Cyber-Angriffe richtig kommunizieren

Cyber-Angriffe haben oft nicht nur Auswirkungen auf das betroffene Unternehmen bzw. die betroffene Organisation, sondern auch auf Kunden, Geschäftspartner und andere Akteure entlang der Lieferkette. In solchen Fällen sollten die betroffenen Drittparteien schnellstmöglich informiert werden, um Geschäftsbeziehungen zu erhalten, Reputationsschäden einzudämmen und gesetzliche Meldevorschriften einzuhalten. Dazu braucht es eine klare Kommunikation des Vorfalls nach außen.

Daneben spielt auch die interne Kommunikation innerhalb des Krisenstabs und mit der restlichen Belegschaft eine wichtige Rolle bei der Reaktion auf Cyber-Angriffe. Dieser Artikel bietet einen Überblick über die verschiedenen Aspekte der Krisenkommunikation im Rahmen der Incident Response.

Die Reaktion auf IT-Sicherheitsvorfälle umfasst drei Bereiche: Kommunikation, technische Gegenmaßnahmen und organisatorische Reaktionsmaßnahmen. Auch wenn die technischen und administrativen Maßnahmen zur Reaktion auf Cyber-Angriffe häufig in den Vordergrund treten, ist die Rolle einer effektiven Kommunikation im Falle eines Angriffs nicht zu unterschätzen.

Eine gute Incident-Response-Kommunikation kann in mehrfacher Hinsicht helfen, den Schaden eines IT-Vorfalls zu begrenzen. Zum einen ist eine reibungslose Kommunikation zwischen den Mitgliedern des Krisenstabs sowie mit externen Dienstleistern aus dem Bereich der IT-Forensik entscheidend, um das Problem möglichst schnell zu beheben. Zum anderen kann eine schnelle und gezielte Kommunikation mit Kunden, Geschäftspartnern und weiteren Akteuren der Lieferkette helfen, Reputationsschäden und mögliche Vertrauensverluste zu minimieren. 

Zu guter Letzt spielt Kommunikation auch bei der Einhaltung gesetzlicher Meldepflichten eine wichtige Rolle, da unter Umständen verschiedene Behörden über den Vorfall informiert werden müssen. Einen Datenschutzvorfall beispielsweise rechtzeitig zu melden, ist wichtig, um Sanktionen zu vermeiden.

Bei der Reaktion auf Cyber-Angriffe spielt eine klare Kommunikation eine entscheidende Rolle. Grundsätzlich müssen Unternehmen und Organisationen zwei Bereiche abdecken: die interne Kommunikation und die externe Kommunikation. Hier ist ein Überblick, was jeweils unter die beiden Bereiche fällt.

Zur internen Kommunikation bei Cyber-Angriffen gehört in erster Linie der Austausch zwischen den Mitgliedern des Krisenstabs sowie das Informieren von weiteren Schlüsselpersonen im Unternehmen. Je nach Ausmaß und Auswirkungen des Cyber-Angriffs ist auch eine umfangreiche Aufklärung der Mitarbeitenden erforderlich.

Hinzu kommt, dass bei einer Cyber-Attacke mehrere externe Parteien informiert werden müssen. Dazu gehören:

• Externe Dienstleister, die zur Aufklärung und Bereinigung des IT-Vorfalls hinzugezogen werden
• Anbieter der Cyberversicherung, um der vertraglichen Anzeigepflicht nachzukommen
• Relevante Behörden, um geltende Meldepflichten von IT-Vorfällen einzuhalten
• Kunden, deren Daten oder Zugänge kompromittiert wurden oder die aktuell nicht auf die Anwendungen zugreifen können
• Zulieferer, Geschäftspartner und weitere Drittanbieter, die zur Lieferkette gehören und entweder aufgrund einer möglichen Betriebsunterbrechung oder aufgrund einer Ausbreitung des Angriffs auf verknüpfte externe Systeme betroffen sind
• Breitere Öffentlichkeit, um Gerüchte zu minimieren und das Image des Unternehmens bzw. der Organisation zu schützen

Schauen wir uns die verschiedenen Kommunikationsbereiche im Detail an.

Bei der internen Kommunikation bei Cyber-Angriffen geht es darum, das Krisenteam zu koordinieren und sicherzustellen, dass dessen Mitglieder effektiv zusammenarbeiten können und weitere verantwortliche Personen und die Mitarbeitenden im Unternehmen bzw. in der Organisation auf dem aktuellen Stand gehalten werden.

Sobald ein Cyber-Angriff erkannt wird, muss der Krisenstab aktiviert werden, damit die notwendigen Reaktionsmaßnahmen koordiniert durchgeführt werden können. Die Rollen und Verantwortlichkeiten der einzelnen Mitglieder des Incident Response Teams werden bereits im Rahmen der organisatorischen Prävention von Cyber-Angriffen geklärt. Damit die Incident Response effizient ablaufen kann, braucht es aber eine reibungslose Kommunikation zwischen den einzelnen Mitgliedern des Krisenstabs.

Der Krisenstab sollte in kurzen Zeitabständen miteinander kommunizieren, um aktuelle Entwicklungen zu besprechen und jeweils die nächsten Schritte zu koordinieren. Häufige Abstimmungen stellen sicher, dass alle Beteiligten auf dem gleichen Informationsstand sind. Für den Fall, dass die regulären Kommunikationskanäle durch den IT-Vorfall vorübergehend außer Kraft gesetzt sind, müssen sichere Notfallkommunikationssysteme (z. B. eine cloudbasierte Kommunikationsplattform, Walkie Talkies oder alternative Messaging-Systeme) zur Verfügung stehen.

Daneben ist es wichtig, die Belegschaft schnell und präzise über den Vorfall zu informieren, um Missverständnissen und Unsicherheiten vorzubeugen. Die Mitarbeitenden sollten darüber informiert werden, welche Systeme betroffen sind, wie sie sich angesichts des IT-Vorfalls verhalten müssen und welche alternativen Systeme sie für das Verrichten ihrer Arbeit verwenden können.

Erfolgreiche Angriffe auf die IT-Infrastruktur eines Unternehmens können nicht nur das Vertrauen der Kunden erschüttern, sondern auch die Geschäftsbeziehungen zu Partnern, Lieferanten und sonstigen Akteuren der Lieferkette schädigen - zumal das Risiko eines Supply-Chain-Angriffs häufig nicht ausgeschlossen werden kann.

Um das Vertrauen von Kunden und Geschäftspartnern zu erhalten, braucht es eine gute Kommunikationsstrategie für Cyber-Angriffe. Dazu gehört das frühzeitige Bereitstellen von detaillierten Informationen über den IT-Vorfall. In der Kundenkommunikation sind beruhigende Botschaften, die die geplanten Schritte zur Schadensbegrenzung und zum Schutz der Daten erläutern, essenziell.

In der Kommunikation mit Geschäftspartnern, Stakeholdern, Lieferanten und weiteren Drittanbietern spielt darüber hinaus eine transparente Kommunikation bezüglich der umgesetzten Verbesserungen eine wichtige Rolle. Hier sollte deutlich gemacht werden, dass Schritte unternommen wurden, um solche Vorfälle in der Zukunft zu verhindern. Wichtig ist auch, dass die Kommunikationsstrategie hinsichtlich Geschäftspartner und Stakeholder langfristig angelegt ist, um das Vertrauen nach einem Vorfall schrittweise wieder aufzubauen.

Cyber-Angriffe führen nicht nur zu direkten finanziellen Verlusten, sondern können auch gravierende Reputationsschäden nach sich ziehen, die den Unternehmenserfolg nachhaltig beeinträchtigen können. Deshalb besteht ein wichtiges Ziel der externen Kommunikation bei Cyber-Angriffen darin, das Image des Unternehmens bzw. der Organisation zu schützen und Reputationsschäden bestmöglich zu minimieren.

