S. 375XVIII. Krisen-PR im Falle von Cybercrime

Gregor Schütze

1. Die Wichtigkeit von PR

Mit Public Relations, also Öffentlichkeitsarbeit, kann die Außenwahrnehmung von Unternehmen, Organisationen, Institutionen und Personen durch gezielte Kommunikation gestaltet und beeinflusst werden. In der öffentlichen Wahrnehmung existieren verschiedenste Akteure aus Wirtschaft, Politik und der Öffentlichkeit, die einen erheblichen Einfluss auf öffentliche Diskurse ausüben können. Durch gezielte Kommunikationsarbeit kann PR auf unterschiedlichen Ebenen eingesetzt werden und damit Akteure und Themen unterstützen.

PR richtet sich stets an die verschiedenen Stakeholder der Organisation. Als Stakeholder werden all jene bezeichnet, die an der Entwicklung des Unternehmens interessiert sind und zudem Einfluss auf das Unternehmen haben können. Diese können aus der Wirtschaft, der Politik, den Medien, dem Unternehmen selbst oder weiteren Teilöffentlichkeiten stammen. Je komplexer das Image, desto vielfältiger können diese Stakeholder sein. Dabei erfüllen Public Relations eine Vielzahl von Funktionen, die stark von den Zielen ihrer Auftraggeber und den Anforderungen ihrer Anspruchsgruppen abhängen. Diese sind eng miteinander verknüpft und ergänzen sich im Idealfall gegenseitig, um das langfristige Wachstum und den Erfolg des Unternehmens zu fördern. Die Entwicklung einer maßgeschneiderten PR-Strategie ist daher von entscheidender Bedeutung, um eine effektive Kommunikation und Beziehungspflege zu gewährleisten und die Unternehmensziele zu erreichen.

Die Öffentlichkeitsarbeit bietet somit Unterstützung beim Aufbau und der Pflege langfristiger Beziehungen zur Unterstützung der Unternehmensziele. Zentral ist die Informationsfunktion der PR, die nicht nur dazu dient, interne und externe Stakeholder über relevante Entwicklungen zu informieren, sondern auch als Grundlage für den Aufbau von Vertrauen und Glaubwürdigkeit dient. Durch transparente Kommunikation als weitere Funktion wird die Basis für eine starke Beziehung zu Kunden, Lieferanten und der Öffentlichkeit gelegt. Diese Beziehungen werden durch die Kontaktfunktion weiter gestärkt, die es dem Unternehmen erS. 376möglicht, ein breites Netzwerk von relevanten Gruppen anzusprechen und auszubauen. Ein starkes Netzwerk ist nicht nur für die Informationsbeschaffung wichtig, sondern auch für die Identifizierung neuer Chancen und Partnerschaften. Parallel dazu spielt die Imagefunktion eine entscheidende Rolle, die den Aufbau und die Pflege eines positiven Unternehmensimages fördern kann. Eine gezielte Imagegestaltung kann das Ansehen in der Öffentlichkeit stärken und das Unternehmen von seinen Wettbewerbern abheben. Darüber hinaus ergibt sich die Absatzförderungsfunktion der PR, die sich auch auf die Umsatzentwicklung auswirkt. Kunden sind eher bereit, Produkte oder Dienstleistungen von einem Unternehmen zu erwerben, dem sie vertrauen und das einen positiven Ruf genießt. Schließlich ist die Sozialfunktion von zunehmender Bedeutung, da Unternehmen zunehmend aufgefordert werden, ihre soziale Verantwortung zu demonstrieren. Durch die Kommunikation sozialer und gesellschaftlicher Aktivitäten kann das Unternehmen sein Engagement für das Gemeinwohl unterstreichen und gleichzeitig sein Image verbessern.

Aus einem breiten Spektrum von Funktionen erwachsen vielfältige PR-Tätigkeiten. Neben klassischen Aktivitäten wie dem Verfassen von Texten, Botschaften und Statements sowie der Organisation von Interviews und Veranstaltungen gibt es zahlreiche weitere Aufgaben, die zur PR-Arbeit zählen und je nach Kommunikationsziel variieren. Insbesondere im Zusammenhang mit Krisensituationen ist vor allem das Identifizieren des Handlungsbedarfs und der Handlungsmöglichkeiten in Organisationen essenziell sowie die Entwicklung passender Lösungen dazu.

Auch das Schaffen von Transparenz durch gezielte Kommunikation in kritischen Situationen ist als eines der Ziele von PR bedeutend.

