Grundlagen erfolgreicher Kommunikation bei Cyberattacken

Dossier

14.02.2025

Die eigentliche Gefahr einer Cyberattacke auf ein Unternehmen liegt nicht nur im Angriff selbst, sondern in der unmittelbaren und angemessenen Reaktion darauf. Unternehmen, die in der Lage sind, in einer Cyberkrise souverän zu kommunizieren, können das Vertrauen der Stakeholder wahren und den langfristigen Schaden auf das Image des Unternehmens, der Marke oder des Top-Managements begrenzen. Dabei erfordert jede Cyberattacke eine angepasste Kommunikationsstrategie, denn kein Angriff gleicht dem anderen: Ob Ransomware, DDoS-Attacke oder Phishing-Angriff – je nach Art und Ausmaß müssen Kommunikationsmaßnahmen differenziert und zielgerichtet eingesetzt werden, um die richtigen Botschaften an Mitarbeitende, Kunden, Geschäfts- und Kooperationspartner sowie die Öffentlichkeit zu übermitteln.

Kommunikation in der Cyberkrise

Immer wieder ist festzustellen, dass die Unternehmenskommunikation oder die Geschäftsleitung versucht ist, jede Variante von Cyberattacken kommunikativ gleich zu behandeln. Ein Fehler. Jede Attacke kann unterschiedliche Ausmaße, Ziele und Folgen haben. Eine differenzierte Herangehensweise hilft dabei, angemessene und wirksame Kommunikationsstrategien zu entwickeln, die den spezifischen Anforderungen der jeweiligen Cyberkrise gerecht werden.

Cyberattacke ist nicht gleich Cyberattacke

Enkeltrick, falscher Gasableser oder Deepfake-Anrufe. Ähnlich wie in der analogen Welt gibt es auch bei der Cyberkriminalität unzählige Angriffsstrategien mit denen Kriminelle den Unternehmen schaden wollen. Deshalb sollten die Kommunikationsmaßnahmen in der Cyberkrise an den betroffenen Angriffsvektoren ausgerichtet sein.

Eine Cyberattacke, bei der personenbezogene Daten gestohlen werden, erfordert eine andere kommunikative Herangehensweise als eine, die „nur“ einen Systemausfall verursacht. Datenschutzvorfälle könnten rechtliche Konsequenzen haben und erfordern präzise und zeitnahe Kommunikation an betroffene Kunden und Aufsichtsbehörden. Ein Systemausfall hingegen könnte eine pragmatischere, technische Kommunikation mit den betroffenen Nutzern erforderlich machen.

Manche Cyberattacken, wie Ransomware-Angriffe, können sofortige finanzielle Schäden verursachen, die öffentlich kommuniziert werden müssen, um Stakeholder zu beruhigen und rechtliche Verpflichtungen zu erfüllen. Andere Angriffe könnten mehr Zeit für die Analyse und Abschätzung des Schadensumfangs benötigen.

Ein Angriff von außen auf die IT-Systeme unterscheidet sich von einem internen Datenleck. Ein interner Vorfall könnte auf mangelhafte Sicherheitsvorkehrungen hinweisen und erfordert eine andere Kommunikationsstrategie, um Vertrauen wiederherzustellen, als ein externer Angriff, bei dem es darum geht, die Verteidigungsmaßnahmen gegen Cyberkriminelle hervorzuheben.

Gefahrenpotenzial unterschiedlicher Cyberkrisen

Das Gefahrenpotenzial unterschiedlicher Cyberangriffe auf Unternehmen variiert stark und hängt von der Art des Angriffs, den Zielen und den betroffenen Unternehmensbereichen ab. Unterschiedliche Gefährdungspotenziale haben in der Regel Einfluss auf die Kommunikationsstrategie im Krisenfall.

Ungefährliche Cyberattacken gibt es nicht. Daher sind sie immer eine kommunikative Herausforderung.

Das Gefahrenpotenzial von Cyberangriffen variiert je nach Art des Angriffs, der betroffenen Branche und den Unternehmensressourcen. Während Angriffe wie Ransomware oder Datendiebstahl unmittelbare und gravierende Auswirkungen haben, können andere wie DDoS-Attacken eher temporäre Schäden verursachen. Eine differenzierte Herangehensweise in der Prävention und Kommunikation ist daher entscheidend, um den jeweiligen Risiken angemessen zu begegnen.

