Offenheit und Transparenz zahlen sich doppelt aus
Cyberattacken auf IT-Systeme von Organisationen aller Größenordnungen und Branchen nehmen stetig zu. Die Angriffe stören die Services von Unternehmen und öffentlichen Einrichtungen oder legen die Betriebe komplett lahm. In Risiko-Rankings von Unternehmen stehen Cyberattacken und gegebenenfalls dadurch bedingte Betriebsunterbrechungen auf den Spitzenplätzen. Parallel steigen von Jahr zu Jahr die Zahl und Höhe der Bußgelder wegen DSGVO-Verstößen.
Der Branchenverband Bitkom publizierte im August 2021 eine Studie, nach der sich der Schaden durch Cyberkriminalität in Deutschland jährlich auf mehr als 220 Mrd. Euro belaufen soll. Diese Dimension wäre verheerend, entspricht sie doch fast 7% der deutschen Wirtschaftsleistung. Zum Vergleich: Das gesamte versicherte Sachschadenvolumen lag 2020 bei 70 Mrd. Euro. Man mag die Zahl von 220 Mrd. aufgrund der Erhebungsmethodik zwar bezweifeln. Dennoch erschreckt ein weiteres Ergebnis der Studie: Demnach hat sich das Schadenvolumen in den vergangenen beiden Jahren jeweils verdoppelt. Eine nochmalige Verdopplung möchte man sich nicht vorstellen.
Wochenlange Krisenarbeit
Besonders gefürchtet sind Ransomware-Attacken, welche die betroffenen Organisationen gleich vor eine Vielzahl paralleler Probleme stellen. Oft führten solche Angriffe zu einem kompletten Zusammenbruch der Systeme und gleichzeitig zum Verlust von personenbezogenen Daten. Die Krisenarbeit zieht sich über Wochen hin. Dabei geht es allerdings bei Weitem nicht nur um einen materiellen beziehungsweise finanziellen Schaden. Denn neben dem Betriebsausfall und dem damit verbundenen Umsatzrückgang werden auch die Positionierung des betroffenen Unternehmens und seine Reputation geschädigt. Das zeigt auch eine Untersuchung des Spezialversicherers Hiscox. Demnach sind vor allem die Beziehungen zu Kunden und Geschäftspartnern gefährdet.
Schnelle und transparente Kommunikation ist deshalb essenziell, um den langfristigen Schaden für die betroffene Organisation zu begrenzen: Wie rasch reagiert das Unternehmen und informiert Kunden und Partner? Sind diese Informationen glaubwürdig und verlässlich? Wie ist der Vorfall datenschutzrechtlich zu beurteilen? Wie erfolgt die Kommunikation mit den Datenschutzbehörden? Alle diese Fragen stürzen kurzfristig auf eine Organisation ein, die sich gerade selbst neu erfinden muss.
Dabei brennt die Kerze an zwei Enden. Bei typischen Ransomware-Attacken werden einerseits die Systeme verschlüsselt und andererseits Daten gestohlen. Zum Kampf um die Wiederherstellung des Betriebs kommt dann zugleich das Handling der datenschutzrechtlichen Fragen. Das erhöht zugleich die Zahl der Zielgruppen für die Kommunikation und erschwert die Abstimmung der richtigen Botschaften.
In dieser Situation ist professionelle Hilfe von außen gefragt – auch weil die Helfer nicht emotional involviert sind, wenn das Unternehmen „down“ ist. Neben den „klassischen“ Instrumenten der Krisenkommunikation geht es bei Cyberattacken aber oft auch um Abwägungsfragen, wie am besten zu verfahren ist. Denn kennzeichnend für die Situation ist oftmals die hohe und bleibende Unsicherheit, was mit den gestohlenen Daten geschehen ist. Das Interesse an rechtlicher Absicherung verlangt oft nach eher restriktiver Kommunikation. Demgegenüber steht die Erwartungshaltung der Stakeholder, transparent und vor allem zeitnah informiert zu werden. Erfolgt das nicht oder erst reaktiv oder werden sogar Informationen aus anderen Quellen bekannt, droht Vertrauensverlust.
Ziel der Krisenkommunikation ist, dass das betroffene Unternehmen die Kommunikationshoheit behält und nicht in eine reaktiv-defensive Situation gerät, die dann schnell in eine Rechtfertigung abgleiten kann. Unternehmen, die wenig öffentliche Aufmerksamkeit haben, ziehen oft vorschnell den Schluss, dass man am besten gar nicht über den Vorfall kommuniziert. Doch es gibt immer auch Zielgruppen über die Öffentlichkeit hinaus. Mitarbeitende und Geschäftspartner sind zumeist als Erste betroffen. Entstehen hier Unsicherheit oder gar Gerüchte, ist das Gift für ein Krisenmanagement – denn um das Problem zu lösen, braucht man auch die Mitarbeiterinnen und Mitarbeiter. Und ohne das Vertrauen der Geschäftspartner wird es schwierig, die Krise zu überstehen und wieder zum normalen Geschäftsbetrieb zurückzukehren.
