Cyberangriffe mit ihren fatalen Folgen haben (nur) ein Gutes: Sie geben Hinweise auf die Lehren, die man aus ihnen ziehen sollte. Dazu gehört, dass die Information von Mitarbeitern, Bevölkerung und Medien unbedingt Teil der Krisenbewältigung sein sollte – dafür plädiert Kommunikationsexperte Michael Kausch.
Sieben Monate dauerte der Katastrophenfall, der von Bitterfeld ausgerufen wurde, um schnelle Hilfe von Bund und Land zu erhalten – vielen gilt er als „erste Cyberkatastrophe“ Deutschlands. Zweieinhalb Millionen Euro kosteten Datenrettung und Neuanschaffung von IT-Hardware, ohne die Personalkosten der Kommune und anderer beteiligter Behörden einzurechnen. Bis heute ist eine der größten Umweltdatenbanken Deutschlands verloren: Sie dokumentierte das verseuchte DDR-Vermächtnis der Chemieregion Bitterfeld und wird aus analogen Daten neu aufgebaut.
Die geforderten 500.000 Euro Lösegeld hat die Kommune nicht bezahlt. Allerdings tauchten entwendete private Daten von Kreistagsabgeordneten im Darknet auf – vermutlich, um der Forderung Nachdruck zu verleihen.
Krisenbewältigung bei Cyberangriffen: Notfallkonzepte sollten bereitliegen
Technische Lösungen, Angriffe zu verhindern oder rechtzeitig zu entdecken und abzuwehren, gibt es immer mehr. Auch die Angebote von sogenannten Incident Response Teams zur Wiederherstellung der Betriebsfähigkeit nehmen zu, allerdings mit stark schwankender Expertise. Es lohnt also, genau hinzusehen, welche Erfahrungen und Kenntnisse spezialisierte Firmen und ihre Mitarbeiter mitbringen.
Wer informiert jedoch im Falle eines erfolgreichen Cyberangriffs Behördenmitarbeiter, Bürger und Unternehmen? Antworten auf diese Frage sollten vorbereitet werden und Teil von Notfallkonzepten sein. Daher ist es ratsam, ein Krisenkommunikationshandbuch zu erstellen, um für Krisenfälle – nach Cyberangriffen, aber auch nach anderen Katastrophen – gerüstet zu sein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Erstellung eines „Notfallhandbuchs“ und gibt konkrete Tipps, was ein solches Handbuch enthalten sollte. Vor allem technische Vorkehrungen zum Schutz der IT-Infrastruktur sollten dabei sein.
Notfallhandbuch zur Krisenbewältigung erstellen
Ebenso sollte auch die Krisenkommunikation immer Teil eines Notfallhandbuchs sein. Denn das Vertrauen der Bürgerinnen und Bürger in funktionierende Behörden darf nicht beschädigt oder muss gegebenenfalls schnell wiederhergestellt werden. Für die Krisenkommunikation ist der „Leitfaden Krisenkommunikation“ hilfreich, den das Bundesinnenministerium herausgegeben hat.
Erfahrungsgemäß sollte ein Notfallhandbuch in einem Prozess mit Behördenleitung, Pressestelle, IT-Abteilung, Sicherheits-Experten und betroffenen Fachabteilungen einer Organisation erarbeitet werden.
Das Notfallhandbuch deckt alle Aspekte der Krisenbewältigung ab. Es kann für jede potenziell von einer Krise betroffene Fachabteilung, etwa der IT-Abteilung, mit einem entsprechenden Kapitel ergänzt werden. Zusätzlich sollte das Notfallhandbuch weitere Unterlagen umfassen, die eher dem allgemeinen Krisenmanagement einer Organisation zuzuordnen sind.
Woran man unbedingt denken sollte
Das Krisenkommunikationshandbuch sollte zum Beispiel folgende Elemente umfassen:
- Definition einer Krise;
- Definition von Zuständigkeiten;
- Mitgliedslisten der Krisenkommunikationsstäbe mit allen Kontaktdaten (inklusive Mobiltelefonnummern, privater E-Mail-Adressen und privater Telefonnummern – wobei Datenschutzrichtlinien zu beachten sind);
- die Aufgaben der Gremien;
- die Definition der Prozesse;
- die Definition aller in der Krise genutzten Kommunikationskanäle (mit Zielgruppenzuordnung);
- die Definition aller Kommunikationsinstrumente in der Krise;
- die Definition der Sprecherrollen;
- Ablaufdiagramme (vom Feststellen bis zur Beendigung der Krise);
- die Beschreibung der Kommunikationskultur;
- vorformulierte Dokumente.
Im Idealfall werden Krisenreaktionstests jährlich – wie eine Brandschutzübung – durchgeführt. Dies ist dann auch immer ein guter Anlass, um alle Dokumente, vor allem die Listen mit Ansprechpartnern und Kontaktdaten, zu aktualisieren und die definierten Prozesse neuen Gegebenheiten anzupassen.
Als Lackmustest muss die Krisensituation simuliert werden: von der Ausrufung der Krise durch die Leitung des Krisenkommunikations-Notfallstabs bis zu dessen erster Konferenz. Dort werden dann die ersten Maßnahmen beschlossen. Damit wird überprüft, ob die Maßnahmen tatsächlich funktionieren, Gremien arbeitsfähig sind, die Prozesse wie gewünscht ablaufen und die Vorlagen tauglich sind.
Denn: Ein Krisenreaktionsplan ist nie fertig, die Cyberkriminellen sind es mit ihren Planungen ja auch nicht.
Michael Kausch
Der Autor
Dr. Michael Kausch ist Gründer und Geschäftsführer der PR- und Content-Agentur vibrio mit Hauptsitz in München.
Cybersecurity: Immer in Alarmbereitschaft
IT-Sicherheit in Kommunen durch Erkennung akuter Cyberangriffe verbessern
