white paper on a vintage typewriter
Photo by Markus Winkler on Pexels.com
Posted inIT IT Audit / Compliance / Security

Kickstart im IT-Ernstfall: Der 10-Punkte-Plan für Krisenkommunikation bei Cybervorfällen

Cyberkrisen sind weit mehr als nur technische Ausfälle; sie treffen das Nervensystem moderner Organisationen. Ein gezielter Angriff, eine unbedachte E-Mail oder ein technischer Defekt können massive Störungen in IT-Systemen und Geschäftsprozessen verursachen. In solchen Momenten entscheidet die Kommunikation darüber, ob Kontrolle oder Chaos entsteht.

Was zunächst wie ein lokales IT-Problem wirkt – etwa eine verdächtige E-Mail oder ein ausgefallener Dienst – kann sich schnell zu einer krisenhaften Ausnahmesituation entwickeln. Cyberkrisen folgen meist einer klaren Ursache-Wirkungs-Kette, die sich grob in fünf Stufen gliedern lässt:

  1. Verursacher: Das Handeln des Verursachers ist oft durch finanzielle Gewinnabsicht, ideologische Ziele oder Gleichgültigkeit geprägt, kann aber auch ein Naturereignis sein.
  2. Technische Ursache: Der Verursacher löst ein technisches Problem aus, z.B. durch das Ausnutzen von Schwachstellen, Zero-Day-Exploits oder unsicheren Konfigurationen.
  3. Gestörte Systeme: Die technische Ursache führt zu Störungen in IT-Systemen, wie ausgefallenen Servern, kompromittierten Netzwerken oder blockierten Anwendungen.
  4. Prozessauswirkungen: Systemstörungen haben direkte Auswirkungen auf die dahinterliegenden Geschäftsprozesse, was Produktionslinien stilllegen, Logistikprozesse unterbrechen oder wichtige Dienstleistungen wie Finanztransaktionen beeinträchtigen kann.
  5. Folgen für Personen und Organisationen: Letztlich resultieren daraus Schäden wie finanzielle Verluste, Reputationsschäden oder weitreichende Beeinträchtigungen sozialer und wirtschaftlicher Abläufe.

Dieses Verständnis der Ereigniskette ist essenziell für eine wirksame Prävention und eine strukturierte Reaktion im Ernstfall. Jedes Glied dieser Kette bietet entscheidende Ansatzpunkte für eine gezielte Krisenkommunikation, um Eskalationen zu vermeiden und das Vertrauen von Betroffenen und Stakeholdern zu bewahren. Cyberkrisen sind keine rein technischen Probleme; sie stellen Unternehmen vor komplexe operative Herausforderungen, die früher oder später eine kommunikative Reaktion nach sich ziehen. Eine gut strukturierte Vorgehensweise schützt nicht nur die eigene Reputation, sondern hat auch positive Implikationen auf den fortlaufenden Geschäftsbetrieb.

Der folgende 10-Punkte-Plan ist für Situationen gedacht, in denen Unternehmen unvorbereitet in eine Cyberkrise geraten und keine detaillierten Notfallpläne oder Kommunikationsstrategien etabliert wurden. Er dient als Notprogramm für den Akutfall und als Orientierungsrahmen für die spätere Etablierung eines belastbaren Krisenkommunikationssystems.

