Der Albtraum für jedes Unternehmen: eine Cyberattacke hat zu einem Datendiebstahl geführt. Wie lässt sich dieses Worst-Case-Szenario, ganz abgesehen vom finanziellen und materiellen Schaden, in Sachen Kommunikation überstehen, ohne Kunden oder Aktionäre zu verlieren? Sophos und Associate Professor Jason R.C. Nurse von der Universität Kent  haben in einer Diskussion wichtige Antworten sowie einen Leitfaden zu dieser essentiellen Frage entwickelt.

Wenn der GAU in Sachen IT-Security eingetreten ist und Cyberkriminelle große Mengen Unternehmensdaten entwenden konnten, stehen selbstverständlich forensische Fragen wie das Aufdecken der Einfallstore und das Vorgehen der Hacker im Netzwerk  stark im Fokus. Wenn es um die Reaktion auf Datendiebstahl geht, darf ein wichtiger Punkt aber nicht vergessen werden: Was sage ich der Öffentlichkeit und wie kommuniziere ich es? Ein Cyberangriff ist immer eine unwillkommene Überraschung. Aber mit  entsprechender Vorbereitung und einer gut durchdachten Reaktion lässt sich das Vertrauensverhältnis zu Kunden und der Öffentlichkeit in vielen Fällen aufrechterhalten.

Im Rahmen seines Cybersecurity Summits sprach Sophos mit Associate Professor und Cybersecurity-Spezialist Jason R.C. Nurse* über die Kommunikationsstrategie bei einem Datendiebstahl. Das Gespräch im Video ist unter folgendem Link zu finden:

https://nakedsecurity.sophos.com/2021/02/03/what-should-you-say-if-you-have-a-data-breach-catch-up-with-jason-nurse-at-sophos-evolve/ – die Empfehlungen und Kernbotschaften sind im Folgenden zusammengefasst:

Kommunikationsstrategie für den Ernstfall in der Schublade haben

Der Arbeitsaufwand vor einem Datendiebstahl ist entscheidend, aber viele Organisationen übersehen diese Vorbereitungsphase – zumindest in Sachen Kommunikationsstrategie. Um effektiv auf eine Datenverletzung zu reagieren, muss das Unternehmen im Voraus festlegen, wer als Sprecher in die Öffentlichkeit tritt, wie die Kunden am besten erreicht werden und welche allgemeinen Kommunikationsregularien gelten.

Die Liste derjenigen, die in der Öffentlichkeit sprechen, sollte dabei so klein wie möglich sein – im Idealfall maximal zwei Personen „mit Bedeutung“, denn Journalisten wünschen sich einen Experten oder eine Führungskraft. So lässt sich sicherstellen, dass die Botschaft konsistent bleibt und Verwirrungen ausgeschlossen werden. Hilfreich ist es, mögliche Fragen von Presse, Aktionären oder Kunden vorauszusehen und kompakte Antworten darauf parat zu haben. Dieser Masterplan sollte für verschiedene Sicherheitsvorfälle erstellt und mit regelmäßigen Überprüfungen aktuell gehalten werden.

Zudem sorgen diese regelmäßigen Testläufe dafür, dass jeder Mitarbeiter seine Verantwortlichkeiten kennt und weiß, mit wem er worüber sprechen darf.

Offenlegen oder Geheimhalten?

Aufrichtigkeit bleibt die beste Strategie bei Unternehmensvorfällen, es sei denn eine gesetzliche Regelung gebietet etwas anderes. Entscheidet sich das Unternehmen zur Geheimhaltung, birgt das immer die Gefahr, dass der Vorfall später doch herauskommt und der Image-Schaden dann umso größer ist. Zudem dürfen Verantwortliche nicht unterschätzen, dass die gestohlenen Daten auf kriminellen Online-Märkten landen können und damit auch publik werden.

Verantwortung übernehmen

Wenn eine Cyberattacke stattgefunden hat, entsteht bei den Betroffenen schnell die Versuchung, sich als Opfer darzustellen. Und obwohl dies im technischen Sinn  durchaus stimmt, bewertet die Öffentlichkeit ein solches Verhalten oft negativ. Wer als Organisation oder Unternehmen  mit persönlichen oder anderen wichtigen Daten betraut wird bzw. mit ihnen arbeitet, ist in der Verantwortung, diese Daten auch zu schützen. Deshalb sollten Unternehmen die Dimension eines Datendiebstahls aus Sicht der Kunden verstehen, die Verantwortung übernehmen sowie schnell, klar und sachlich kommunizieren, wie  auf den Datendiebstahl reagiert wird.

Zum Schluss noch ein Kurz-Leitfaden für die Krisenkommunikation:

  • Antworten Sie schnell. Oft besteht nur eine Gelegenheit für den ersten Eindruck und der sollte vertrauensbringend sei. Gute Vorbereitung erleichtert eine sofortige Antwort, die maßvoll und genau ist.
  • Liefern Sie eine klare Botschaft. Kein Fachjargon bei der Ansprache von Kunden, Aktionären oder der allgemeinen Öffentlichkeit. Direkte und emphatische Kommunikation ist weitaus effektiver.
  • Nutzen Sie eine einzige Quelle. Die Kommunikation über verschiedene News-Bereiche oder Social-Media-Kanäle des Unternehmens kann eine eigentlich eindeutige Botschaft schnell verwässern. Eine einzelne und aktuelle Aussage direkt aus der Unternehmensführung über einen Unternehmenskanal hilft, die Botschaft klar zu vermitteln.
  • Übernehmen Sie Verantwortung. Aktionäre, Kunden und die Medien honorieren Unternehmen, die zu ihren Fehlern stehen.
  • Halten Sie alle Betroffenen auf dem Laufenden. Setzen Sie einen Aktionsplan auf, um Aktionäre und Kunden auch nach dem ersten „Going Public“ kompetent informieren zu können. Auf diese Weise bleiben die oftmals langjährig aufgebauten, guten Beziehungen intakt.

*Jason R.C. Nurse ist Associate Professor für Cybersicherheit an der Universität von Kent und Gastwissenschaftler an der Universität von Oxford. Seine Forschung fokussiert sich auf die sozio-technischen Aspekte von Cybersicherheit, Privatsphäre und Vertrauen. Er hat seine jahrelange Forschung in ein evidenz-basiertes Bezugssystem einfließen lassen, das den besten Umgang mit potenziellen Schäden auf der Beziehungsebene herausarbeitet, die mit einer Cyberattacken einhergehen.

Für einen tieferen Einblick in die Forschung von Professor Nurse gibt es hier die Möglichkeit, seine Arbeiten abzurufen.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Ariane Wendt
TC Communications
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel