Mittlerweile hat man sich fast schon an die Schlagzeilen gewöhnt „Unternehmen XY wurde Opfer eines Hackerangriffs“, und auch die steten Warnungen der Behörden „Die größte Bedrohung für Wirtschaftsunternehmen besteht durch Ransomware“ scheinen auf eher gelangweilte Ohren zu stoßen… Das alles ändert sich schlagartig, wenn das eigene Unternehmen, die eigene Organisation von solch einer Attacke betroffen ist. Dann ist die Aufregung groß – denn meist geht von jetzt auf gleich wenig bis nichts mehr: Die Produktion steht still, Produktlieferungen sind nur noch verzögert oder gar nicht mehr umsetzbar, Zahlungswege sind abgeschnitten, in vielen Fällen sind sogar Telefonate und Mailempfang bzw. -versand nicht mehr möglich.
Doch wie kommuniziert man, wenn die gewohnte technische Infrastruktur außer Betrieb ist – und vor allem was und an wen?
Dieser Frage werden sich über kurz oder lang alle Kommunikationsverantwortlichen stellen müssen – denn dass auch ihr Unternehmen von einem Cyberangriff betroffen sein wird, ist nahezu unausweichlich: Die Angriffe auf Wirtschaftsunternehmen sind mittlerweile Alltag, gleichzeitig werden Ransomware-Angriffe aufgrund des niedrigen Aufwands seitens der Kriminellen zum Massengeschäft, das zunehmend auch KMU, Kommunen, Universitäten und Forschungseinrichtungen betrifft. Sich vorab mit diesem Thema und den dann notwendigen Strukturen, Prozessen und Fähigkeiten zu befassen, ist also nicht nur ratsam, sondern kann im Ernstfall über das Überleben des Unternehmens entscheiden.
Das Leipziger Beratungsunternehmen Dunkelblau ist spezialisiert auf Krisenmanagement und Krisenkommunikation und hat in den vergangenen Jahren zahlreiche Organisationen begleitet, deren IT-Systeme verschlüsselt wurden. Zu den komplexesten Fällen zählte der Angriff der Gruppe Akira auf die Südwestfalen-IT, einen kommunalen Zweckverband, der IT-Dienstleistungen für über 70 Kommunen und 6 Landkreise bereitstellt. Mehrere Wochen lang begleitete das Leipziger Team den Krisenstab und die Kommunikationsverantwortlichen im westfälischen Siegen. Beim größten Cyber-Vorfall in der öffentlichen Verwaltung in Deutschland unterstützte Dunkelblau sowohl auf strategischer Ebene als auch bei der Kommunikation mit Medienvertreter:innen und den betroffenen Bürgerinnen und Bürgern. Wie dies konkret ablief, erläutern Dunkelblau-Geschäftsführer Marcus Ewald und seine Kollegin Janka Kreißl am Donnerstag, 12. September um 10:00 Uhr in der Expert Session „Kontrolle des Kontrollverlusts – Krisenkommunikation bei der Südwestfalen-IT“.
Auch Kommunikationsverantwortliche brauchen ein BCM
Generell gilt: Alle Beteiligten im Krisenstab können besser arbeiten, wenn es festgelegte Strukturen und Prozesse gibt, die auch vorab schon einmal einem Stresstest unterzogen wurden. Hierfür bieten sich unterschiedliche Formate an – vom einfachen Table Top Workshop bis hin zur umfassenden Krisensimulation. Als Kommunikationsverantwortliche sollten Sie daraufhin wirken, dass eine abteilungsübergreifende Vorbereitung auf Cyber-Angriffe existiert, und dass entsprechende Prozesse regelmäßig geübt und verbessert werden – vor allem auch für Ihren eigenen Bereich. Denn oftmals haben viele Unternehmensbereiche ein BCM für Ernstfälle – die Kommunikationsverantwortlichen aber nicht. Genau das braucht es aber, weil viele Stakeholder auf schnellstem Weg informiert werden müssen.
Aufgaben im Ausnahmezustand – wie Kommunikationsprofis Reputationsverlust minimieren
Verantwortlichkeiten zuweisen
Wer ist intern für welche Workstreams zuständig, welche Aufgaben übernehmen externe Dienstleister und Partner – dies muss in den ersten Stunden eindeutig geklärt werden. Zu beachten sind dabei sowohl behördliche Vorschriften (Meldepflichten an die Datenschutzbehörde, Anzeigenerstattung bei Polizei etc.) als auch banal scheinende Aufgaben wie Protokollierung oder die Versorgung mit Essen. Für Kommunikationsverantwortliche die wichtigste Frage: Wer kommuniziert wann an wen, und über welchen Kanal?
Kommunikationsstrategie festlegen
Transparente, zeitnahe Kommunikation, die das Vertrauen der Stakeholder erhält und Unterstützung einfordert, kann bares Geld wert sein. Ob eine aktive oder reaktive Kommunikation ratsam ist, kann sich in Einzelfällen unterscheiden. Hier muss je nach Betroffenheit der einzelnen Arbeitsbereiche und Stakeholder klug entschieden werden. Überlegungen zur Lösegeldzahlung, Priorisierung der Kundengruppen oder auch erste Holding Statements lassen sich bereits vorab ohne zeitlichen Druck bearbeiten.
Zeitpläne kommunizieren
Die wichtigste Frage nahezu aller Anspruchsgruppen bei einem Ransomware-Angriff lautet „Wann funktioniert alles wieder so, dass ich meinen Job machen kann?“ Diese Frage lässt sich am besten durch Prozesskommunikation beantworten: Verantwortliche sollten klar benennen, welche Schritte erreicht wurden und welche geplant sind – und hierbei lieber etwas zu pessimistisch als zu ambitioniert kommunizieren. Legen Sie fixe Kommunikationszeitpunkte fest und halten Sie diese ein – auch wenn es nichts Neues gibt. Kommunizieren Sie auch Nichtwissen: Ehrliches Eingestehen von Unsicherheiten ist besser als ungesicherte Aussagen und Versprechungen.
Freiräume schaffen
Wenn viele Aufgaben unter hohem Zeitdruck und massiver Unsicherheit zu bewältigen sind, ist Klarheit ein hohes Gut. Kommunikator:innen sollten in Krisenstäben so lange nachfragen, bis sie wirklich alle technischen und organisatorischen Details verstanden haben. Nur so können sie die aktuelle Lage, Prognosen, Einschränkungen und Fortschritte sauber an die entsprechenden Zielgruppen kommuniziere und zeitaufwändige Nachfragen vermeiden. Dadurch halten Sie nicht nur sich, sondern auch den internen und externen IT-Verantwortlichen den Rücken frei. Zudem lassen sich so Unsicherheiten reduzieren und Enttäuschungen managen.
Sondersituation akzeptieren
In Ausnahmelagen klammert man sich gerne an die Hoffnung, dass bald wieder Normalzustand herrscht – doch bei Ransomware-Angriffen kann es selbst im Best Case Wochen dauern, bis die technische Infrastruktur wieder stabil läuft. Schaffen Sie daher schnell Workarounds (alternative Kommunikationskanäle, Plattformen zur Zusammenarbeit, händisch geführte Kontaktlisten) und improvisieren Sie bestmöglich. Letzten Endes geht es darum, zu zeigen, dass Sie in der Krise das Richtige tun: umfassend kommunizieren, um Unsicherheiten zu reduzieren.