Cybersecurity und die Rolle der Kommunikation

Beatrix Ta

Beatrix Ta

Dr. Beatrix Ta ist Projektmanagerin in der Konzernkommunikation von news aktuell sowie Expertin für Content-Konzeption und -Produktion, die besonders gerne Schachtelsätze verschwinden lässt.

Zum Profil

Datendiebstahl, Industriespionage, digitale Erpressung, Phishing, Malware oder Botnetze: Die Bandbreite von Cyberkriminalität wird immer größer. 9 von 10 Unternehmen waren laut einer Biktom-Studie in den vergangenen zwei Jahren von Internetkriminalität betroffen. Es ist keine Frage mehr, ob, sondern wann ein Unternehmen von Hackern angegriffen wird. Unternehmen müssen sich für den Krisenfall vorbereiten. Eine Schlüsselrolle kommt dabei der Kommunikation zu. 

Während technologische Innovationen einerseits viel Potenzial für die Zukunftsfähigkeit unserer Wirtschaft bieten, eröffnet die fortschreitende Digitalisierung andererseits immer neue Türen für Missbrauch. Mehr Vernetzung und Technologisierung bedeutet mehr Anfälligkeit für Cyberangriffe. Sind wir ausreichend gewappnet vor Cyberkriminalität? Welchen Stellenwert hat Cybersecurity in den Unternehmen? Es ist zu befürchten, dass gerade viele kleine und mittlere Unternehmen sich der Gefahren noch nicht so bewusst sind. Da Cyberangriffe aber oftmals zufällig und automatisiert ausgeführt werden, kann es jeden treffen. 

Von Ransomware bis CEO-Fraud

Letztes Jahr legte ein Verschlüsselungstrojaner - sogenannte Ransomware - zum Beispiel die IT-Systeme von Media Markt und Saturn lahm. Durch die Schadsoftware fielen sämtliche Kassen- und Warenwirtschaftssysteme aus, in den Geschäften konnte daher nur mit Bargeld bezahlt werden. Auch Warenbestellungen, Rückgaben und Abholungen waren nicht mehr möglich. Medienberichten zufolge forderten die Angreifer 240 Millionen US-Dollar in Bitcoin, um die verschlüsselten Daten wieder freizugeben. 

Eine andere Variante von Cyberkriminalität ist der sogenannte CEO-Betrug oder CEO-Fraud. Dabei wird versucht, mit der geklauten Identität von Vorgesetzten Gelder zu erschleichen. So etwa vor zwei Jahren beim Schweizer Radio und Fernsehen, als sich Kriminelle bei einer SRF-Angestellten als SRF-Direktorin Nathalie Wappler ausgaben und in ihrem Namen Google-Geschenkguthaben einforderten. Die Mitarbeiterin fiel zum Glück nicht auf den Betrugsversuch rein.

Je nach Schwere richten Cyberdelikte immensen finanziellen Schaden an. Und auch die Auswirkungen auf die Unternehmensreputation darf nicht unterschätzt werden. Wenn etwa sensible Kundendaten einmal geklaut sind, ist der Imageschaden nur schwer wieder gut zu machen. 

Cyberkriminalität muss endlich zwingender Bestandteil des Risikomanagements in Unternehmen werden und die Führungsriege muss das Thema Cybersecurity hochpriorisieren.Klicken, um zu posten

Umso wichtiger ist es, dass Cyberkriminalität endlich zwingender Bestandteil des Risikomanagements in Unternehmen wird und die Führungsriege das Thema Cybersecurity hoch priorisiert. Sprich, die Unternehmen müssen aufgrund einer individuellen Risikoanalyse einen konkreten Maßnahmenplan für die Prävention und für den Krisenfall ausarbeiten. Sie sollten entsprechende Budgets für Cybersecurity-Fachkräfte zur Verfügung stellen und alle Mitarbeiterinnen und Mitarbeiter ausreichend für die Thematik sensibilisieren. Falls die Krise eintrifft, muss ein klarer Notfallplan vorliegen und externe wie interne Stakeholder schnellstmöglich informiert werden. Die Kommunikation ist jetzt das A und O. 

Vorbereitung ist die halbe Miete

Gemeinsam mit Geschäftsleitung, IT und Rechtsabteilung sollten die Kommunikationsverantwortlichen mögliche Cyberangriffsszenarien durchspielen und als potenzielle Krisenauslöser in den Krisenplan integrieren. Was muss zum Beispiel passieren, wenn wichtige Kundendaten abgegriffen oder was, wenn die Webservices des Unternehmens lahmgelegt werden? Wer muss dann wen, wann und wie informieren? Gutes Krisenmanagement definiert für konkrete Krisenfälle feste Prozedere und Verantwortlichkeiten. Wer ist im Krisenteam? Wer beurteilt wie die Lage und leitet welche Kommunikations- und Handlungsmaßnahmen ein? Über welche Kanäle wird welche Information wann und von wem ausgespielt? In welchen Fällen müssen, und in welchen können Stakeholder informiert werden? Je detaillierter Unternehmen ihre Maßnahmen auf einen potenziellen Cyberangriff vorbereiten, desto souveräner können sie mit ihm umgehen.

Transparente und frühzeitige Kommunikation

Im Krisenhandbuch fest verankert sollte die Kommunikation an alle relevanten Stakeholder sein. In der Regel gilt, zuerst die eigenen Mitarbeiterinnen und Mitarbeiter über die Situation – also die bereits eingeleiteten Maßnahmen sowie die nächsten Schritte – zu informieren und ihnen eine Guideline für die Kommunikation nach außen an die Hand zu geben. Dann sind möglichst zeitnah andere Stakeholder, etwa Kunden, Lieferanten, bei kritischen Infrastrukturen die Behörden und letztlich die Medienöffentlichkeit in Kenntnis zu setzen. 

Wenn es um Geschwindigkeit und Gleichzeitigkeit geht, können Kommunikationsdienstleister wie news aktuell unterstützen. In kürzester Zeit erreichen Unternehmensmeldungen über das ots-Netzwerk 100 Prozent der relevanten und tagesaktuellen Medien - deutschlandweit und international. news aktuell verbreitet Unternehmensnachrichten exklusiv über den nationalen Nachrichtenticker der Deutschen Presse-Agentur dpa und pusht die Meldungen somit direkt in die Redaktionssysteme der Medien. Zusätzlich erscheinen die Meldungen auf dem Presseportal, einem der führenden Portale für Pressemitteilungen in Deutschland. So können Unternehmen im Falle eines Cyberangriffs mit nur einem Tool ohne großen Aufwand und Zeitverlust die breite Öffentlichkeit erreichen. 

Trotz gebotener Eile und Transparenz sind vage und möglicherweise falsche Botschaften jedoch unbedingt zu verhindern. Sie erhöhen nur die Verunsicherung und führen in der Folge zu einem noch stärkeren Reputationsverlust. Besser ist es, den Prozess der Problembehebung und der Aufarbeitung bis zum Schluss kommunikativ zu begleiten und zu gegebener Zeit neue relevante Informationen mit allen Stakeholdern zu teilen. 

Auch kann es in manchen Fällen sinnvoll sein, mit der externen Kommunikation noch zu warten, etwa aus ermittlungstaktischen Gründen, wenn die Cyberkriminellen nicht vorgewarnt werden sollen. 

Nicht auf Erpressung eingehen

Auf keinen Fall sollten sich betroffene Firmen erpressen lassen, indem sie auf die oftmals geforderten Lösegeldbeträge der kriminellen Akteure eingehen – etwa, um gestohlene Daten zurückzuerhalten oder um lahmgelegte IT-Systeme wieder aktivieren zu können. In der Regel liefern Cyberkriminelle auch nach Bezahlung des Lösegeldes die versprochenen Entschlüsselungscodes nicht aus. 

Last but noch least: Je nach Sicherheitsvorfall haben Unternehmen eine Meldepflicht. Insbesondere, wenn Unternehmen der kritischen Infrastruktur angehören.  Bei Störungen im Geschäftsablauf muss das Bundesamt für Sicherheit in der Informationstechnologie (BSI) informiert werden. Aber auch, wenn personenbezogene Daten von Kunden oder der Belegschaft betroffen sind, gibt es eine Meldepflicht - in diesem Fall an die zuständige Datenschutzbehörde. Grundsätzlich empfiehlt sich darüber hinaus immer, eine Anzeige bei der Polizei aufzugeben. Denn nur so kann Cyberkriminalität nachverfolgt und eingedämmt werden. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Reihe von Checklisten und Maßnahmenpaketen im Fall eines IT-Sicherheitsvorfalls.

Mehr zum Thema: