Der Rückversicherer Munich Re hat kürzlich in einem Report geschrieben, dass neben Erpressung, Betrug und Datendiebstahl Angriffe auf Lieferketten zu den häufigsten Cyberattacken gehören. Mit welchen haben Sie es als Kommunikationsberatung am häufigsten zu tun?
Ransomware-Angriffe – also Erpressung nach Verschlüsselung von Daten – sind nach wie vor eine der häufigsten Ursachen für Cyberkrisen. Das ist auch das Thema, mit dem wir es am meisten zu tun haben. Ungefähr ebenso häufig sind Lösegeldforderungen nach einem Datendiebstahl. Sie sind für die organisierte Kriminalität fast noch einfacher, weil man sic h den Verschlüsselungsteil spart und gleich direkt zur Erpressung übergehen kann. Der Großteil der Angriffe ist nach wie vor überwiegend ökonomisch motiviert. Vor dem Hintergrund geopolitischer Spannungen nehmen allerdings Nation-State-Aktivitäten rasant zu. Auch erhöht sich die Komplexität, was unter anderen mit der Entwicklung von KI zu tun hat.
Welche Branchen sind besonders gefährdet? Betrifft das alle?
Es betrifft alle Branchen, Unternehmen und Organisationen. Es gibt niemanden, der sagen kann, für mich interessieren sich Angreifer nicht. Häufig werden nicht einmal einzelne Unternehmen, Krankenhäuser oder Stadtverwaltungen angegriffen, sondern Systemlandschaften, Stichwort Zero Day Vulnerabilities. Wenn Sie ein bestimmtes System nutzen – nehmen wir als Beispiel die Java-Bibliothek Log4J –, wird es Sie einfach treffen.
Sie sind eine Kommunikationsberatung. Mit welchen Erwartungen kommen Unternehmen in Cyberkrisen zu Ihnen? Was können Sie ihnen anbieten?
Wir kümmern uns mit unseren Kunden um die Vorbereitung und um den Krisenfall selbst. In akuten Krisen sorgen wir mit dafür, dass es eine strategisch richtige und konzertierte Ansprache aller betroffenen Zielgruppen gibt. Das gilt für intern wie für extern. Wir unterstützen die Kommunikationsabteilung und den Krisenstab. In einer Krise muss alles sehr schnell und vieles gleichzeitig passieren, und weil wir häufig damit zu tun haben, besitzen wir viel Erfahrung aus unterschiedlichsten Situationen. Im Grunde kümmern wir uns mit unseren Kunden darum, zu definieren, was die richtige Kommunikationsstrategie ist und die entsprechenden Maßnahmen umzusetzen.
Welche weiteren Kompetenzen muss man mit an Bord haben, wenn man es um Cyberkrisen geht?
Wir haben bei uns im Netzwerk Firmen aus der IT-Forensik und Anwaltskanzleien. Eine unserer ersten Empfehlungen an Unternehmen ist meist, diese Experten dazu zu holen. Die Zeit, die man aufwendet, um den Angriff zu managen, kostet am Ende Geld und bedeutet Ausfallzeit, weil möglicherweise nicht mehr weitergearbeitet werden kann. Je schneller und professioneller die Krise bewältigt ist, desto besser.
Wie kündigt sich ein Cyberangriff an? Wie läuft das ab?
Es kann sein, dass der CEO eine Linkedin-Nachricht bekommt. Es kann sein, dass auf dem Produktionsgelände die Systeme verschlüsselt werden und auf allen Screens plötzlich steht, dass es einen Angriff gab. Oder es kommen morgens Mitarbeitende ins Büro, wollen ihre Rechner hochfahren und nichts geht mehr. Sie können keine E-Mails mehr schreiben, kommen nicht in MS-Teams rein. Wie erreichen Sie dann Ihre Kollegen?
Inwieweit gibt es bestimmte Tage, an denen solche Cyberkrisen passieren?
