Ignoranz bezüglich Cyber-Bedrohungen darf es nicht mehr geben
29. November 2023Gespräch mit der Krisenkommunikatorin Janka Kreißl
Vor dem Schaden klug zu sein, ist eine Binsenweisheit. Gerade beim Thema Cybersicherheit braucht es noch viel Aufklärung. Da hilft Häme niemandem. Janka Kreißl arbeitet beim Beratungsunternehmen Dunkelblau GmbH aus Leipzig, welches auf Krisenmanagement und Krisenkommunikation spezialisiert ist. Sie beantwortet unsere Fragen zum Thema Krisenkommunikation.
WIRTSCHAFT ONLINE: Guten Tag, Frau Kreißl. Im Vorfeld des Cyber-Sicherheits-Tages des Cyber-Sicherheitsnetzwerks Sachsen am 17. April 2024 wollen wir uns den unterschiedlichsten Facetten des Themas Cyber-Sicherheit widmen. Sie sind Expertin im Segment Krisenkommunikation. Ein wirklich wichtiges Thema, gerade, wenn ein Cyber-Notfall eingetreten ist und dies den Stakeholdern kommuniziert werden muss. Auf Ihrer Homepage steht der interessante Satz: „Krise ist, wenn Ihre Stakeholder glauben, dass es eine Krise ist.“ Da würde ich gerne einmal einhaken. Schließlich ändert diese Aussage den Blickwinkel der Betroffenen zutiefst. Wie kann dieser Ansatz umgesetzt werden?
Janka Kreißl: Zunächst ist hier eine Begriffsdefinition sinnvoll: Stakeholder sind Menschen, die immer – und in Krisenzeiten besonders intensiv – über eine Organisation reden, sie bewerten und vor allem eines tun: Sie überprüfen ihre Erwartungen und überdenken ihr Verhalten, wenn diese Erwartungen enttäuscht werden. Die Schwere einer Krise hängt also maßgeblich davon ab, ob und wie viele relevante Stakeholder ihr Verhalten verändern. Solche Gespräche innerhalb von Stakeholdergruppen finden schon dann statt, wenn die Menschen nur glauben, dass Ihre Organisation in einer Krise steckt – sie muss (noch) gar nicht real sein. Gute Krisenkommunikation bedeutet, Teil dieser Gespräche zu sein. Das ist auch deshalb wichtig zu wissen, weil es durchaus sein kann, dass ein Unternehmen eine Krise operativ gut meistert, dies aber gar nicht oder nicht ausreichend kommuniziert. Von den Stakeholdern wird die Krise im schlechtesten Fall also dennoch als „schlecht bewältigt“ wahrgenommen – weil sie nicht ausreichend darüber informiert sind, wie die Organisation die Lage managt.
Im Kontext eines Cyberangriffs können enttäuschte Erwartungen und daraus resultierende Verhaltensänderungen vielfältig sein: Laufen Ihnen die Mitarbeitenden davon, weil Sie Gehälter oder Boni nicht mehr zahlen können und es plötzlich zu viele Zusatzaufgaben gibt? Kündigen Geschäftspartner oder Lieferanten Verträge auf, weil Ihr Unternehmen Fristen nicht mehr einhalten kann? Werden Schadensersatzansprüche gestellt, weil hochsensible Daten plötzlich im Darknet veröffentlicht stehen? Sind Ihre Kunden sauer, weil persönliche Daten an die Öffentlichkeit gelangten und für Identitätsdiebstahl missbraucht werden? Oder sind Sie durch die Verschlüsselung von Daten so lange nicht geschäftsfähig, dass Ihre Produkte nur mit großer Verzögerung oder gar nicht mehr geliefert werden können und Ihr Kundenstamm wegzubrechen droht? Mit guter Krisenkommunikation können solche Effekte reduziert oder verhindert werden – Ihre Mitarbeitenden stehen zu Ihnen, Ihre Kunden halten Ihnen die Treue und auch das Vertrauen der Geschäftspartner bleibt bestehen.
Letzten Endes geht es darum, bei den wichtigsten Anspruchsgruppen die glaubhafte Wahrnehmung und berechtigte Überzeugung zu schaffen, dass die Verantwortlichen im Rahmen der Krise wissen, was sie tun; ihr Bestes geben, die Situation zum Positiven zu verändern und das Vertrauen zu dieser Organisation weiterhin gerechtfertigt ist.
