Ihr Unternehmen ist zum Ziel eines Cyberangriffs geworden! Wichtige Daten wurden entwendet oder Ihr Zugang darauf gesperrt und jetzt müssen Sie das Ganze noch irgendwie Mitarbeitenden, Partnern oder Kunden mitteilen. Aber was genau sollte man hier kommunizieren? Und wer muss überhaupt informiert werden? Wie behält man das Vertrauen von Kunden und Geschäftspartnern? Wie eine sensible Kommunikation bei einem Cyberangriff aussehen kann und wie sich Unternehmen schon frühzeitig darauf vorbereiten können, um dann schnell zu reagieren, erklären wir in diesem Beitrag.
Warum Unternehmen jeder Größe vorbereitet sein sollten
Cyberangriffe können heute so gut wie jedes Unternehmen treffen. Egal wie klein oder vermeintlich analog sie sind. Denn selbst Unternehmen, die nicht zur digitalen Branche gehören, haben heute wichtige Daten zur zentralen Verwaltung im Netz. Was für die Zusammenarbeit und effizientere Prozesse unerlässlich ist – und in keinem Fall eingestellt werden sollte – birgt auch Risiken für Cyberangriffe. Sich angemessen auf einen Cyberangriff vorzubereiten und diesen im besten Fall abwehren zu können, ist also Pflicht für Unternehmen jeder Größe. Um hier behilflich zu sein, haben wir in weiterführenden Artikeln die möglichen internen und externen Gefahren für Unternehmen erläutert und erklären, was ein Unternehmen tun sollte, wenn es zum Opfer eines Cyberangriffes wird. Im Folgenden geht es aber erst einmal um die sensible Kommunikation bei einem Cyberangriff.
Die richtige Vorbereitung ist das A und O
Ein Cyberangriff kommt meist überraschend.Damit hier keine Panik ausbricht und klar und effektiv Gegenmaßnahmen ergriffen werden können, brauchen Unternehmen einen Notfallplan für einen Cyberangriff. Dieser legt Verantwortlichkeiten und Kontaktpersonen fest, damit im Fall der Fälle eine schnelle Reaktion möglich ist. Ähnlich diesem sollten Unternehmen ebenfalls einen umfassenden Kommunikationsplan entwickeln. Denn die Kommunikation selbst ist essenziell, sie muss stattfinden, damit Unternehmen das Narrativ in ihre eigenen Hände nehmen und das Vertrauen von außen halten können.
Der Kommunikationsplan sollte festlegen, wer im Krisenfall autorisiert ist zu sprechen, welche Kanäle verwendet werden und welche Botschaften kommuniziert werden sollen. Auch Textbausteine lassen sich in verschiedenen Eskalationsstufen bereits vorbereiten. Ein Krisenkommunikationsteam unter einer erfahrenen Leitung sollte für den Fall eines Cyberangriffs bereitstehen und schnell und effektiv reagieren können. Dazu braucht es im Vorhinein strategische Schulungen. Das Team sollte außerdem stets in Verbindung zu IT-Forensik und Recovery stehen, um aktuelle und verlässliche Informationen zu erhalten, mit denen es dann arbeiten kann.
In dieser Phase – also bevor ein Cyberangriff stattgefunden hat – kann es auch sinnvoll sein, sich bereits nach geeigneten und erfahrenen Partnern für die Krisenkommunikation umzuschauen. Das kann eine eigenständige PR Agentur sein oder aber Krisenkommunikationsexperten aus dem Netzwerk eines Cyberversicherers mit der entsprechenden Police.
Wer sollte informiert werden?
Die Interne Kommunikation bei einem Cyberangriff
Im Falle eines Cyberangriffs ist die schnelle Information der Mitarbeitenden entscheidend. Denn diese müssen im Zweifel dabei helfen, das Datenleck zu beheben, möchten aber auch wissen, wenn ihre eigenen Daten betroffen sein sollten. Das interne Kommunikationsteam sollte daher regelmäßige Updates bereitstellen und klar kommunizieren, welche Maßnahmen ergriffen werden, um den Angriff zu bewältigen. Hierbei ist Transparenz entscheidend, um Gerüchte und Unsicherheiten zu vermeiden und das Vertrauen innerhalb der Organisation zu erhalten.
