Das Primat guter Krisenkommunikation gilt zunächst für den Vorstand und die gesamte Organisation, aber gerade auch für den Aufsichtsrat, der sich laufend - mindestens im Prüfungsausschuss - im Rahmen der Befassung mit den Risikokontroll- sowie Risikomanagement-Systemen auch die Frage stellen muss, wie gut man in Sachen Cyberangriffe aufgestellt ist.
Dazu gehört auch, dass der Aufsichtsrat die Gewissheit hat, dass nicht erst im Fall der Fälle umtriebig reagiert wird, sondern der Vorstand gut vorbereitet in die Ausnahmesituation eines Angriffes geht.
Sowohl das Doing im Vorstand als auch die Kontrolle durch den Aufsichtsrat sollten sich an folgenden 12 Grundprinzipien orientieren:
1. Planen Sie für den Ausnahmefall
Stellen Sie interdisziplinäre Krisenteams zusammen. IT, Legal, Datenschutz, Sales, Finance, Produktion, Logistik – im Fall eines Falles sind alle Bereiche betroffen. Nutzen Sie Ihren Krisenplan und passen Sie ihn bei Bedarf an. Legen Sie schon frühzeitig fest, wer Sie im Falle eines Falles unterstützen kann. Das gilt auch und gerade für die Kommunikation. Sie brauchen Expertise und Erfahrung, Sie brauchen aber auch einfach Manpower. Simulieren Sie wahrscheinliche Szenarien und bereiten Sie Sprachregelungen vor. Klar, jede Krise ist anders. Aber in Stresssituationen nicht auf dem weißen Blatt Papier beginnen zu müssen, spart Zeit und Nerven.
2. Üben, üben, üben
Am besten mit Experten, die über Angriffe nicht nur gelesen, sondern sie auch erlebt haben. Dabei sollten interne wie externe Experten zusammen agieren und voneinander lernen. Jedes Unternehmen hat eigene Systeme, Schwachstellen, Lösungen, die es zu erlernen und zu kennen gilt.
3. Kommunikation ist Kerndisziplin
Es hilft niemandem, wenn die Kommunikationsexperten aus falsch verstandener Rücksichtnahme erst dann über das Problem informiert werden, wenn es sich nicht mehr vermeiden lässt. Kommunikation gehört an den Tisch, an dem entschieden wird, von Anfang an. Als elementarer Bestandteil der Krisenorganisation erhält sie die notwendigen Informationen im War-Room aus erster Hand.
4. Es gelten die Prinzipien der Krisenkommunikation
Ein Cyberangriff ist eine unternehmerische Ausnahmesituation. Mit zunehmender Häufung verlieren sie zwar das Skandalisierungspotenzial. Man wird heute nicht mehr dafür kritisiert, angegriffen zu werden. Sondern dafür, Daten nicht gewissenhaft geschützt zu haben oder mit der Krise unprofessionell umgegangen zu sein. Aber genau das wird durch mangelhafte Kommunikation sichtbar. Dabei gilt: nur gesicherte Erkenntnisse kommunizieren. Nichts ausschließen, was noch nicht ausgeschlossen werden kann. Und Empathie zeigen für die Betroffenen – seien es Mitarbeitende, die Sonderschichten einlegen müssen oder Kundinnen und Kunden, deren Daten vielleicht öffentlich werden.
5. Monitoring für schnelles Handeln und Social Media „beherrschen“
Sie müssen wissen, was über Ihr Unternehmen berichtet und gesprochen wird. Damit Sie schnell und angemessen reagieren können. Das gilt für Posts auf Sozialen Medien ebenso wie für Berichterstattung in klassischen Medien. Wer es schafft, vor die Welle zu kommen, behält die Deutungshoheit.
6. Alternative Kommunikationsstrukturen etablieren
Bereiten Sie sich darauf vor, dass Ihre gewohnten Kommunikationskanäle nicht einsetzbar sind. Keine beruflichen E-Mails, kein TEAMS, kein Intranet, kein Unternehmens-WLAN. Aber wie kommunizieren die Teams dann miteinander, wie erreichen die Informationen die Mitarbeitenden? Sind private E-Mail-Adressen hinterlegt? Können Sie Messenger-Dienste nutzen? Sind Kommunikationsketten – ob telefonisch, per Mail, per Messenger oder wie auch immer – festgelegt? Liegt Ihre Krisenplanung physisch vor oder auf einem Stand-alone-Rechner? Können Sie auf ein Call-Center zugreifen, um Kundenanfragen noch zu bearbeiten? Diese Fragen gehören in Ihre Szenario-Planung.
