Ein Krisenkommunikationsplan ist die Rettungsgasse auf der Cyber-Autobahn
Sie kennen die Situation: Stau auf der Autobahn. Irgendwo da vorne hat es gekracht. Und eigentlich sollten alle Fahrzeuge eine Rettungsgasse für den Notarzt, die Feuerwehr und die Polizei freihalten. Unfälle gibt es immer wieder. Das ist unvermeidbar. Aber man kann sich vorbereiten. Und wenn alle zusammenhelfen, lassen sich die schlimmsten Auswirkungen oft vermeiden. Eine Rettungsgasse zu bilden, ist gar nicht so schwierig. Und trotzdem versperren allzu häufig gedankenlose Pkw- und Lkw-Fahrer die rettende Spur. Wenn der Verkehr erstmal steht, ist es für komplizierte Rangiermanöver häufig zu spät. Vorausschauende Fahrer steuern ihr Fahrzeug schon vorsichtig zur Seite, wenn sich der Stau ankündigt. Sie sind vorbereitet. Warum ich Ihnen das erzähle? Weil es mit Cybercrime-Attacken ganz genau so ist: Man kann sie nicht zuverlässig verhindern, aber man kann sich vorbereiten und so das Schlimmste verhindern. Kurz: Ein Krisenkommunikationsplan ist die Rettungsgasse auf der Cyber-Autobahn.
Cyberangriffe können jeden treffen – und sie treffen jeden
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich die Anzahl der Cyberangriffe auf deutsche Unternehmen in den vergangenen Jahren dramatisch erhöht:
Während 2015 noch etwa 30 Prozent der Unternehmen von solchen Angriffen berichteten, stieg diese Zahl bis 2020 auf über 60 Prozent. Der durch Cyberangriffe verursachte Schaden betrug in Deutschland im Jahr 2020 nach Angaben des Branchenverbands Bitkom rund 223 Milliarden Euro. Laut einer Studie des Center for Strategic and International Studies (CSIS) belaufen sich die Gesamtkosten der Cyberkriminalität weltweit auf über eintausend Milliarden US-Dollar pro Jahr. Diese Kosten setzen sich aus direkten finanziellen Verlusten, entgangenen Einnahmen, Kosten für IT-Sicherheit und Schadensbegrenzung sowie aus langfristigen Auswirkungen wie Reputationsschäden und Marktwertverlusten zusammen.
Ransomeware, Phishing und Social Engineering sind die gängigen Angriffsformen
Bis ca. 2015 waren die häufigsten Angriffsvektoren klassische Formen von Malware wie Viren und Würmer sowie gezielte Denial-of-Service-Attacken (DoS), die darauf abzielten, die Verfügbarkeit von Webseiten und Online-Diensten zu stören. Phishing-Angriffe, bei denen Betrüger versuchten, sensible Informationen wie Passwörter und Kreditkartendaten zu stehlen, waren ebenfalls weit verbreitet, jedoch meist weniger raffiniert und oft leicht zu erkennen.
Mit dem exponentiellen Wachstum des Internet der Dinge (IoT) und dem BYOD-Trend („Bring your own Device“) haben sich nach 2015 neue Angriffsflächen eröffnet, da immer mehr Alltagsgeräte mit dem Internet verbunden sind. Diese Geräte sind oft schlecht gesichert und bieten Hackern leichte Einfallstore. Künstliche Intelligenz (KI) und maschinelles Lernen haben ebenfalls einen erheblichen Einfluss gehabt, sowohl auf der Seite der Verteidigung als auch der Angreifer. Während Sicherheitssoftware durch KI-basierte Algorithmen inzwischen in der Lage ist, Bedrohungen schneller zu erkennen und darauf zu reagieren, nutzen Hacker dieselben Technologien, um ausgeklügelte und schwer zu entdeckende Angriffe zu entwickeln.
So haben sich seit 2015 die Angriffsvektoren im Bereich der Cyberkriminalität in Deutschland erheblich weiterentwickelt und diversifiziert, wobei insbesondere Ransomware, Phishing und Social Engineering an Bedeutung gewonnen haben. Ransomware-Attacken, bei denen Schadsoftware eingesetzt wird, um Systeme zu verschlüsseln und erst nach Zahlung eines Lösegelds wieder freizugeben, haben eine alarmierende Zunahme verzeichnet. Solche Angriffe zielen nicht nur auf Privatpersonen, sondern vor allem auf Unternehmen und öffentliche Einrichtungen.
Durch täuschend echt wirkende E-Mails oder Webseiten versuchen Angreifer, an sensible Daten wie Passwörter oder Kreditkarteninformationen zu gelangen. Diese Techniken werden oft durch Social Engineering ergänzt, bei dem menschliche Schwachstellen ausgenutzt werden. Hierbei manipulieren Hacker gezielt das Verhalten von Personen, um unbefugt Zugang zu vertraulichen Informationen oder Systemen zu erhalten. Diese neuen Angriffsvektoren erfordern nicht nur technische Schutzmaßnahmen, sondern auch ein erhöhtes Bewusstsein und Schulungen der Nutzer, um die menschliche Komponente als Sicherheitsrisiko zu minimieren.
Mittelstand, Behörden und Hochschulen rücken in den Fokus der Cyber-Kriminellen
Gleichzeitig hat sich ein bemerkenswerter Wandel in den Zielen von Hackerangriffen in Deutschland vollzogen. Während die erste Welle der Hacker-Kriminalität noch stark auf Privatpersonen ausgerichtet war, fokussierten sich die Cyber-Kriminellen in der zweiten Welle vor allem auf Großunternehmen. Dort schien am meisten Geld zu holen. Während die Angriffe auf Großunternehmen in den letzten Jahren leicht rückläufig waren, konzentrierten sich cyberkriminelle Banden zuletzt immer stärker auf mittelständische Unternehmen, Behörden und wissenschaftliche Einrichtungen. Die Angreifer nutzen Schwachstellen in diesen Zielgruppen aus, um nicht nur finanziellen Gewinn zu erzielen, sondern auch geopolitische Ziele zu verfolgen oder Industriespionage zu betreiben.
Wie schützt man sich am besten vor Cyber-Angriffen?
Wie schon zu Beginn dieses Beitrags angedeutet: Einen 100-prozentigen Schutz gibt es nicht. Aber natürlich kann man eine Menge tun und man muss es den Angreifern nicht gar so einfach machen. Dabei geht es sowohl um technische als auch um organisatorische Maßnahmen. Zu letzteren gehört natürlich eine laufende Fortbildung der Mitarbeitenden. Sie sind das wichtigste Einfallstor für Angreifer. Deshalb steht ein Training gegen Phishing immer am Anfang einer Cyber-Sicherheitsstrategie. Hierfür gibt es viele Ansätze. Die besten integrieren die „Lerneinheiten“ mehr oder weniger in die täglichen Arbeitsprozesse der Mitarbeitenden. Schauen Sie sich doch mal als Beispiel die „Trainingsreihe Phishing“ unseres Partners G-DATA an, ein Projekt, das u. a. vom eLearning Journal 2023 ausgezeichnet wurde: In der „Trainingsreihe tauchen Ihre Mitarbeitenden ab in den Strudel des Phishing. Dabei durchqueren sie die Untiefen des Ozeans, Riffe, Höhlen und Häfen – alles mit dem Ziel, Phishing-Angreifern auf die Schliche zu kommen. So spannend kann Lernen sein.“ Ein guter Ansatz.
Auch Tipps für den sicheren Ausbau der technischen Infrastruktur finden Sie bei G-DATA. Diese finden Sie aber natürlich auch herstellerübergreifend beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein guter erster Einstieg sind vielleicht die Top-10-Ransomware-Maßnahmen.
Aber nochmal: Früher oder später wird es trotz aller Vorbeugemaßnahmen sehr wahrscheinlich auch Sie treffen: Cyber-Kriminelle nehmen Ihr Unternehmen ins Visier und kapern Ihre IT-Infrastruktur – mit mehr oder weniger großem Erfolg. Und genau auf diese Situation sollten Sie sich vorbereiten: Mit einer kommunikativen Rettungsgasse, durch die Ihre Kommunikations-Experten Ihr Unternehmen, Ihre Behörde oder Ihre Hochschule hindurchnavigieren können.
Krisenprävention ist eine Versicherungsleistung der Unternehmenskommunikation, nicht weniger wichtig als ein professioneller technischer Schutz vor Einbrechern oder Cyberkriminellen.
Der Krisenkommunikationsplan: seine Ziele und seine Bestandteile
Eigentlich soll ein Krisenkommunikationsplan ein Unternehmen – oder eine Behörde oder Hochschule – nicht nur auf einen Cyberangriff vorbereiten, sondern auf jede denkbare Krise, also auch auf eine politische Krise, eine Erpressung, einen Großbrand oder was auch immer. Ich will mich im Folgenden aber auf das Krisenszenario „Cyberangriff“ konzentrieren. Dass die meisten Mechanismen auch auf andere Szenarien übertragbar sind, merken Sie schon selbst.
