IT-Security in der Krise - warum richtige Kommunikation essenziell ist! (Teil 1)

IT-Security in der Krise - warum richtige Kommunikation essenziell ist! (Teil 1)

Die Wahrscheinlichkeit, dass ein Unternehmen mindestens einmal von einer Krise betroffen sein wird, läuft stark gen 100%. Bereits im Jahr 2016 schätzten die beiden Kommunikationsforscher Jörg Forthmann und Roland Heintze in einer Studie, dass die Wahrscheinlichkeit für eine Kommunikationskrise um 75% gestiegen ist. Und öffentliche Krisen betreffen nicht nur die Leader der Branche – in jeder Situation eines Unternehmens, egal ob Leader, Rising Star oder Start Up – eine Krise und mangelhafte Kommunikation kann die Existenz der gesamten Unternehmung gefährden.

Was ist eine Krise?

Die Definition einer Krise ist laut dem Politikwissenschaftler Manfred G. Schmidt im „Allgemeinen ein Höhepunkt oder Wendepunkt einer gefährlichen Konfliktentwicklung in einem natürlichen oder sozialen System, dem eine massive und problematische Funktionsstörung über einen gewissen Zeitraum vorausging und der eher kürzer als länger andauert.“ Dies lässt sich auf Unternehmen übertragen. Dabei sind Krisen von folgenden Merkmalen gekennzeichnet:

  • Es gibt einen Verdacht auf und ein Eintreten von Störfällen.
  • Zuerst langsame, dann aber schnelle Veränderung der Bewertung der Unternehmenspolitik, die als im Widerspruch zu öffentlichen Interessen und Schutzzielen stehend wahrgenommen wird.
  • Es gibt öffentliches Interesse und Turbulenzen.
  • Es findet eine Schädigung des öffentlichen Ansehens des Unternehmens statt, das die Geschäftsabläufe beeinträchtigt.

Ein öffentliches Interesse bezieht sich dabei auf jenes Dritter jeglicher Ausformung: Mitarbeitende, Zulieferer, Kunden, Journalisten und Fachpresse, Vorstände, Gesellschafter, Teilhaber, Aktionäre uvm.  

Die Ursachen einer Krise können dabei innerhalb (endogen), aber auch außerhalb des Unternehmens liegen (exogen). Beispiele für exogene Krisen sind zum Beispiel Branchenkrisen, wie etwa eine Finanzmarktkrise oder eine Rohstoffknappheit. Häufig sind die Grenzen zwischen beiden Formen nicht klar zu ziehen.

Gibt es eine riskante Unternehmenssituation, dann kann sich diese zum Desaster entwickeln, wenn verschiedene exogene Faktoren dazu kommen:

  • Wirtschaftskrisen, Störfälle, Unglücke und Unfälle
  • Produktmissbrauch und -sabotage
  • Produktskandale bei Konkurrenz- und Vorprodukten
  • Druck von Interessengruppen
  • Gerüchte, Verleumdungen und Verwechslungen
  • Entführungen, Terroranschläge und Kriege

Dazu können auch endogene Faktoren kommen:

  • Störfälle, Unglücke und Unfälle
  • Produktskandale
  • In die Kritik geratene Management- und Verkaufspraktiken

Ist dann eine Toleranzschwelle überschritten und ein für das Unternehmen außergewöhnlich negatives Niveau erreicht, dann sprechen wir von einer Krise. Wie bei einer Ampel, lassen sich diese Phasen unterteilen:

  1. Normalzustand
  2. Kritische o. latente Phase
  3. Negativer Ausnahmezustand

Dennoch verläuft nicht jede Krise gleich. Dabei lassen sich Krisenverläufe grundlegend in drei Ausformungen unterscheiden:

Dementsprechend haben wir es im Bereich der Informationssicherheit häufig mit eruptiven Krisen zu tun, was gleichbedeutend ist, dass das öffentliche Interesse in diesem Falle umgehend besonders hoch ist: Eine gute und vorbereitete Krisenkommunikation ist unumgänglich. Aus eruptiven Krisen können auch schnell periodische Krisen werden, die bei Missmanagement und ausbleibenden Learnings immer wiederkehren können.

Auch wenn jede Krise anders ist, so lassen sich dennoch Muster erkennen, die jede Krise aufweist. Eine Krise lässt sich dabei in drei Phasen unterteilen: Frühphase, akute Krisenphase und die latente Krisenphase.