WIRTSCHAFT ONLINE: Teil der Krisenkommunikation ist auch die Krisenprävention. Wie schaffen Sie ein ganzheitliches Krisenmanagement?
Janka Kreißl: Ein Cyber Incident wird gerne als reines IT-Problem gesehen – das ist er aber nicht. Eine Vorbereitung auf und die Bewältigung von Cyber Incidents ist nur dann erfolgreich, wenn sie über Einzelbereiche wie IT, Business Continuity Management, Legal und Kommunikationsabteilungen hinausgedacht und umgesetzt wird. Natürlich ist die IT in der technischen Bewältigung am meisten gefordert – aber sie kann nur dann gute Arbeit leisten, wenn sie von den anderen Abteilungen bestmöglich unterstützt (und manchmal auch beschützt) wird. Dafür ist es hilfreich, wenn die Verantwortlichen nicht erst im Ernstfall zum ersten Mal gemeinsam an einem Tisch sitzen, sondern sich auch schon vorab kennengelernt und ausgetauscht haben.
Es muss unter anderem Klarheit darüber herrschen, welche Daten die wichtigsten für den Geschäftsbetrieb sind und am schnellsten wieder verfügbar sein müssen. Dies zu entscheiden, obliegt zum Beispiel der Geschäftsführung, und die Frage nach diesen „Kronjuwelen“ sollte nicht erst im Krisenstab geklärt werden. Im Ernstfall müssen behördliche Meldepflichten eingehalten werden. Hier kann das Hinzuziehen von internen oder externen Juristen nötig werden. Zu ermitteln, welche Rolle man im Sinne der DSGVO innehat, ist ebenfalls ein Aspekt, der vorab geklärt werden kann und sollte. Und natürlich arbeitet es sich unter hohem Zeitdruck besser mit den Kommunikationsverantwortlichen zusammen, wenn man diese auch vorher schon mal kennengelernt hat.
WIRTSCHAFT ONLINE: Ihr Ansatz geht von Kommunikation vor, während und nach der Krise aus. Wie meinen Sie das?
Janka Kreißl: Wenn ein Unternehmen zu Friedenszeiten gute, belastbare Beziehungen zu seinen wichtigsten Stakeholdern etabliert, zahlt sich das in der Krise aus. Das Vertrauen der Anspruchsgruppen bleibt länger erhalten – und damit der Goodwill, der einem Unternehmen in der Krise entgegengebracht wird. Da sind wir wieder bei den eingangs erwähnten enttäuschten Erwartungen – Stakeholder verzeihen Betroffene eher, wenn das Unternehmen nicht schon eine lange „Enttäuschungshistorie“ hat.
Hierbei kann auch ein sogenanntes Issues Management System sinnvoll sein. Es hilft, potenziell kritische Themen frühzeitig zu erkennen, ihre Relevanz zu bewerten und sie dann auch kommunikativ besser zu bewältigen – im besten Fall, bevor Issues sich zu echten Krisen auswachsen.
Im Krisenfall ist es mit einer elegant formulierten Entschuldigung oftmals nicht getan. Echtes Vertrauen wird durch das glaubhafte Vermitteln generiert, dass solch ein Vorfall sich nicht wiederholt. Deshalb kann es sinnvoll sein, mit dem sogenannten 4-Räume-Modell zu argumentieren. Das zeigt zum Beispiel bei einem Ransomware-Angriff folgende Ebenen auf:
- 1. Welche Maßnahmen wurden in der Vergangenheit ergriffen, damit ein solcher Fall nicht eintritt – zum Beispiel aktuelle Patches, regelmäßige Mitarbeiterschulungen etc.
- 2. Welche Maßnahmen wurden zum Zeitpunkt des Incidents ergriffen – Einrichtung eines Krisenstabs, Hinzuziehen von Incident-Response-Experten, Meldung an die Behörden etc.
- 3. Welche Konsequenzen werden gezogen – Umstellung der IT-Landschaft, präventive Pen-Tests etc.
- 4: Was wäre Utopie? Eine hundertprozentige Sicherheit gegen solche Angriffe – die gibt es nicht.
Ein wichtiger Faktor bei der Prozesskommunikation im Rahmen von Ransomware-Angriffen sind Zeitpläne: Sagen Sie den Menschen immer, mit welchen Funktionalitäten und Fortschritten sie wann wieder rechnen können. Und bleiben Sie bei der Prognose lieber etwas pessimistisch.
