Wie ist die Krisenkommunikation nach einem Cyberangriff zu handhaben?

Ein Cyberangriff wirkt sich nicht nur auf die Computersysteme eines Unternehmens aus, er löst auch eine Krisensituation aus, die den Ruf, die Finanzlage und die Geschäftskontinuität bedroht. Im Falle einer Krise aufgrund eines Cybervorfalls stehen das Vertrauen interner und externer Interessengruppen und die öffentliche Wahrnehmung des Unternehmens auf dem Spiel.

Aus diesem Grund müssen Sie effektive Strategien zur Krisenkommunikation entwickeln, um die negativen Folgen eines Angriffs abzumildern. Aber Vorsicht: wenn es darum geht Krisenmanagement, es gibt keine fertige Lösung. Es ist 2022, digitale Sicherheitsbedrohungen für Unternehmen sind zu vielfältig und komplex, als dass sie gleichzeitig in einem internen Memo behandelt werden könnten. Sie müssen einen maßgeschneiderten Krisenplan für Ihr Unternehmen, seine Stakeholder und das Betriebsumfeld erstellen. Vergessen Sie nicht, dass Sie zur Bewältigung und Bewältigung der Krise auch einen Plan benötigen, der alle denkbaren Cybervorfälle überstehen kann.

Christophe Forêt

An article from

Christophe Forêt
President and co-founder of C-Risk
Published
August 21, 2023
Updated
August 21, 2023
Reading time
minutes
crisis communication - C-Risk

Was ist Krisenkommunikation?

Krisenkommunikation bezieht sich auf alle Kommunikationsmittel, die ein Unternehmen nutzen kann, um ein Problem anzugehen, das sich auf seine Organisation und seinen Ruf auswirkt. Eine Krise ist eine Situation, in der die Organisation eines Unternehmens wahrscheinlich aus dem Gleichgewicht gerät und dabei die Prozesse und das Betriebsumfeld des Unternehmens gestört werden.

Krisenkommunikation zielt hauptsächlich darauf ab, die negativen Auswirkungen einer Krise auf eine Marke und ihre Produkte zu begrenzen. Im Krisenfall sind Maßnahmen zur Katastrophenprävention, Krisenreaktionsfähigkeit und kurzfristige Entscheidungen erforderlich. Dank einer erfolgreichen Planung der Krisenkommunikation können Sie die Kommunikation effektiv verwalten und potenzielle Kontroversen umgehen.

Krisenkommunikation sollte auch Teil der grundlegenden Kommunikationsstrategie eines Unternehmens sein, da sie sich auf alle Kommunikationskanäle auswirkt, von der internen und externen Kommunikation über die Öffentlichkeits- und Pressearbeit bis hin zu sozialen Medien.

Darüber hinaus ist die Krisenkommunikation ein integraler Bestandteil des Krisenmanagements, weshalb auch eine kontinuierliche Konsultation mit der Geschäftsleitung und den Mitgliedern des Krisenstabs erforderlich ist.

Es gibt zwei allgemein anerkannte Komponenten der Krisenkommunikation:

  • Mitteilung über das Krisenmanagement, die darin besteht, die Interessengruppen zu warnen und die Reparaturarbeiten durch Erteilung wirksamer Anweisungen zu koordinieren.
  • Kommunikation über den Umgang mit der Krise, die zum Schutz des Rufs des Unternehmens beiträgt.

The crisis communication team executes the plan

Warum im Krisenfall kommunizieren?

Krisenkommunikation ist ein zentraler Bestandteil der Krisenbewältigung. Ohne eine angemessene Krisenreaktion müssen Mitarbeiter und andere Interessengruppen die Situation auf ihre eigene Art interpretieren, was dazu führt, dass die Krise weiter wächst und sich so weit entwickelt, dass das Überleben des Unternehmens bedroht ist. Ein Unternehmen, das aufgrund eines Cyberangriffs in eine Krise gerät, ist daher verpflichtet, seine Seite der Geschichte an die Öffentlichkeit zu bringen und sein Publikum zu beruhigen.

Das Hauptziel der Krisenkommunikation besteht darin, Bedenken auszuräumen und das Image des Unternehmens zu schützen. Achten Sie jedoch darauf, dass Sie nicht um der Kommunikation willen kommunizieren — Ihre Krisenkommunikation muss Ihre aufrichtige Absicht zum Ausdruck bringen, dauerhafte Lösungen für aktuelle Störungen zu finden.

Was ist der Kontext für Krisenkommunikation nach einem Cyberangriff?