2. In der Krise - Was passiert, wenn was passiert?

In Krisenfällen stehen Entscheidungsträger oft vor einer Vielzahl akuter Probleme, die schnelle und kurzfristige Maßnahmen erfordern. Dabei ist es häufig der Fall, dass nicht alle Informationen gleich verfügbar sind, was die Situation zusätzlich erschwert. Der Mangel an vollständigen Daten kann zu Unsicherheit führen und den Druck auf die Entscheidungsträger erhöhen. Die Emotionalität und der Stresspegel steigen in solchen Momenten deutlich an. Die Beteiligten sind oft von starken Gefühlen wie Angst, Frustration oder Wut geprägt. Dies kann die Entscheidungsfindung erschweren und zu Spannungen innerhalb des Teams führen. Die Unsicherheit im Umgang mit der Krise kann das Vertrauen der Geschäftspartner, Mitarbeiter und Öffentlichkeit in die Handlungsfähigkeit der Verantwortlichen erschüttern. Ein Verlust an Vertrauen kann die Situation weiter verschärfen und die Bewältigung der Krise behindern. In dieser Atmosphäre steigt das Risiko für Fehler, die die Situation verschlimmern können. Schnelle Entscheidungen unter Druck erhöhen die Wahrscheinlichkeit von Fehlern oder unüberlegten Handlungen.

S. 377Es ist daher entscheidend, trotz der herausfordernden Umstände einen kühlen Kopf zu bewahren, sich auf verfügbare und belastbare Informationen zu stützen und transparent mit den Betroffenen zu kommunizieren, um das Vertrauen zu stärken und das Risiko von Fehlern zu minimieren. Eine kommunikative Begleitung wird immer dann notwendig, wenn die Medien oder die Öffentlichkeit auf die Krise oder das rechtliche Verfahren aufmerksam werden und die Berichterstattung einsetzt.

In einer digitalisierten Welt sind Cyberangriffe immer häufiger der Auslöser für derartige Krisensituationen. Unter Cybercrime fallen Straftaten, die darauf abzielen, Unternehmen durch Angriffe auf ihre Daten oder Computersysteme unter Ausnutzung ihrer Informations- und Kommunikationstechnik zu schädigen (sh dazu auch Kapitel VI.). Das enorme Schadenspotenzial von Cybercrime kann Unternehmen existenziell bedrohen. Cyberangriffe gehören zu den wirtschaftskriminellen Handlungen und können nicht nur von externen „Hackern“, sondern auch intern von Mitarbeitern, Managern oder Eigentümern absichtlich oder unbeabsichtigt verursacht werden. Zudem können Cyberangriffe auch von Kunden oder Lieferanten ausgehen.

Um im Krisenfall erfolgreich zu kommunizieren, ist es wichtig, den Ursprung der Krise zu lokalisieren, um klare Botschaften nach außen zu vermitteln. Der Auslöser der Krise kann auch den Grad der Verantwortung bestimmen. Die Verantwortung in einer Krise ist oft komplex und kann von Fall zu Fall unterschiedlich sein. Bei unvorhersehbaren Ereignissen wie einem Unfall ist es schwierig, jemanden zur Verantwortung zu ziehen. Bei einem Cyberangriff befindet man sich häufig in einer Opferrolle. Wenn jedoch ein vermeidbarer Fehler aufgrund menschlichen Versagens zu einer selbstverschuldeten Krise führt, liegt der Verantwortungsbereich anders.

Es ist wichtig, dass Organisationen und Einzelpersonen bereit sind, Verantwortung zu übernehmen und angemessen auf die Krise zu reagieren, um die Auswirkungen zu minimieren und die Situation bestmöglich zu bewältigen. Eine einheitliche Kommunikation ist dabei von großer Bedeutung. Die PR-Arbeit kann hierbei auch mit ihren Maßnahmen bei der Identifizierung von FrühwarnindikaS. 378toren, Recherchetätigkeiten, der Kommunikation von Sachverhaltsermittlungen sowie Interviews vor, während und nach der Krise unterstützen. Die Folgen solcher Cyberangriffe können schwerwiegend sein und reichen von Datendiebstahl über Kredit- und Steuerbetrug bis hin zu Versicherungsbetrug. Es ist wichtig zu beachten, dass jede dieser Schädigungen zu einer Krise führen kann, die sich sowohl im realen Leben als auch online abspielen kann.

Wirtschaftskriminelle Handlungen wie Cyberangriffe folgen in der Regel einem dreistufigen Prozess, der aus Prävention, Aufdeckung und Reaktion besteht. Die Prävention zielt darauf ab, potenzielle Angriffe zu verhindern, während die Aufdeckung darauf abzielt, Angriffe zu erkennen, wenn sie auftreten. Es ist wichtig zu beachten, dass die Aufdeckung eines Angriffs oft bereits den Beginn einer Krise markiert, was die Dringlichkeit zum Handeln erhöht. Die Wahl der angemessenen Reaktionsstrategie hängt von der Art und dem Ausmaß der Krise sowie von den Bedürfnissen und Erwartungen der Stakeholder ab. Mögliche Ansätze sind hier Strategien der Zurückweisung, der Abschwächung durch Entschuldigung oder Rechtfertigung sowie die Strategie des direkten Austauschs, zum Beispiel in Form von Bedauern oder dem Zeigen von Betroffenheit.

Zusätzlich sollten sie in der Lage sein, sich mit neuen Technologien vertraut zu machen und auf dem neuesten Stand zu bleiben. Auch in der Kommunikation lassen sich schon viele Vorbereitungen vor dem Eintreffen einer Cyberkrise planen. Auf diese wird in Kapitel 3. noch spezifischer eingegangen. Zuerst ist es jedoch noch wichtig, die Krise im Ernstfall richtig einschätzen zu können, um dann weitere Maßnahmen einzuleiten.

2.1. Phasen der Krise

Eine Krise ist meist ein unvorhersehbares Ereignis, das das Unternehmen mit seinen Stakeholdern und deren Erwartungshaltungen bedroht. Eine solche Situation tritt bereits ein, wenn Anspruchsgruppen ein bestimmtes Ereignis als eine Krise wahrnehmen. Auch eine Cyberkrise zählt im Allgemeinen zu den Unternehmenskrisen und folgt damit dem Grundgerüst der klassischen Krisenphasen.

S. 379Abb 1: Phasen der Krise [eigene Darstellung in Anlehnung an Krystek, Unternehmungskrisen. Beschreibung, Vermeidung und Bewältigung überlebenskritischer Prozesse in Unternehmungen (1987) 29-31]

Eine Krise kann sich jederzeit entwickeln, daher befindet sich ein Unternehmen ständig in der Phase der potenziellen Krise. In dieser Phase ist eine aktive Vorbereitung entscheidend, um mögliche Krisen abzuwenden. Dies beinhaltet das Management von problematischen Themen (Issues Management) sowie die Entwicklung von Krisenplänen, -strategien und -szenarien. Es ist wichtig, den allgemeinen Krisenstab und den Kommunikationsstab festzulegen und die Mitarbeiter für mögliche Krisen und ihre Folgen zu sensibilisieren. Das Hauptziel besteht darin, die Krise zu vermeiden.

In der Phase der latenten Krise treten Anzeichen für eine bevorstehende Krise auf, was eine Früherkennungsphase darstellt. Es besteht noch Raum für Handlungen, um das Auftreten der Krise zu verhindern oder sich auf den Ernstfall vorzubereiten. Wenn eine Krise plötzlich auftritt, wird die Phase der latenten Krise übersprungen und das Unternehmen wechselt direkt von der potenziellen in die akute Krisenphase.

S. 380Die akute Krise tritt ein, wenn eine Krise nicht abgewendet werden konnte oder unerwartet auftritt. Es ist nun erforderlich, aktiv die Krise einzudämmen und die ausgearbeiteten Krisenstrategien umzusetzen. Der Krisenstab wird aktiviert, ebenso wie die interne und externe Kommunikation. Die im Krisenplan festgelegten Schritte werden umgesetzt. Sollte die akute Krise nicht beherrschbar sein, kann sie sich zu einer Katastrophe entwickeln. In dieser Situation übersteigen die Anforderungen zur Krisenbewältigung die verfügbaren Ressourcen und es ist improvisiertes Handeln erforderlich.

Die Anforderungen an das Krisenmanagement steigen je nach Phase der Krise. Bereits in der latenten Krise können erste destruktive Auswirkungen auftreten, während diese in der unkontrollierbaren akuten Krise enorm hoch sind. Sowohl bei traditionellen als auch bei Cyberkrisen ist eine angemessene Vorbereitung, Reaktion und Bewältigung entscheidend, um die Auswirkungen zu minimieren und die Stabilität wiederherzustellen.

Krisen können unterschiedliche Formen annehmen, darunter plötzlich auftretende Krisen wie Skandale, die ein hohes öffentliches Interesse auf sich ziehen, sowie Dauerkrisen, die wellenartig auftreten und mal mehr, mal weniger öffentliches Interesse erregen. Zusätzlich dazu gibt es schleichende Krisen, die sich langsam aufbauen und oft zu latenten Krisen werden, bei denen auch das öffentliche Interesse allmählich zunimmt.

Durch einen Cyberangriff verursachte Krisen sind typischerweise ereignisbedingte Krisen, bei denen der Auslöser nicht unbedingt der erste Cyberangriff an sich ist. Oft werden sie erst erkannt, wenn durch das Ereignis bedingte Schäden oder Reputationseinbußen bereits eingetreten sind. Diese Krisen haben das Potenzial, zusätzliche organisatorische Krisen herbeizuführen. Ereignisbedingte Krisen zeichnen sich dadurch aus, dass sie unerwartet auftreten und eine unmittelbare Reaktion erfordern, weshalb man gut vorbereitet sein sollte, damit das Verhalten im Krisenfall reibungslos ablaufen kann.

S. 3812.2. Während der Krise - Verhalten im Krisenfall

Eine klar strukturierte, funktionierende und auf das Unternehmen zugeschnittene Krisenorganisation ist das A und O für eine erfolgreiche Krisenbewältigung im Ernstfall. Zu den wesentlichen Schritten gehören dabei im akuten bzw ereignisbedingten Krisenfall die Meldung an eine zentrale Leitstelle sowie die Bewertung der Situation zu Beginn anhand definierter Kriterien. Diese Kriterien sollten bestenfalls bereits im Status der potenziellen Krise erarbeitet worden sein (sh dazu Kapitel 3.2.). Hierbei ist es für weitere Schritte hilfreich, die Krise zunächst anhand ihrer Merkmale (Ursachen, Auslöser, Verantwortungsgrad etc) zu charakterisieren, um sie besonders im digitalen Zeitalter angemessen einordnen zu können. Darauf sollte dann zeitnah die Einleitung einer Alarmkette und die Einberufung des Krisenstabs erfolgen.

