Grundsätzlich muss man zwischen den technischen Risiken, den Datenschutzthemen, den betriebswirtschaftlichen und finanziellen Folgen sowie dem Reputationsrisiko unterscheiden. Letzteres resultiert aus den erstgenannten, ist aber auch ein eigenes Risiko mit Blick auf die Wahrnehmung des Unternehmens als Ganzes, wenn es von einer Cyber-Attacke betroffen ist. Sicherlich ist das ein Grund dafür, dass Unternehmen mittlerweile Reputationsrisiken ganz oben auf der Agenda haben. Finanzielle Folgen lassen sich sicher durch Versicherungslösungen abdecken. Dennoch bleibt eine Betriebsunterbrechung durch IT-Ausfall oder der Verlust bzw. die Kompromittierung von Daten ein massives, operatives Problem. Hinzu kommt, dass bei Hackerangriffen nur schwer einschätzbar ist, wann die Krise wirklich überstanden ist. Gestohlene Daten können auch noch nach langer Zeit auftauchen oder missbraucht werden.

Anzeige

Welche Rolle spielt Krisenkommunikation im Ernstfall?

Wir haben ein Set von sieben Leitfragen entwickelt, um zu einer Ersteinschätzung zu kommen, wie dringlich eine schnelle und klare Kommunikation ist. Das betrifft insbesondere die Frage, inwieweit das betroffene Unternehmen die Kommunikationshoheit behält und nicht erst in eine reaktiv-defensive Situation kommt, die schnell in eine Rechtfertigung abgleiten kann.
Unabhängig davon gibt es aber natürlich in jeder Krise Kommunikationsbedarf. Die Zielgruppen Mitarbeiter und Geschäftspartner sind meist als erste betroffen. Unsicherheit oder gar Gerüchte sind Gift für ein Krisenmanagement – denn um das Problem zu lösen, braucht man ja auch die Mitarbeiterinnen und Mitarbeiter. Und ohne das Vertrauen der Geschäftspartner wird es schwierig, die Krise zu überstehen und wieder zum normalen Geschäftsbetrieb zurückzukehren.
Schweigen oder vertuschen ist deshalb ein großer Fehler. Unternehmen, die Kommunikation herauszögern, haben in der Vergangenheit massiv schlechtere Ergebnisse in der Folgezeit erreicht als Unternehmen, die offensiv mit der Kommunikation umgegangen sind. Das zeigen umfangreiche empirische Studien.

Können Sie Tipps geben, wie sich insbesondere kleinere- und mittelständische Unternehmen auf einen solchen Krisenfall vorbereiten können?

Gerade kleine und mittelständische Unternehmen haben meist weder die IT-Kompetenzen, um mit Attacken professionell umzugehen, noch verfügen sie über krisenerfahrene Kommunikationsabteilungen und die entsprechende Infrastruktur. Gerade deshalb sind Versicherer hilfreich, die neben dem Versicherungsschutz auch ein entsprechendes Assistance-Netzwerk anbieten. Das ist ein echter Mehrwert einer Cyber-Police.
Empfehlenswert ist es aber auch, sich präventiv mit dem „worst case“ zu beschäftigen. Das beginnt mit einer Risikoanalyse, umfasst die Erstellung eines Krisenplans und idealerweise auch einer Simulationsübung. Ein solcher Prozess stellt sicher, dass ein Unternehmen auch dann handlungsfähig bleibt, wenn buchstäblich die gesamte Infrastruktur zusammenbricht – so dass weder die operativen Systeme laufen noch ein Zugriff auf Daten und Akten möglich ist und zugleich Telefonanlage und E-Mail-System lahm liegen. Das klingt nach einem Extremszenario, ist aber total realistisch.
Die Prävention selbst muss gar nicht extrem aufwändig sein. Ein paar „Basics“ helfen oft schon, um die schlimmsten Situationen in der Anfangsphase zu vermeiden. Aber leider laufen solche Projekte oft unter „Prio 3“ – und werden niemals umgesetzt.

Anzeige

Hinweis: Der Text erschien zuerst im Versicherungsbote Fachmagazin 02 /2021.

vorherige Seite
Seite 1/2/

Anzeige