Ein Krisenkommunikationsplan bereitet das Unternehmen auf alle möglichen Krisenszenarien optimal vor:
- mit klaren Verhaltens- und Kommunikationsregeln,
- vorbereiteten Inhalten
- und sicheren Kommunikationskanälen und -instrumenten.
Dazu werden zahlreiche Dokumente verfasst und in einem Handbuch zusammengefasst. Dieses Handbuch wird fortlaufend in der Kommunikationsabteilung des Unternehmens gepflegt.
Klare Zuständigkeiten sind in der Krise entscheidend: die Krisen-Notfallstäbe
Um eine konsistente Kommunikation und im Krisenfall eine schnelle Reaktion auf alle Herausforderungen zu garantieren, ist eine klare und kompetente kommunikative Verantwortungsstruktur erforderlich. Während die Gesamtverantwortung für korrektes unternehmerisches Handeln in der Krise bei der Geschäftsführung liegt, muss die Verantwortung für die Krisenkommunikation in der Abteilung Unternehmenskommunikation angesiedelt werden.
Die genaue Struktur der Organisation muss auf die jeweilige Unternehmensstruktur Rücksicht nehmen. Häufig hat sich dabei eine dreiteilige Struktur für die Krisenstäbe als zielführend erwiesen:
Neben der Krisenkommunikation geht es im konkreten Handeln vor allen Dingen um die Koordination technischer Maßnahmen. Hier liegt die Verantwortung bei der IT-Abteilung. Deshalb führen ein Mitglied aus der Unternehmenskommunikation und ein Mitglied aus der IT gemeinsam den Krisenkommunikations-Notfallstab (KKN).
Im Krisenfall übernimmt der Krisenkommunikations-Notfallstab u. a. folgende Aufgaben:
- Recherche und Erfüllung von – politischen und rechtlichen – Informationspflichten
- Entscheidung über Reputationsstrategien
- Aufbereitung von kommunikativen Inhalten und Durchführung von kommunikativen Maßnahmen
Der KKN wird nicht nach hierarchischen Gesichtspunkten besetzt. Es handelt sich um einen Expertenrat. Ich habe als externer Krisenmanager nicht selten erlebt, dass die Besetzung auf interne Widerstände vor allem in der Geschäftsführung von Unternehmen stößt. Aber gute Krisenkommunikationsmanager sind nicht identisch mit guten Business-Managern für den Normalbetrieb.
Der erweiterte Krisenkommunikations-Notfallstab ist vor allem eine Informationsplattform. Hier sitzen Repräsentanten aller betroffenen Geschäftsbereiche zusammen. Wichtig: Hier fließt die Information nicht nur vom KKN in die Bereiche, sondern auch aus den Bereichen zum KKN.
Im Technical Incident Management Team sitzen die mit dem Krisenmanagement betrauten IT-Experten. In der Regel wird es sich dabei um interne Mitarbeitende der IT-Abteilung, ergänzt um externe Fachleute, handeln. Wir haben hier in vielen Fällen mit den erfahrenen Profis von G-DATA kooperiert.
Typische Elemente eines Krisenkommunikationsplans
Erst einmal muss die Infrastruktur für die Krisenstäbe geschaffen werden. Nach einem Cyberangriff wird ja mit großer Wahrscheinlichkeit auch der Mailverkehr und das IP-gestützte Telefonnetz des Unternehmens ausfallen, ebenso die Website und überhaupt die ganze kommunikative Infrastruktur. Ich habe schon erlebt, dass sogar die Türen zu Meetingräumen plötzlich verschlossen waren: Das Schließsystem hing an der zentralen IT und war nach einem Cyber-Angriff blockiert.
Der Krisenkommunikationsplan definiert also physikalische und virtuelle Meetingräume für die Krisenstäbe, die auch nach einem Komplettausfall der IT funktionieren. Der Plan beinhaltet außerdem sichere Kontaktlisten. Diese können zum Beispiel aus privaten E-Mail-Adressen und Telefonnummern der Stabsmitglieder bestehen. Diese Informationen werden dann natürlich nicht in der zentralen Datenbank oder in Excel-Listen abgelegt. Oft ist ein hübsches ausgedrucktes Handbuch im Notfall sicherer. Und Vorsicht: Das Anlegen und Pflegen solcher Listen ist natürlich mitbestimmungspflichtig und erfordert eine Beteiligung nicht nur der betroffenen Mitarbeitenden, sondern auch von Personalabteilung, Betriebs- und Personalrat.