Es ist häufig so, dass wir Anrufe an Freitagabenden bekommen. Die Angreifer wissen, dass am Wochenende in den Unternehmen häufig nur Notbesetzungen da sind. Es dauert länger, bis ein Angriff entdeckt wird. Auch Weihnachten, Feiertage oder die Black Week sind beliebt. Angreifer machen sich solche Tage zunutze.
Was wären die ersten Schritte, wenn eine Krise da ist?
Die erste Frage ist, was man gesichert weiß und was man in einem ersten Schritt kommunizieren kann. Was ist überhaupt passiert? Bei Cyberkrisen ist es unsere Erfahrung, dass sich im Zuge der Forensik teilweise erst nach ein paar Tagen oder mehreren Wochen rausstellt, was wirklich konkret vorgefallen ist und in welchem Umfang.
An welcher Stelle setzt die Kommunikation ein?
Man sollte den Betroffenen so zügig wie möglich eine Information geben, ob ihre Daten und welche Daten betroffen sind. Dieses erste Statement kann sehr kurz sein. Im zweiten Schritt schauen wir über unseren Kommunikationshorizont hinaus. Ist das Krisenmanagement optimal organisiert? Ist der War Room, der dann üblicherweise nur virtuell existiert, richtig aufgestellt? Werden Rechtsberatung und IT-Forensik benötigt? Der nächste Schritt ist die Kommunikationsstrategie: Mit wem müssen wir jetzt sprechen? Wie sorgen wir dafür, dass in dem Krisenmanagementprozess die richtigen Informationen fließen? Zentral ist, dass das Unternehmen über alle Touchpoints inklusive der Telefonzentrale konsistente Informationen rausgibt.
Welche Zielgruppen würden Sie als erstes informieren? In der Kommunikation heißt es oft, „Mitarbeiter first“.
Ich würde immer die Betroffenen zuerst informieren. Oft ist es so, dass Betroffene und Mitarbeitende dieselbe Gruppe sind, denn in Unternehmen gibt es sehr viele Daten von Mitarbeitern. Dann muss man natürlich schauen, ob das Unternehmen börsennotiert ist. In den allermeisten Fällen muss man zusätzlich sehr schnell in eine vernünftige Kommunikation mit Partnern gehen: Kunden, Zulieferern und Dienstleistern. Das Netzwerk ist extrem wichtig. Wenn es eine B2C-Firma oder eine Stadtverwaltung mit Außenwirkung ist, wäre außerdem eine schnelle öffentliche Kommunikation ratsam.
Inwiefern macht es Sinn, Medien zu informieren?
Medien sind immer eine wichtige Zielgruppe. Wenn Sie als Kunde beispielsweise von einem Datendiebstahl betroffen sind, erwarten Sie allerdings, von dem Unternehmen direkt informiert zu werden und nicht aus dem „Handelsblatt“ davon zu erfahren. Dasselbe gilt für alle anderen Betroffenen. Jeder Fall ist individuell, aber üblicherweise gibt es nach der Information an die Betroffenen keinen Grund, das irgendwie künstlich zurückzuhalten – also nicht wenigstens reaktiv Anfragen zu beantworten.
Lesen Sie auch:
Wird die Kommunikation komplizierter, wenn etwas an Medien durchdringt?
Kompliziert wird es nur, wenn zu viele Spekulationen eingefangen werden müssen. Journalisten haben auch ein Interesse daran, die Dinge richtig darzustellen. Manchmal wird es schwierig, wenn das Verständnis dafür fehlt, dass Unternehmen während laufender Forensik und Ermittlungen häufig noch nicht mehr sagen können. Kurze Statements können so wirken, als ob etwas zurückgehalten werden solle. Dagegen hilft kontinuierlicher Dialog.
Viele Organisationen haben ein Krisen-Manual. Was muss in so einem Manual enthalten sein? Sollte es ausgedruckt vorliegen?
