Erfolgsfaktor: Cyber-Prävention
DDoS-Attacken (Distributed-Denial-of-Service) auf Unternehmen, IoT-Angriffe (Internet of Things) auf Infrastruktur oder Hacker, die Lösegeld erpressen – die Bedrohungen durch Cyberangriffe sind ebenso vielfältig wie alarmierend. Laut dem Digitalverband Bitkom entstand der deutschen Wirtschaft allein im vergangenen Jahr ein Schaden von mehr als 148 Milliarden Euro. Das 22316_MAG hat mit Dirk von Manikowsky und Till Valentin Staschik von der Kommunikationsberatung FGS Global darüber gesprochen, welche Kommunikationsmaßnahmen im Ernstfall helfen, die Reputation zu schützen und was Unternehmen präventiv tun können, um sich auf den Ernstfall vorzubereiten.
Dirk von Manikowsky und Till Valentin Staschik sind Mitautoren der 2. Auflage des Springer Gabler Fachbuchs „Professionelle Krisenkommunikation: Basiswissen, Impulse und Handlungsempfehlungen für die Praxis“. Weitere Informationen zu ihrem Fachbeitrag mit dem Titel „What the hack? Strategische Krisenkommunikation bei Cyberangriffen“ finden Sie hier.
22316_MAG: Herr von Manikowsky, angesichts der zunehmenden Bedrohung durch Cyberangriffe stehen Unternehmen vor immer größeren Herausforderungen. Was sind die wesentlichen Treiber dieser Entwicklung?
Dirk von Manikowsky: Der weltweite Zusammenbruch von Cloudsystemen nach einem einzelnen, fehlerhaften Update hat es kürzlich eindrucksvoll demonstriert: Wir leben in einer digitalisierten Welt, die viel verwundbarer ist, als wir es wahrhaben wollen. „Every company is a data-company“ ist ja nicht nur so dahingesagt. Datensicherheit und die Integrität der IT sind für alle Unternehmen von höchster Relevanz. Und hier setzen auch die Cyberkriminellen an, als Einbrecher in die digitale Welt. Und wie in der analogen Welt gibt’s Vandalismus, Spionage, Diebstahl und Erpressung – teilweise sogar begünstigt durch einzelne Staaten. Je sensibler die Daten und Geschäftsmodelle, desto wertvoller die Beute und desto gefährdeter die Unternehmen. Gleichzeitig erleben wir eine massive Professionalisierung und Kommerzialisierung der Täter. „Ransom as a Service“, Software für Hacker mit 24-Stunden-Hotline-Support und KI-Tools, die bei der Entwicklung von neuen Einbruchswerkzeugen helfen. Die Bedrohung wächst mindestens ebenso schnell, wie der Entwicklungsfortschritt, den wir im Bereich der künstlichen Intelligenz erleben.
„Nicht nur Systeme, sondern auch Vertrauen wiederherstellen.“
Wie wirkt sich diese Zunahme von Cyberangriffen konkret auf Unternehmen aus, Herr Staschik?
Till Valentin Staschik: Die Folgen von Cyber-Angriffen lassen sich grob in drei Dimensionen einteilen: wirtschaftliche, juristische und reputationsbezogene Folgen. Zu den ersten beiden Dimensionen gehören die Kosten für die Bewältigung des Angriffs und die Wiederherstellung der Systeme, die Unterbrechung des Tagesgeschäfts sowie die Kosten für entwendetes geistiges Eigentum, Gerichtsverfahren und mögliche Straf- und Entschädigungszahlungen. Kurz: Der Schaden für Unternehmen kann enorm sein. Was viele nicht im Blick haben, ist der Reputationsschaden, ausgelöst durch den Vertrauensverlust bei Stakeholdern, also z.B. Mitarbeitenden, Kunden und Geschäftspartnern. Die Reputationskosten können die wirtschaftlichen und juristischen Schäden langfristig um ein Vielfaches übersteigen.
Aber wieso leidet denn das Vertrauen in das Unternehmen, wenn es doch selbst Opfer einer kriminellen Attacke wurde?
