Cyber Reputation: Mehr Empathie als Technik gefragt

Bei Cyberangriffen ist es für die betroffenen Unternehmen wichtig schnell zu agieren, um Daten zu schützen und Reputation wiederherzustellen. Cyberkrisen der jüngeren Vergangenheit haben gezeigt, dass es vier Phasen der Kommunikation gibt, aus der die Unternehmen vorausschauende, präventive Krisenkommunikation ableiten sollten, um so ein aktives Cyber-Reputationsmanagement zu betreiben.

Eine „DDoS“-Attacke legt die Server lahm, Hacker stehlen Kundendaten oder spähen sensible Unternehmensinformationen aus – die Szenarien für Cyberangriffe sind bedrohlich. Mit der starken Verlagerung auf Remote-Arbeit im Zuge des COVID-19-Lockdowns haben die Möglichkeiten für Hacker dramatisch zugenommen. Leider sind solche Attacken aber unternehmerischer Alltag. Die vorderste Verteidigungslinie bildet rund um die Uhr die IT-Security. In Gefahr sind jedoch nicht nur IT-Systeme und Firmendaten (Intellectual Property), sondern auch das Vertrauen der Stakeholder. Sie wollen die Gewissheit haben, dass das Unternehmen Cyberrisiken im Griff hat und verantwortungsvoll mit den ihm anvertrauten Daten umgeht. Wir nennen das Cyber Reputation.

Für den Reputationsschutz gibt es keine Firewall, hier ist die Kommunikation gefragt. Denn oft wird aus einem kleinen Vorfall erst dann eine ernstzunehmende Cyberkrise, wenn Unternehmen Fragen offenlassen, handwerklich schlecht reagieren oder sich in juristischen Fallstricken verheddern. Dann kann selbst ein kleinerer Zwischenfall zu einer ernsthaften Reputationskrise führen. In der Wahrnehmung kann so aus dem Opfer eines Angriffs schnell ein Täter werden, der schweigt, vertuscht oder falsche Versprechungen macht.

Die erste und oberste Priorität der verantwortlichen Experten ist verständlicherweise die Auseinandersetzung mit operativen Fragen der IT-Sicherheit. Gute Kommunikation aber ist genauso wichtig. Und sie funktioniert nicht über technische Erklärungen, sondern muss die betroffenen Menschen mit ihren Sorgen, Nöten und Ängsten in den Mittelpunkt stellen – über alle Phasen der Krise hinweg.

 

Der Lebenszyklus einer Cyberkrise

Cyberkrisen der jüngeren Vergangenheit haben gezeigt, dass es vier Phasen der Kommunikation gibt:

Nachdem ein Unternehmen erkannt hat, dass es Opfer einer Cyberangriffs geworden ist, beginnt die Discovery-Phase. Unternehmen fokussieren sich in dieser Phase oft auf technische Zusammenhänge des Vorfalls – also etwa auf die Frage, wie ein externer Akteur auf ihre Systeme zugreifen konnte. Sie wollen so schnell wie möglich die Schwachstelle finden und die Sicherheitslücke schließen. Das ist verständlich, geht aber oft zulasten der Kommunikation. Neben der Frage „Warum ist der Vorfall passiert und was können wir dagegen tun?“ sollte es nun insbesondere um die Frage gehen: „Wie schützen wir in dieser Situation die Interessen unserer Stakeholder?“

In der Disclosure-Phase kommt es zur unvermeidlichen Offenlegung des Vorfalls und damit zur ersten aktiven Kommunikation mit den betroffenen Parteien. Im Mittelpunkt sollten jetzt die zentralen Themen des Vorfalls stehen, die Sorgen von Mitarbeitern, Geschäftspartnern und Kunden. Es ist entscheidend, die Ängste der Betroffenen so schnell wie möglich abzubauen und ihr Vertrauen in die Fähigkeit der Organisationen zu stärken, die Krise wirksam zu bewältigen. Ist das nicht der Fall und haben Stakeholder das Gefühl, dass sich das Unternehmen nicht um sie kümmert, dann steigt die Angst der Betroffenen und ihr Vertrauen in das Unternehmen sinkt. Stakeholder müssen nachvollziehen und im besten Fall erleben können, wie das Unternehmen in ihrem Interesse handelt und wie es handeln wird, wenn die Krise die Schlagzeilen nicht mehr beherrscht. Die Schaffung eines Gefühls der Transparenz und echte Unterstützung der Betroffenen sollte mit Verständnis und Wertschätzung in der aktuellen Situation einhergehen. Zu viel zu früh zu sagen, könnte unnötigen Stress verursachen, aber zu wenig zu spät zu sagen, könnte Vertrauen zerstören. Das ist umso wichtiger, wenn sich Dritte einschalten, sei es vor Ort oder über soziale Medien, und ihre oft uninformierte und kritische Haltung zu den Ereignissen teilen.