Auch ein Monitoring-System mit Alert-Funktion und eine Benachrichtigungs-Kette muss vordefiniert, eingerichtet und getestet werden. Dem Ausfall der Website sollte man mit der Vorbereitung einer Darksite begegnen, also einer alternativen Website auf einem nicht mit der IT verbundenen Web-Server. Auf diese Darksite wird im Krisenfall die IP-Adresse geleitet. Die Inhalte werden weitgehend vorbereitet. Ganz „dark“ ist die Seite also nicht.
Die komplette Kommunikationskette – Information der Mitarbeitenden, der Partner, bei Hochschulen der Studierenden, der Öffentlichkeit usw. – kann weitgehend mit vorformulierten Dokumenten vorbereitet werden. Die Abläufe und auch die technischen Details eines Cyberangriffs sind ja aus vorhandenen Vorfällen hinreichend bekannt. Im Krisenfall müssen diese Dokumente dann nur noch aktualisiert werden.
Der Lackmustest: die Simulation
Wenn wir im Rahmen eines Projektauftrags einen Krisenkommunikationsplan mit Musterdokumenten für Mailings, Pressemitteilungen, eine Darksite, Mitarbeiterinformationen und ähnliches erstellt haben, überprüfen wir die definierten Prozesse häufig im Rahmen eines halbtätigen Workshops. Als Lackmustest simulieren wir eine Krisensituation vom ersten Alert im Monitoring-System über die Ausrufung der Krise durch die Leitung des Krisenkommunikations-Notfallstabs bis zu dessen erster Konferenz. Dort werden dann die ersten Maßnahmen beschlossen. So prüfen wir:
- Wissen alle Verantwortlichen, was sie zu tun haben?
- Verfügen sie über die notwendigen Informationen, zum Beispiel über die privaten Kontaktadressen der Mitglieder der Krisen-Boards?
- Funktionieren die alternativen Krisenräume und -kanäle im Bedarfsfall?
- Taugen die vorbereiteten Dokumente?
- Reagieren die verantwortlichen Sprecher wie geplant auf die in der Simulation eingespielten Medienanfragen und Kundenkontakte in unterschiedlichen Eskalationsstufen?
Wie läuft der Prozess der Erarbeitung eines Krisenkommunikationsplans normalerweise ab?
Ich kann es gar nicht oft genug sagen: Einen Krisenkommunikationsplan erarbeitet man dann, wenn man sich nicht in einer Krise befindet, wenn man Zeit hat. Denn die Erarbeitung einer solchen Strategie und der ganzen damit verbundenen Unterlagen kostet Zeit. Ich veranschlage für ein solches Projekt in der Regel drei bis fünf Monate. Schließlich sind zahlreiche Abteilungen und Kolleg*innen zu beteiligen. Ich habe als externer Berater in den letzten Jahren mehrere Unternehmen und Hochschulen in solchen Projekten als Coach begleitet. Zumeist setzen wir in einem kleinen Team das Projekt gemeinsam auf. Die Projektleitung setzt sich häufig zusammen aus
- einem Mitglied aus der Unternehmenskommunikation
- einem Mitglied aus der IT-Abteilung
- oft der/dem Datenschutzbeauftragten
- gelegentlich einem Mitglied der (erweiterten) Geschäftsführung
- gelegentlich einem Führungsmitarbeiter aus dem Vertrieb
Wir definieren die Zusammensetzung der Krisenteams, die Prozesse und die Inhalte. Die Erstellung der Inhalte kann dann bei uns in der Agentur oder in der Kommunikationsabteilung des Kunden geschehen. Die Verabschiedung des Krisenkommunikationsplans erfolgt immer in Abstimmung mit der Geschäftsführung.
Der genaue Zeit- und Kostenaufwand hängt natürlich davon ab, wie umfangreich der Coaching-Aufwand ist und wie groß der Anteil der Eigenleistungen des Kunden ist. Nach meiner Erfahrung aber ist ein externes Coaching hilfreich: Wir verfügen nicht nur über Projekterfahrung aus anderen Unternehmen und Institutionen, sondern in der Krisenkommunikation geht es auch darum, in bestehende Entscheidungshierarchien und Kompetenzzuschreibungen eines Unternehmens einzugreifen und als externer Berater findet man da leichter Gehör als als interner Kommunikationsexperte. Aber falls Sie Pressesprecher oder Marketingmanager sind, wissen Sie das ja schon aus eigener – oft leidvoller – Erfahrung …
Falls Sie Fragen zu diesem Thema haben oder selbst an der Erstellung eines Krisenkommunikationsplans interessiert sind, sprechen Sie mich gerne einfach einmal an.
Illustrationen © vibrio, zum Teil mit KI by Adobe Firefly
Dein Kommentar
Want to join the discussion?Feel free to contribute!