In der Cybersicherheitsszene hat sich seit Jahren herumgesprochen, dass ein Sicherheitsvorfall zwangsläufig passieren wird, wenn der Zeithorizont nur lang genug ist. „Accept the Breach“ ist längst zum Mantra geworden. Für den kommunikativen Umgang mit solchen Vorfällen gilt dies indes nicht. Viele Unternehmen versuchen noch, einen Vorfall schnell zu beerdigen und möglichst nicht darüber zu sprechen.
Klar, ein Datenleck ist unangenehm. Und für Unternehmen geht es ja immer darum, das eigene Image zu schützen und langfristiges Vertrauen gegenüber Kund:innen und Partner:innen aufzubauen. Aber gerade hier kann eine gute Kommunikation in der Krise Wunder wirken, insgesamt einen Beitrag zur Verbesserung der Cybersicherheit leisten und andere Unternehmen vor teuren Fehlern bewahren.
Die Scheu ist nach wie vor groß
Nehmen wir folgendes Beispiel: Vor einigen Jahren, als ich selbst noch als Journalist aktiv war, wurde ein mittelständisches deutsches Unternehmen Opfer eines sogenannten CEO-Frauds. Dabei wird ein Unternehmen mithilfe fingierter Zahlungsanweisungen dazu gebracht, hohe Geldsummen zu überweisen, meist ins Ausland. Die von mir kontaktierte Firma verlor so einen zweistelligen Millionenbetrag. Ein halbes Jahr nach dem Vorfall habe ich versucht, mit dem Unternehmen ins Gespräch zu kommen. „Was habt ihr aus dem Vorfall gelernt? Welche Änderungen habt ihr implementiert, um künftig besser gewappnet zu sein?“, fragte ich.
Die Pressestelle blockte ab – leider. Denn das Unternehmen hätte hier eine gute Geschichte erzählen können. Gerade bei eher nicht-technischen Angriffen wie dem CEO-Fraud geht es ja gar nicht darum, die eigene Technik komplett über den Haufen zu werfen, um diese neu aufzusetzen. Sondern vielmehr darum, Cybersicherheit als Führungsaufgabe zu begreifen und die Mitarbeiter:innen insbesondere an kritischen Stellen wie der Buchhaltung und im Assistenzbereich zu schulen.
Dass es auch anders geht, zeigen einige Beispiele repräsentativ. Nach dem erfolgreichen Angriff auf die Reederei Moeller Maersk durch den Wiper „NotPetya“ setzte das Unternehmen nicht auf Abgeschlossenheit, sondern auf Offenheit. Klar, die Öffentlichkeit hatte den Vorfall sowieso mitbekommen. Aber der damalige CEO Jim Hageman Snabe nutze ihn gezielt, um sich selbst und das Unternehmen zu positionieren. Auf unzähligen Kongressen und in Interviews erzählte er, wie die eigene IT heldenhaft gearbeitet habe und innerhalb weniger Wochen mehr als 100.000 Rechner neu aufsetzte. Allen Kund:innen von Moeller Maersk wurde so vermittelt: Wir wachsen über uns hinaus, um möglichst bald wieder voll handlungsfähig zu sein und euch den gewohnten Service bieten zu können.
Die Aufarbeitung des Vorfalls wird zum Cyberkrimi
Und auch Journalist:innen bekamen Zugang. Andy Greenbergs Nacherzählung des Vorfalls in der „Wired“ liest sich bis heute wie ein spannender Krimi. Die Story ist gespickt mit Warnhinweisen, von denen andere Unternehmen lernen können. So konnte das Netzwerk von Moeller Maersk nur deshalb relativ unproblematisch wiederhergestellt werden, weil das Unternehmen ein Backup des Active Directory Domänencontrollers zur Verfügung hatte. Der entsprechende Rechner war unfreiwillig zu einem Offline-Backup geworden – weil das entsprechende Büro zum Zeitpunkt des Angriffs durch einen Stromausfall lahmgelegt wurde.
Die Geschichte zeigt eindrucksvoll, dass auch global agierende, professionell aufgestellte Unternehmen Fehler im Bereich Cybersecurity machen. Aber sie sind bereit, daraus zu lernen. Und darauf kommt es an.
Auch der deutsche Industriekonzern Thyssen Krupp war Ziel eines Cyberangriffes mit der Spionagesoftware „WinNTI“. An der Aufarbeitung des Sicherheitsvorfalls ließ er ebenfalls Journalist:innen teilhaben. Heraus kam eine preisgekrönte Reportage. Wer nach einem Vorfall anfängt, einmal richtig aufzuräumen, der hat auch eine gute Geschichte, die kommuniziert werden kann. Der Wake-Up-Call mit dem Ziel: „Das passiert mir nur einmal!“
Vertrauen bilden
Kommunikation ist in meinen Augen immer vor allem eins: eine vertrauensbildende Maßnahme. Und deshalb sollten Firmen sich gut überlegen, wie sie mit Sicherheitsvorfällen umgehen. Dass eine Unterbrechung des Betriebs aufgrund eines Cyberangriffs heute gar nicht mehr öffentlich wird, ist eher unwahrscheinlich. Sollen die Kund:innen also lieber durch Gerüchte oder aus der Presse erfahren, dass etwas vorgefallen ist? Bildet man so nachhaltiges Vertrauen? Ich glaube nicht.
Gerade im Krisenfall ist das Bedürfnis nach Informationen groß. Wir alle haben das während der Pandemie gemerkt: Leere in der Kommunikation bereitet Gerüchten und Spekulationen den Boden. Wer sich in der Krisensituation dafür entscheidet, still zu bleiben, der gibt das eigene Image in einer kritischen Situation ohne Not aus der Hand.
Wer aber bei einer großen Störung regelmäßig Updates veröffentlicht, der nimmt die eigene Kundschaft ernst. Wer nach dem Vorfall selbst ein umfangreiches technisches Post-Mortem veröffentlicht, zeigt zudem, dass das Unternehmen die Situation ernst nimmt und daraus lernen will. Gerade im technischen Bereich ist das zum Glück recht häufig der Fall – Firmen wie Netflix, AWS und Cloudflare sind gute Beispiele dafür.
Wie schon erwähnt, kann sich heute kaum noch ein Unternehmen davon freisprechen, einmal einem Cyberangriff zum Opfer zu fallen. Gut, dass immer mehr Firmen deshalb in Incident Readiness investieren. Sie lassen ihre eigenen Systeme regelmäßig von Fachleuten prüfen, erarbeiten Notfallpläne, üben diese auch ein und haben einen Dienstleister an der Hand, der im Notfall mit einem Service-Level-Agreement hilft. Wer dann noch im Vorfeld Szenarien für das kommunikative Handling einer Notfallsituation entwickelt, ist zwar nicht vor allen Gefahren sicher, aber gut vorbereitet. Und verstummt in der Krise nicht.
Hauke Gierow ist Vice President Communication, Brand and Government Affairs bei Wire