Schweigen oder vertuschen ist deshalb ein großer Fehler. Unternehmen, die Kommunikation herauszögern, haben in der Vergangenheit massiv schlechtere Ergebnisse in der Folgezeit gemacht als solche, die offensiv mit der Kommunikation umgegangen sind. Das zeigen umfangreiche empirische Studien.
Zu beachtende Kernthemen
Eine Musterlösung zur Krisenbewältigung gibt es nicht. Aber aus Erfahrungen lassen sich Kernthemen ableiten, auf die im Krisenmanagement zu achten ist. Zu den Top 12 gehören:
1. Der Aufbau beziehungsweise die Koordination eines Krisenteams nebst Organisation der richtigen Austauschformate und Kommunikationswege.
2. Die schnelle (Erst-)Bewertung des Schadens und seiner Folgen: Wie lässt sich der „Worst Case“ eingrenzen, zum Beispiel im Hinblick auf möglichen Datenverlust beziehungsweise Datendiebstahl oder eine weitere Verschärfung durch noch bestehende Zugangsmöglichkeiten der Angreifer?
3. Die Balance zwischen gesichertem Wissen über den tatsächlichen Schaden, der Forderung von Transparenz durch externe Stakeholder und dem Wunsch, die Präsenz und Wahrnehmung in der Öffentlichkeit nicht selbst unnötig zu befeuern. Einen Königsweg dafür gibt es nicht – gerade deshalb muss diese Frage interdisziplinär besprochen werden.
4. Die Einordnung des Schadenfalls in den Kontext des Geschäftsmodells und der generellen kommunikativen Positionierung des Unternehmens. Wer einen „Reputationspuffer“ aufgebaut hat, kann leichter auf Wohlwollen zählen als eine bereits wegen anderer Themen unter Beschuss stehende Organisation.
5. Die Koordination der Handlungsstränge von IT-Forensik, Sicherung beziehungsweise Wiederaufbau des operativen Betriebs, rechtlicher Bewertung und Kommunikation. Im Regelfall wird die Geschäftsleitung dem operativen Betrieb die höchste Priorität einräumen. Aber das Krisenmanagement muss sicherstellen, dass dadurch nicht weitere Risiken eingegangen werden.
6. Die Klärung der Haltung, wie man mit dem Vorfall umgehen möchte: Bin ich einfach „Opfer“, gibt es Versäumnisse, die vorwerfbar sind oder liegt gar ein Eigenverschulden vor? Von dieser Frage hängt es ab, welche Krisenkommunikationsstrategie angezeigt ist.
7. Die Entwicklung einer Basis-Sprachregelung: Was ist geschehen, was sind die Folgen, welche Maßnahmen wurden getroffen, was müssen Kunden beziehungsweise Geschäftspartner tun, wie geht es weiter? Die Antworten bilden die Grundlage für jede weitere Kommunikation.
8. Die Definition der relevanten Zielgruppen für Informationen und die Ableitung der entsprechenden Maßnahmen und Kommunikationswege. Oftmals werden im Eifer des Gefechts gerade die wichtigsten Geschäftspartner, die zu Recht eine bevorzugte Information erwarten, vergessen. Ein Partner, der über Dritte von Problemen erfährt, verliert schnell das Vertrauen.
9. Monitoring der Medienresonanz und der Aktivitäten auf Social-Media-Kanälen, gegebenenfalls auch Recherchen im Darknet. In Zeiten von Social Media sind akzeptierte Reaktionszeiten drastisch geschrumpft. Ein tägliches Update reicht deshalb nicht aus, um noch agieren zu können.
10. Die Prüfung der Einbindung weiterer externer Unterstützung, beispielsweise zur Datensichtung oder von Callcentern zur Aufnahme von Anfragen. Auch hier zählt Schnelligkeit.
11. Die Sicherung der Konsistenz der Kommunikation nach innen und außen, insbesondere wenn die detaillierte Aufklärung der Schadenslage und auch die Auswertung betroffener Daten längere Zeit in Anspruch nehmen. Bei längeren Krisen erfordert dies eine saubere Dokumentation.
12. Die Klärung möglicher Kompensationsleistungen für betroffene Kunden oder Geschäftspartner im Sinne einer „Wiedergutmachung“ – wohlgemerkt unter Einbeziehung der Juristen mit Blick auf Haftungsfragen.
Schließlich gibt es noch einen weiteren Grund, der für transparente Kommunikation spricht: Nur wenn Klarheit über die Bedrohung und den Umgang mit Angriffen geschaffen wird, können auch andere lernen und ihre Schutz- und Gegenmaßnahmen optimieren. Offenheit und Transparenz im richtigen Maß und zur richtigen Zeit zahlen sich also doppelt aus – erhalten das Vertrauen der Stakeholder und helfen der Gesellschaft als Ganzes, die Gefahr in den Griff zu bekommen.