In der heutigen digitalen Welt stehen Organisationen ständig vor der Bedrohung von Cyberangriffen.
Dieser umfassende Leitfaden untersucht wesentliche Strategien für eine effektive Krisenkommunikation bei Cybersicherheitsvorfällen. Von der Vorbereitung von Pressemitteilungen und internen Kommunikationen bis hin zur Nutzung von Darksites und sozialen Medien behandeln wir bewährte Praktiken, die dazu beitragen, Vertrauen zu bewahren, die Narrative zu kontrollieren und Reputationsschäden zu minimieren.
Erfahren Sie, wie Sie zeitnahe, präzise Botschaften für verschiedene Interessengruppen formulieren und die Komplexität der Öffentlichkeitsarbeit während einer Cyberkrise meistern können.
Bei einer ersten Presseinformation können ungeklärte Sachverhalte problemlos als solche ausgewiesen werden. Dabei gilt: Schnelligkeit vor Vollständigkeit, Richtigkeit vor Schnelligkeit. Formulierungen aus einem Muster-Haltestatement (->
Proaktiv informieren) können für die erste Presseinformation genutzt werden.
Grundsätzlich gilt: Sobald belastbare neue Erkenntnisse da sind, sollten diese nachgereicht und ergänzt werden durch Fakten zu eingeleiteten Maßnahmen. ( ->
Sicherheit im Umgang mit Medien).
Achtung: Nicht für jede neue Information muss eine Presseinformation erstellt und verschickt werden, alternativ können die Medien auch in einem Pressegespräch oder anderen PR-Formaten informiert werden. Es müssen auch nicht zwingend drei Presseinfos erstellt werden.
- Was ist passiert?
- Welche Dienste sind betroffen?
- Wer hilft/unterstützt?
- Welche Maßnahmen wurden bzw. werden getroffen?
- (eventuell) Wann ist es passiert? -> hier aber mit Ermittlungsbehörden abstimmen, könnte Täterwissen sein
- Reichert die erste Meldung um Details bzw. neue Erkenntnisse an
- Schildert weitere Maßnahmen, gibt weitere Auskünfte über Art, Umfang und ggf. Konsequenzen
- Gibt ggf. an, was der Bevölkerung geraten wurde
- Berichtet über die Situation vor Ort (Rathaus, Verwaltungsleitung)
- Gibt Einzelheiten über den Prozess
- Gibt Einzelheiten über die Verwendung des Dienstes
- Bringt Stellungnahmen von Experten und Expertinnen
- Bringt Einschätzung der Gesamtsituation, Konsequenzen, zukünftige Verbesserungen in Bezug auf IT-Sicherheit
- Es ist nicht empfehlenswert, mit KI-Werkzeugen wie ChatGPT eine Pressemitteilung zu generieren. Falls Sie dies dennoch tun, achten Sie bitte unbedingt darauf, dass alle genannten Fakten und Formulierungen stimmen – lesen Sie den Text gründlich durch.
- Keine Schuldeingeständnisse – erst wenn Fakten klar sind, mit den Hausjuristen abstimmen und erst dann in die Kommunikation gehen.
- Cyberkriminelle nutzen Presse- und Medienberichterstattung zu Marketingzwecken. Die Kommunikation von Namen der verantwortlichen Gruppierungen sollte daher wohlüberlegt erfolgen. Zudem haben Cyberkriminelle begonnen, die Meldepflichten bei IT-Sicherheitsvorfällen als Erpressungsmittel zu nutzen. Erfolgen die gesetzlich erforderlichen Meldungen nach einem IT-Sicherheitsvorfall nicht, drohen die Angreifer mit Meldung des Versäumnisses an die entsprechende Behörde, sofern kein Lösegeld gezahlt wird.
- Texte IMMER mit Cybersicherheits-Verantwortlichen, Ermittlungsbehörden, Kommunikationsstelle abstimmen
Die Information der Mitarbeiterinnen und Mitarbeiter hat zum Ziel, das Vertrauen der Belegschaft zu sichern/schaffen sowie Spekulationen und Gerüchten sowie damit einhergehender übertrieben negativer Berichterstattung Einhalt zu gebieten.
Grundsatz I: Mitarbeiterinnen und Mitarbeiter vor Presse - Mitarbeiterinnen und Mitarbeiter müssen spätestens mit den Medienvertreterinnen und Medienvertretern dieselben Informationen erhalten, besser vorher.
Grundsatz II: Nicht zwischen interner und externer Kommunikation unterscheiden - Alles, was die Mitarbeiterinnen und Mitarbeiter wissen, sollte auch später an die Presse weitergegeben werden können.