Die Uhr tickt: Ad-hoc-Kommunikation in der Cyberkrise

Nicht jeder Angriffsversuch auf die Firewall im Unternehmen erfordert eine sofortige Kommunikation. Die Abwehr und das Monitoring von Angriffsversuchen sind in viele IT-Abteilungen mittlerweile Alltag. So berichtet beispielsweise Gerd Chrzanowski , Konzernchef der Schwarz-Gruppe, zu der die Discounter Lidl und Kaufland gehören, von bis zu täglich 350.000 Cyberattacken auf die Systeme des Unternehmens.

Grundsätzlich ist die Unternehmenskommunikation immer dann unmittelbar zu informieren und zu involvieren, wenn eine Attacke erfolgreich war. Dann sollte innerhalb von 24 Stunden die ersten Kommunikationsmaßnahmen vorbereitet und bei Bedarf durchgeführt werden.

„Wir stehen an einem Punkt, an dem es nicht mehr darum geht, ob ein Unternehmer Opfer eines Cyberangriffs wird, sondern wann es dazu kommt und welchen Ausmaßes.“

Patrick Hacker Partner & Practice Head Crisis, Team Farner

Das Krisenkommunikations-Team aktivieren

Das Team sollte aus IT, Kommunikation, Recht und dem Management bestehen. Stellen Sie sicher, dass alle Verantwortlichen regelmäßig über den aktuellen Stand informiert werden, auch wenn die Informationen noch unvollständig sind. Zwingend notwendig ist es, die Verantwortlichkeiten klar zu definieren, wer mit internen und externen Stakeholdern kommuniziert. Stellen Sie sicher, dass die Informationen koordiniert und konsistent weitergegeben werden.

Damit dies möglich ist, sollte die oberste Priorität sein, dass es mindestens einen funktionierenden Kommunikationskanal gibt, auf den alle Teammitglieder jederzeit Zugriff haben. Dies können beispielsweise eine WhatsApp-Gruppe auf privaten Smartphones oder ein separater Sharepoint sein, der nicht Teil des angegriffenen Netzwerkes ist.

„Die Einrichtung eines Krisenkommunikations-Teams sollte unbedingt vor dem Eintritt einer Krise erfolgt sein. Ein Krisenkommunikations-Team oder einen Krisenstab im Unternehmen einzurichten, ist oberstes Gebot der Krisenprävention, andernfalls verlieren Sie wertvolle Zeit, bis Sie mit einer koordinierten und strukturierten Krisenintervention beginnen können.“

Patrick Hacker Partner & Practice Head Crisis, Team Farner

Erste interne Kommunikation an Mitarbeitende

Ihre Mitarbeitenden werden oftmals die Ersten sein, die von den Auswirkungen einer erfolgreichen Cyberattacke auf Ihre Systeme Kenntnis erhalten. In der Regel werden Cyberangriffe von IT-Mitarbeitenden entdeckt, die dann auch Alarm auslösen. Deshalb ist eine schnelle, vorsichtige Information über den bisher bekannten Sachstand in der Belegschaft notwendig. Teilen Sie den Mitarbeitenden mit, dass es einen Vorfall gab und an der Klärung der Lage gearbeitet wird. Vermeiden Sie Spekulationen über den Schaden oder die Auswirkungen. Informieren Sie die Belegschaft zudem darüber, wie sie sich verhalten soll (zum Beispiel keine E-Mails öffnen, verdächtige Aktivitäten melden) und welche Maßnahmen ergriffen werden, um die Systeme zu sichern.

„Wie in jeder Krise, gilt auch hier: Wir kommunizieren intern vor extern. Je nach Ausmaß des Angriffes kann es sein, dass die Bürokommunikation über E-Mail, Telefon oder Intranet nicht mehr verfügbar ist. Stellen Sie sicher, dass wichtige Informationen für Mitarbeitende umfänglich und zeitnah von den Führungskräften in der Organisation kaskadiert werden. Hier sind beispielsweise Team-Besprechungen, die Einrichtung von WhatsApp-Gruppen auf persönlichen Smartphones oder das gute alte „Schwarze Brett“ und Handzettel bewährte Kommunikationskanäle.

