Krisensicher kommunizieren bei Cybervorfällen

Cyberangriffe sind Sache der IT, nicht der Kommunikation. Was für ein fataler Irrtum! Auch wenn die Meinung weit verbreitet ist, greift sie zu kurz. Sie übersieht die teuren Folgeschäden, die Cyberkriminalität nach sich zieht. Zwar lassen sich Hackerangriffe nicht mit Worten verhindern, dafür sind IT-Securitymaßnahmen essentiell. Doch es gibt keine hundertprozentige Sicherheit. Deswegen sollten Unternehmen ihre Krisenkommunikation gezielt vorbereiten und Imageschäden sowie kritische Medienberichte im Kontext von Cyberangriffen keinesfalls unterschätzen.

Was sind die Konsequenzen einer schlecht gemanagten Krisenkommunikation? Kunden werden verloren und Geschäftsbeziehungen beschädigt. Das kostet Unternehmen in Deutschland jährlich deutlich mehr als 20 Milliarden Euro, laut Studien des Digitalverbands Bitkom bereits seit Jahren. Während in immer mehr Firmen ITler mit Hochdruck daran arbeiten, Systeme abzusichern und Einfallstore zu schließen, bleiben die Kolleginnen und Kollegen aus der Kommunikation außen vor – solange bis es „brennt“. Dabei sind gerade die Kommunikatorinnen und Kommunikatoren in jeder Krise die zentrale Schnittstelle zu Kunden, Lieferanten, Mitarbeitenden und der Öffentlichkeit.

Cyberangriffe: Ein Risiko für die Reputation

Die Aufgabe der Krisenkommunikation ist es, die unternehmerische Reputation, das Image bzw. den Ruf zu schützen. Die synonym verwendeten Begriffe stehen für einen immateriellen Vermögenswert, der die Wettbewerbsfähigkeit, das Auftragsvolumen, den Aktienkurs und vieles mehr mit beeinflusst. Eine hohe Reputation oder ein ausgezeichneter Ruf – das sind beileibe kein Selbstläufer, sondern das Ergebnis harter Arbeit, die darauf einzahlt, wie Stakeholder ein Unternehmen wahrnehmen und wieviel Vertrauen sie ihm entgegenbringen.

Ein guter Ruf lässt sich nicht durch Technik schützen, aber durch strategisch durchdachte Kommunikation. Denn bei jedem Cybervorfall geht es um ein sehr sensibles Gut: Daten, die Kunden, Lieferanten oder Mitarbeitende einem Unternehmen anvertraut haben. Nur Unternehmen, die offen und glaubwürdig auf einen Cyberangriff reagieren, können das ihnen bis dato entgegengebrachte Vertrauen – zumindest teilweise – erhalten und negative Berichterstattung abmildern. Der umgekehrte Fall – zögerliche, unklare oder widersprüchliche Kommunikation – führt dagegen fast zwangsläufig zu einem Imageschaden.

Was lässt sich vorbereiten?

Die erste Phase eines Cyberangriffs, beispielsweise bei einem Ransomware-Vorfall, ist oft chaotisch: Die üblichen Arbeitsmittel sind verschlüsselt, Informationen sind spärlich, offene Fragen dominieren, und alle Beteiligten stehen unter immensem Stress und Zeitdruck. Dennoch müssen Kommunikatorinnen und Kommunikatoren in dieser Situation sofort loslegen – sowohl intern als auch extern.

Wie gut, wenn organisatorische Maßnahmen getroffen wurden, um im Ernstfall handlungsfähig zu bleiben. Das beginnt damit, dass sich das Kommunikationsteam notfalls mitten in der Nacht untereinander erreichen kann. Im Fall einer Verschlüsselung wird es ohne – ausgedruckte oder in der Cloud abgelegte – Notfallkontaktlisten schwierig, Journalist:innen und externe Dienstleister zu kontaktieren. Es wirkt allerdings unprofessionell, werden Pressemitteilungen vom privaten Email-Account verschickt. Besser, wenn alternative Kommunikationsmittel verfügbar sind, unabhängig von den verschlüsselten IT-Systemen.

Auch auf konzeptioneller Ebene lässt sich vieles vorausdenken. Welche Stakeholder sind bei unterschiedlichen Angriffszenarien betroffen? Welche Erwartungen haben verschiedene Gruppen? Wie können sie erreicht werden, wenn die gewohnten Kanäle wie E-Mail oder Unternehmenswebseite ausfallen? Das sind nur einige von vielen Fragen, die im Vorfeld beantwortet eine zielgruppengerechte, wirksame Ansprache schnell ermöglichen. Jede Vorbereitung zahlt sich insbesondere in der stressigen Anfangsphase aus. Besonders hilfreich ist ein übersichtliches Krisenkommunikationshandbuch, das u. a. vorformulierte Textbausteine enthält, und die wichtigsten Arbeitsschritte aufzeigt.

Genauso wie IT-Teams regelmäßige Penetrationstests und Sicherheitsüberprüfungen durchführen, sollte auch die Unternehmenskommunikation Krisen trainieren und ihre Prozesse auf den Prüfstand stellen. Nur so lässt sich sicherstellen, dass im Ernstfall alles wie gedacht reibungslos funktioniert. Wichtig ist dabei, Krisenkommunikation nicht als einmalige Angelegenheit zu betrachten. Regelmäßige Trainings, Lessons Learned nach jeder Übung und Krise sowie der Austausch mit externen Expertinnen und Experten sind die beste Basis für eine kontinuierlich optimierte Krisenkommunikation. Sie ist der Schlüssel, um nicht nur zu reagieren, sondern aktiv in einer Cyberkrise Vertrauen zu bewahren und die Folgeschäden durch Imageverluste zu minimieren.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * gekennzeichnet*