Nimmt man das komplette Krisenmanagement dazu, lässt sich diese dann in sogar fünf Phasen unterteilen:

  1. Prävention
  2. Früherkennung
  3. Eindämmung
  4. Recovery
  5. Learnings

Vorbereitung von Krisen

Eine Krise ist allerdings nichts, was nicht vorhersehbar ist. Risikomanagement ist in der heutigen Zeit von besonderer Bedeutung geworden: Jedes Unternehmen hat die Aufgabe, die Risiken der eigenen Branche zu kennen und diesen Vorzubeugen. In vielen Bereichen gibt es sogar gesetzliche Verpflichtungen, so zum Beispiel sind Kapitalgesellschaften und börsennotierte Aktiengesellschaften dazu verpflichtet, ein unternehmensweites Früherkennungssystem zu betreiben und Aussagen zur Risikostruktur in Lageberichten zu veröffentlichen.

Wichtig ist aber: Trotz vorherigem Krisenmanagement lassen sich Krisen häufig nicht verhindern. Und in diesem Falle zeigt sich die Wichtigkeit der Verzahnung von Krisenmanagement und Krisenkommunikation. So kann bereits vor Eintreten das Eskalationspotenzial eingeschätzt werden und Präventions- bzw. Kriseninstrumentarien entwickelt und installiert werden.

Phasen der Krise

3.1 Prävention

Die drei Bausteine der Präventionsphase sind:

  • Krisensensibilisierung
  • Issue-Management
  • Krisenbewusstsein

Das Ergebnis aller drei Phasen soll ein Krisenfahrplan sein. Dieser definiert die durchzuführenden Schritte in einer Krisensituation, lässt aber genug Raum für situationsentsprechendes Handeln.

Teil des Krisenfahrplans müssen sein:

  • Regelung der Verantwortlichkeiten

Wer informiert wen? Wer kommuniziert wie mit wem?

  • Notfallpläne

Sie stellen die Kontinuität des operativen Tagesgeschehens sicher

  • Kontaktdetails festlegen

Diese umfassen bspw. die Kontaktdaten von Medien, Politikern, Gewerkschaftsvertretern, Multiplikatoren etc.

Kommunikativ sollten hier bereits Netzwerke mit Ansprechpartner:innen geknüpft werden. Dabei ist es von enormem Vorteil, mit bereits bekannten Medienvertreter:innen zu kommunizieren. Gerade in Krisenfällen sollte mit vertrauten Medien gesprochen werden, die objektiv berichten und die Zusammenhänge kennen. Kurze Wege in der Kommunikation geben dabei einen Vorteil.

Ebenfalls werden in dieser Phase Templates erstellt für Pressemitteilungen, E-Mails, Website-Texte und Social Media. Dem Social Media-Team kommt dabei häufig eine Schlüsselposition zu, da es in Echtzeit reagieren muss und eine direkte Informationsschnittstelle besetzt und im Monitoring viele Kommunikationsrichtungen auslesen kann. Das Ergebnis dieses Monitorings kann dazu dienen, schnelle Gegenmaßnahmen zu ergreifen.

3.2 Früherkennung

Das Issue-Management sollte nach Möglichkeit bereits mit dem Krisenmanagement abgeglichen sein. Im Idealfall werden hier bereits Gefahrenquellen identifiziert, bevor diese zur akuten Bedrohung werden können.

In der Früherkennung müssen

  • Krisenindikatoren erkannt werden
  • Toleranzschwellen definiert
  • Frühwarnungen gegeben werden

Häufig setzt in dieser Phase meist die Berichterstattung durch Medien an. Anfragen werden gestellt – Recherche betrieben. In der Krisenkommunikation ist dies eine besonders kritische Phase, denn häufig können Kommunikationsprobleme hier bereits eingefangen werden. Dies beugt Gerüchten, Spekulationen und Verdachtsmomenten vor, dazu muss allerdings bereits erkannt werden, welche Informationen erwartet werden und diese im besten Falle bereits vorbereitet haben. Dies kann Journalisten häufig bereits bedienen. Reagiert ein  Unternehmen in dieser Phase nicht, suchen sich Medienvertreter früh bereits Drittquellen: Kunden, Wettbewerber, Branchenkenner, Insider – und damit vom Akteur nicht mehr kontrollierbare Informationen.

Dabei ist eine Kommunikation nach innen genau so wichtig, wie eine Kommunikation zu den Medien. Je nach Größe des Unternehmens streuen Informationen noch in höherem Maße: Mitarbeitende, die nicht informiert sind, beteiligen sich häufig bewusst oder auch unbewusst an Spekulationen. Sind diese einmal geschaffen, lassen Sie sich kaum wieder einfangen, wie eine Studie der University of Regina, Kanada, aus dem Jahre 2020 zeigt: News über soziale Medien verbreiten sich 6 mal schneller, als News über klassische Medien. Ein Wahrheitsgehalt wurde dabei von den Probanden in den meisten Fällen nicht geprüft.