- Bekanntmachen, wo sich Mitarbeiterinnen und Mitarbeiter im Fall einer Krise informieren können – über Aushänge, alternative E-Mail-Adressen, Intranet (wenn dies noch funktioniert), Messengerdienste, etc.
- Alternative Kontaktmöglichkeiten (Diensthandynummern, Fax, …) möglichst aller Mitarbeiterinnen und Mitarbeiter sammeln und dies aktuell halten sowie jederzeit verfügbar halten (zur Not als Ausdruck --> Checkliste interne und externe Kontakte)
- Mitarbeiterinnen und Mitarbeiter sensibilisieren: keine öffentlichen Spekulationen, es gibt seitens EINE Ansprechperson für die Presse, bei der alle Infos und Anfragen zusammenlaufen und die auch nach außen kommuniziert
- Sensibilisieren, dass es womöglich disziplinarische Konsequenzen haben kann, falls konkrete Kommunikationswege nicht eingehalten werden
- Auch privat nicht in Social Media spekulieren
- Mitarbeiterinnen und Mitarbeiter über vorher bekannt gegebene Kanäle informieren, sonst auch über: Aushänge, alternative E-Mail-Adressenliste, Intranet, Messengerdienste, etc.
- Die Mitarbeiterinnen- und Mitarbeiter-Vertretung informieren, sofern vorhanden
- Info an MA sollte enthalten (--> Proaktiv informieren):
- Was ist passiert?
- Wer ist involviert?
- Was ist zu tun, bzw. was wird getan?
- Was sollen Mitarbeiterinnen und Mitarbeiter in den nächsten Tagen/Wochen beachten?
- Evtl Wann ist es passiert? Hier vorsichtig sein und kein Täterwissen verbreiten
- Vorformulierung von Aushängen und Statements für die Mitarbeiterinnen und Mitarbeiter mit direktem Kundenkontakt (Bürgerbüros, Standesämtern, Führerscheinstellen etc.)
Grundsätzlich gilt: auch interne Kommunikation muss, sobald Ermittlungen aufgenommen werden, immer mit Polizei und Staatsanwaltschaft abgestimmt werden
Um schnell und kompetent auf einen IT-Vorfall reagieren zu können, müssen Verantwortliche möglichst frühzeitig davon erfahren. Es gibt hier verschiedene Möglichkeiten, eine Kommunikationskrise oder einen IT-Vorfall mitzubekommen.
Für eigene digitale Dienste oder die eigene Webseite bzw. bestimmte URLs kann man sich digitale Benachrichtigungen schicken lassen, wenn diese nicht mehr online sind. Dann gibt es eine Warn-E-Mail. (Diese sollte auch an eine alternative Mailadresse als die Dienst-Mail gehen).
Wenn eine Organisation noch keine Social-Media-Präsenz aufgebaut hat, ist es unter anderem für die Krisenkommunikation empfehlenswert, dies zu tun Über diese Kanäle können externe sehr niedrigschwellig und jederzeit schreiben, wenn etwas nicht funktioniert („Liebe Kunden, unser Onlineportal ist ausgefallen“ oder ähnliches). Man kann sich auch entsprechende Kanal-Aktivitäts-Benachrichtigungen an eine E-Mail schicken lassen, wenn man nicht jeden Tag in die Kanäle selbst reinschaut.
Ein weiterer Vorteil von Social-Media-Präsenz: über diese Kanäle kann man selbst bei einem Totalausfall der eigenen Systeme noch aktiv kommunizieren und Mitarbeiterinnen und Mitarbeitern, Kunden sowie der Presse Neuigkeiten senden.
WICHTIG: Die Zugänge zu den Social-Media-Kanälen sollten außerhalb der eigenen IT-Infrastruktur noch an einem alternativen Ort sicher aufbewahrt werden, damit man sich auch im Krisenfall noch einloggen kann. Benachrichtigungen über Kanal-Aktivitäten per E-Mail schicken lassen – hier sollte eine gewählt werden, die auch bei einem IT-Ausfall noch funktioniert.
(beispielsweise Google Alerts, Talkwalker Alerts, Socialmention oder Hootsuite, alles kostenlose Dienste): Hierüber lassen sich Alerts zu bestimmten Stichwörtern oder Stichwortkombinationen einrichten. Beispielsweise mit den Stichwörtern „BürgerdienstX GemeindeY UnternehmenZ“ oder ähnliches bekommt man aktuelle Nachrichten-Snippets und Meldungen aus Social Media hierzu als Mail geschickt. Auch hier bedenken, dass eine alternative Mailadresse als die dienstliche angegeben wird.