Bei einer Cyberkrise können verschiedene Akteure im Krisenstab involviert sein, darunter Entscheidungsträger des Unternehmens, Kommunikationsexperten, IT-Spezialisten sowie Rechts-, Forensik- und Datenschutzexperten. Es ist von großer Bedeutung, dass die verschiedenen Arbeitsstränge effektiv zusammenarbeiten sowie regelmäßige Gesamtupdates für alle Beteiligten zu fixierten Zeiten, am besten morgens und abends, bereitgestellt werden. Insbesondere zu Beginn einer Krise sollten diese Updates in häufigeren Abständen erfolgen, um eine einheitliche Information und damit öffentliche Kommunikation zu gewährleisten. Zusätzlich ist es wichtig sicherzustellen, dass die Teammitglieder auch ausreichend Zeit dazu haben, an ihren Aufgaben aktiv zu arbeiten. Zu viele Meetings können dabei hinderlich sein. Daher sind feste Zeitpunkte für kurze Updates mit ausreichend Zeit dazwischen für die eigentliche Arbeit unerlässlich.

2.2.1. C.A.T.C.H. the Situation!

Das Wort CATCH kann dabei helfen, sich die wesentlichen Prinzipien der Krisenbewältigung im Ernstfall immer wieder ins Gedächtnis zu rufen. In einer Krise sollten demnach fünf wichtige Aspekte berücksichtigt werden: Clarity (Klarheit), Action (Handlungsfähigkeit), Time (Zeit), Communication (Kommunikation) und Honesty (Ehrlichkeit). Jeder Buchstabe steht für einen Schlüsselaspekt, der dazu beiträgt, Krisensituationen effektiv zu managen und das Unternehmen sicher durch schwierige Zeiten zu führen.

• C - Clarity (Klarheit):

  Kommunizieren Sie die Situation klar, transparent und verständlich für alle Beteiligten.

• S. 382A - Action (Handlungsfähigkeit):

  Bleiben Sie handlungsfähig und vergessen Sie nicht, zwischen den Meetings auch aktiv zu handeln.

• T - Time (Zeit):

  Behalten Sie den Faktor Zeit im Auge. Durchdachte, aber auch schnelle Reaktionen sind entscheidend.

• C - Communication (Kommunikation):

  Interne und externe Kommunikation - sprechen Sie mit Ihren Mitarbeitenden und geben Sie gegenseitig regelmäßige Updates innerhalb des Unternehmens und auch nach außen. Schweigen ist keine Lösung!

• H - Honesty (Ehrlichkeit):

  Ehrlichkeit währt am längsten - versuchen Sie nicht zu verschleiern und kommunizieren Sie offen und einheitlich.

2.2.2. Hackerangriffe

Durch Hackerangriffe werden Organisationen meist handlungsunfähig. Dies gilt es durch präventive Maßnahmen zu verhindern. Um weiterhin im Krisenfall handlungsfähig zu bleiben, ist in erster Linie die Entwicklung eines umfangreichen Notfallplans inklusive der relevanten Akteure unerlässlich. Das reibungslose Zusammenspiel von Technologie, Recht und Kommunikation ist entscheidend für eine erfolgreiche Bewältigung einer Cyberkrise. Ähnlich wie bei herkömmlicher Krisenkommunikation ist es wichtig, das Ausmaß der Krise zu erfassen. Der Unterschied besteht darin, dass bei Cyberangriffen oft eine intensive Zusammenarbeit mit Technikexperten erforderlich ist, um beispielsweise Datenlecks schnell zu identifizieren und weitere Datenverluste zu verhindern. Auch hierbei gilt: Vorbereitung ist besser als Nachbereitung.

Es ist darauf zu achten, dass den Experten genügend Handlungsspielraum gegeben wird, damit auch ausreichend Zeit bleibt, um angemessen reagieren zu können. Dazu ist es ratsam, bereits das Krisenteam mit Vertretern aus den relevanten Bereichen zu besetzen, um Druck sowie Stress zu reduzieren, Zeit zu gewinnen und im Krisenfall eine schnellere Reaktion durch gut geprobte Abläufe zu ermöglichen. Durch die Planung einzelner Schritte im Voraus und dessen interne Kommunikation an Mitarbeiter und Verantwortliche im Unternehmen können erste Notfallmaßnahmen direkt eingeleitet werden, um größere Schäden zu verhindern und überstürztes Handeln zu vermeiden. Regelmäßige Trainings, in denen Krisensituationen mit den Mitarbeitenden durchgespielt werden, können hier unterstützend wirken. Zudem sollten sich Unternehmen für die Steigerung der Medienkompetenz sowie die Förderung der digitalen Fähigkeiten bei ihren Mitarbeitenden einsetzen, um solchen Angriffen entsprechend vorbeugen oder entgegentreten zu können. Dies kann durch Schulungen sowie Fort- und Weiterbildungen erreicht werden, wobei grundlegende Fähigkeiten wie beispielsweise das Erkennen von S. 383Spam-E-Mails oder der Umgang mit Desinformation und Fakenews vermittelt werden sollten.

Hacker haben oft das Ziel, durch Cyberangriffe an Informationen zu gelangen und sie dann auf schädliche Weise zu nutzen. Dies kann erhebliche Auswirkungen auf die Reputation einer Organisation haben. In solchen Situationen liegt der Fokus der Kommunikationsarbeit darauf, diese Schäden abzuschwächen sowie die betroffenen Stakeholder und Zielgruppen transparent zu informieren und über die Vorkommnisse regelmäßig aufzuklären, sowohl unternehmensintern als auch -extern. Dabei ist eine gezielte, leicht verständliche und ehrliche Kommunikation von entscheidender Bedeutung, um das Vertrauen und die Glaubwürdigkeit weiterhin aufrecht zu erhalten. Der Schutz der Unternehmensreputation als eine der wichtigsten Ressourcen ist eines der obersten Ziele des Krisenmanagements. Die Wahl einer geeigneten Krisenreaktionsstrategie sollte sich an diesem Ziel orientieren.

Bei der Kommunikation mit Hackern ist äußerste Vorsicht geboten. Es ist wichtig, einen kühlen Kopf zu bewahren und stets sachlich sowie professionell zu kommunizieren. Zunächst sollten unbedingt die Behörden und IT-Sicherheitsexperten informiert werden, um die rechtliche Lage zu prüfen und geeignete Maßnahmen zu ergreifen. Auf Forderungen und Erpressungen sollte grundsätzlich nicht eingegangen werden. Wenn Verhandlungen unvermeidlich erscheinen, sollte nach sorgfältiger Beratung in Zusammenarbeit mit den Experten eine Strategie entwickelt werden, um wertvolle Zeit zu gewinnen. Einige Behörden sind auf solche Fälle spezialisiert und können dabei helfen, die Nachrichten der Hacker zu entschlüsseln. Von großer Bedeutung sind auch die umfassende Dokumentation und Sicherung von Beweisen, da diese in der Strafverfolgung und der Aufarbeitung der Krisensituation eine wichtige Rolle spielen können.

2.2.3. Verhalten bei einer Cyberkrise

Zu den Grundlagen bei Cyberkrisen gehört die Unterscheidung der Attacke in eine beabsichtigte oder unbeabsichtigte Cyberattacke, da der Verantwortungsgrad des Unternehmens mit seinen Mitarbeitenden variieren kann. Bei beabsichS. 384tigten Angriffen zielt ein Hacker oder eine organisierte Gruppe darauf ab, bewusst auf Daten zuzugreifen, um dem Unternehmen Schaden zuzufügen und die Computersicherheit zu gefährden oder zu beeinträchtigen. Im Gegensatz dazu sind unbeabsichtigte Angriffe auf Computerstörungen oder technische Fehler sowie Ausfälle zurückzuführen und zielen nicht bewusst auf einen Datenzugriff oder eine Schädigung ab.

Ist nun eine Cyberkrise eingetreten, ist ein strukturiertes Vorgehen von entscheidender Bedeutung. Zunächst ist eine schnelle Einschätzung der Situation unerlässlich, um die Ursachen und Auswirkungen zu verstehen, damit eine angemessene Reaktion möglich ist. Dies beinhaltet eine gründliche Situationsanalyse sowie das Schaffen eines Überblickes über die vorhandene Faktenlage (Factchecking), um den Beginn der Attacke, den Angriffsmechanismus, betroffene Daten und eine Einschätzung der Dauer der Behebung zu ermitteln. Eine enge Zusammenarbeit mit der IT-Abteilung ist dabei essenziell, ebenso wie das Monitoring von Informationen, die an Kunden gelangen.

Zudem kann für die Situationsanalyse die Einstufung in Krisenlevel eine erste Orientierung über Schweregrad und Risiko bieten und wertvolle Zeit sparen. Ein Beispiel dazu liefert folgende Tabelle. Diese kann je nach Größe und Ressourcenverfügbarkeit von Unternehmen auf verschiedene Bedürfnisse angepasst oder passend abgeändert werden. Zudem ist auch eine Ergänzung um Zwischenstufen möglich.

S. 385Parallel dazu sollte auch das Krisenkommunikationsteam aktiviert werden, um ein koordiniertes Reagieren zu gewährleisten. Regelmäßige Berichte und Informationen sind erforderlich, um alle Beteiligten auf dem aktuellen Stand zu halten. Vorbereitung und Abstimmung sind ebenfalls wichtig. Dazu sollten Fragen und Antworten sowie öffentliche Stellungnahmen vorbereitet und mögliche Lücken ergänzt werden, um überraschenden Rückfragen entgegenzuwirken. Die Auswahl und das Briefing der Sprecher ist entscheidend für den Unternehmensauftritt. Ebenso sind die Planung der Kommunikation, einschließlich der Identifizierung von Zielgruppen und geeigneten Kommunikationskanälen, ein wichtiger Schritt, um der Krise angemessen zu begegnen.