Es muss nicht ausgedruckt vorliegen, sollte aber selbst dann zugänglich sein, wenn kein Zugriff auf zentrale Daten mehr möglich ist. Das kann zum Beispiel auch eine externe Krisenplattform sein. So ein Playbook muss detailliert und robust sein. Die Vorbereitung muss über die einzelnen Geschäftsbereiche eines Unternehmens hinweg laufen. Es reicht nicht, wenn eine Kommunikationsabteilung sich ihr eigenes Playbook baut. Das ist unsere Aufgabe: dafür zu sorgen, dass die Bereiche miteinander kommunizieren.
Was bedeutet das konkret?
Es ist wie beim Fliegen. Es muss Notfallchecklisten geben, die abgehakt werden können. Die Prozesse müssen so beschrieben sein, dass klar ist, wer Entscheidungen trifft und wer Input liefert. Häufig steht auch ein Name als Ansprechpartner dort. Nur wenn diese Person im Urlaub oder im Flieger ist, bricht der Prozess ab. In großen Organisationen können Sie sich nicht quer durchs Büro etwas zurufen. Im Zweifel sind bei einem Cyberangriff alle Teams ins Homeoffice geschickt worden, und Sie erreichen sie nicht. Wir hatten einmal einen Fall, in dem im Team kaum Handynummern hinterlegt waren, und niemand konnte sich mehr erreichen. All das muss geregelt und regelmäßig upgedatet werden.
Was ist noch wichtig?
Man benötigt redundante Strukturen auch für das gesamte Krisenmanagement. Sie müssen nicht nur in der Lage sein, sich anzurufen, sondern auch, das Krisenmanagement rechtssicher zu dokumentieren – Aktivitäten, Dokumente, Chronologie. Wir haben häufig zu Beginn von Notfällen Whatsapp-Dialoge, in denen verschiedene Teams mit mehreren Leuten drin sind. Weil eine Registrierung für solche Calls fehlt, kann niemand kontrollieren, ob nicht eventuell auch noch einer der Angreifer mit drin ist, der alles mitliest. Es gibt diverse Beispiele, wie Angreifer interne Chatgruppen mitgelesen und daraus dann wieder das nächste Material gezogen haben, um ein Unternehmen zu erpressen oder zu kompromittieren. Da darf man nicht naiv sein.
Wie lassen sich Krisen trainieren und simulieren?
Wir trainieren und simulieren mit dem Ziel, die einzelnen Teams miteinander sprechen zu lassen. Jeder muss im Krisenfall wissen, was er zu tun hat und was der andere braucht.
Wir trainieren anhand eines Szenarios die einzelnen Schritte des Krisenmanagements und der Krisenkommunikation. Es ruft zum Beispiel ein Journalist von außen an. Eine Behörde meldet sich. Diejenigen, die in diesem Training am Tisch sitzen, müssen verstehen, unter welchem Druck die anderen stehen. Diese Resilienz, der Trainingseffekt, das Vertrauen – wir kriegen das schon hin, und wir können so eine Krise meistern – zahlt sich im Ernstfall aus, weil man einfach flexibel und schneller ist.
Inwieweit gibt es eine etablierte Vorgehensweise, wie man mit Ransom-Attacken umgehen soll? Soll man bezahlen oder nicht?
Es muss einem bewusst sein, dass auf der anderen Seite jemand sitzt, der einen Angriff auf unser Unternehmen getätigt hat und diese Sachen professionell jeden Tag macht. Die Frage, ob man bezahlen soll oder nicht, ist individuell und sehr sensibel. Man kann sie nicht verallgemeinern. Grundsätzlich muss man sich darüber im Klaren sein, dass man kriminelle Vereinigungen unterstützt, wenn man bezahlt. Oder Gruppen aus sanktionierten Ländern unterstützt. Es gibt auch keine Garantie, den Schlüssel für die Daten zurückzubekommen.
Was gilt es bei der Kommunikation mit den Erpressergruppen zu beachten?
Sie wissen nicht genau, mit wem Sie es zu tun haben. Aber es sind immer kriminelle Organisationen. Niemand sollte leichtfertig in so eine Kommunikation reingehen und es einfach selbst machen. Dafür gibt es Profis. Aus Reputationssicht muss man sich darüber im Klaren sein, dass natürlich alle Einzelheiten der Kommunikation später auch publik werden können. Es gibt ausreichend Fälle, in den Angreifer die gesamten Protokolle veröffentlicht haben.
An welchen Stellen kann KI den Organisationen bei Cyberangriffen helfen?
KI hilft enorm in den Bereichen Detect and Defend. Es lässt sich mit KI ein großer Teil der Systeme besser überwachen. Angriffe und Muster lassen sich einfacher erkennen. KI kann auch das Monitoring unterstützen, zum Beispiel zu schauen, in welchen Konversationen das Unternehmen vielleicht vorkommt. Im Krisenfall brauchen Sie aber vor allem MI – menschliche Intelligenz, Erfahrung und genaues Wissen über Ihr Unternehmen. Niemand kann so gut beurteilen wie ein Krisenmanagement-Team in dem Unternehmen, was wirklich gebraucht wird.
Sie sprachen anfangs von einer Zunahme von Angriffen und von einer höheren Komplexität. Inwieweit ist das auf KI zurückzuführen?
KI ist auf der Angreifer-Seite ein wichtiger Faktor. Stichwort Social Engineering. Sie können zum Beispiel über KI schnell herausfinden, wie Sie den CEO, CFO oder andere Personen im Unternehmen am besten angreifen können. Deshalb ist es so wichtig, in der Vorbereitung zu schauen, wo ein Angriff erfolgen könnte. Wo würde eine KI Informationen verknüpfen und angreifen? Die Fälle von CEO Fraud, in denen also jemand zum Beispiel vom angeblichen CEO gedrängt wird, eine große Überweisung zu tätigen, wurden meist dann verhindert, wenn Leute sich untereinander kannten. Jemand hat erkannt, dass es nicht die richtige Stimme war oder jemand spricht anders in Ausdrucksweise oder Ton.
Weshalb sind CEOs und CFOs so interessant?
Bei CFOs liegt häufig das Risikomanagement. CEOs haben einen großen Hebel im Unternehmen. Beide sind am Ende diejenigen, die persönlich im Controlling anrufen können, damit eine Überweisung getätigt wird. Es geht darum, Sicherungsmechanismen zu überspringen und Druck aufzubauen. Die zweite interessante Gruppe sind Geheimnisträger. Es könnte sich lohnen, an die Informationen des Strategiechefs heranzukommen.
Angreifer überlegen sich also, wo sie maximalen Schaden anrichten und den größtmöglichen Gewinn erzielen können.
Absolut. Das hat aber auch damit zu tun, dass es von CEOs viel öffentliches Material gibt. Um eine Stimme nachzubauen, benötigen Sie Interviews und Podcasts, sowie Videos und Bildmaterial für Deepfakes. Das ist komplizierter und zielgerichteter als Ransomware. Zum Schutz vor Deepfakes gehört es daher auch, in der Vorbereitung zu schauen, wer die vulnerabelsten Personen und jene mit den wichtigsten Funktionen sind.
An welche Grundsätze sollte man sich in einer Cyberkrise halten?
Sie dürfen nur wirklich gesicherte Informationen kommunizieren. Das Zweite ist, nicht versuchen, schönzureden, dass ein Angreifer erfolgreich war. Als Kommunikator wünscht man sich zu sagen, es sei alles nicht so schlimm, dass zum Beispiel keine sensiblen Daten betroffen sind. Aber das geht häufig nicht, weil es keine gesicherten Informationen sind, weil die Forensik noch nicht so weit ist. Außerdem geht es um Konsistenz auf allen Kanälen. Was nicht passieren darf, ist, dass im Zuge einer chaotischen Situation jemand auf Zuruf ein Statement nach außen gibt, das dann hinterher wieder eingesammelt werden muss.
Neben Konsistenz geht es um Kontinuität. Sobald neue Informationen vorliegen, meldet man sich wieder. Sie sehen, auch bei Cyberkrisen geht’s um die Grundsätze guter Kommunikation.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe #Krise. Das Heft können Sie hier bestellen.
