Cyberattacken können Unternehmen in Verlegenheit bringen. Das Vertrauen seitens Kunden und Geschäftspartnern wird dabei auf eine harte Probe gestellt. Die richtige Kommunikation hilft dabei, den Ruf zu wahren.
Der Cyberangriff vom Mai 2017 dürfte noch manch einem Unternehmenssprecher schwer im Magen liegen. Die Schadsoftware „Wannacry“, eine Kombination aus Ransomware und Backdoor, befiel mehr als 230.000 Rechner in über 150 Ländern und sorgte für Chaos. Vor allem große Unternehmen wie die Deutsche Bahn, Fedex, Telefónica und Renault waren von diesem Angriff betroffen – und gaben dabei keine allzu gute Figur ab. In einem Fall bildete dieser Angriff eine Ausnahme: Das Medienecho war enorm. Üblich ist es hingegen, dass solche Themen gar nicht erst kommuniziert werden.
Ein Mantel des Schweigens
Eine Studie des Digitalverbands Bitkom zeigt, dass im Hinblick auf Cyberattacken in Deutschland einiges unter den Teppich gekehrt wird, denn seit 2015 war jedes zweite Unternehmen davon betroffen. Neben dem Schaden, der durch verlorene oder gestohlene Daten entsteht, hat auch das Image des Unternehmens unter solchen Angriffen zu leiden. Da verwundert es auch nicht, dass gerne ein Mantel des Schweigens über die ganze Angelegenheit ausgebreitet wird. Schließlich sollen Kunden und Geschäftspartner nicht den Eindruck haben, man könne seine Daten nicht absichern.
Laut Teresa Ritter, der Referentin für Sicherheitspolitik bei Bitkom, solle ein entdeckter Schaden jedoch an staatliche Stellen gemeldet werden. Dieser könne sich so ein Lagebild erstellen und anderen Unternehmen die Möglichkeit geben, sich vor Angriffen zu schützen. Dabei darf jedoch die Art des Cyberangriffs nicht aus den Augen verloren werden. Ein bloßer Virenbefall, der sich schnell wieder bereinigen lässt, ist sicherlich noch keine Nachricht wert. Ernst wird es jedoch bei Vorfällen, in denen Kundendaten oder geistiges Eigentum verloren gehen oder gestohlen wird.
Das Wann und Wie der Kommunikation
Werden Informationen zu schnell herausgegeben, kann oftmals noch nichts Konkretes zu Art und Umfang des Angriffs gesagt werden. Die Kommunikation wirkt nur halb gar und es können mangels genauerer Kenntnisse auch falsche Informationen nach außen transportiert werden, die den Imageschaden des Unternehmens noch vergrößern. Unternehmenssprecher sollten sich also mit IT-Experten beraten, sich den Vorfall genau erklären lassen und sich erst dann, wenn gesicherte Details vorliegen, der Öffentlichkeit zuwenden. Auch der Zeitpunkt dieser Veröffentlichung sollte taktisch klug gewählt werden. Weiß der Angreifer noch gar nicht, dass man ihm auf die Schliche gekommen ist, könnte er durch zu frühes Kommunizieren des Vorfalls gewarnt werden. Das wiederum erschwert Ermittlungstätigkeiten und senkt die Chancen, den Täter zu fassen.
Laut Tim Sausen vom Bundesverband Digitale Wirtschaft (BVDW) gäbe es zwar kein Patentrezept für die optimale Kommunikation nach einer Cyberattacke, grobe Fehler ließen sich bei entsprechender Vorbereitung aber leicht vermeiden. Gerade beharrliches Schweigen gegenüber Kunden im Falle eines Datendiebstahls, bei dem beispielsweise deren Login-Daten auf Abwege geraten sind, wäre ein solcher Fehler. Das Vertrauen des Kunden könnte nachhaltig beschädigt oder ganz zerstört werden. Besser sei es, die Betroffenen umfassend zu informieren, um so die eigene Glaubwürdigkeit zu wahren. Zudem stelle Transparenz eine gute Basis für den weiteren Verlauf einer Krise dar.
Was nach außen kommuniziert wird, muss stets wasserdicht und glaubhaft sein. Verschleierungstaktiken und unscharfe Formulierungen können das Ansehen des Unternehmens eher beschädigen als schützen. Auch in den sozialen Netzwerken will jeder Schritt gut überlegt sein. Gerade hier lösen erfolgreiche Cyberangriffe nämlich gerne Häme und Schadenfreude aus. Diskussionen sollten zwar ernst genommen, hitzige und eher emotional geführte Debatten aber eher gemieden werden.
Mittelstand ist weiterhin schlecht vorbereitet
Es war nicht zuletzt das große Medienecho, welches dazu geführt hat, dass sich das Gefahrenbewusstsein im Rahmen der IT-Sicherheit in den Unternehmen deutlich verbessert hat. Große Unternehmen sind dazu übergegangen, Kompetenzteams und Task-Forces zu bilden, um professionell reagieren zu können. Problematisch gestaltet sich die Situation nach wie vor im Mittelstand. Hier fehlen für derlei Maßnahmen schlicht die Mittel. Eigene IT-Abteilungen sind nicht vorhanden und die Aufgaben in sicherheitsrelevanten Bereichen werden oftmals an Serviceunternehmen übertragen.