Der 10-Punkte-Notfallplan für Krisenkommunikation bei Cybervorfällen

  1. Identifizieren Sie die Art des Incidents: Eine klare und faktenbasierte Kommunikation beginnt mit einer präzisen Erfassung der Situation. Es ist entscheidend, systematisch Informationen zu sammeln, betroffene Systeme und Prozesse zu identifizieren und interne Abläufe mit kommunikativen Maßnahmen zu verknüpfen. Eine voreilige oder widersprüchliche Einschätzung ist schwer zu korrigieren.
  2. Formieren und organisieren Sie einen Krisenstab: In einer Cyberkrise muss schnell ein kompetentes Team zusammenkommen, das technische und kommunikative Maßnahmen koordiniert. Der Krisenstab sollte Vertreter aus IT, Unternehmenskommunikation, Management und Rechtsabteilung umfassen. Die gesamte Kommunikation, sowohl intern als auch extern, muss stringent über diesen Stab laufen, um Widersprüche oder Informationslecks zu vermeiden.
  3. Bereiten Sie frühzeitig die Kommunikation vor: Ein verzögerter Kommunikationsstart ist ein häufiges Problem. Die Vorbereitung für eine strukturierte Kommunikation sollte so früh wie möglich beginnen, idealerweise parallel zur ersten Lageeinschätzung, um nicht unvorbereitet zu kommunizieren.
  4. Nutzen Sie sichere Kommunikationskanäle: Da übliche Kommunikationswege kompromittiert sein könnten, müssen alternative, sichere Kanäle wie Messenger-Dienste, physische Notfallkontakte, unabhängige Telefonielösungen oder sichere Cloud-Lösungen definiert werden. Es muss verhindert werden, dass interne Informationen ungesichert über private Kanäle verbreitet werden.
  5. Sichern Sie Beweismittel: Eine lückenlose Dokumentation aller Ereignisse, inklusive Logdateien, E-Mails und Zugriffsprotokolle, ist essenziell, um den Vorfall später rekonstruieren zu können. Mitarbeiter müssen sensibilisiert werden, nichts vorschnell zu löschen. Professionelle Incident Handler und IT-Forensiker sollten frühzeitig eingebunden werden.
  6. Dokumentation sofort starten: Eine strukturierte und nachvollziehbare Dokumentation ist das Rückgrat jeder erfolgreichen Krisenbewältigung. Jede Maßnahme, Entscheidung und Aussage muss protokolliert werden, um den Überblick zu behalten und eine detaillierte Analyse zu ermöglichen.
  7. Holen Sie frühzeitig Experten hinzu: Unternehmen sollten sich nicht ausschließlich auf interne Mittel verlassen. Neben technischen Spezialisten sind erfahrene Krisenkommunikatoren notwendig, um sensible Botschaften professionell zu formulieren und Reputationsrisiken zu minimieren. Externe Fach- und Kooperationspartner wie IT-Forensiker, Incident-Response-Teams und juristische Berater sollten ebenfalls eingebunden werden, ebenso wie Strafverfolgungsbehörden bei Hinweisen auf gezielte Angriffe oder Straftatbestände.
  8. Aktivieren Sie die Kommunikation mit Behörden und Partnern: Gesetzliche Meldepflichten gegenüber Datenschutzbehörden oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen beachtet werden, oft mit Fristen von wenigen Stunden. Auch Cyberversicherungen und wichtige Geschäftspartner müssen frühzeitig informiert werden, falls ihre Systeme betroffen sein könnten oder vertragliche Informationspflichten bestehen.
  9. Kommunikation mit Kunden und Stakeholdern: Die Kommunikation mit Kunden in der Krise ist entscheidend für die langfristige Reputation. Es gilt, nur bestätigte Fakten zu kommunizieren, keine Spekulationen. Die Kommunikation sollte zielgruppengerecht, ehrlich und beruhigend sein. Einheitliche Botschaften über alle Kanäle hinweg sind wichtig, um Widersprüche zu vermeiden. Transparente und strukturierte Kommunikation stärkt das Vertrauen.
  10. Nachbereitung und Lessons Learned: Jede Cyberkrise ist eine Chance zur Verbesserung der eigenen Sicherheits- und Kommunikationsstrategie. Nach der akuten Phase sollten Unternehmen eine systematische Analyse durchführen, um zu bewerten, welche Maßnahmen funktionierten, wo es Verzögerungen oder Missverständnisse gab und welche Kommunikationslücken auftraten. Diese Erkenntnisse müssen in zukünftige Notfallpläne einfließen.

Fazit

Cyberkrisen sind keine isolierten IT-Probleme; sie betreffen die gesamte Organisation und erfordern ein schnelles, koordiniertes und kommunikationsstarkes Krisenmanagement. Sie können sich in kürzester Zeit zu einer geschäftskritischen, ja sogar existenziellen Bedrohung entwickeln, wenn Prozesse ausfallen, Daten kompromittiert werden oder Kunden und Partner das Vertrauen verlieren.

Der vorgestellte 10-Punkte-Notfallplan unterstützt Unternehmen dabei, auch in Akutsituationen ohne umfassende Vorbereitung strukturiert und handlungsfähig zu bleiben. Er ersetzt keine Prävention, sondern dient als Orientierung in der operativen Erstreaktion.

Letztlich gilt: Eine Cyberkrise wird nicht nur durch Technik bewältigt, sondern durch Menschen, die richtig kommunizieren und schnell die richtigen Entscheidungen treffen. Prävention, eingeübte Verantwortlichkeiten und eine belastbare Kommunikationsstrategie sind die entscheidenden Erfolgsfaktoren, um Schaden zu begrenzen und Vertrauen zu erhalten. Unternehmen, die sich vorbereiten, regelmäßig üben und aus vergangenen Vorfällen lernen, sind denen, die erst im Ernstfall reagieren, weit voraus, wie Beispiele aus der Vergangenheit schmerzhaft gezeigt haben. Der Angriff auf den Internationalen Strafgerichtshof (ICC) im September 2023 liefert ein prominentes Beispiel dafür, wie vage und unkonkrete offizielle Kommunikation, trotz des Betuerns von Transparenz, wenig greifbare Informationen liefert und somit Misstrauen schürt.