Bei größeren IT-Vorfällen, in denen die Öffentlichkeit involviert ist, ist es für die betroffenen Unternehmen und Organisationen unerlässlich, klare und präzise Aussagen zum Vorfall zu machen, um Gerüchte, Missverständnisse und falsche Berichterstattung zu vermeiden. Um für den Ernstfall gut vorbereitet zu sein, sollte vorab eine PR-Strategie für IT-Sicherheitsvorfälle erstellt werden.

Dazu gehört auch die Bereitstellung vorgefertigter Statements und Szenarien für verschiedene Arten von Cyber-Angriffen. Bei fehlender interner Expertise sollten externe PR-Experten mit der Krisenkommunikation betraut werden. Gegebenenfalls kann auch eine Social-Media-Kampagne gestartet werden, um ein möglichst breites Publikum zu erreichen.

Für Organisationen, die eine Cyberversicherung haben, sollte die Meldung des Vorfalls beim jeweiligen Versicherungsanbieter zu den ersten Schritten im Schadensfall gehören. Nicht nur, weil sie dadurch ihrer vertraglichen Anzeigepflicht nachkommen, sondern auch weil der Bereich der Incident Response im Normalfall durch die Versicherung abgedeckt ist und Versicherer einen 24/7-Notfallservice anbieten und eng mit externen Dienstleistern kooperieren, die in solchen Fällen Unterstützung bieten.

Die Kommunikation mit den zuständigen Behörden ist ein weiterer wichtiger Bestandteil der Reaktion auf Cyber-Angriffe. Zu den Behörden, die bei IT-Sicherheitsvorfällen unterstützen können (z. B. bei der Untersuchung des Vorfalls und der Feststellung von Beweisen zur Strafverfolgung) gehören die Zentrale Ansprechstelle Cybercrime (ZAC), das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Je nach Branche gelten sogar gesetzliche Meldepflichten für Cyber-Vorfälle. So müssen Unternehmen, die in den Anwendungsbereich der NIS2-Richtlinie (Netz- und Informationssicherheitsrichtlinie) fallen, erhebliche Sicherheitsvorfälle, die zu schwerwiegenden Störungen führen könnten, innerhalb von 24 Stunden nach Entdeckung melden. Außerdem müssen sie binnen 72 Stunden eine detaillierte Analyse des Vorfalls vorlegen. Bei Nichteinhaltung drohen Bußgelder.

Daneben besteht gemäß der Datenschutzgrundverordnung (DSGVO) für Organisationen, die personenbezogene Daten verarbeiten, die Pflicht, Datenschutzvorfälle zu melden. Für die Meldung an die zuständige Datenschutzbehörde haben sie 72 Stunden Zeit. Auch die betroffenen Personen müssen unverzüglich informiert werden.

Haben es Cyber-Kriminelle geschafft, sensible Daten zu stehlen oder mittels Ransomware zu verschlüsseln, können sie in zweifacher Hinsicht Druck auf das betroffene Unternehmen ausüben, um Lösegeld zu erpressen. Wurden Daten abgegriffen, können die Angreifer ein Lösegeld fordern, damit die gestohlenen Daten nicht beispielsweise im Darknet verkauft werden. 

Wurden die Daten verschlüsselt, wird ein Lösegeld für die Entschlüsselung und Freigabe der Daten gefordert. In beiden Fällen sind Lösegeldverhandlungen notwendig, die ebenfalls zur Krisenkommunikation bei Cyber-Angriffen gehören.

Da Lösegeldverhandlungen mit Kriminellen ein heikles Thema sind, sollten diese nur mit einer gut durchdachten Kommunikationsstrategie und mit der Unterstützung von Experten angegangen werden. Externe Dienstleister im Bereich Incident Response können helfen, die Vor- und Nachteile einer Lösegeldzahlung abzuwägen, mehr Zeit für die Entscheidungsfindung auszuhandeln und die Verhandlungen zugunsten des betroffenen Unternehmens bzw. der Organisation zu führen.