Gorodenkoff – shutterstock.com
Cyberangriffe fordern nicht nur CISOs in punkto Prävention und Krisenbewältigung heraus. Auch die Unternehmenskommunikation ist mit im Boot. Sie ist verantwortlich für den Krisenkommunikationsplan, den sie mit dem CISO entwickelt und bei Cybersicherheitsvorfällen umsetzt.
Eine gute Krisenprävention hat aus der Perspektive der Kommunikation drei Elemente und beginnt nicht erst dann, wenn die Krise eingetreten ist. Die folgenden Maßnahmen sollten grundsätzlich Teil der Unternehmenskommunikation (UK) sein.
- Ein Krisenkommunikationsplan bereitet das Unternehmen optimal auf alle möglichen Krisenszenarien vor. Dazu zählen klare Verhaltens- und Kommunikationsregeln, vorbereitete Inhalte und sichere Kommunikationskanäle und -instrumente.
- Ein Internet-Monitoring zeigt an, wie die Krise in Sozialen Netzwerken und Medien wahrgenommen wird. Reputationsschädigende Veröffentlichungen können frühzeitig entdeckt und Gegenmaßnahmen eingeleitet werden.
- Eine gute Kommunikationsarbeit im Tagesgeschäft schafft etablierte Kontakte zu Meinungsführern. Auf gute Beziehungen und starkes Standing kann man in der Krise aufsetzen.
Konsistente Aussagen nach außen
Um eine konsistente Kommunikation und im Krisenfall eine schnelle Reaktion auf alle Herausforderungen zu garantieren, ist eine klare kommunikative Verantwortungsstruktur unbedingt notwendig. Während die Gesamtverantwortung für korrektes unternehmerisches Handeln in der Krise bei der Geschäftsführung liegt, muss die Verantwortung für die Krisenkommunikation in der Abteilung Unternehmenskommunikation angesiedelt werden.
Notfallstäbe treten zusammen
Im Krisenkommunikations-Notfallstab (KKN) sollten nur aktiv an Kommunikationsentscheidungen beteiligte Verantwortliche teilnehmen. Dieses Gremium wird nicht nach hierarchischen Gesichtspunkten besetzt.
Parallel etabliert sich der erweiterte Krisenkommunikations-Notfallstab (eKKN). Ihm gehören Mitglieder aller Unternehmensbereiche an. Aufgabe des eKKN ist es, die Gesamtorganisation über den Stand der Dinge zu informieren.
Leitung des Krisenstabs
Neben der Krisenkommunikation geht es im konkreten Handeln, um die Krise zu lösen, vor allen Dingen um die Koordination technischer Maßnahmen. Im Falle einer Cyberattacke liegt die Verantwortung bei der IT-Abteilung. Deshalb führen ein Mitglied aus der Unternehmenskommunikation und ein Mitglied aus der IT gemeinsam den KKN.
Zu den Aufgaben des KKN gehört es, die Kommunikationsmaßnahmen auszurollen und die externe Berichterstattung zu beobachten. Der Krisenstab entscheidet auch darüber, Maßnahmen und Inhalte anzupassen.
Von der Theorie in die Praxis
Die Planung der Krisenkommunikation umfasst viele praktische Aspekte. Dazu gehört zum Beispiel, zu definieren, in welchem Raum Live-Sitzungen des Krisenstabs stattfinden können und wie Online-Meetings abgehalten werden.
Dabei muss für den Fall einer Cyberkrise immer mit bedacht werden, dass gegebenenfalls Kommunikationstools wie E-Mail, Chat und Festnetz- beziehungsweise IP-Telefonie nicht verfügbar sind.
Notfall-Infrastruktur frühzeitig aufbauen
Es muss auch damit gerechnet werden, dass das IT-Netz nicht zugänglich ist oder aus Sicherheitsgründen abgeschaltet werden muss. Sämtliche vorbereitete Dokumente und Kontaktlisten des Krisenstabs müssen deshalb zwingend auch ohne Zugang zum internen IT-Netz erreichbar sein.
Dabei müssen für die Teammitglieder E-Mail-Accounts genutzt werden, die unabhängig von der Unternehmens-IT funktionieren. Die UK-Leitung muss bei der Erstellung dieser alternativen Kommunikations-Infrastruktur für Krisenfälle unbedingt auf Datenschutz- und Datensicherheit achten.
Licht ins Dunkel mit der Darksite
Wo sollten Betriebe mit der ersten Notfall-Kommunikation anfangen? Gehen wir von der Situation aus, dass die IT nicht mehr funktioniert und auch die Webseite nicht mehr erreichbar ist. Dann wird eine Darksite online geschaltet.
Die Darksite ist eine vorbereitete Internet-Seite mit den wichtigsten Informationen für Kunden, Partner und Öffentlichkeit im Krisenfall. Die Web-Adresse der Homepage wird über den Provider auf diese Darksite gelenkt.
Laufende Information stärkt das Vertrauen
Auf der Darksite können laufend aktuelle Informationen zur Krise und zur Krisenbewältigung veröffentlicht werden sowie Kontaktadressen für Betroffene, Medien und Partner. Bereits im Vorfeld muss geklärt sein, wer im KKN für die Redaktion der Darksite verantwortlich ist.
Das Vorhalten einer Darksite ist unbedingt zu empfehlen, da die Webseite ein attraktives Ziel für Cyberkriminelle ist. Sie beweisen damit den Erfolg ihrer Attacke.
Mehrstufige Kommunikation
Entscheidend für eine gute Außenkommunikation ist, dass Medien und Nutzer Sozialer Netzwerke aus einer Hand informiert werden. Deshalb muss geklärt sein, dass ausschließlich definierte Mitarbeiterinnen und Mitarbeiter der Unternehmenskommunikation mit Erfahrung in der Öffentlichkeitsarbeit Stellungnahmen gegenüber den Medien abgeben.
Alle Abteilungen müssen darüber informiert sein, wer Ansprechpartner für Medien ist. Die Pressearbeit in der Krise erfolgt grundsätzlich mehrstufig.
Stellungnahme bereithalten
Sofort bei Ausbruch der Krise muss ein vorbereitetes Statement bereitgestellt werden, das auf Anfrage herausgegeben werden kann. Dieses Statement kann noch keine Details zum Vorfall selbst enthalten, muss aber die Bereitschaft zur offenen Kommunikation erklären.
Da die meisten Cybervorfälle nach dem gleichen Muster ablaufen, können die Dokumente gut vorbereitet werden. Je konkreter das Ausmaß der Krise intern bekannt ist, desto konkreter kann die erste Stellungnahme formuliert werden.
Erste aktive Erklärung
Sobald Ursache und Ausmaß der Krise benannt werden, erfolgt eine aktive Information mit Kernaussagen. Da die häufigsten Formen von Cyberangriffen bekannt sind, kann auch diese Pressemitteilung vorbereitet werden.
Gegebenenfalls können noch ergänzende Aussagen hinzugefügt werden, die für das Verständnis des Vorfalls wichtig sind beziehungsweise die Reputation schützen oder zusätzliche Informationen für Betroffene beinhalten.
Alternative Tools für Pressearbeit
Bei der aktiven Kommunikation ist zu beachten, dass interne Systeme, etwa Listen mit Medienkontakten oder Tools für den Versand von Presseinfos nicht mehr zur Verfügung stehen. Cloud-Lösungen können hier Abhilfe schaffen und lassen sich meist auch im Tagesgeschäft nutzen.
Die wichtigsten Daten, zum Beispiel private E-Mail-Adressen und Mobilfunk-Nummern der Mitglieder der Krisenstäbe sowie der wichtigsten externen Notfallpartner, sollten aber immer auch auf dem sichersten Medium der Welt gespeichert werden: auf Papier!
Laufende Information gemäß Kenntnisstand
Eine zweite Pressemitteilung folgt zeitnah mit ergänzenden Informationen zum Vorfall und mit einer Erläuterung der Anti-Krisenstrategie sowie Hinweisen für Betroffene. Je nach Krisenverlauf folgen weitere Pressemitteilungen.
Die optionale vierte Phase kann kommunikativ grundsätzlich genutzt werden, um Vertrauen aufzubauen: Geschäftsführende und Mitglieder des Expertenteams können gemeinsam darüber berichten, welche Wege zur erfolgreichen Bewältigung der Krise geführt haben.
Das Kommunikationshandbuch – Nachschlagwerk für die Krise
Das Krisenkommunikationshandbuch ist Teil des Notfallhandbuchs. Das Notfallhandbuch deckt alle Aspekte der Krisenbewältigung ab. Es kann für jede potenziell von einer Krise betroffene Fachabteilung mit einem entsprechenden Kapitel ergänzt werden. Zusätzlich sollte das Notfallhandbuch weitere Unterlagen umfassen, die eher dem allgemeinen Krisenmanagement einer Organisation zuzuordnen sind.
Das Krisenkommunikationshandbuch umfasst zum Beispiel folgende Elemente:
- Definition einer Krise
- Definition von Zuständigkeiten
- Mitgliedslisten der Krisenstäbe mit allen Kontaktdaten inklusive privater E-Mail-Adressen und privater Telefonnummern
- Beschreibung der Aufgaben der Gremien
- Definition der Prozesse
- Definition aller in der Krise genutzten Kommunikationskanäle (mit Zielgruppenzuordnung)
- Definition aller Kommunikationsinstrumente in der Krise
- Definition der Sprecher-Rollen
- Ablaufdiagramme (vom Feststellen der Krise bis zur Beendigung der Krise)
- Beschreibung der Kommunikationskultur
- Vorformulierte Dokumente
Ratgeber und Vorlagen von staatlicher Seite
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt schon lange die Erstellung eines Notfallhandbuchs und gibt auch konkrete Tipps, was so ein Handbuch alles enthalten sollte. Hilfreich ist auch der „Leitfaden Krisenkommunikation“ (PDF), den das Bundesministerium des Innern herausgegeben hat.
Die Krisenkommunikation sollte immer ein Teil eines Notfallhandbuch sein. Es hilft auch nichts, wenn ein Unternehmen technisch gerettet ist, aber die Kunden und Partner mangels Kommunikation weglaufen. Erfahrungsgemäß muss ein Handbuch zur Krisenkommunikation immer in einem Prozess mit Geschäftsführung, Kommunikationsabteilung, IT-Abteilung, Sicherheits-Experten und betroffenen Fachabteilungen eines Unternehmens erarbeitet werden.
Alle Jahre wieder – der Praxistest
Wie eine Brandschutzübung wird auch die Krisenkommunikation, die durch eine Cyberattacke ausgelöst wurde, jährlich geübt. Sie beginnt mit der Ausrufung der Krise bis zum Abschlussbericht. Damit wird überprüft, ob Maßnahmen funktionieren, Gremien arbeitsfähig sind, die Prozesse wie gewünscht ablaufen und die Vorlagen tauglich sind.(jm)
Lesetipp: So geht Tabletop Exercise