Die breite Öffentlichkeit ist sich zunehmend der Risiken bewusst, die mit digitaler Sicherheit und Cyberkriminalität verbunden sind, und ein Unternehmen, das erkennt, wie sensibel sein Publikum für diese Themen ist, ist eher bereit, erfolgreich zu kommunizieren.

Seit 2016 ist die Umsetzung der Allgemeine Datenschutzverordnung (GDPR) fordert auch Kommunikation im Falle eines bestätigten Cyberrisikos. Aus Gründen der Vollständigkeit sehen die Artikel 33 und 34 dieser Verordnung vor, dass Organisationen „den Aufsichtsbehörden innerhalb von 72 Stunden nach Feststellung des Problems detaillierte Informationen zur Verfügung stellen sollten, und so schnell wie möglich jeder betroffenen natürlichen Person, wenn ein hohes Risiko einer Verletzung ihrer Rechte besteht“. (Quelle: CNIL, Im Falle einer Verletzung des Schutzes personenbezogener Daten)

Aus diesem Grund muss die IT-Abteilung in Zusammenarbeit mit der Kommunikationsabteilung Strategien für die Krisenkommunikation ausarbeiten, die von der Art der Cyberangriffe oder Systemausfälle abhängen. Im Jahr 2022 sind die häufigsten Cyberkriminalität gegen Unternehmen:

  • Ransomware attacken;
  • Betrug auf der Grundlage von Identitätsdiebstahl;
  • Verletzungen des Schutzes personenbezogener Daten;
  • Diebstahl von Passwörtern oder Benutzernamen;
  • DDoS (Distributed-Denial-Of-Service) -Angriffe, die Onlinedienste zum Erliegen bringen.

Der Trick, um eine Krisensituation zu überleben, besteht darin, zu wissen, wie Sie Ihre Kommunikation zeitlich angemessen planen können. Ein zu früher Informationsaustausch mit der Öffentlichkeit kann sich negativ auf das Verhalten von Kunden, Aktionären und Interessenvertretern auswirken. Eine zu späte Kommunikation kann dagegen dem Ruf und der Finanzlage eines Unternehmens einen fatalen Schlag versetzen.

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mithilfe der Quantifizierung von Cyberrisiken ein robustes, risikobasiertes Cybersicherheitsprogramm.

Den Lebenszyklus einer Krise verstehen, um gut kommunizieren zu können

Um über eine Krise zu kommunizieren, muss das Narrativ kontrolliert und die Botschaft an jede Phase angepasst werden:

1/Die Phase vor der Krise: Trotz einer scheinbaren Ruhe zeichnen sich dennoch Anzeichen einer Schwäche ab. Die Bedingungen für den Ausbruch der Krise beginnen sich zu verschärfen. Intern tauchen beunruhigende Gerüchte auf, die die Kommunikations- und IT-Abteilungen in Schwung bringen sollten.

2/In der akuten Krisenphase beginnt sie erst richtig. In dieser Phase läuft das Unternehmen Gefahr, die Kontrolle über die Situation zu verlieren, und die Medien und Interessengruppen werden alarmiert. Es erfordert die Aktivierung des Team für Krisenkommunikation und die Umsetzung des Krisenkommunikationsplans, der im Vorfeld ausgearbeitet wurde.

3/Dann kommt die chronische Phase. Die Krise stört seit einiger Zeit die Geschäftstätigkeit des Unternehmens mit seinen Mitarbeitern, Aktionären und Interessengruppen. Es ist jetzt mehr denn je an der Zeit, dass das Krisenkommunikationsteam diese verschiedenen Akteure beruhigt, indem es seine Kommunikationskanäle sorgfältig auswählt und Schutz- und Wiederherstellungsmaßnahmen ergreift.

4/In der Phase nach der Krise passt sich das Unternehmen an die neuen Umstände an. Es sollte aus der Krise lernen und seine Struktur und Verfahren anpassen. Im Falle eines Cyberangriffs könnte das Unternehmen beispielsweise in ein robusteres Antivirenschutzsystem investieren.

Die Phase nach der Krise stellt einen Ausweg aus der Krisensituation dar: relevante Daten werden archiviert und die Krisen-Taskforce wird geschlossen — die Dinge sind jetzt „wieder normal“. Diese Abkühlung sollte jedoch nicht als selbstverständlich angesehen werden. Theoretiker der Krisenkommunikation beobachten in der Tat, dass Organisationen, die davon ausgehen, dass eine Krise zu früh vorbei ist, schnell in eine Phase vor der Krise zurückkehren können.

Krisenmanagement: Welche Stakeholder sollten einbezogen werden?