Auf Social Media sind falsche Informationen, die bewusst irreführend sind, ein großes Problem. Sollte Ihre Organisation hier in den Fokus geraten und falsche Gerüchte im Umlauf sein, erfahren Sie es am schnellsten über die einzelnen Kanäle selbst und können hier über den kommunalen offiziellen Account gezielt dagegenhalten und Richtigstellungen verbreiten. Oft ist es sinnvoll, ein einzelnes Statement an den eigenen Kanal zu „pinnen“ und stehenzulassen, evtl. mit einem Link zu weiteren Infos auf einer Webseite, wenn nötig.
Eine Darksite ist eine vorbereitete Internetseite, über die im Krisenfall schnell wichtige Informationen online gestellt werden können. Die Darksite ermöglicht es, schnell und aus erster Hand Fragen von Betroffenen, der allgemeinen Öffentlichkeit oder den Medien zu beantworten.
Um die Darksite zeitnah online zu schalten, sollten Sie diese im Vorfeld vorbereiten. Dazu gehört:
- Klärung Technik: Wo liegt die Darksite? Wer schaltet die Darksite wie frei?
- Ggf. mit externem IT-Dienstleister klären
- Bereiten Sie Textbausteine vor, um die Darksite schnell und einfach zu erstellen
- Die Gestaltung sollte übersichtlich sein
Inhalte
- Aktuelle Informationen zum Geschehen, wie z. B. Pressemitteilungen
- Verhaltenshinweise für die Betroffenen
- Kontaktdaten von Ansprechpersonen, wie z. B. der Pressestelle oder Beauftragte Personen
- Kunden-Hotline (wenn vorhanden)
- Häufig gestellte Fragen (FAQ) und deren Antworten
- Links zu bzw. direkte Einbindung von weiteren wichtigen Informationsquellen (Social Media, etc.)
- Impressum / Datenschutzinformation
Bei laufenden Ermittlungen gilt: Inhalte immer mit den Ermittlungsbehörden (Polizei, Staatsanwaltschaft) abstimmen!
Design und Technik
- Die Darksite sollte so gestaltet sein, dass sie einfach und schnell lädt (keine großen Bilder etc.)
- Betroffene sollten sich gut darauf zurechtfinden, die wichtigsten Daten sollten übersichtlich platziert werden.
- Beim Design sollte man darauf achten, dass es auch für mobile Endgeräte optimiert ist.
- Außerdem ist es wichtig, dass die Darksite auf einem leistungsstarken Server außerhalb der eigenen kommunalen Infrastruktur gehostet wird und Backups vorhanden sind, um sicherzustellen, dass sie jederzeit verfügbar ist, selbst wenn der primäre Server ausfällt.
Für die Kommunikation im Fall einer Cyberkrise ist es wichtig, die Auswirkungen der Krise auf verschiedene Bezugsgruppen einzuschätzen. Eine Szenario-Matrix dient dazu, die Interessen und Sichtweisen von Kommunikationspartner systematisch zu reflektieren und zielgerichtete Botschaften für die unterschiedlichen Zielgruppen zu definieren.
Ein Planspiel kann bei der Vorbereitung helfen: Diskutieren Sie die Szenarien mit 2-5 Personen und tragen Sie Ihre Ergebnisse stichpunktartig in die Matrix ein. Das ausgefüllte Beispiel zeigt, wie eine bearbeitete Version aussehen kann, stellt aber keine Musterlösung dar, denn die Ergebnisse sind oft von konkreten Gegebenheiten vor Ort abhängig.
- Ransomware-Attacke: Alle/viele Rechner/Dienste im Rathaus sind nicht mehr zugänglich
- IT-Dienst der Stadt/Kommune wurde gehackt und steht nicht mehr zur Verfügung.
- Personenbezogene Daten von Bürgerinnen und Bürgern sind im Darknet aufgetaucht.
- Die Webseite der Gemeinde wird durch Unbekannte kontrolliert, die städtischen Informationen werden manipuliert.
- DDoS Angriff
- Stromausfall – mit verschiedenen Schwerpunkten (wenn/wo)
- Sicherheitslücke wird bekannt – was muss ich bedenken
- SPAM-Versand über offizielle Accounts
- Infrastrukturausfall als Überpunkt zu Stromausfall / Telefon etc.
Szenario-Matrix am Beispiel Ransomware-Angriff
