Im letzten Jahr hat die Zahl der Cyberattacken deutlich zugenommen – ein guter Grund für Unternehmen, sich mit dieser digitalen Bedrohung auseinanderzusetzen. Suntka von Halen ist Director bei Brunswick, einer auf kritische Situationen spezialisierten Unternehmensberatung für strategische Kommunikation. Sie berät globale Konzerne bei strategischen Fragen und unterstützt ihre Krisenkommunikation. Innerhalb des globalen Cyber-Krisenteams von Brunswick ist sie Expertin für Crisis Preparedness und Crisis Response. In diesem Interview verrät sie unter anderem, was eine Cyberkrise von anderen Krisen unterscheidet und wie Unternehmen dieser Herausforderung entgegentreten können.
Wie hat sich die Bedrohung für Unternehmen durch Cyberangriffe entwickelt?
Cyberangriffe verfolgen politische, ideologische und in vielen Fällen auch handfeste wirtschaftliche Ziele. Ihre Komplexität und ihr Volumen haben sich über die Zeit exponentiell entwickelt. Da gerade Ransomware-Attacken für die Angreifer sehr lukrativ sein können, explodiert die Zahl der Angriffe auf die private Wirtschaft. Im Allianz Risk Barometer ordnen 44% der Befragten Cyberrisiken mittlerweile den Top 3 der Unternehmensrisiken zu. Zu Recht, denn Cyberattacken bedrohen Geschäft, Reputation und wirtschaftlichen Erfolg eines Unternehmens und sind in vielen Fällen absolut geschäftskritisch. Das macht Cybersecurity zu einer gesamtunternehmerischen Managementaufgabe.
Mit der Digitalisierung nimmt auch die Arbeit mit sensiblen Daten zu, z.B. in den Bereichen Gesundheit, Finanzen und geistigem Eigentum. Dementsprechend haben alle Zielgruppen einen berechtigten Anspruch an den Schutz dieser Daten.
Was unterscheidet eine Cyberkrise von anderen Krisen?
Unternehmen müssen eine extrem fluide Situation managen. Am Anfang ist das Ausmaß eines Cyberangriffs häufig sehr schwer abzuschätzen. Wenn im Rahmen der Datenschutzgrundverordnung relevante Daten betroffen sind, greift die Meldepflicht an die zuständige Datenschutzbehörde innerhalb von 72 Stunden – in dieser Phase ist der Sachverhalt jedoch meist noch unklar. Aufgrund der besonderen Sensibilität der Daten sind alle Zielgruppen in Alarmbereitschaft, während die Informationslage intern noch sehr unsicher ist. Erst im Laufe der Zeit fördert die Forensik neue Informationen und Sachstände zutage.
Unterscheiden sich Cyberkrisen auch untereinander?
Cyberattacken unterscheiden sich durch die Art des Angriffs und damit variiert auch die Art der notwendigen Reaktionen. Eine DDoS-Attacke („Distributed Denial-of-Service“) bringt den Webshop down, Ransomware legt Produktion und Services lahm. Bei einem Breach oder Datendiebstahl, übrigens häufig kombiniert mit einer Ransomware-Attacke, sind sensible persönliche oder unternehmerische Daten sowie geistiges Eigentum betroffen. Je nachdem, um was für ein Unternehmen es sich handelt und in welcher Art es getroffen wird, können die Parameter variieren.
Wenn es zu einem Hack gekommen ist – was muss in der ersten Krisenphase unternommen werden?
Man muss sehr schnell verstehen, was passiert ist. Deshalb muss die IT alle verfügbaren Ressourcen bekommen, sowohl von eigenen Teams als auch von zumeist externen Forensik-Spezialisten. Das ist eine Managemententscheidung, aber hier darf keine Zeit verloren gehen.
Gleichzeitig muss der Krisenstab loslegen und synchron zusammenarbeiten. Das sagt sich leicht, aber nehmen wir mal das Kommunikationsteam als Beispiel: Es kann seinen Job nur dann gut machen und die richtigen strategischen und taktischen Entscheidungen treffen, wenn alle Informationen aktuell und verfügbar sind.
Und nicht zuletzt ist am Anfang vor allem das Tempo entscheidend. In der Kommunikation ist weniger erst mal mehr: ein kurzes Holding Statement, die ersten wichtigsten Fragen und Antworten. Die Sprechfähigkeit muss auf Grundlage verfügbarer und gesicherter Informationen hergestellt werden. Mitarbeiter, Sales-Team, Kundenservice – sämtliche Ansprechpartner des Unternehmens müssen mit Wordings und FAQ versorgt werden, damit die Kommunikation konsistent bleibt. Nach der ersten Informationsversorgung bleibt man dann über regelmäßige Updates mit den relevanten Zielgruppen im Kontakt, um Spekulationen vorzubeugen und als primärer Ansprechpartner erreichbar zu bleiben.
Was macht die Kommunikation in einer Cyberkrise so herausfordernd?
