Die Priorität einer guten Krisenkommunikation gilt in erster Linie für den Vorstand und die gesamte Organisation, aber auch für den Aufsichtsrat im Besonderen, der sich – zumindest im Prüfungsausschuss – immer wieder fragen muss, inwieweit er im Hinblick auf Cyberangriffe gut aufgestellt ist, wenn es um Risikomanagement und Kontrollsysteme geht.
Das bedeutet auch, dass der Aufsichtsrat die Gewissheit hat, dass er nicht auf das Schlimmste warten muss, um zu reagieren, sondern bereit ist, wenn nötig zu handeln. Sowohl das Handeln des Vorstandes als auch die Überwachung des Aufsichtsrates müssen sich an den folgenden 12 Grundprinzipien orientieren:
- Für Ausnahmefälle planen
Interdisziplinäre Krisenteams zusammenstellen. IT, Recht, Datenschutz, Vertrieb, Finanzen, Produktion, Logistik: Im Falle eines Vorfalls sind alle Bereiche betroffen. Es ist ratsam, deinen Krisenplan zu nutzen und ihn bei Bedarf anzupassen. Entscheidet frühzeitig, wer im Falle eines Ereignisses helfen kann. Das gilt auch und gerade für die Kommunikation.
Wissen und Erfahrung sind gefragt, aber auch Manpower. Simulation der möglichen Szenarien und Erarbeitung von Sprachregelungen. Natürlich ist jede Krise anders, aber in Stresssituationen nicht bei null anfangen zu müssen, spart Zeit und Nerven.
2. Üben, üben, üben
Am besten mit Experten, die über Angriffe nicht nur gelesen, sondern sich auch erlebt haben. Dabei sollten interne wie externe Experten zusammen agieren und voneinander lernen. Jedes Unternehmen hat eigene Systeme, Schwachstellen, Lösungen, die es zu erlernen und zu kennen gilt.
3. Kommunikation ist Kerndisziplin
Es hilft niemandem, wenn die Kommunikationsexperten aus falsch verstandener Rücksichtnahme erst dann über das Problem informiert werden, wenn es sich nicht mehr vermeiden lässt. Kommunikation gehört an den Tisch, an dem entschieden wird, von Anfang an. Als elementarer Bestandteil der Krisenorganisation erhält sie die notwendigen Informationen im War-Room aus erster Hand.
4. Die Prinzipien der Krisenkommunikation anwenden
Ein Cyberangriff ist eine unternehmerische Ausnahmensituation. Mit zunehmender Häufung verlieren sie zwar das Skandalisierungspotenzial. Man wird heute nicht mehr dafür kritisiert, angegriffen zu werden. Sondern dafür, Daten nicht gewissenhaft geschützt zu haben oder mit der Krise unprofessionell umgegangen zu sein.
Aber genau das wird durch mangelhafte Kommunikation sichtbar. Dabei gilt: nur gesicherte Erkenntnisse kommunizieren. Nichts ausschließen, was noch nicht ausgeschlossen werden kann. Und Empathie zeigen für die Betroffenen – seien es Mitarbeitende, die Sonderschichten einlegen müssen oder Kundinnen und Kunden, deren Daten vielleicht öffentlich werden.
5. Monitoring für schnelles Handeln und Social Media “beherrschen”
Du solltest wissen, was über dein Unternehmen berichtet und gesprochen wird. Damit du schnell und angemessen reagieren kannst. Das gilt für Posts auf Sozialen Medien ebenso wie für Berichterstattung in klassischen Medien. Wer es schafft, vor die Welle zu kommen, behält die Deutungshoheit.
6. Alternative Kommunikationsstrukturen etablieren
Stell dich darauf ein, dass du deine üblichen Kommunikationskanäle nicht nutzen kannst. Keine Arbeits-E-Mails, keine TEAMS, kein Intranet, kein Firmen-WLAN.
Daher ist es wichtig, sich folgende Fragen zu stellen: Aber wie werden die Teams miteinander kommunizieren und wie werden die Informationen die Mitarbeiter erreichen? Sind private E-Mail-Adressen gespeichert? Können Messaging-Dienste genutzt werden? Sind Kommunikationsketten definiert, ob per Telefon, E-Mail, Messaging oder was auch immer? Ist deine Krisenplanung physisch oder auf einem separaten Computer verfügbar? Kannst du auf ein Callcenter zugreifen, um Kundenanfragen zu bearbeiten? Diese Fragen sollten in deine Szenario-Planung einbezogen werden.
7. Interne Kommunikation als Schlüsselfaktor
Sorg dafür, dass deine Mitarbeiter zum Handeln bereit sind. Dass sie wissen, was sie deinen Kunden sagen können. Sicherzustellen, dass sie wissen, woran gearbeitet wird und wann mit Ergebnissen gerechnet werden kann. Die Sichtbarkeit der Unternehmensergebnisse hat sich auch in diesem Fall bewährt. In einer solchen Ausnahmesituation müssen die Chefs auf der Brücke sein.