7. Interne Kommunikation ist Key
Sorgen Sie dafür, dass Ihre Mitarbeitenden sprechfähig sind. Dass sie wissen, was sie Ihren Kundinnen und Kunden sagen können. Dass sie wissen, woran gearbeitet wird und wann mit Ergebnissen zu rechnen ist. Hier hat sich auch Sichtbarkeit der Unternehmensleitung bewährt. In einer solchen Ausnahmesituation gehören die Chefinnen und Chefs auf die Brücke. Tone from the top ist wichtig. Schaffen Sie dafür Formate und Anlässe. Man kann in solchen Situationen gar nicht zu viel kommunizieren. Machen Sie aber auch klar, wie wichtig Konsistenz für den Erfolg ist. Denn eine Kakophonie von Botschaften aus der Organisation wäre verheerend für die Außendarstellung.
8. Aktiv und transparent nach außen kommunizieren
Gehen Sie davon aus – was rauskommen kann, kommt raus. Wer den Stier kommunikativ bei den Hörnern packt, behält die Deutungshoheit. Sortieren Sie dafür die Fakten. Informieren Sie Ihre Kunden auf der Website. Sprechen Sie vielleicht mit einem Journalisten Ihres Vertrauens und erläutern die Vorgänge. Zeigen Sie, an was gearbeitet wird, welche Workarounds genutzt werden. Geben Sie keine vorschnelle Entwarnung. Better safe than sorry. Wenn Sie können, sagen Sie, wann mit neuen Erkenntnissen zu rechnen ist. Beantworten Sie weitere Kunden-, Mitarbeiter sowie Medienanfragen in diesem Sinn – faktisch, unaufgeregt, lösungsorientiert.
9. Eine Attacke darf nicht überraschen
Es ist immer wieder erstaunlich, wie sehr Unternehmen von einer Cyberattacke immer noch überrascht werden. Dabei wird die Liste derer, die betroffen sind, täglich länger. Bei aller Vorbereitung in der Umsetzung und damit dem Doing in dem Fall, dass man Opfer einer Attacke wird: Man sollte sich auch vorab darüber im Klaren sein, wie man auf mögliche Forderungen der Angreifer reagiert – wenn diese dann konkret formuliert werden. Es geht eben darum, bestmöglich auf alles vorbereitet zu sein. Allein durch die Schaffung des Bewusstseins, dass jeder und eben auch das jeweilige Unternehmen jederzeit mit einer Attacke konfrontiert sein kann, wird sich bereits in den betroffenen Abteilungen und in den Köpfen der Mitarbeiterinnen und Mitarbeiter eine Veränderung einstellen, die das Unternehmen resilienter aufstellt und das Schutzniveau unmittelbar merklich erhöht.
10. Krisenvorbereitung gehört regelmäßig auf die Tagesordnung
Heute gehört das Thema Cyberattacken und Cyberkriminalität definitiv in jedes Risikokontroll- und Risikomanagementsystem integriert. Und es gehört ausdrücklich und regelmäßig auf die Tagesordnung – nicht nur untergeordnet als ein Spiegelstrich von vielen Aspekten. Hier ist der Aufsichtsrat und sind insbesondere die Prüfungsausschüsse ausdrücklich aufgefordert, das Thema auf die Agenda zu bringen und eingehend zu erörtern.
Eine wesentliche Rolle spielen dabei auch Penetrationstests und die Prüfung mithilfe externer Dienstleister, um zu erkennen, wo Schwachstellen im System bestehen. Bereits aus Haftungsgründen sollten – oder besser müssen – solche Tests durchgeführt werden und die Erkenntnisse daraus zur Verbesserung dieses Themas führen. Mitarbeitende müssen vorab geschult und sensibilisiert werden – um mögliche Einfallstore gar nicht erst entstehen zu lassen.
11. Zugriffsrechte als potenzielle Gefahrenstelle
Dazu gehört auch die Frage, ob die in der Vergangenheit erteilten Zugriffsrechte der Mitarbeiterinnen und Mitarbeiter sowie externer Partner neu strukturiert und damit angepasst werden müssen. Je weniger Zugriff möglich ist, umso besser ist ein System geschützt. Gerade beim letztgenannten Aspekt ist in vielen Unternehmen über die Jahre hinweg ein Geflecht entstanden, was regelmäßig überprüft und laufend zurückgeschnitten gehört. Weniger ist auch in diesem Fall mehr.
12. Sichern von Kapazität und Kompetenz
Nicht zu unterschätzen ist die bereits oben in der Checkliste angeführte Frage nach der Verfügbarkeit von externen Kapazitäten, wenn einen eine Attacke ereilt. Je nachdem, wie sensibel das Geschäftsmodell und die Abläufe in den Unternehmen auf (erfolgreiche) Angriffe reagieren könnten, gilt es, Kompetenzen zu sichern – und das eben in ruhigen Zeiten, selbst wenn dies mit teils merklichen Kosten verbunden ist.