Kommunikation mit Kunden und Unternehmenspartnern
Proaktive Kundenkommunikation ist hier essenziell. Kunden und Geschäftspartner erwarten zu Recht, über Sicherheitsvorfälle, die ihre Daten betreffen könnten, informiert zu werden. Und schlimmer, als von Ihrem Unternehmen davon zu erfahren, ist es, die Information von Dritten zu erhalten. Eine offene Kommunikation hilft, das Vertrauen zu stärken. Sie zeigt außerdem, dass das Unternehmen Verantwortung für die Sicherheit der ihm anvertrauten Daten übernimmt. Unternehmen sollten daher nicht zögern, ihre Stakeholder schnell und mit allen relevanten Informationen zu informieren.
Notfall-Kanäle für die Kommunikation bei einem Cyberangriff
Das E-Mail-System, über das Sie normalerweise mit Kunden und Partnern kommunizieren, funktioniert nach einem Cyberangriff nicht mehr? Damit eine solche Hürde Unternehmen nicht unvorbereitet trifft, sollten sie sich bereits vor dieser Notsituation breiter aufstellen. Welche alternativen Kommunikationskanäle können genutzt werden, um Mitarbeitende und Stakeholder auf dem Laufenden zu halten? Cloud-basierte Plattformen, die unabhängig von der eigenen IT sind und im Bedarfsfall schnell aktiviert werden können, sind eine gute Möglichkeit, um die Kommunikation in beide Richtungen zu gewährleisten. Für die Mitarbeitenden bietet sich zum Beispiel auch eine App oder die Kommunikation abseits der unternehmenseigenen Kanäle per E-Mail oder Telefon an. Hier sind auch analoge Kommunikationsmittel wie Meetings und Aushänge denkbar.
Medien sinnvoll nutzen
Die Medien spielen eine wichtige Rolle in der Krisenkommunikation. Durch regelmäßige Pressemitteilungen und die Bereitstellung von genauen Informationen können Unternehmen die öffentliche Wahrnehmung steuern und sicherstellen, dass die Fakten korrekt dargestellt werden.
Ein im besten Fall schon in der Vorbereitungsphase engagierter Kommunikationsexperte kann hier ebenfalls zum Einsatz kommen. Er oder sie oder gleich ein ganzes PR-Team kann während des Vorfalls als Ansprechpartner für die Medien dienen.
Umgang mit datenschutzrechtlichen Aspekten
Datenschutz ist besonders kritisch, wenn personenbezogene Daten durch einen Cyberangriff gefährdet sind. Unternehmen müssen sicherstellen, dass alle kommunikativen Maßnahmen den gesetzlichen Anforderungen entsprechen und dass sie betroffene Personen angemessen und rechtzeitig informieren. Da sie hier die Verantwortung tragen, können Geschäftsführer für datenschutzrechtliche Fehler wie für die unzureichende Absicherung gegen Cyberangriffe haftbar gemacht werden. Ist das Unternehmen international tätig, müssen Entscheider neben der DSGVO außerdem weitere Datenschutzverordnungen beachten. Im Fall einer Verletzung des Schutzes personenbezogener Daten gibt erstere zum Beispiel auch eine Berichtspflicht an die zuständigen Datenschutzbehörden vor.
Aus Fehlern lernen
Nach einem Cyberangriff sollten Unternehmen eine gründliche Nachbereitung durchführen. Hier können Lehren aus sämtlichen Vorkehrungen und Reaktionen gezogen werden, um anschließend gestärkt und noch besser vorbereitet aus der Krise hervorzugehen. Dies schließt die Bewertung der Kommunikationsanstrengungen ein und sollte in einem detaillierten Bericht zusammengetragen werden. Diesen sollte man dann nicht nur intern, sondern in angemessener Form auch extern kommunizieren. Das kann weiter Transparenz und Vertrauen fördern.
Fazit
Die Vorbereitung auf und die Kommunikation während einer Cyberattacke können überwältigend erscheinen. Unternehmen, die jedoch einen klaren und vorbereiteten Ansatz verfolgen, können nicht nur die direkten Auswirkungen eines Angriffs minimieren. Sie können außerdem langfristig ihr Ansehen und ihre Glaubwürdigkeit stärken.