 

3.3 Eindämmung

Hier wird der Höhepunkt der Berichterstattung erreicht. Der sogenannte „Nachrichtenwert“ für die Redaktionen ist in dieser Phase am Höchsten. Spätestens in dieser Phase sollte die Unternehmenskommunikation eine gesicherte Übersicht über Hintergründe und Details haben, Sprachregelungen festgelegt und Lösungsansätze parat haben. Dies ist notwendig, um die Berichterstattung lenken zu können. Im Normalfall sollte die Berichterstattung kurz darauf abklingen.

Ist dies in dieser Phase nicht oder nur wenig gelungen, dann ist eine Eskalation wahrscheinlich, die häufig die Grundlage für einen Reputationsschaden ist. Dabei sollte unbedingt beachtet werden, dass die negativen Aspekte eines Vorfalls häufig den höchsten Nachrichtenwert besitzen. Sogenannte „Trittbrettfahrer“ werden sich der negativen Berichterstattung anschließen und einen „Shitstorm“ lostreten.

3.4 Recovery

Hier wird die Krise nachbereitet. Es müssen Maßnahmen definiert werden, die die negativen Folgen beseitigen. Das Ziel ist es, den Normalzustand wiederherzustellen und sich schnell wieder dem operativen Alltag zuwenden zu können.

3.5 Learning

Hier müssen kritische Fragen gestellt werden: Was wurde richtig, was falsch gemacht? Wie wurde kommuniziert? Welche Botschaften sind angekommen und welche nicht? Das Ziel dieser Phase ist das Definieren und Umsetzen von Maßnahmen, Aktionen und Projekten, die der Öffentlichkeit zeigen: „Wir haben dazu gelernt“ und die dazu dienen, die Präventionsmaßnahmen und Notfallpläne entsprechend anzupassen. Wichtig ist vor allem, dass dieses Maßnahmenpaket glaubwürdig bleibt. Keine Versprechungen, deren Umsetzung nicht praktikabel ist oder nicht durchgeführt wird. Im Idealfall kann aus den Erfahrungen ein Früh-Warnsystem installiert werden, dass die Maßnahmen zur Prävention erfasst und erweitert.

Fazit

Trotz Früh-Warnsystem muss aber klar sein: Krisen sind unvermeidbar. Aber sie bieten auch Chancen. Gut kommunizierte Krisen können auch einen enormen Reputations- und Vertrauensgewinn bringen: Nach Innen und Außen. Es gibt viele Fälle von Unternehmenskrisen, aus denen die Unternehmen gestärkt hervorgegangen sind. Genauso gut kann eine schlechte Krisenkommunikation auch das Gegenteil bewirken.

Diese Ausarbeitung soll Ihnen dazu dienen, eine Krisenkommunikation vorzubereiten. Sie soll Ihnen Vorlagen an die Hand geben und Best Practice-Beispiele aus bereits vergangenen Krisen geben.

Dazu soll noch der Hinweis gegeben werden: Die Rechtsabteilung sollte in jedem Falle mit in die Vorbereitung und Begleitung einer Krisenkommunikation einbezogen werden. Häufig betreffen Informationen und Kommunikationsinhalte auch bestehende Verträge oder Gesetze. Dieses sollte in jedem Fall vor der Kommunikation nach außen geprüft werden.

Außerdem sollte bedacht werden, dass Krisenkommunikation sehr vielfältig ist. Jedes Unternehmen, jede Behörde oder Institution, sowie jede Gesellschaft oder Verein hat unterschiedliche Voraussetzungen. Deshalb sollte mit der Vorbereitung der Krisenkommunikation früh begonnen werden. Wir sind Ihnen gerne dabei behilflich, die nötigen Maßnahmen und Voraussetzungen für Sie zu definieren.

In unserem zweiten Teil widmen wir uns dem Krisenhandbuch und schauen uns Do's und Don't's während einer Krise genauer an.

Incident Response

Sie haben einen Sicherheitsvorfall?

Schreiben Sie uns

Kontaktieren Sie uns, wir melden uns zurück

Bitte geben Sie einen Vornamen ein
Bitte geben Sie einen Nachnamen ein
Bitte geben Sie eine E-Mail ein
Bitte geben Sie eine Beschreibung ein
Bitte aktivieren Sie das Kontrollkästchenfeld

Kontaktieren Sie uns, wir melden uns zurück

Bitte geben Sie einen Vornamen ein
Bitte geben Sie einen Nachnamen ein
Bitte geben Sie eine E-Mail ein
Bitte geben Sie eine Beschreibung ein
Bitte aktivieren Sie das Kontrollkästchenfeld