Sobald diese Vorbereitungen abgeschlossen sind, kann die externe Kommunikation eingeleitet werden. Während dieser erfolgt ein laufendes Monitoring der Reaktionen der Öffentlichkeit und anderer Stakeholder, um auch darauf schnellstmöglich antworten zu können und die Stimmungslage zu beobachten. Nach Abschluss der Krisenbewältigung ist eine gründliche Nachbearbeitung und Evaluation unerlässlich, um Erkenntnisse zu gewinnen und darauf basierend Verbesserungspotenzial für zukünftige Krisenmanagementmaßnahmen zu identifizieren.

2.3. Grundregeln der Krisenkommunikation

In der Krisenkommunikation gelten grundlegende Regeln, die entscheidend sind, um die Situation effektiv zu bewältigen.

Die erste Reaktion auf eine Krise ist von entscheidender Bedeutung, da der erste Eindruck - wie bei vielem - maßgeblich ist. Eine schnelle und angemessene Reaktion hilft dabei, Vertrauen zu gewinnen und die Kontrolle zu behalten. Es sollte immer nur eine Person als offizielle Stimme des Unternehmens oder der Organisation auftreten, um eine klare und konsistente Kommunikation sicherzustellen und Verwirrung zu vermeiden. Bei schwerwiegenden Vorfällen ist die Kommunikation Chefsache, um die Ernsthaftigkeit der Situation zu unterstreichen und Verantwortung zu übernehmen.

Die Weitergabe von Informationen sollte dem Grad der Betroffenheit folgen, wobei besonders betroffene Parteien priorisiert werden sollten. Es ist entscheidend, S. 386nur gesicherte und überprüfte Informationen weiterzugeben und Spekulationen zu vermeiden. So können Gerüchte unterbunden werden, um weiterhin Glaubwürdigkeit zu wahren und das Vertrauen zu erhalten. Zudem sollten schlechte Nachrichten nicht stückweise kommuniziert werden, sondern alle relevanten Informationen sollten vollständig und klar vermittelt werden. Dies hilft, Missverständnisse und Misstrauen zu vermeiden und fördert eine transparente und offene Kommunikation.

Ist ein Unternehmen von Cyberkriminalität betroffen, ist die Kommunikation von grundlegender Bedeutung. Ausschlaggebend ist hierbei, aufgrund der Themenkomplexität klar zu strukturieren was, wie durch wen und wann kommuniziert wird. Die kommunikativen Maßnahmen tragen dabei nicht nur dazu bei, die Reputation der betroffenen Organisation und ihrer Verantwortlichen zu wahren, sondern dienen auch dem Zweck der Aufklärung und offenen Kommunikation nach außen.

Im Vergleich zu vergangenen Jahren bemerkt man eine steigende Nachfrage nach effektiver Krisenkommunikation und erfolgreichem Krisenmanagement. Dies kann verschiedene Gründe haben. Jedoch allen voran sicher den technologischen Fortschritt im Sinne einer erhöhten digitalen Aktivität der Stakeholder, was zu einer Ausweitung der Reichweite von Krisen führt. Hinzu kommt hier die zunehmende Wichtigkeit der Reputation, die dadurch noch stärker auf dem Spiel steht. Zudem bemerkt man auch ein gesteigertes Wertebewusstsein der Verantwortungstragenden in Unternehmen, die ihre Werte geschützt wissen wollen.

3. Vor der Krise

3.1. Issues Management

Issues Management fungiert als Frühwarnsystem für Organisationen und ermöglicht eine proaktive Auseinandersetzung mit potenziell kritischen Themen. Dabei werden Konfliktpunkte frühzeitig analysiert und identifiziert, um Krisen vorzubeugen oder sie zumindest vorbereitet anzugehen. In einer Zeit steigender Umweltkomplexität und wachsenden Legitimationsdrucks stehen Organisationen vor der Herausforderung, sich den Erwartungen und Ansprüchen verschiedener Teilöffentlichkeiten zu stellen. Das Hauptziel besteht darin, Krisen zu vermeiden, indem Prozesse der öffentlichen Meinungsbildung beeinflusst werden, bevor sie zu breiten öffentlichen Diskussionen werden. Dazu gehört die Auseinandersetzung mit den Erwartungen und Ansprüchen verschiedener Stakeholder, um S. 387Chancen zu erkennen und Risiken zu minimieren. Der Issues-Management-Prozess umfasst die Identifikation, Analyse und strategische Beeinflussung öffentlich relevanter Themen und Erwartungen. Die systematische Identifikation von Issues basiert dabei auf Umweltanalysen und Prognosetechniken wie Scanning, Monitoring, Delphi-Befragungen und Szenariotechniken. Durch einen bewussten Umgang mit Risiken im Rahmen des Issues Managements kann die Handlungsfähigkeit und Reputation einer Organisation im Ereignisfall gestärkt werden.

