Im Ernstfall gilt: Alles, was ein Unternehmen kommuniziert, muss wahr sein – aber nicht alles, was wahr ist, muss kommuniziert werden. Insofern unterscheidet sich die Kommunikation nach einer Cyberattacke kaum von der Kommunikation anderer Krisen. «Bei einem Cybervorfall soll man gut prüfen und abwägen, inwieweit man kommuniziert – dies gilt vor allem, wenn die Cyberkriminellen ein Unternehmen oder Personen erpressen», betont Bettina Zimmermann, CEO und Mitinhaberin der auf Krisenmanagement spezialisierten GU Sicherheit. In diesem Fall rät sie vor allem dazu, nicht selbst mit den Erpressern zu verhandeln, sondern Cyberspezialisten hinzuzuziehen.
Dieser Artikel ist Teil der Market Opinion «Cyber-Angriffen mit Prävention begegnen», die in Zusammenarbeit mit der Baloise realisiert wurde.
Zuerst analysieren, dann kommunizieren
Kommt es zu einem Cyberangriff, müssen also nicht nur die IT-Sicherheitssysteme umfassend greifen, sondern auch die Kommunikation. «Sich bedeckt zu halten, kann Vertrauen nachhaltig schädigen, besonders wenn Kunden und Mitarbeitende zuerst aus den Medien von einem Vorfall erfahren.» Apropos Medien: Gegenüber diesen gilt es abzuwägen, ob man als Unternehmen rein reaktiv bleibt oder proaktiv nach aussen geht. «Entscheidend dafür ist die Schwere des Ereignisses.»
Weil ein gross angelegter Cyberangriff das Unternehmen in eine Ausnahmesituation bringt, ist es ratsam, möglichst schnell professionelle Unterstützung an Bord zu holen und den Schaden gründlich zu analysieren. «In dieser frühen Phase kann überstürzte Kommunikation mehr Schaden als Nutzen anrichten», konstatiert Bettina Zimmermann.
Fakten schaffen Vertrauen
Tatsache ist: Eine offene und regelmässige Kommunikation wirkt gegen innen und gegen aussen vertrauensbildend. Sie sollte faktenbasiert sein, gut abgestimmt und zentral gesteuert werden. Gemäss Bettina Zimmermann gilt es zuerst zu prüfen, ob sensible Daten und welche Systeme betroffen sind und ob interne und externe Kommunikationskanäle wie E-Mail, Intranet, Website oder Telefone noch funktionieren. Zudem muss eruiert werden, welche Systeme noch sicher nutzbar sind und ob die Mitarbeitenden damit noch arbeiten können. Auch die Frage, ob Kunden- oder Lieferantendaten betroffen sind sowie der Zeitpunkt der voraussichtlichen Systemherstellung sind zentrale Punkte und müssen berücksichtigt sein.
Was wann und wie kommuniziert wird, hängt also eng von den Erkenntnissen der technischen Spezialisten ab. Im Idealfall verfügt das Unternehmen über einen Krisenstab, in dem auch eine für die Kommunikation verantwortliche Person sitzt. «Auf jeden Fall muss dieser Stab auf das Unternehmen massgeschneidert sein, jemanden von der Geschäftsleitung beinhalten, und bei Bedarf können externe Fachspezialisten beigezogen werden.»
Gestärkt aus der Krise hervorgehen
Ist der Angriff dereinst abgewehrt und der Schaden behoben, ist die Kommunikation noch nicht zu Ende. Informationen zu zusätzlichen Sicherheitsmassnahmen müssen nicht nur im Unternehmen, sondern allenfalls auch bei Kunden und anderen Stakeholdern platziert werden. Und wie nach jeder Krise sollte man sich Zeit nehmen für eine gründliche Nachbearbeitung. Allenfalls gilt es, Abläufe anzupassen und Verantwortlichkeiten neu zu definieren. Denn gerade bei Cyberattacken gilt: Nach der Krise ist vor der Krise.
Lesen Sie auch