Cyberattacken, Datendiebstahl und Industriespionage: Keine abstrakte Bedrohung mehr für deutsche Unternehmen. Und es trifft längst nicht nur die „Großen“. In einer Umfrage des Branchenverbandes BITCOM aus dem Jahr 2018 gaben 68 Prozent von 503 befragten Unternehmen an, in den letzten Jahren betroffen gewesen zu sein. Dabei zeigen sich keine allzu großen Unterschiede zwischen Unternehmen von 10-99 Mitarbeitern und jenen, zwischen 100 bis 499 Mitarbeitern. Experten gehen davon aus, dass die Dunkelziffer noch weitaus höher liegt. Denn wer gibt schon gerne zu, Opfer einer Cyberattacke zu sein. Das könnte Mitarbeiter, Kunden und Geschäftspartner verunsichern und den Ruf des Unternehmens nachhaltig schädigen.

Da hört man Aussagen wie:

  • „Das versuchen wir erstmal intern in den Griff zu kriegen.“
  • „Haltet das bloß unter dem Deckel!“
  • „Wir informieren erst, wenn wir das Thema gelöst haben.“
  • „Wir kommunizieren nur das, was sowieso schon bekannt ist.“
  • „Wir kommunizieren nur das, was wir rechtlich müssen.“

Was muss ein Unternehmen aufgrund seiner Sorgfaltspflicht gegenüber Anteilseignern, Kunden oder Mitarbeitern kommunizieren? Welche rechtlichen Vorgaben gilt es hier zu beachten? Laut § 33 und § 34 der DSGVO haben betroffene Unternehmen sowohl eine Informationspflicht gegenüber der Datenschutzbehörde als auch gegenüber den Betroffenen. Auch KRITIS-Unternehmen, also Unternehmen, die kritische Infrastrukturen wie z.B. Energie- und Wasserversorgung etc. betreiben, verpflichtet das IT-Sicherheitsgesetz zur „unverzüglichen“ Information.

Wer versucht, Cyberangriffe zu vertuschen, macht die Sache unter Umständen nur noch schlimmer. Massive Angriffe bleiben nicht lange geheim, Verschleierungsstrategien gegenüber Kunden und Öffentlichkeit enden häufig mit einem unangenehmen juristischen Nachspiel. Beispiele dafür gibt es reichlich:

 

 

Besonders kurios ist der Fall eines deutschen Steuersünders, der seine Bank erfolgreich auf über 7 Mio. € Schadensersatz verklagt hat, weil die ihn zu spät nach einem Datenklau informiert hatte und er damit keine Selbstanzeige mehr vornehmen konnte.

 

Das Kommunikationsdilemma

Was also tun bei einem erfolgreichen Cyberangriff oder einem Datenverlust? Kommuniziert man zu früh, wird der Angreifer vielleicht gewarnt und es gibt noch keine gesicherten Erkenntnisse. Vielleicht erhält der Vorfall dann eine zu große Bedeutung, auch wenn er schnell eingedämmt werden kann. In jedem Fall muss man mit negativer Medienberichterstattung rechnen. Kommuniziert man hingegen zu spät, sind unabsehbare Reputations- und Haftungsrisiken die Folge und die negative Medienberichterstattung ist ungleich größer. Vermeintlich eine Wahl zwischen Pest und Cholera. Aber eigentlich ist die Antwort ganz einfach: Reden ist Silber – Schweigen kostet Gold, denn Reputationsschäden verursachen die höchsten Kosten.

 

Gute Vorbereitung ist die halbe Miete

In jedem Einzelfall gilt es sorgfältig abzuwägen, wann welche Informationen an wen kommuniziert werden sollen. Zur Vermeidung von Reputationsschäden bedarf es einer fein abgestimmten Kommunikationsstrategie. Diese sollte optimalerweise nicht erst entwickelt werden, wenn das Kind schon in den Brunnen gefallen ist. Dann ist es meist ohnehin zu spät.

Wie auch in anderen Fällen der Krisenkommunikation zahlt sich eine regelmäßige proaktive Kommunikation mit den relevanten Stakeholdern aus. Gute Kontakte zu lokalen Medien aber auch zur Fachpresse ermöglichen es Unternehmen, eigene Positionen sachlich darzustellen. Nicht zu unterschätzen sind in diesem Zusammenhang Social-Media-Guidelines für Mitarbeiter. Schon manch ein interner „Whistleblower“ hat durch eine unvorsichtige – manchmal auch gezielte – Äußerung eine Negativspirale erst recht befeuert.

Vertrauen aufbauen und erhalten – das schafft ein Unternehmen in einer Krisensituation nur mit einem offenen Dialog mit den Stakeholdern. Mauern, „kein Kommentar“, Salamitaktik oder das Beschönigen von Sachverhalten führen nur dazu, dass Journalisten tiefer bohren oder anfangen zu spekulieren.

 

Hier 10 BSK-Tipps, damit die nächste (Kommunikations-)Krise bei Datenlecks und Cyberattacken Sie nicht kalt erwischt:

  1. Vorbereitung, Vorbereitung, Vorbereitung: Wenn Sie bislang keine Öffentlichkeitsarbeit betreiben, starten Sie jetzt!
  2. Cyberattacken oder Datenlecks als mögliche Vorfälle in einen Krisenreaktionsplan einarbeiten (z.B. Bestandteil QM, EHS, Unternehmenskommunikation); Krisenkommunikationsplan /-handbuch entwickeln
  3. Krisenteam für Cybervorfälle bestehend aus GF, IT, Kommunikation, Legal, ggf. mit externer Unterstützung zusammenstellen
  4. Tatsächlichen Sachverhalt schnellstmöglich klären (ggf. mit Spezialisten für IT-Forensik)
  5. Parallel Krisenteam einberufen / ggf. Aufsichtsbehörden informieren
  6. Maßgabe der Erstkommunikation: zeitnah („unverzüglich“) wahrheitsgemäß; umfassend, nur gesicherte Fakten; keine Mutmaßungen, Schuldzuweisungen
  7. Informationskaskade: erst intern (Mitarbeiter, ggf. Investoren), dann extern (Kunden, Lieferanten, Medien)
  8. Direkte Kommunikation bevorzugen (Mail an Mitarbeiter / Betriebsversammlung versus Notiz im Intranet; direkte Ansprache Kunden via E-Mail/Brief versus Hinweis Website oder Kundenportal)
  9. Definierte Ansprechpartner für Rückfragen (ggf. unterteilt nach Stakeholdergruppen)
  10. Follow-up Kommunikation bei neuen gesicherten Erkenntnissen und nach Abschluss: umgesetzte Maßnahmen zur Prävention (kein bloßes Lippenbekenntnis!)

 

 

BSK ist Partner von Cyber Protect Partnership. Der Blogbeitrag basiert auf einem Vortrag, den Jutta Lorberg im Januar 2019 bei der Veranstaltung „CPP im Dialog“ in Solingen gehalten hat.