Glaubwürdig kommunizieren bei Cybervorfällen
Cyberkriminalität gehört zu den aktuell grössten Risiken für Behörden, Unternehmen und Organisationen. Wer als Opfer von einem Hackerangriff oder gar Diebstahl sensibler Daten betroffen ist, sollte der Kommunikation besondere Beachtung schenken. Denn jeder Fall stellt die Vertrauenswürdigkeit auf die Probe.
Sie sorgen vermehrt für spektakuläre Schlagzeilen: Angriffe professioneller Cyberkrimineller und Hacker. Jüngste spektakuläre Fälle: Diebstahl von Personendaten der 2800 Mitarbeitenden der Kantonspolizei Bern, Cyberangriff mit Datendiebstahl bei der IT-Firma Xplain mit einer unbekannter Anzahl sensibler Sach- und Personendaten aus der Bundesverwaltung, Hackerangriffe auf die NZZ und CH-Media, Cyberattacke auf den Berner IT-Dienstleister Unico Data. Die direkt und indirekt betroffenen Opfer-Organisationen kommunizierten jeweils sehr unterschiedlich nach aussen, in den meisten Fällen äusserst defensiv und häppchenweise. Eine Übersicht bietet die NZZ hier zum Jahresende 2023.
Wir haben verschiedene Cyber-Vorfälle betreut und teilen unsere Erfahrung dazu, beschränkt auf einige wesentliche Punkte. Dabei gilt es zu bedenken, dass die Fall- und Schadensabwicklung im Hintergrund teilweise sehr komplex verläuft. Wir fokussieren die Empfehlungen deshalb auf wesentliche Aspekte zur Glaubwürdigkeit und Vertrauenssicherung:
-
Insbesondere im Fall öffentlicher Aufmerksamkeit geht oft vergessen: Wer sind nebst der Organisation die Direktbetroffenen? Mitarbeitende, Kundinnen und Kunden, Geschäftspartner, Behörden. Es empfiehlt sich, diese prioritär zu informieren und betreuen. Nur so lässt sich ein Vertrauensschaden minimieren.
-
Aus erster Hand informierte Direktbetroffene werden dies in aller Regel schätzen. Aktive Informationen dienen der Glaubwürdigkeit und dem Erhalt des Vertrauens. Je nach Art des Vorfalls und wie damit umgegangen wird, ist jedoch ebenso mit kritischen Rückmeldungen zu rechnen. Das soll jedoch keine falsche Scheu vor einer transparenten Kommunikation aufkommen lassen. Denn deutlich kritischer fallen Reaktionen aus, wenn eine Organisation beim Versuch ertappt wird, etwas vertuschen zu wollen, kleinzureden oder nur häppchenweise preiszugeben, was ohnehin gerade bekannt wird.
-
Empathie ist der Schlüssel zur Deeskalation. Und Angst eine schlechte Beraterin. Wer hingegen Problembewusstsein und Verständnis die Befindlichkeit der Betroffenen zeigt, kann auch im Fall eines kritischen Datendiebstahls Sympathiepunkte sammeln.
-
Aus den vorangehenden Punkten ergibt logischerweise: Zurückhaltung ist in der Kommunikation meistens Fehl am Platz. Da im Normalfall früher oder später ohnehin die wahre Dimension bekannt wird, lohnt sich grösstmögliche Transparenz auch bei einem Cyber-Vorfall. Dies wirkt deeskalierend, macht die Geschichte weniger interessant und hilft, den Eindruck einer Salamitaktik in der Kommunikation zu vermeiden.
-
Gerade wenn eine Kommunikation schnell erfolgen muss, sind die Prioritäten wichtig. Medien machen zwar möglicherweise viel Wirbel. Doch die zentralen Adressaten der Kommunikation sind die internen und externen Stakeholder: Mitarbeitende, Kunden, Behörden oder Geschäftspartner. Denn diese sind die wichtigsten Botschafter. Im positiven Sinn, wenn sie gut einbezogen werden – oder kritisch, wenn sie sich schlecht oder gar nicht einbezogen fühlen.
-
Last but not least: Oftmals ist das Ausmass eines Cyber-Vorfalls nicht genau bekannt, mindestens in der Anfangsphase. Es empfiehlt sich, bei Informationen auf diese Tatsache hinzuweisen und auch Direktbetroffenen gegenüber die Dimension nicht kleinzureden. Es ist allemal besser, nachträglich Entwarnung zu geben, als mit Folgegeschichten im Stil von «es ist alles noch viel schlimmer» fertigwerden zu müssen.
Pragmatische Vorbereitung spart Zeit im Krisenmanagement
Wir empfehlen im Rahmen des Risk Managements eine praxistaugliche Vorbereitung, um bei einem Cybervorfall auch kommunikativ rasch handeln zu können und somit Reputationsrisiken zu minimieren.