Hat das Unternehmen eine Krise gut bewältigt und Loyalität erfahren, sollte es natürlich kommunikativ nicht einfach wieder abtauchen. Ich erinnere mich an einen Fall, bei dem wir am Ende der Ransomware-Krisenkommunikation wirklich zu Herzen gehende Danke-Mails an Mitarbeitende, Kunden und Geschäftspartner verfasst haben. Die Resonanz darauf war hervorragend. Das Gefühl, das Ganze gemeinsam zusammen durchgestanden zu haben, hat alle auch einander nähergebracht.
WIRTSCHAFT ONLINE: Bei Cyberangriffen leidet zuvorderst die digitale Kommunikationsstruktur. Wie kann trotzdem weiter nach außen kommuniziert werden? Welche Mittel und Wege gibt es und wie unterstützen Sie als Dunkelblau?
Janka Kreißl: Bei einem Ransomware-Angriff fallen in der Tat viele Kommunikationskanäle erst einmal weg: E-Mails und Intranet können oft temporär nicht mehr genutzt werden. Es lohnt sich also, einen solchen Fall tatsächlich detailliert zu durchdenken und präventiv Redundanzen zu schaffen, um weiterhin schnell und zuverlässig mit der eigenen Belegschaft, aber auch Kunden und der Öffentlichkeit kommunizieren zu können.
Um überhaupt erst mal die wichtigsten Kolleginnen und Kollegen zu informieren, braucht es die entsprechenden Handynummern und private E-Mail-Adressen. Diese sollten aktuell sein und ausgedruckt vorliegen. Eine digitale Liste, die auf einem verschlüsselten Server liegt, nützt Ihnen im Ernstfall nichts. Um sich – ggf. auch standortübergreifend – im Krisenstab auszutauschen, können webbasierte Tools genutzt werden. Wir haben gehackten Unternehmen auch schon übergangsweise Teile unsere Infrastruktur zur Verfügung gestellt, damit sie zusammenarbeiten konnten. Auch der Zugriff auf die eigene Webseite und die Social-Media-Kanäle muss bedacht werden. Die Passwörter hierfür sollten ebenfalls nicht nur über den eigenen PC verfügbar sein.
Bei all diesen Ad-Hoc-Maßnahmen sollte übrigens auch immer das Thema Datenschutz im Hinterkopf behalten werden. Gesetzliche Regulierungen gelten auch während eines Krisenfalls …
WIRTSCHAFT ONLINE: Ich fand während der Recherche die „Stealing Thunder“ genannte Strategie auf Ihrer Seite. Was ist das denn?
Janka Kreißl: Dieser Begriff aus der Krisenkommunikation beschreibt eine proaktive Strategie, bei der ein Unternehmen oder eine Person negative Informationen über sich selbst proaktiv veröffentlicht, bevor Dritte dies tun. So kann die Kontrolle über die Nachricht und ihre Darstellung behalten und gleichzeitig den negativen Auswirkungen eines nachfolgenden „Enthüllungsschlags“ durch Dritte vorgebeugt werden, alle folgenden Nachrichten sind nicht mehr exklusiv. Indem man das Argument selbst zuerst einbringt, kann man Kontext liefern, Gründe für das Problem erläutern und bereits getroffene Maßnahmen zur Lösung des Problems hervorheben. Grundvoraussetzung dafür ist es, die Vorwürfe genau zu kennen und in der Tiefe besser verstanden zu haben als die Kritikerinnen und Kritiker. Bei systematischem Fehlverhalten in der Vergangenheit sind ebenso systematische Aufarbeitungen oft die beste strategische Entscheidung. Und deren Ergebnisse müssen am Ende kommuniziert werden.
Aus der Erfahrung wissen wir, dass Unternehmen, die diese Strategie anwenden, oft als glaubwürdiger und verantwortungsbewusster wahrgenommen werden als Unternehmen, die warten, bis die Informationen von externen Quellen enthüllt werden. Indem die Organisation offen und transparent zugibt, einen Fehler gemacht zu haben oder in eine negative Situation verwickelt zu sein, kann das langfristige Vertrauen gestärkt werden; unter der Prämisse, dass dann wirklich alle Karten auf den Tisch kommen.