Welche Kanäle Sie in der Cyberkrise wie, wann und wo einsetzen, sollten Sie bereits im Vorfeld in einer Krisenpräventionsstrategie als Notfallprozess definiert und funktionsfähig eingerichtet haben.“

Patrick Hacker Partner & Practice Head Crisis, Team Farner

Das Monitoring intensivieren

Ein erfolgreich durchgeführter Cyberangriff hat nicht unmittelbar Berichterstattung in den Medien oder in Social Media zur Folge. Klar ist, dass je mehr ein Unternehmen im Licht der Öffentlichkeit steht, desto interessanter wird es, über eine Cyberattacke auf dieses Unternehmen zu berichten. Dennoch empfiehlt es sich im Krisenfall so früh als möglich das Monitoring auf allen Kanälen auszuweiten, um Gerüchte oder Fehlinformationen schnell zu identifizieren und klarzustellen. Monitoren Sie dafür nicht nur Presse und Social Media, sondern vor allem auch die Kommunikation mit Lieferanten, Dienstleistern und Kunden. Die drei Letzteren stehen mit Ihren Unternehmen im direkten Geschäftskontakt und bekommen die Auswirkungen kompromittierter IT-Systeme oftmals sehr schnell zu spüren, weil beispielsweise automatisierter Datentransfer nicht mehr möglich ist, oder der Key-Account nicht mehr telefonieren kann.

Monitoring hat zum Ziel, die benötigten Informationen zum relevanten Zeitpunkt für die Kommunikation zur Verfügung zu stellen. Hier gilt: Qualität schlägt Quantität. Entwickeln Sie daher die Monitoring-Prozesse für Krisen stets zielorientiert. Wenn Sie beispielsweise wissen müssen, wie Lieferanten auf die Auswirkungen des Cyberangriffs reagieren, können die Mitarbeitenden im Einkauf nach kritischen Kontakten beispielsweise über ein kurzes Standardformular eine Gesprächsbewertung anlegen, die regelmäßig von der Unternehmenskommunikation gesammelt und ausgewertet wird.

Auch hier empfiehlt sich, die Monitoring-Strategie bereits im Voraus zu definieren und die festgelegten Maßnahmen umzusetzen.“

Patrick Hacker Partner & Practice Head Crisis, Team Farner

Das nehmen Kommunikationsverantwortliche mit

Cyberattacken sind nicht länger eine Frage des „Ob“, sondern des „Wann“ es zu einem Angriff kommt und welchen Ausmaßes er ist. Die Auswirkungen können verheerend sein, von finanziellen Schäden bis hin zu Vertrauensverlust bei Stakeholdern. Wie ein Unternehmen auf eine solche Krise reagiert, entscheidet über den langfristigen Erfolg. Ein Pfeiler zum Überstehen eines Cyberangriffs liegt in der differenzierten Kommunikationsstrategie. Keine Attacke gleicht der anderen und daher müssen die Maßnahmen auf den Angriff angepasst sein.

Die Vorbereitung ist dabei entscheidend! Die Mitglieder des Krisenkommunikationsteams sollten bereits vor dem Ernstfall festgelegt und jederzeit arbeitsfähig sein. Interne Informationswege müssen klar definiert sowie alternative Kommunikationskanäle für den Notfall funktionssatzfähig sein. Die interne Kommunikation mit den Mitarbeitenden ist von enormer Bedeutung, um Spekulationen vorzubeugen. Auch die Kontrolle über Information die nach Außen fließen, muss durch effektives Monitoring beibehalten werden.

„In einer Zeit, in der digitale Bedrohungen immer präsenter werden, ist eine starke Krisenkommunikation nicht nur ein zusätzlicher Schutz – sie ist ein Wettbewerbsvorteil.“

Patrick Hacker Partner & Practice Head Crisis, Team Farner

Ansprechpartner

Patrick Hacker
patrick.hacker@komm-passion.de
+49 (0)211 600 46-161

Name	Anbieter	Zweck	Dauer
be_typo_user	komm-passion.de	Backend Login	Dauer der Sitzung
PHPSESSID	komm-passion.de	Benutzer Wiedererkennung	Dauer der Sitzung
cookieoption	komm-passion.de	Opt-In-Cookie speichert die Cookie-Einstellungen des Besuchers.	30 Tage
watchedVideo_*	komm-passion.de	Speichert ob der Besucher die Seite schon besucht hat. Wenn gesetzt, wird das Intro-Video nicht angezeigt.	30 Tage
uslk_umm_118316_s	userlike.com	Neben technischen Details zum Messenger-Status enthält das Cookie IDs zu existierenden Kontakten, damit diese wiedererkannt werden können ("reauth", "uuid", "token").	1 Jahr
acceptIframe_*	komm-passion.de	Speichert ob der Benutzer das öffnen eines Iframes erlaubt hat.	Dauer der Sitzung

Name	Anbieter	Zweck	Dauer
_ga	Google	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	2 Jahre
_gid	Google	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	1 Tag
_gat_gtag_#	Google	Wird von Google Tag Manager genutzt, um das Laden des Google-Analytics-Skript-Tags zu steuern.	1 Tag
_gpi	Google	Wird von Google Advertising genutzt, um Conversion-Tracking zu ermöglichen.	13 Monate