Gelingt es Cyberkriminellen wichtige Unternehmensdaten zu entwenden, stehen zunächst forensische Fragen wie das Aufdecken der Einfallstore und das Vorgehen der Hacker im Netzwerk stark im Fokus. Bei der Reaktion auf Datendiebstahl sollte ein wichtiger Punkt aber nicht vergessen werden: Die Kommunikation nach außen. Mit entsprechender Vorbereitung lässt sich das Vertrauensverhältnis zu Kunden und der Öffentlichkeit in vielen Fällen aufrechterhalten. Im Rahmen seines Cybersecurity Summits sprach Sophos mit Associate Professor und Cybersecurity-Spezialist Jason R.C. Nurse über die Kommunikationsstrategie bei einem Datendiebstahl.
Dabei zeigte sich, dass der Arbeitsaufwand vor einem Datendiebstahl entscheidend ist, viele Organisationen diese Vorbereitungsphase jedoch übersehen würden – zumindest in Sachen Kommunikationsstrategie. Um effektiv auf eine Datenverletzung zu reagieren, müssten Unternehmen im Voraus festlegen, wer als Sprecher in die Öffentlichkeit tritt, wie die Kunden am besten erreicht werden und welche allgemeinen Kommunikationsregularien gelten, so die Botschaft des Summits.
Vorbereitung ist alles
Die Liste derjenigen, die in der Öffentlichkeit sprechen, sollte dabei so klein wie möglich sein – im Idealfall maximal zwei Personen ‘mit Bedeutung‘, denn Journalisten wünschen sich einen Experten oder eine Führungskraft. So lässt sich sicherstellen, dass die Botschaft konsistent bleibt und Verwirrungen ausgeschlossen werden. Auch ist es hilfreich, mögliche Fragen von Presse, Aktionären oder Kunden vorauszusehen und kompakte Antworten darauf parat zu haben. Dieser Masterplan sollte für verschiedene Sicherheitsvorfälle erstellt und mit regelmäßigen Überprüfungen aktuell gehalten werden. Zudem können regelmäßigen Testläufe dafür sorgen, dass jeder Mitarbeiter seine Verantwortlichkeiten kennt und weiß, mit wem er worüber sprechen darf.
Aufrichtigkeit bleibt die beste Strategie bei Unternehmensvorfällen, es sei denn eine gesetzliche Regelung gebietet etwas anderes. Entscheidet sich das Unternehmen zur Geheimhaltung, birgt das die Gefahr, dass der Vorfall später doch herauskommt und der Image-Schaden dann umso größer ist. Zudem sollten Verantwortliche nicht unterschätzen, dass die gestohlenen Daten auf kriminellen Online-Märkten landen können und damit auch publik werden.
Die Sicht des Kunden verstehen
Wenn eine Cyberattacke stattgefunden hat, entsteht bei den Betroffenen schnell die Versuchung, sich als Opfer darzustellen. Obwohl dies aus technischer Sicht stimmt, wird ein solches Verhalten in der Öffentlichkeit oft negativ bewertet. Wer als Organisation oder Unternehmen mit wichtigen Daten betraut wird bzw. mit ihnen arbeitet, muss diese Daten schützen. Deshalb sollten Unternehmen die Dimension eines Datendiebstahls auch aus Sicht der Kunden verstehen, die Verantwortung übernehmen sowie schnell, klar und sachlich kommunizieren, wie auf den Datendiebstahl reagiert wird.
Leitfaden zur Kommunikation
Schnell Antworten: Oft besteht nur eine Gelegenheit für den ersten Eindruck und der sollte vertrauensbringend sein. Gute Vorbereitung kann eine sofortige Antwort, die maßvoll und genau sein sollte, erleichtern.
Klare Botschaft liefern: Kein Fachjargon bei der Ansprache von Kunden, Aktionären oder der allgemeinen Öffentlichkeit. Direkte und emphatische Kommunikation ist effektiver.
Eine einzige Quelle nutzen: Die Kommunikation über verschiedene News-Bereiche oder Social-Media-Kanäle des Unternehmens kann dazu führen, dass eine eigentlich eindeutige Botschaft schnell verwässert wird. Eine einzelne und aktuelle Aussage direkt aus der Unternehmensführung über einen Unternehmenskanal kann helfen, die Botschaft klarer zu vermitteln.
Verantwortung übernehmen: Aktionäre, Kunden und die Medien honorieren Unternehmen, die zu ihren Fehlern stehen.
Die Betroffenen auf dem Laufenden halten: Unternehmen sollten einen Aktionsplan aufsetzen, um Aktionäre und Kunden auch nach dem ersten ‘Going Public‘ informieren zu können. Auf diese Weise bleiben die oftmals langjährig aufgebauten, guten Beziehungen intakt.
