyberangriffs eingeleitet wurde, müssen Sie möglicherweise sehr vorsichtig mit Informationen umgehen. Aber lassen Sie dies keine Ausrede sein, um nicht oder nicht transparent zu kommunizieren.
• Zuweisung eines Cyberangriffs: Seien Sie immer vorsichtig bei der Zuweisung eines möglichen Täters des Angriffs.  Bei einem Cyberangriff ist dies immer sehr schwer zu bestimmen.