Im Zuge der fortschreitenden Digitalisierung und Weiterentwicklung künstlicher Intelligenz ist allgemein ein deutlicher Anstieg von Cyberkrisen zu erkennen. Daher ist es von entscheidender Bedeutung, regelmäßige Risikobeurteilungen durchzuführen, die die aktuellen Veränderungen berücksichtigen und sich an der Unternehmensstrategie und dem Geschäftsmodell orientieren. Periodische Risikobeurteilungen sind daher nicht mehr ausreichend und es benötigt eine kontinuierliche Überwachung und Anpassung, um effektiv mit den sich ständig verändernden Risiken und deren Rahmenbedingungen umzugehen.

3.2. Checkliste mit Vorbereitungsmaßnahmen

Um auf mögliche Krisensituationen vorbereitet zu sein, können präventive Maßnahmen ergriffen werden. Die folgenden Punkte bieten Einblicke und helfen dabei zu beurteilen, ob ein Unternehmen für eine eventuelle Krise gewappnet ist.

3.3. Krisenvorbereitung - Maßnahmen

Eine zentrale Erstinformationsstelle ist von entscheidender Bedeutung bei der frühzeitigen Erkennung kritischer Situationen und dem angemessenen Umgang damit. Eine frühzeitige Identifikation von Krisen ermöglicht es, die Auswirkungen und Schäden erheblich zu begrenzen und einen Vorteil bei der Bewältigung zu erlangen. Innerhalb dieser Leitstelle müssen zudem klare Zuständigkeiten festgelegt und eindeutige Verantwortungsbereiche zugewiesen werden. Ihre Hauptaufgabe besteht als erste Anlaufstelle im Krisenfall darin, relevante Informationen wie das Problem, den Ort, die Sprecher sowie alle Beteiligten zu erfassen.

Wenn eine kritische Situation erkannt wird, tritt der Krisenstab in Aktion, um Entscheidungen zu treffen. Dieser Stab bewertet die Lage, koordiniert Maßnahmen S. 389und kommuniziert mit relevanten Parteien wie Behörden und Medien. Um optimal vorbereitet zu sein, sollte der Krisenstab bereits vor dem Ausbruch einer Krise mit seinen Mitgliedern aus Verantwortlichen und Experten für den Ernstfall besetzt sein. Zudem ist es oft hilfreich, die genauen Abläufe und möglichen Handlungsoptionen sowie einen gut ausgestatteten Konferenzraum mit notwendiger Ausstattung vorzeitig festzulegen, um auch unter hohem Zeitdruck eine schnelle Reaktion und Abstimmung zu ermöglichen.

Die Analyse von Krisenszenarien und die Vorbereitung darauf sind entscheidend, um schnell und effizient auf unvorhergesehene Probleme reagieren zu können. Dazu gehören die Identifizierung und Kategorisierung von möglichen Szenarien. Darunter können klassische Unternehmenskrisen, Bilanzverluste bis hin zu Sicherheitsvorfälle, wie Datenlecks oder Unfälle, fallen. Eine gründliche Vorbereitung kann dazu beitragen, die potenzielle Brisanz von Krisen zu mindern. In einer entspannten Atmosphäre fällt es leichter, die Situation angemessen zu analysieren und geeignete Maßnahmen sowie Gegenstrategien zu entwickeln. Dies steht im Kontrast zu der Drucksituation während einer bereits eingetretenen Krise, die schnelles Handeln erfordert.

Schließlich bildet das Krisenmanual den Kern der Vorbereitungsmaßnahmen, da es das gesamte Krisenmanagement übersichtlich zusammenfasst. Es beinhaltet alle ausgearbeiteten Aspekte wie Ansprechpartner, mögliche Szenarien und das Verhalten im Krisenfall. Darüber hinaus umfasst es die Rollen- und Aufgabenverteilung der Mitglieder des Krisenstabs sowie die zu ergreifenden Maßnahmen für spezifische Krisen. Daher sollte es stets griffbereit sein, unter den Mitarbeitenden verbreitet und ihnen bekannt gemacht werden.

Um sicherzustellen, dass diese Vorbereitungen in der Praxis wirksam sind, müssen sie durch regelmäßige Schulungen und Trainings verankert werden. Diese sollten allen Mitarbeitenden und Verantwortlichen des Unternehmens ermöglicht werden, denn je besser alle Beteiligten trainiert sind, desto besser sind sie auf das Handeln in einer Krise vorbereitet. Daher ist es wichtig, diese Schulungen in allen Bereichen des Unternehmens durchzuführen. Durch fortlaufende Trainings wird das Wissen gefestigt, was es allen Mitarbeitenden ermöglicht, zu erkennen, was als Krise eingestuft werden sollte und wen sie im Falle einer kritischen Situation sofort benachrichtigen müssen. Dies sensibilisiert alle Unternehmensmitglieder und erweitert das Wissen, um einer Krisensituation angemessen begegnen zu können.

