Cyber-Sicherheit: Kommunikation zählt!

19. Februar 2020

Gastartikel von Natali Brandis, Partnerin bei der strategischen Kommunikationsberatung Kekst CNC, zu den wichtigsten Herausforderungen bei der Kommunikation eines Cybersicherheitsvorfalls.
Angesichts des Anstiegs der Cyber-Sicherheitsverstöße von 67% in den letzten 5 Jahren, des Rekord-DSGVO-Bußgelds von 204 Mio. € für den Datenschutzverstoß bei British Airways und der zunehmenden Vielfalt an ausgeklügelten Angriffen überrascht es nicht, dass das jüngste Allianz-Risikobarometer Cybervorfälle als größtes Unternehmensrisiko für 2020 einstuft. In der digital vernetzten Arbeitswelt von heute betreffen Cyberangriffe nur selten einzelne Unternehmensteile, sondern wirken sich auf mehrere Standorte, Abteilungen und globale Geschäftsaktivitäten aus.

Vor diesem Hintergrund ist die strategische Kommunikation mit internen oder externen Stakeholdern ein entscheidender Faktor bei der Krisenbewältigung und beim Schutz des Unternehmensansehens geworden. Berücksichtigt man die Entwicklung in den letzten Jahren und die neuen Trends, ergeben sich drei wichtige Herausforderungen hinsichtlich der Kommunikation eines Cybervorfalls:

1. Den Feind kennen.

Ransomware, Cryptomining, DDoS-Angriffe, Malware, Datenschutzverstöße: Nicht nur die zunehmende Anzahl von Vorfällen, sondern auch die zunehmende Bandbreite der Angriffsformate erschwert es, die Motive der Angreifer zu verstehen. Aber genau darauf kommt es an, wenn man in der Lage sein will, effektive Gegenmaßnahmen für IT, Corporate Security, HR und Kommunikation festzulegen. Stakeholder, Mitteilungen und Reportingprozesse variieren, je nachdem, ob es sich um einen Datenschutzverstoß (wie bei Mariott International) oder Erpressung durch Hacker (wie bei Travelex) handelt oder die Firmensysteme zum Kollateralschaden eines größeren Infrastruktur-Malwareangriffs werden (wie bei Maersk). Der erste Schritt besteht darin, die potenzielle Quelle des Cyberangriffs auszumachen. Der Angreifer ist oft näher, als man denkt. Auch wenn Angriffe zunehmend von professionellen Hackerteams durchgeführt werden, erfolgen über 60% der Cyberangriffe durch ehemalige Mitarbeiter.

2. Meldepflicht.

Die seit Mai 2018 geltende DSGVO schreibt die umgehende Meldung von Datenschutzverstößen vor. Selbst bei komplexen Angriffsszenarien müssen Unternehmen die Behörden innerhalb von 72 Stunden und Betroffene sobald wie möglich informieren. DSGVO-Verstöße ziehen sowohl finanzielle Konsequenzen wie auch eine Rufschädigung nach sich. Mega-Datenschutzverstöße (die über eine Million Datensätze betreffen) führen mittlerweile zu Bußgeldern in Höhe von durchschnittlich 38 Mio. €Aber auch bei wesentlich kleineren Verstößen können Kommunikationsfehler - von der falschen Reihenfolge bei der Information von Medien und Kunden über ungeeignete Formate bei der direkten Interaktion mit betroffenen Kunden bis hin zu unzureichenden Entschuldigungen und Entschädigungen - dem Ansehen des betreffenden Unternehmens schaden.

3. Das interne Risiko.

Während Hacker und ihr Waffenarsenal vor den Toren lauern, bleiben Mitarbeiter eine der größten Sicherheitsbedrohungen. In etwa der Hälfte aller Cyber-Sicherheitsvorfälle haben nachlässige oder uninformierte Mitarbeiter zum Vorfall beigetragen. Nur jeder Dritte deutsche Arbeitnehmer hat eine IT-Sicherheits- oder Datenschutzschulung erhalten. Ein geringes Niveau an interner Bewusstheit der Cyberrisiken setzt Unternehmen aktiv der Gefahr von Angriffen aus. Zusammen mit IT- und Corporate-Security-Experten muss die interne Kommunikation die Mitarbeiter umfassend über Cyberbedrohungen informieren und sie befähigen, Social-Engineering-Tricks zu erkennen, sichere Kennwörter zu wählen und ihre Geräte verantwortungsvoll zu nutzen.

Vorbereitung ist der Schlüssel für die erfolgreiche Bewältigung dieser Herausforderungen. Und dennoch gaben 2019 77% der Befragten in einer IBM Security/Ponemon Institute-Studie an, keinen Cybersicherheits-Reaktionsplan zu haben. Und auch wenn Unternehmen über einen solchen Plan verfügen, testet über die Hälfte ihn nicht regelmäßig, obwohl bekannt ist, dass Unternehmen, die schnell und effizient reagieren, um einen Cyberangriff innerhalb von 30 Tagen einzudämmen, über 1 Mio. € sparen.
Cybersicherheit vorzubereiten und umzusetzen ist eine echte Teamleistung: Corporate-Security-Experten, IT-Experten, gesetzliche Vertreter, Kommunikationsmanager und andere relevante Funktionen müssen Cyberrisiko-Schulungen, Krisenmanagement und Wiederherstellung nach Vorfällen gemeinsam angehen, um ein Unternehmen widerstandsfähig zu machen. Funktionsübergreifende Cybervorfallsschulungen für sie sind unerlässlich, um Cybersicherheits-Reaktionspläne umzusetzen. Gemeinsam sollten sie Rollen und Zuständigkeiten einüben, Strategien für potenzielle Risikoszenarien festlegen und, schlussendlich, eine gemeinsame Sprache für technische und nichttechnische Kollegen finden, damit diese Angriffe effektiv bewältigen können.
Nehmen Sie während der Command Control 2020 an unseren interaktiven Live-Krisensimulationen teil, um einen neuen Ansatz für die Vorbereitung auf Cyberkrisen kennenzulernen und Ihre Krisenmanagementfähigkeiten zu testen.

Besucher
Command Control 2020 abgesagt

Alle Informationen zur Absage aufgrund der Verbreitung von COVID-19.

Mehr erfahren!
Besucher
Lernen Sie Ihre Ansprechpartner kennen

Das Team der Command Control unterstützt Sie mit professioneller Beratung rund um Ihre Teilnahme.

Beratung & Kontakt
Programm
Internationale Sprecher

Hochkarätige Referenten aus Wirtschaft, Politik und Wissenschaft teilen neueste Erkenntnisse und zeigen Zukunftsperspektiven auf.

Sprecher