Eine Krise hat Auswirkungen auf verschiedene Akteure, die in Ihrer Krisenkommunikation als vorrangige Ziele hervorstechen. Diese Interessengruppen sind in der Reihenfolge ihrer Priorität wie folgt zusammengefaßt:

1/Die Opfer des Cybervorfalls sind Ihr „vorrangiges Ziel“. Dies können Kunden sein, deren persönliche Daten gestohlen wurden, oder Internetnutzer, die nicht mehr auf Ihre Website zugreifen können.

2/Die internen Stakeholder des Unternehmens sind Ihre „sekundären Ziele“. Wenn Sie Ihre Mitarbeiter informieren, können Sie deren Kommunikation mit der Außenwelt selbst beeinflussen. Setzen Sie in dieser Situation nicht auf Vertraulichkeit — möglicherweise müssen Sie undichte Stellen ausräumen. Im Gegenteil, beruhigen Sie die Mitarbeiter, antizipieren Sie die Art von Anfragen, auf die sie stoßen könnten, und geben Sie ihnen die geeigneten Kommunikationsmittel an die Hand.

Dieses Ziel der Krisenkommunikation umfasst Gewerkschaften und Personalvertreter, Führungskräfte, verschiedene Abteilungen, Lieferanten und Großhändler, Interessenten und Berater (Buchhalter, Anwälte und Versicherungsvertreter). Zu dieser Zielgruppe gehören natürlich auch Investoren und Aktienmärkte.

3/Als nächstes kommt die Presse, ob regional, national oder international. Es liegt an Ihnen, zu entscheiden, ob sich Ihre Pressemitteilung in erster Linie an allgemeine oder spezialisierte Medien richten sollte und ob sie zuerst an Fernseh-, Radio- oder Printmedien gerichtet sein sollte, je nach Ihrer Aktivität und der Art der Cyberkrise.

4/Falls es Ihrem Geschäftsumfeld entspricht, sollten Sie auch in Betracht ziehen, politische Interessengruppen wie gewählte Amtsträger, die zuständigen Verwaltungsbehörden und die offiziellen Aufsichtsbehörden zu kontaktieren.

5/Letztlich können Sie sich auch dafür entscheiden, mit Berufsverbänden in Ihrer Branche zu kommunizieren. Dieser Schritt trägt dazu bei, Ihren Ruf zu wahren, wenn Sie den Eindruck haben, dass Sie sich auf die Lösung der Krise konzentrieren.

Internal communication is a priority in a crisis

Krisenkommunikation: Wie richtet man sie nach einem Cyberangriff ein?

Eine funktionierende Krisenkommunikation hängt davon ab, wie erfolgreich das Unternehmen bei der Antizipation von Upstream-Vorgängen war. Aus diesem Grund muss die Krisenkommunikation einem sorgfältigen Verfahren folgen, das im Risikomanagementplan für digitale Sicherheit detailliert beschrieben ist.

Ein detaillierter Krisenmanagementplan im Vorfeld

Wenn Ihr Krisenmanagementplan gut aufgebaut ist, beinhaltet er eine Kommunikationsstrategie, die in die folgenden Hauptkomponenten unterteilt ist:

  • Zu welchem Zweck kommunizieren Sie während der Krise? Ist es, um zu beruhigen? Um Abhilfemaßnahmen detailliert darzustellen?
  • Wer sind Ihre Ziele in der Reihenfolge ihrer Priorität?
  • Zu welchem Thema sollten Sie vorrangige Nachrichten senden: zum aktuellen Systemausfall? Ihr Aktionsplan? Ihre präventiven Maßnahmen?
  • Wer sollte Krisenkommunikation verkörpern: Ist es die Geschäftsleitung? Der IT-Leiter? Ihr Anwalt? Die Kommunikationsabteilung?

Erwägen Sie auch, Ihren betrieblichen Krisenkommunikationsprozess auf Papier abtippen oder aufschreiben zu lassen. Wenn es aufgrund eines Cyberangriffs zu einer Krise kommt, können Sie möglicherweise nicht mehr auf die digitale Version zugreifen.

Diese Komponenten basieren ebenfalls auf konkreten Vermögenswerten:

  • Liste der Ansprechpartner, die Ihnen im Falle eines Cyberangriffs helfen können
  • Aufschlüsselung der Interessengruppen
  • Liste der Kommunikationskanäle und Pressekontakte, die sich als nützlich erweisen könnten
  • Tabelle mit Querverweisen auf dringende Aufgaben und ernannte Verantwortliche
  • Diagramm der entsprechenden Nachrichten für jedes Cyberangriffsszenario, das in Ihrem Cyberangriffsszenario vorgesehen ist Risikoanalyse

Wie kommuniziert man, wenn die Krise eintritt

Im Krisenfall ist Ihr Unternehmen anfällig für größere Störungen. Um effektiv zu sein, muss Ihr Krisenkommunikationsteam schnelle Entscheidungen treffen und den Krisenmanagementplan mit Pragmatismus umsetzen.