Till Valentin Staschik: Das Problem ist, dass bei Cyberattacken am Anfang noch sehr, sehr viel unklar ist. Manche Angriffe werden erst viele Wochen später entdeckt, wenn z.B. Systeme bei Ransomware-Attacken verschlüsselt werden oder im Darknet eine Lösegeldforderung für abgeflossene Daten auftaucht. In dem Moment kann keiner mit Gewissheit sagen, welche Daten und Personen betroffen sind, welche Gefahren noch lauern, wo ggfs. gestohlene Daten auftauchen und so weiter. Ursachen sowie die Täter bleiben zunächst – in vielen Fällen auch für immer – unbekannt. Manchmal kann nicht mal klar gesagt werden, ob die Hacker noch im System sind. In der Folge ist die Kommunikation der betroffenen Unternehmen mit ihren Stakeholdern extrem dünn oder kommt gänzlich zum Erliegen. Das schürt Ängste und belastet das Vertrauen immens, denn gerade in solchen Situationen erwarten Stakeholder schnelle und gleichzeitig verlässliche Informationen. Nach dem Motto: die sagen mir nichts, das kann nichts Gutes bedeuten. Als Kommunikationsberater stellen wir uns deshalb nach Cyberangriffen die Frage: Wie können wir nicht nur Systeme, sondern auch das Vertrauen in ein Unternehmen wiederherstellen?
Uns wie stellt man das Vertrauen wieder her? Mit einem Reset-Knopf?
Dirk von Manikowsky: Das wäre doch super, wenn das ginge, oder? Aber zunächst einmal ergeben sich ganz praktische Herausforderungen. Wie kommuniziere ich, wenn die dafür erforderlichen Systeme gar nicht zur Verfügung stehen? Hinzu kommen rechtliche Frage und natürlich Themen der IT-Security, die mit der Frage, „was sag ich wem wann?“ in Einklang gebracht werden müssen. Das ist eine hochkomplexe Aufgabe, die viel Erfahrung und Sachverstand erfordert. Aber fast noch wichtiger: Es geht um Empathie, nicht nur um Technologie. Als Kommunikator muss ich verstehen, was meine Stakeholder von mir erwarten, und ihnen widerspiegeln, dass mir diese Erwartungen, ihre Sorgen und Unsicherheit und eigene Herausforderungen wichtig sind. Und dass es für das Unternehmen Priorität hat, sich um diese Anliegen zu kümmern. Die Wiederherstellung von Daten- und Systemintegrität gehört natürlich dazu – es ist aber auch nicht alles. Und wenn sichtbar wird, dass sich das betroffene Unternehmen nicht nur um die eigenen Belange, sondern gleichzeitig auch um seine Stakeholder kümmert, schafft das eine ganz andere Basis als einsilbige Statements oder gar Funkstille.
„Es geht um Empathie, nicht nur um Technologie.“
Haben Sie konkrete Tipps für Unternehmen, die es getroffen hat?
Till Valentin Staschik: Das Unternehmen muss glaubwürdig vermitteln, dass es alles tut, um die negativen Auswirkungen so gering wie möglich zu halten. Dafür hilft es bereits, sich schnell und transparent mit den unmittelbar betroffenen Gruppen auszutauschen und zu vermitteln, wie die nächsten Schritte aussehen. Das schafft bereits Orientierung. Gleichzeitig lassen sich so die Sorgen der Betroffenen aufnehmen. Zweitens empfehlen wir unseren Kunden, bereits frühzeitig den Schulterschluss mit den Behörden zu suchen. Datenschutz- und Strafverfolgungsbehörden sind Verbündete, auch zum Schutz der Betroffenen. Drittens ist es wichtig, alle relevanten Abteilungen wie IT, Recht, Personal und Kommunikation in einer Krisen-Taskforce zu mobilisieren. Dieses Team muss koordiniert zusammenarbeiten, um eine schnelle Entscheidungsfindung und einen reibungslosen Informationsfluss zu gewährleisten.
Dirk von Manikowsky: Und bitte nicht die Mitarbeitenden vergessen. Intern ist die Verunsicherung häufig am größten. Jeder will wissen, ob der Arbeitgeber die Lage unter Kontrolle hat und, ob die eigenen persönlichen Daten wie Personalakte und Gehaltsabrechnungen noch sicher sind. Durch ehrliche und offene Kommunikation sowie Fürsorge für die eigenen Mitarbeitenden können betroffene Unternehmen Sympathie und Unterstützung (zurück-)gewinnen. Außerdem: Mitarbeitende möchten die Einschätzung ihres Arbeitgebers nicht den Nachrichten entnehmen. Ein geschlossenes Unternehmen und eine Belegschaft, die fest hinter dem Unternehmen steht, ist in Krisenzeiten von unschätzbarem Wert.
Können sich Unternehmen denn irgendwie auf den Ernstfall vorbereiten?
Till Valentin Staschik: Unternehmen müssen sich sogar auf den Ernstfall vorbereiten – egal ob DAX-Konzern oder KMU, irgendwann trifft es jeden mal. Eine schnelle und inhaltlich konsistente Kommunikation ist Gold wert, wenn der Ernstfall eintritt. Eine umfassende Vorbereitung beginnt mit einer Bestandsanalyse der bestehenden Prozesse und der Einrichtung einer speziellen Krisen-Taskforce, die klare Verantwortlichkeiten und Kommunikationswege festlegt. Diese sollte sich aus Vertretern der IT-, Kommunikations- und Rechtsabteilung sowie einem Mitglied der Geschäftsleitung zusammensetzen. Einen Vorsprung können sich Unternehmen durch vorgefertigte und leicht adaptierbare Kommunikationsmaterialien verschaffen. Die Kommunikationsabteilung entwickelt hierzu in enger Abstimmung mit der IT- und Rechtsabteilung eine Toolbox, die Sprachregelungen, Frage-und-Antwort-Dokumente sowie weitere ergänzende Materialien wie beispielsweise Kundenbriefe und Social-Media Statements für verschiedene antizipierte Szenarien enthält. Die ausgefeiltesten Prozesse und Toolboxen nützen jedoch kaum etwas, wenn sie nur in der Schublade liegen. Sie müssen regelmäßig im Rahmen von Krisensimulationen getestet und aktualisiert werden, um sicherzustellen, dass alle Beteiligten ihre Rollen und die vorhandenen Materialien kennen und die Kommunikation im Ernstfall reibungslos funktioniert.
„Die Kommunikationsbranche muss sich weiter professionalisieren, um Schritt zu halten.“
Lassen Sie uns abschließend einen Blick in die Zukunft werfen. Wie wird sich Cyberkriminalität in den kommenden Jahren verändern?
Dirk von Manikowsky: Künstliche Intelligenz macht unser Leben nicht nur effizienter, sondern erleichtert ebenfalls Kriminellen die Arbeit. Die Technologie wird beispielsweise jetzt schon eingesetzt, um durch Algorithmen systematisch Schwachstellen in Systemen zu identifizieren und diese anschließend durch automatisierte Angriffe auszunutzen. Da Angriffe dadurch immer weniger technisches Vorwissen und zeitlichen Einsatz erfordern, wird Cyberkriminalität weiter zunehmen. Schon jetzt häufen sich sogenannte Deepfakes, also durch KI erstellte Betrugsfälle mit super realistisch wirkenden Inhalten – vom angeblichen CEO-Anruf bis zu gefakten Medieninhalten, einschließlich Videos von Szenarien, die nie stattgefunden haben. Wir glauben, dass sich die Kommunikationsbranche dahingehend weiter professionalisieren muss, um mit diesen technologischen Veränderungen Schritt zu halten. Und die Unternehmenskommunikation sollte die Chance ergreifen, sich selbst als integralen Akteur bei der Bewältigung von Cyberangriffen zu sehen und sich aktiv in das Risikomanagement ihres Unternehmens einzubringen. Nicht nur als Wächter der Reputation, sondern auch als Koordinator der Informationsflüsse. Sollte der Ernstfall eintreten, besitzt das Unternehmen dann die richtigen Prozesse, um klar und emphatisch mit Stakeholdern zu kommunizieren, Vertrauen zu erhalten und seine Reputation zu schützen.
Über die Autoren:
Dirk von Manikowsky ist Partner der strategischen Kommunikationsberatung FGS Global und berät seit 2011 Organisationen, die sich in herausfordernden Krisen- und Veränderungssituationen befinden. Seine Schwerpunkte liegen dabei auf straf- und zivilrechtlichen Auseinandersetzungen, Compliance-Fällen und Cyber Security. Dafür gründete er 2017 eine unternehmensweite Taskforce, die inzwischen im internationalen Verbund von FGS Global agiert. Als Autor und Referent zu den Themen Cyber-, Litigation- und Krisenkommunikation publiziert er in juristischen Fachzeitschriften und hält regelmäßig Vorträge zu dem Thema.
Till Valentin Staschik ist Senior Associate in FGS Globals Crisis and Issues Management Practice. In der Vergangenheit beriet er unter anderem Unternehmen der Automobil-, Finanz- und Technologiebranche bei reputationskritischen Cyberangriffen. Vor seinem Berufseinstieg bei FGS Global sammelte er praktische Erfahrung bei der Ständigen Vertretung Deutschlands bei den Vereinten Nationen und im Büro des Bundestagsabgeordneten Charles Huber.
Hinweis zum Buch:
Den kompletten Beitrag von Dirk von Manikowsky und Till Valentin Staschik finden Sie hier. Zur Buchwebsite mit einer Übersicht aller Autoren und Beiträge geht es hier.