Der natürliche Impuls der Kommunikation ist ja, allen Zielgruppen so früh wie möglich umfassende Informationen und Erläuterungen zur Verfügung zu stellen. Bei Cyberkrisen steht dem eine anhaltende Unklarheit über die Auswirkungen des Vorfalls entgegen. Die Forensik, also die genaue technische Bestandsaufnahme des Vorfalls, kann mehrere Tage oder sogar Wochen dauern, und manchmal revidieren spätere Erkenntnisse vorherige Informationen. Das ist eine Herausforderung für die Kommunikation und muss immer wieder gut erklärt werden, damit nicht der Eindruck des Mauerns entsteht. Dieser Punkt ist aber enorm wichtig, denn Spekulationen oder das Zurücknehmen früherer Aussagen können zu tiefen Reputationsschäden führen.
Ihr habt schon viele unterschiedliche Cyberkrisen mit Euren Kunden durchlebt – gibt es denn einen Punkt, an dem alle Situationen gleich sind?
Ein Cyberangriff ist wie fast alle Krisensituationen erst einmal ein Schock. Darüber hinaus werden Cyberkrisen oft als so bedrohlich wahrgenommen, weil die akute Situation schlecht greifbar ist, weil man es mit Angreifern zu tun hat, die dem Unternehmen explizit schaden wollen, und weil Cyberangriffe geschäftskritische Auswirkungen haben. Und nicht zuletzt ist die Lage in den ersten 48 Stunden häufig chaotisch, das ist in allen Situationen sehr ähnlich.
Wie kann man sich auf das Krisenmanagement während einer Cyberkrise vorbereiten?
Erfolgreiches Krisenmanagement ist ein Resultat guter Vorbereitung: Cyber Crisis Preparedness gehört in die Toolbox jedes Unternehmens. Grundsätzlich zielt die Vorbereitung darauf ab, die Handlungsfähigkeit des Unternehmens aufrechtzuerhalten und die Krise bestmöglich zu managen. Dazu gehören strategische und operative Elemente.
Auf strategischer Ebene finden beispielsweise eine sorgfältige Risikoanalyse, eine Szenarioplanung und ein Training der Organisation statt. Grundlegende Richtlinien für Managemententscheidungen und bei Bedarf die Auswahl externer Unterstützung, z.B. IT-Forensik, Kommunikation, Versicherung oder Rechtsberatung dürfen auch nicht fehlen. Hier zeigt sich auch nochmal, dass Krisenvorbereitung und -management von der obersten Führungsebene initiiert und vorangetrieben werden müssen.
Auf operativer Ebene muss viel vorbereitet werden: Rollen und Verantwortlichkeiten im Krisenstab, Projektmanagement sowie Prozesse und Ressourcen wie eine externe Kommunikationsinfrastruktur, denn in Cyberkrisen sind E-Mail, Chats oder Dokumentenmanagement häufig nicht mehr verfügbar.
Das klingt alles sehr aufwändig.
Es müssen in der Vorbereitung all jene Bereiche des Unternehmens zusammengebracht werden, die auch beim Krisenmanagement zusammenarbeiten. Krisenvorbereitung ist ein recht gut strukturierter Prozess und dauert nicht furchtbar lang. Vorbereitete Unternehmen sind im Krisenfall den entscheidenden Schritt schneller und erfolgreicher darin, ihre Teams, ihr Geschäft, ihre Reputation und damit ihren Unternehmenswert zu schützen. Im Gegensatz dazu ist eine schlecht gemanagte akute Cyberkrise sehr viel aufwändiger, teurer und kann dem Unternehmen langfristig schaden.
Was sind die Top 3 Empfehlungen, die Du Unternehmen mit auf den Weg geben möchtest?
Schärft euer Krisen-Mindset: Cybersecurity ist eine gesamtunternehmerische Managementaufgabe, denn eine Cyberattacke ist eine essenzielle Gefahr für Reputation und Wert eines Unternehmens. Business Continuity und die unternehmerische Reputation stehen im Kreuzfeuer. Das kann die IT nicht allein bewältigen.
Unternehmen sollten die Vorbereitung vorantreiben und ihre „Wird schon irgendwie gutgehen“-Haltung ablegen.
Und dann: Trainieren, trainieren, trainieren.
___________________
pressrelations dankt Suntka von Halen herzlich für dieses sehr interessante Interview!
___________________
Haben wir Ihr Interesse geweckt? In unserem kostenlosen Webinar “Hack and Response – Cyberkrisen erfolgreich managen” berichtet Fady El-Murr, Managing Director von pressrelations, wie er mit seinem Team einen Hack im Dezember 2021 erlebt hat. Christian Feike, unabhängiger Makler der Investinlife, erklärt, wie er Unternehmen bei der Vorbereitung auf eine Cyberkrise und im akuten Fall unterstützt. Und last not least geben Suntka von Halen und Melanie Bauer von Brunswick Einblicke in Preparedness und Krisenkommunikation bei Cyberkrisen. Hier geht’s zur Anmeldung.