Ihr Team muss sich an die spezifischen Folgen anpassen, die durch eine Cyberangriff, und es muss auch festgestellt werden, wer die Opfer sind. Auf diese Weise können Ihre Teammitglieder Ihre Kommunikationsstrategie anpassen. Behalte auf jeden Fall ein paar wichtige Prinzipien der Krisenkommunikation im Hinterkopf, auch wenn das bedeutet, vom Plan abzuweichen:

  • Seien Sie transparent über den Vorfall und seine Folgen
  • Zeigen Sie Ihre Solidarität mit den Opfern und Ihren Eifer, Lösungen zu finden
  • Senden Sie klare, kurze, jargonfreie Nachrichten
  • Sprechen Sie und geben Sie Ihre Interpretation des Problems ab, bevor es externe Spieler tun

Zusätzlich zu diesen wichtigen Regeln sollten Sie Ihren Kommunikationsplan an die Realität des Cybervorfalls anpassen:

  • Analysieren Sie die aktuelle Krise: Sieht sie wie ein erwartetes Szenario aus? Oder ist es völlig neu?
  • Sollten Sie neu bewerten, wer von den Interessengruppen in den Krisenkommunikationsprozess einbezogen werden muss?
  • Wo befinden Sie sich im Lebenszyklus der Krise? Welches Medienrisiko stellt diese Phase dar?
  • Welcher Kommunikationskanal ist angesichts des Zustands Ihrer Informationssysteme für Ihr Hauptziel am besten geeignet? Ist es ein Video, eine Pressemitteilung, eine E-Mail? Sollten Sie Telefonbäume einrichten? Sind Sie ethisch gesehen die Person, die für das gewählte Medium am besten geeignet ist?
  • Wie oft wirst du kommunizieren?
  • Welche Botschaften senden Sie an Ihre verschiedenen Zielgruppen?

Anticipate crisis communication before press

Die richtigen Nachrichten senden

Die ersten Nachrichten, die Sie senden, um die Presse zu übertreffen, müssen diese wenigen wesentlichen Elemente enthalten:

  • „wir wissen“: Wir wissen, dass es einen Cybervorfall gegeben hat
  • „das tun wir“: Wir arbeiten an folgenden Lösungen
  • „Wir kümmern uns“: Wir verstehen den Ernst der Lage und wir kümmern uns um die Opfer
  • „es tut uns leid“: (wichtig) Wir entschuldigen uns für diesen Vorfall
  • „wir kommen wieder“: Schließlich werden wir Sie auf dem Laufenden halten.

Wenn Sie Ihre Kommunikation auf diese Weise strukturieren, können Sie sie in sachliche und emotionale Botschaften unterteilen, die beide mit den richtigen Maßnahmen von Vorteil sein können. Es liegt an Ihnen, herauszufinden, welcher Blickwinkel am besten zu Ihrer Situation und Ihren Zielen passt. Was auch immer passiert, geben Sie sich niemals mit einem „Kein Kommentar“ zufrieden, das als Schuldeingeständnis ausgelegt werden könnte.

Häufig gestellte Fragen zur Krisenkommunikation

Was sind die Ziele der Krisenkommunikation?

Die Krisenkommunikation soll verhindern, dass das Unternehmen sein Image trübt, das Vertrauen der Verbraucher verliert und finanzielle Aktienverluste erleidet.

Wann sollten Sie auf Krisenkommunikation zurückgreifen?

Cyber-Krisenkommunikation ist wie eine Naturkatastrophe, da Sie sich mit schwierigen Umständen auseinandersetzen müssen: Druck externer Akteure, gewaltige Überlebensherausforderungen, unmögliche Termine und Ungewissheit.

Was sind die drei Ansätze der Krisenkommunikation?

Unternehmen können sich dafür entscheiden, den Ausfall anzuerkennen, was bei einem Cyberangriff die häufigste Position ist. Zweitens können sie sich in einigen Fällen dafür entscheiden, für Ablenkung zu sorgen, indem sie über andere Themen sprechen und externen Akteuren die Schuld geben. Alternativ könnten sie beschließen, überhaupt nicht zu kommunizieren, aber das ist eine riskante Option.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.