In der Live-Handling-Phase arbeitet die IT an der Lösung des Problems, während die Kommunikation gleichzeitig die weitere Entwicklung des Themas steuern muss. Unternehmen müssen der Story voraus sein und Entwicklungen antizipieren. Sie müssen jeden einzelnen Schritt erklären und sich dabei auf die Interessen und Wünsche ihrer Stakeholder einlassen. Cyberkrisen haben die unangenehme Eigenschaft, dass Verantwortliche viele Entscheidungen ohne gesicherte Entscheidungsgrundlage und ohne relevante Erfahrungen aus der Vergangenheit treffen müssen. Um keine gravierenden Fehler zu machen, müssen die verschiedenen Unternehmensbereiche und Experten von außen eng und vertrauensvoll zusammenarbeiten. Bereits in dieser Phase sollte das Kommunikationsteam für die Zeit nach der Cyberkrise planen und erste Schritte einleiten.

Der Übergang zur vierten (und oft am längsten andauernden) Phase der Reputation Recovery ist fließend. Um das Vertrauen der Stakeholder wiederherzustellen, muss das Unternehmen engagiert bleiben und die Betroffenen regelmäßig mit Informationen und Aktualisierungen versorgen und sich so als die primäre Informationsquelle positionieren. Dafür sollten stets alle ergriffenen Maßnahmen klar dargelegt und gleichzeitig den Stakeholdern versichert werden, dass der Schutz ihrer Interessen eine Priorität bleiben wird. Auch hier liegt das Hauptaugenmerk nicht auf der Technologie, sondern auf Einfühlungsvermögen und Verantwortungsbewusstsein.

 

Nach der Cyberkrise ist vor der Cyberkrise

Wer vorausschauend und präventiv agiert, entwickelt in Cyberkrisen-Workshops eine Kommunikations-Toolbox, in der die Führungs- und Entscheidungsprozesse, erste Strategien und Botschaften für unterschiedliche Szenarien festgelegt sind. Nicht nur dem Kommunikationsteam bietet das die Möglichkeit, sich gedanklich und organisatorisch auf den Ernstfall vorzubereiten. In solchen Workshops können die unterschiedlichen Unternehmensfunktionen auch in einer kontrollierten Umgebung proben, wie gut sie zusammenarbeiten. So wird aus präventiver Krisenkommunikation aktives Cyber-Reputationsmanagement für stürmische Zeiten.

 

Was macht Cyberkrisen so besonders?

Cyberkrisen weisen im Vergleich mit anderen Krisen drei Besonderheiten auf, die maßgeblichen Einfluss auf die Kommunikationsstrategie haben:

  • Häufig lässt sich erst sehr spät – manchmal sogar niemals – nachvollziehen, wer die Angreifer waren oder welche Ziele sie verfolgten. Erkennbar ist vielleicht nur der Weg (Vektor), über den sich Angreifer Zugriff auf ein System verschafft haben.
  • Auch nach der Entdeckung einer Sicherheitslücke fällt es Unternehmen oft schwer, verlässlich zu sagen, wie viele und welche Daten kompromittiert wurden. Betroffen sind meist finanzielle und persönliche Informationen, die in den falschen Händen großen Schaden für die Betroffenen verursachen können – von der Veröffentlichung medizinischer Befunde über Kreditkartenbetrug, Social Engineering bis zum Identitätsdiebstahl.
  • Nach Einführung der europäischen Datenschutzgrundverordnung müssen sich Unternehmen darauf einstellen, dass Regulierungsbehörden und Datenschutzbeauftragte ihre Aktivitäten nach Cybervorfällen eng begleiten werden. Bei gravierendem Fehlverhalten drohen Millionenstrafen.

 

Lesen Sie hier die gesamte Impulse Publikation oder kontaktieren Sie Dirk von Manikowsky oder Tina Kunath.