Wenn der Notfall eintritt und Ihr Unternehmen Opfer eines Cyberangriffs geworden ist, überschlagen sich die To Dos. Neben technischen Maßnahmen ist in solchen Momenten vor allem eines entscheidend: eine klare, schnelle und durchdachte Krisenkommunikation. Denn wie Sie intern und extern auf einen Sicherheitsvorfall reagieren, beeinflusst maßgeblich das Vertrauen Ihrer Mitarbeitenden, Kunden und Partner.
Weitere kommunikative Herausforderungen sind die korrekte Einhaltung von Meldepflichten bei entsprechenden Stellen sowie die Reaktion auf Lösegeldforderungen bei Ransomware-Angriffen. Welche Rolle ein Krisenstab bei diesen Szenarien spielt und was Sie bei Ihrer Kommunikationsstrategie berücksichtigen sollten, erfahren Sie in diesem Artikel.
Gute Vorbereitung spart Zeit und Nerven
Ein Cybervorfall trifft Ihr Unternehmen unerwartet. Die Systeme fallen aus oder Daten sind verschlüsselt – und Ihre Kunden und Partner fordern Antworten. In dieser Situation entscheidet nicht nur die Technik über den Ausgang der Krise, sondern vor allem, wie gut Ihr Unternehmen kommuniziert – intern wie extern.
Wenn Sie in der Lage sind, schnell, transparent und zielgerichtet zu kommunizieren, können Sie Vertrauen erhalten, Schaden begrenzen und die Kontrolle über die Situation behalten. Um dies zu gewährleisten, ist eine detaillierte Vorbereitung entscheidend. Mit der richtigen Planung sparen Sie nicht nur Zeit, sondern vor allem wertvolle Ressourcen während des Krisenmodus. Die Vorbereitung sollte folgende Maßnahmen umfassen:
- Festlegung eines Krisenstabs bzw. ausgewählten Mitarbeitenden, die im Ernstfall für die Krisenkommunikation zuständig sind
- Kommunikationsstrategie definieren
- Erstellung von Textbausteinen und Textvorlagen für die interne und externe Kommunikation
- Festlegung der internen Prozesse und Zuständigkeiten
- Festhalten von Meldepflichten und Fristen
- Zeitpläne konkretisieren
- Notfallkontakte (intern und extern) bereitstellen
- Szenarien durchspielen und innerhalb des Teams verankern
- Strategie und Materialien online und offline abspeichern und relevanten Personen zur Verfügung stellen
Verantwortlichkeiten klar definieren
Bei dem Wort Krisenstab können vor allem kleine und mittlere Unternehmen oftmals nur müde schmunzeln. Mit begrenzten personellen Ressourcen sollte dieser wichtige Planungspunkt jedoch nicht ignoriert werden. Im Gegenteil: Je nach Unternehmensgröße sollten Sie sich intern Gedanken machen und festhalten, wer im Fall eines Cyberangriffs intern für den Bereich Kommunikation zuständig sein sollte. Vor allem kleinen und mittleren Betrieben hilft diese Planung dabei, im Ernstfall schnell agieren zu können und die Kapazitäten und Expertise im Team bestmöglich zu nutzen. Falls die internen Ressourcen dafür nicht ausreichen sollten, können Sie vorab passende Dienstleister in dem Bereich Krisenkommunikation recherchieren und sich die Kontakte vermerken oder erste Angebote einholen.
Sie benötigen im Ernstfall Unterstützung? Die CYBERsicher Notfallhilfe hilft Ihnen dabei, mit passenden und verfügbaren Dienstleistern in Kontakt zu treten. Neben technischer Soforthilfe sind auch Partnerkanzleien und Kommunikationsprofis auf unserer Plattform gelistet.
Struktur statt Stress: Zeitpläne und Vorlagen für den Notfall
Neben der Festlegung der Verantwortlichkeiten ist ein wichtiger Faktor bei der Vorbereitung einer Krisenkommunikation die Erstellung von Strategien, Zeitplänen und Vorlagen. Die investierten Ressourcen bei diesen Maßnahmen zahlen sich spätestens im Notfall aus. Auch während der Erstellung ergeben sich bereits Vorteile für Ihr Unternehmen. Schwachstellen in der Kommunikation, wie nicht aktuell gehaltene Kundenkommunikation oder Verteilerlisten, fallen während des Prozesses auf und bieten mit oder ohne Notfall die Möglichkeit aktualisiert zu werden.
