Post-Breach-Fails verhindern: So kommunizieren Sie nach einem Cyberangriff

Foto: Chuenmanuse – shutterstock.com

Wie sich immer wieder zeigt, stellt es für Unternehmen eine Herausforderung dar, die richtigen Botschaften nach außen und innen zu senden, wenn sie gerade angegriffen werden – beziehungsweise wurden.

Zwar fällt es nicht in den direkten Zuständigkeitsbereich des CISO, die Krisenkommunikation zu managen – der Plan dafür ist allerdings ein elementarer Bestandteil allgemeiner Cybersicherheitsbemühungen. Das sieht auch Eden Winokur, Head of Cyber bei der australischen Anwaltskanzlei Hall & Wilcox, so: “Kommunikation ist ein wichtiger Bestandteil einer guten Cyberstrategie und sollte vorbereitet und geübt werden, bevor es zu einem Vorfall kommt.”

Kollaborieren, um zu kommunizieren

Die Managerin rät, bei der Reaktion auf einen Cybervorfall auf Transparenz zu setzen – und gleichzeitig Genauigkeit zu gewährleisten: “Es geht hier nicht nur um ein IT-, sondern auch um ein Unternehmensrisiko. Wir empfehlen oft, Experten hinzuzuziehen, die die Unternehmen dabei unterstützen können, die Auswirkungen ihrer Kommunikation zu verstehen und herauszufinden, wie bestimmte Dinge in der Öffentlichkeit oder in den Medien aufgenommen werden.”

Zwar gibt es bislang kaum offizielle Richtlinien von Verbänden oder Behörden, um einen Kommunikationsplan zu entwickeln. Dabei sollten jedoch in jedem Fall Geschäftsleitung, Rechtsabteilung und das Team des CISO zusammenwirken – und je nach Standort auch Datenschutzregularien und Offenlegungspflichten berücksichtigen.

Winokur empfiehlt, dabei mit einer Stakeholder-Analyse zu beginnen – und diese bei Änderungen auch zeitnah zu aktualisieren: “Unternehmen sollten ihre wichtigsten Verträge in Augenschein nehmen und verstehen, welche Verpflichtungen in Bezug auf die Kundenkommunikation bestehen. Dabei ist es empfehlenswert auf Templates zu setzen, die sich auf das jeweilige Problem zuschneiden lassen.”

Keine Post-Breach-Eile

Kommt es zu einem Cybervorfall, ist der Druck hoch, die Situation zu entschärfen und einzudämmen. Dabei darf Genauigkeit jedoch nie unter den Tisch fallen, wie Andrew Moyer, Executive VP und GM beim Krisenkommunikationsspezialisten Reputation Partners, warnt: “Sie setzen das Narrativ: Gibt ein Unternehmen eine Erklärung ab, die auf einer Momentaufnahme basiert und später wieder zurückgenommen oder widerrufen werden muss, weitet dies die Katastrophe möglicherweise noch zusätzlich aus und sät Zweifel an der Glaubwürdigkeit des Unternehmens.”

Statt auf Statements mit exakten Zahlen empfiehlt der Kommunikationsprofi, eine relativierende Sprache zu verwenden: “Anstelle von ‘1.000 User sind betroffen’ könnten Sie auch von ‘einer begrenzten Anzahl von Benutzern’ sprechen. Essenziell ist, dass Sie die Richtigkeit Ihrer Angaben gewährleisten können und im Sinne der Transparenz bestätigen, dass die Vorgänge untersucht werden”, meint Moyer.

Ein Kommunikationsplan sollte zudem den Informationsfluss so gestalten, dass die richtigen Personen schnell informiert werden, um sich entsprechend zu organisieren. Dabei sollten alle Beteiligten eine möglichst konsistente Botschaft erhalten. Das Ziel: Jeder Einzelne versteht seine Rolle und Verantwortung bei der Reaktion auf einen Vorfall. Doch ein solcher Plan muss auch kontinuierlich auf Tauglichkeit getestet werden, wie Moyer anmerkt: “Das ermöglicht Ihnen, Ihre Risiken regelmäßig zu bewerten und dabei auch neu auftauchende Sicherheitslücken und Schwachstellen zu berücksichtigen.”

Möglicherweise ist es jedoch auch die bessere Strategie, die Kommunikation erst einmal zurückzufahren, weil die Gefahr besteht, die Situation zu verschlimmern. An dieser Stelle kann es sinnvoll sein, externe Kommunikationsberater hinzuzuziehen, meint Moyer: “Experten können Schlüsselkriterien auswerten, um zu entscheiden, ob eine eher reaktive oder proaktive Haltung gefragt ist und wie genau die optimale Botschaft aussieht.”

Die Detection macht die Musik

Cybervorfälle oder -angriffe möglichst frühzeitig zu erkennen ist nicht nur entscheidend, um Schaden zu begrenzen, sondern spielt auch eine Rolle, wenn es um die Reaktion geht.

Paul Black, Partner bei KPMG, stellt fest, dass Unternehmen häufig erst spät von einer Sicherheitsverletzung erfahren – unter Umständen auch erst dann, wenn ihre Daten im Dark Web auftauchen: “Das Element der Erkennung und Sensibilisierung ist mit dem Element der Kommunikation verbunden. Je früher man etwas weiß, desto besser kann man die Informationen verstehen und weiterleiten. Diese Verbindung im Sicherheitsbereich ist für CISOs unter Umständen nicht immer ganz klar.”

Der Experte ermutigt CISOs und leitende Angestellte, sich die Zeit zu nehmen, simulierte Szenarien durchzuspielen, um ihre Reaktionspläne zu testen: “Lassen Sie Ihre Führungskräfte schwitzen und schrecken Sie nicht vor anspruchsvollen Übungen zurück, weil Sie fürchten, jemanden in Verlegenheit zu bringen. Die Teilnehmer müssen unter Druck gesetzt werden, wenn sie ein Szenario in einer sicheren Umgebung durchspielen. Denn so funktionieren Security-Zwischenfälle – es herrscht immenser Druck.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.