WIRTSCHAFT ONLINE: Auch Ihr Ansatz: „Krise ist nicht gleich Krise. Entscheidend ist, wie viel Verantwortung ihnen zugeschrieben wird – für das Eintreten und die Lösung der Situation.“ ist höchst interessant. Dem liegt ebenfalls ein punktierter Blickwechsel zugrunde. Jedoch ist die Zuschreibung, das sagen Sie selbst, immer dynamisch. Wie ordnen Sie Situationen ein?
Janka Kreißl: Wie eingangs geschildert, hängt in kritischen Situationen viel davon ab, welche Verantwortung Ihre Stakeholder Ihnen für die Krise zuschreiben, sowohl für das Eintreten der Krise als auch für ihre Lösung. Dies kann die öffentliche Meinung, das Vertrauen in eine Organisation und die folgenden Handlungen erheblich beeinflussen. Natürlich kann sich die Dynamik der Zuschreibung über die Zeit hinweg auch ändern – basierend auf neuen Informationen, gesellschaftlichen Diskursen, aktuellen Entwicklungen und natürlich der Kommunikation des Unternehmens.
Als vor Jahren die ersten Unternehmen mit Ransomware angegriffen wurden, fiel dies in der öffentlichen Wahrnehmung eher in die Kategorie „Opferkrise“: Das Unternehmen wird angegriffen und erpresst, die Krise ist also außerhalb des eigenen Verantwortungsbereichs entstanden. Die Verantwortungszuschreibung durch Stakeholder war damals noch geringer. Mittlerweile ist die Zahl der Ransomware-Angriffe rasant angestiegen. Kein Unternehmen kann mehr behaupten, von dieser Gefahr nichts gewusst zu haben. Stakeholder erwarten also jetzt, dass sich Organisationen technisch besser wappnen und alle verfügbaren Vorkehrungen treffen, um eben nicht Opfer einer Hackergruppe zu werden. Wenn es doch passiert, muss schnell und professionell reagiert werden. In der Wahrnehmung ist ein Ransomware-Angriff also von der „Opferkrise“ zur „Verantwortungskrise“ geworden, die absehbar ist und auf die man vorbereitet sein muss.
Es gibt noch weitere Kategorien von Krisen, und generell gilt: Je besser man weiß, in welcher Art von Krise man sich befindet, und wie viel Verantwortung einem hierfür zugeschrieben wird, umso zielgerichteter und besser kann kommuniziert werden.
WIRTSCHAFT ONLINE: Wie lautet Ihre abschließende Empfehlung für Unternehmen, die sich auf das Thema Ransomware-Angriffe vorbereiten wollen?
Janka Kreißl: Ein Hackerangriff ist eine Ausnahmesituation, in der Entscheidungen unter großer Unsicherheit getroffen werden müssen: Der Zeitdruck ist hoch, es sind wenig Informationen und wenig gewohnte technische Mittel verfügbar. Das Ziel guter Krisenprävention besteht also darin, so viele Faktoren wie möglich bereits vorab zu bedenken – und zwar wirklich bis ins kleinste Detail. Wer ist wofür zuständig, wer kontaktiert wen, über welchen Kanal? Die operativen Abläufe sind bestenfalls in einem Krisenhandbuch festgeschrieben. Das sollte übrigens nicht wahnsinnig umfangreich sein (dann liest und nutzt es nämlich niemand), und es sollte vor allem auch in Papierform vorliegen. Auf dem verschlüsselten Server nützt es im Notfall nichts. Sobald Rollen, Strukturen und Prozesse definiert sind, müssen sie geübt werden – zum Beispiel in Form einer Krisensimulation. Auch diese muss, gerade für KMU, nicht überdimensioniert sein. Aber am Ende sollten alle ihre Aufgabe kennen und erledigen können – auch wenn technisch gerade nichts mehr geht.
Ebenso können natürlich auch bestimmte Dokumente und Unterlagen vorbereitet werden, bspw. ein Krisen-Kommunikationsplan mit Kernbotschaften, ein erstes Holding-Statement, der Rahmen einer Presse-Info, ein Pop-Up für die Website, FAQ usw. All diese Maßnahmen dienen dazu, für den Ernstfall Zeit und Sicherheit zu gewinnen. Denn davon gibt es, wenn ein Unternehmen gehackt wurde, erst einmal nur noch sehr, sehr wenig.
WIRTSCHAFT ONLINE: Danke sehr, Frau Kreißl, dass Sie sich Zeit für uns genommen haben. Und ebenfalls Danke, dass Sie Unternehmen in der Krise helfen.