Die kommunikative Vorbereitung für einen Cyberangriff sollte folgende Faktoren umfassen:
Überlegen Sie (bzw. Ihr Krisenstab) sich, welche Schritte im Fall einer Hackerattacke berücksichtigt werden müssen. Stellen Sie sich u.a. folgende Fragen: Wer sind die relevanten Stakeholder, die über den Vorfall informiert werden müssen? In welchem zeitlichen Intervall und über welche Kanäle wird kommuniziert? Wer gibt welche Freigaben für die Kommunikation? Wie agieren wir im Fall einer Lösegeldforderung?
Im Ernstfall scheint jede Maßnahme die größte Dringlichkeit zu haben. Um mit kühlem Kopf agieren zu können, sollten Sie vorab festlegen, welche Reihenfolge Sie in Ihrer Kommunikation einhalten wollen. Es ist beispielsweise empfehlenswert, nach dem Krisenstab die weiteren Mitarbeitenden transparent zu informieren und falls vorhanden Shareholder und/oder Investor:innen abzuholen. Im zweiten Schritt folgt dann die externe Kommunikation an Partner, Kund:innen, Dienstleister und Behörden.
Ein Cyberangriff legt in den meisten Fällen ganze Betriebssysteme lahm und verhindert den Zugriff auf die unternehmenseigene Technologie. Neben einer Kommunikation über digitale Kanäle (E-Mails, Chats, Microsoft Teams) sollten Sie auch einen Plan B vorbereiten und u.a. wichtige Telefonnummern vermerken.
Die Kommunikationsstrategie sollte auch eine klare Übersicht über die Verantwortlichkeiten im Krisenstab und im restlichen Unternehmen auflisten. Auch kurze Profile zu den Aufgabenbereichen sind hilfreich, um Klarheit im Unternehmen zu haben.
Die Vorarbeit sollte auch die Erarbeitung von Textbausteinen und Materialien umfassen. Kommunikation im Fall eines Cyberangriffs ist ein sehr sensibles Thema und sollte gut durchdacht werden. Nuancen können darüber entscheiden, wie Ihr Unternehmen bei Kunden oder Partnern sowie bei Ihren Mitarbeitenden wahrgenommen wird. Um ein souveränes und professionelles Auftreten zu gewährleisten, sollten Sie sich ausreichend Zeit nehmen, um u.a. E-Mails und Website-Texte vorzubereiten und abzustimmen.
Die Kommunikationsstrategie sollten Sie nicht nur digital abspeichern, sondern auch ausgedruckt an einem bestimmten Ort ablegen. Falls der Cyberangriff Ihr System lahmlegt, haben Sie weiterhin die Möglichkeit zu handeln und den Überblick über Ihre Kommunikation zu behalten.
Fristen und Pflichten beachten
Kommt es bei Ihnen im Unternehmen zu einem Cyberangriff, greifen in Deutschland klare gesetzliche Meldepflichten. Besonders relevant sind dabei die Datenschutz-Grundverordnung (DSGVO) und das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). So müssen Unternehmen, die personenbezogene Daten verarbeiten, eine Datenschutzverletzung unverzüglich – spätestens jedoch innerhalb von 72 Stunden – an die zuständige Datenschutzbehörde melden (Art. 33 DSGVO). Darüber hinaus kann bei erheblichen IT-Sicherheitsvorfällen auch eine Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erforderlich sein, insbesondere wenn das Unternehmen als Anbieter digitaler Dienste oder als Teil einer kritischen Infrastruktur eingestuft wird. Die Fristen sind dabei äußerst knapp bemessen, was eine gut vorbereitete Krisenkommunikation und klare interne Prozesse zur schnellen Vorfallbewertung und -meldung unerlässlich macht. Klären Sie vorab, welche Meldefristen auf Ihr Unternehmen zutreffen und wo Sie im Notfall reagieren müssen.
Kommunikation ist der Schlüssel zur Kontrolle
Ein Cyberangriff ist für jedes Unternehmen eine Ausnahmesituation – besonders für kleine und mittlere Betriebe mit begrenzten Ressourcen. Doch mit einer gut vorbereiteten und strukturierten Krisenkommunikation können Sie nicht nur den Schaden begrenzen, sondern auch Vertrauen bewahren und Ihre Handlungsfähigkeit sichern. Wer im Vorfeld klare Zuständigkeiten definiert, Kommunikationsstrategien plant und gesetzliche Pflichten kennt, ist im Ernstfall einen entscheidenden Schritt voraus.
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