Der Ton von oben ist wichtig. Dafür sind Formate und Anlässe zu schaffen. In solchen Situationen kann man nicht zu viel kommunizieren. Aber auch deutlich machen, wie wichtig Konsistenz für den Erfolg ist. Denn eine Kakophonie der Botschaften innerhalb der Organisation wäre für die Außendarstellung verheerend.
8. Aktiv und transparent nach außen kommunizieren
Es gilt: Was rauskommen kann, kommt raus. Wer den Stier kommunikativ bei den Hörnern packt, behält die Deutungshoheit. Deswegen ist es ratsam, die Voraussetzungen dafür zu schaffen. Informiere deine Kunden auf der Website. Sprich mit einem Journalisten, dem du vertraust, und erkläre die Abläufe.
Zeige auf, woran gearbeitet wird und welche Lösungen verwendet werden. Gib nicht voreilig grünes Licht. Wenn möglich, sag, wann mit neuen Erkenntnissen zu rechnen ist. Reagiere auf andere Kunden, Mitarbeiter und Medien auf die gleiche Weise: sachlich, ruhig und lösungsorientiert.
9. Eine Attacke darf nicht überraschen
Es ist immer wieder erstaunlich, wie sehr Unternehmen von einer Cyberattacke immer noch überrascht werden. Dabei wird die Liste derer, die betroffen sind, täglich länger. Bei aller Vorbereitung in der Umsetzung und damit dem Doing in dem Fall, dass man Opfer einer Attacke wird: Man sollte sich auch vorab darüber im Klaren sein, wie man auf mögliche Forderungen der Angreifer reagiert – wenn diese dann konkret formuliert werden.
Es geht eben darum, bestmöglich auf alles vorbereitet zu sein. Allein durch die Schaffung des Bewusstseins, dass jeder und eben auch das jeweilige Unternehmen jederzeit mit einer Attacke konfrontiert sein kann, wird sich bereits in den betroffenen Abteilungen und in den Köpfen der Mitarbeiterinnen und Mitarbeiter eine Veränderung einstellen, die das Unternehmen resilienter aufstellt und das Schutzniveau unmittelbar merklich erhöht.
10. Krisenvorbereitung gehört regelmäßig auf die Tagesordnung
Heute gehört das Thema Cyberattacken und Cyberkriminalität definitiv in jedes Risikokontroll – und Risikomanagement System integriert. Und es gehört ausdrücklich und regelmäßig auf die Tagesordnung – nicht nur untergeordnet als ein Spiegelstrich von vielen Aspekten. Hier ist der Aufsichtsrat und sind insbesondere die Prüfungsausschüsse ausdrücklich aufgefordert, das Thema auf die Agenda zu bringen und eingehend zu erörtern.
Penetrationstests und die Prüfung mithilfe externer Dienstleister können von großer Bedeutung sein, um Schwachstellen im System zu erkennen. Bereits aus Haftungsgründen müssen solche Tests durchgeführt werden und die Erkenntnisse daraus zur Verbesserung dieses Themas führen. Mitarbeitende müssen vorab geschult und sensibilisiert werden – um mögliche Einfallstore gar nicht entstehen zu lassen.
11. Zugriffsrechte als potenzielle Gefahrenstelle
Dazu gehört auch die Frage, ob die in der Vergangenheit erteilten Zugriffsrechte der Mitarbeiterinnen und Mitarbeiter sowie externer Partner neu strukturiert und damit angepasst werden müssen. Je weniger Zugriff möglich ist, umso besser ist ein System geschützt. Gerade beim letztgenannten Aspekt ist in vielen Unternehmen über die Jahre hinweg ein Geflecht entstanden, was regelmäßig überprüft und laufend zurückgeschnitten gehört. Weniger ist auch in diesem Fall mehr.
12. Sichern von Kapazität und Kompetenz
Nicht zu unterschätzen ist die bereits oben in der Checkliste angeführte Frage nach der Verfügbarkeit von externen Kapazitäten, wenn einen eine Attacke ereilt. Je nachdem, wie sensibel das Geschäftsmodell und die Abläufe in den Unternehmen auf (erfolgreiche) Angriffe reagieren können, gilt es, Kompetenzen zu sichern – und das eben in ruhigen Zeiten, selbst wenn dies mit teils merklichen Kosten verbunden ist.
Fazit
Jede Krise, auch jeder Cyberangriff ist anders. Auf der Range zwischen ausgefallenen Kommunikationskanälen über den Ausfall von Kassen oder Warenwirtschaftssystemen bis hin zum Produktionsstillstand ist alles möglich. Wie schwer der Fall auch ist – die Grundprinzipien der Kommunikation und des Miteinander sind dieselben. Wer zuvor einen Plan entwickelt hat, kann direkt reagieren und vor allem agieren. Ein unschätzbarer Wert in der Krise.