Cyber-Attacken: Die Kerze brennt an beiden Enden

13.09.2021 Krise & Wandel von Dr. Hubert Becker 

Die vergangenen Wochen brachten einen Boom prominenter und vor allem folgenreicher Cyber-Attacken. Betroffen waren in Deutschland sowohl öffentliche Einrichtungen wie der Landkreis Anhalt-Bitterfeld als auch Unternehmen wie der Sparkassenverband Baden-Württemberg, die Haftpflichtkasse in Darmstadt oder das FinTech Raisin. International macht der Diebstahl von über 600 Millionen Dollar in Kryptowährung bei einem Transferdienstleister Furore.

Der Branchenverband Bitcom publizierte im August eine Studie, nach der der Schaden durch Cyber-Kriminalität in Deutschland sich jährlich auf mehr als 220 Milliarden Euro belaufen soll. Diese Dimension wäre verheerend, entspricht sie doch fast sieben Prozent der deutschen Wirtschaftsleistung. Zum Vergleich: Das gesamte versicherte Sachschadenvolumen lag 2020 bei 70 Milliarden Euro. Man mag die Zahl von 220 Milliarden also bezweifeln, denn eine solche Schadenerhebung per Umfrage ist sicher mit Schwierigkeiten verbunden. Dennoch erschreckt noch eine weitere Zahl: Demnach hat sich das Schadenvolumen in den vergangenen beiden Jahren jeweils verdoppelt. Eine nochmalige Verdopplung möchte man sich nicht vorstellen. Übrigens wäre nur der kleinste Teil versichert: Das Prämienvolumen der deutschen Cyber-Versicherungen beträgt nach neuesten Zahlen gerade einmal 240 Millionen Euro.

In vielen Fällen führten die Angriffe zu einem kompletten Zusammenbruch der Systeme und zum Verlust von personenbezogenen Daten. Die Krisenarbeit zieht sich über Wochen hin. Dabei geht es bei Weitem nicht nur um einen finanziellen Schaden. Denn neben dem Betriebsausfall und damit verbundenem Umsatzrückgang wird auch die Positionierung des betroffenen Unternehmens und seine Reputation geschädigt. Wie schnell reagiert das Unternehmen und informiert Kunden und Partner? Sind diese Informationen glaubwürdig und verlässlich? Wie ist der Vorfall datenschutzrechtlich zu beurteilen? Wie erfolgt die Kommunikation mit den Datenschutzbehörden? All diese Fragen prasseln kurzfristig auf eine Organisation ein, die sich gerade selbst neu erfinden muss.

Dabei brennt die Kerze an zwei Enden. Bei typischen Ransomware-Attacken werden einerseits die Systeme verschlüsselt und andererseits Daten gestohlen. Zum Kampf um die Wiederherstellung des Betriebs kommt dann noch das Handling der datenschutzrechtlichen Fragen. Das erhöht zugleich die Zahl der Zielgruppen für die Kommunikation und erschwert die Abstimmung der richtigen Botschaften.

In dieser Situation ist professionelle Hilfe von außen gefragt – auch weil die Helfer nicht emotional involviert sind, wenn das Unternehmen „down“ ist. Neben den „klassischen“ Instrumenten der Krisenkommunikation geht es bei Cyber-Attacken aber oft auch um Abwägungsfragen, wie am besten zu Verfahren ist. Denn kennzeichnend für die Situation ist oftmals die hohe und bleibende Unsicherheit, was mit gestohlenen Daten geschehen ist. Das Interesse an rechtlicher Absicherung verlangt oft nach eher restriktiver Kommunikation. Demgegenüber steht die Erwartungshaltung der Stakeholder, transparent und vor allem zeitnah informiert zu werden. Erfolgt das nicht, oder erst reaktiv, oder werden gar Informationen aus anderen Quellen bekannt, droht Vertrauensverlust.

Und es gibt noch einen weiteren Grund, der für transparente Kommunikation spricht: Nur wenn Klarheit über die Bedrohung und den Umgang mit Angriffen geschaffen wird, können auch andere lernen und Schutz- und Gegenmaßnahmen optimieren. Offenheit und Transparenz im richtigen Maß und zur richtigen Zeit zahlt sich also doppelt aus: Es erhält das Vertrauen der Stakeholder und hilft der Gesellschaft als Ganzes, die Gefahr in den Griff zu bekommen.

 

 

# Cyber-Kriminalität # Reputation # DSGVO

Zurück