Durch gezielte Vorbereitungen, funktionierende Monitoring-Mechanismen zur regelmäßigen Risikobewertung sowie fortlaufende Schulungen und Trainings können Unternehmen effektiv auf kritische Situationen reagieren und Katastrophen durch Schadensbegrenzung erfolgreich verhindern.

S. 3903.3.1. Fokus Cyberkrise

Insbesondere in der Vorbereitung auf eine Cyberkrise bedarf es einer gründlichen Planung, die oft unterschätzt wird. Viele beschäftigen sich oberflächlich mit dem Thema, jedoch ist es wichtig, alle Aspekte sorgfältig zu durchdenken. Vorbereitende Workshops und Trainings, in denen Cyberkrisenszenarien durchgespielt werden, sind unerlässlich. Ein bewährtes Vorgehen ist beispielsweise Simulationstraining über mehrere Tage. Dabei werden über jeweils vier Stunden Cyberkrisenszenarien simuliert, wobei verschiedene Trigger eingesetzt werden, um die Situation kontinuierlich zu verändern und realistische Bedingungen zu schaffen. So werden die Teilnehmer intensiv auf mögliche Krisensituationen vorbereitet und können in einem geschützten Rahmen praktische Erfahrungen sammeln. Weiters ist ein gut zusammengestellter Krisenstab vor allem bei Cyberkrisen von entscheidender Bedeutung. Dabei ist es wichtig, Experten aus verschiedenen Bereichen einzubeziehen, wie Cybersecurity-Experten, Rechtsberater, Techniker und Kommunikationsexperten.

Eine gründliche Vorbereitung ermöglicht es, wertvolle Zeit zu gewinnen. Und Zeit ist das, was einem in der Krisensituation am meisten fehlt. Durch eine sorgfältige GAP-Analyse können Lücken in der Cyberabwehr identifiziert und geschlossen werden, um im Ernstfall bereits klar strukturierte Maßnahmen zur Hand zu haben. Vernachlässigt man eine solche Vorbereitung, kann dies einen ganzen Tag in der Cyberkrise kosten, der anderweitig benötigt wird. Zudem ist es wichtig, rechtliche Aspekte zu berücksichtigen und mit Juristen mögliche Szenarien durchzusprechen. In der heutigen Zeit, in der Echtzeitkommunikation eine große Rolle spielt, ist es entscheidend, schnell zu handeln. Neben einem gut besetzten Krisenstab sind auch vorgefertigte Textbausteine hilfreich, um eine effiziente Kommunikation sicherzustellen.

4. Nach der Krise

4.1. Die Post-Incident-Analyse

Nach einer Krise ist es von entscheidender Bedeutung, eine gründliche Evaluierung durchzuführen, um aus den Erfahrungen zu lernen und sich für zukünftige Ereignisse besser vorzubereiten. Dies wird fachsprachlich auch als „Post-Incident-Analyse“ bezeichnet.

Dabei ist es wichtig, die durchgeführten Handlungsschritte und den Krisenplan zu überprüfen. Ein gründlicher Check der durchgeführten Maßnahmen ist unerS. 391lässlich, um festzustellen, was gut funktioniert hat und was verbessert werden kann. Hierbei geht es um die Identifizierung von Schwachstellen und die Anerkennung von möglichen Fehlerquellen oder Hindernissen. Diese Erkenntnisse sind entscheidend, um aus der Krise auch zu lernen und die Resilienz des Unternehmens zu stärken. Basierend auf den gewonnenen Erkenntnissen sollten dann auch entsprechende Anpassungen am Krisenplan vorgenommen werden. Eine Krise kann so auch als Chance gesehen werden, um aus Fehlern zu lernen. Es ist wichtig, den Plan kontinuierlich zu aktualisieren und an neue Erkenntnisse anzupassen. Durch eine sorgfältige Evaluation und Analyse nach einer Krise kann das Unternehmen gestärkt aus der Erfahrung hervorgehen und besser auf zukünftige Herausforderungen vorbereitet sein.

Zusammenfassend sollte man sich also mit folgenden Fragestellungen nach einer Krise auseinandersetzen:

Recap Handlungsschritte & Kommunikationsplan:

Lessons Learned:

Adaption Krisenplan:

4.2. Künftig Cyberkrisen ganz vermeiden?

Cyberkrisen vollständig zu verhindern ist eine Herausforderung, da selbst wenn ein Unternehmen gut vorbereitet ist, ein unvorbereiteter Mitarbeiter immer noch ein Restrisiko darstellen kann. Daher ist es wichtig, einen ganzheitlichen Ansatz zu verfolgen, um das Risiko zu minimieren, auch wenn es nie vollständig ausgeschlossen werden kann. Neben den technischen Maßnahmen ist es sinnvoll, auch Mitarbeiter regelmäßig zu schulen und für Sicherheitsrisiken zu sensibilisieren, um ihre Fähigkeiten zur Erkennung und Abwehr von Cyberbedrohungen zu verbessern. In diesem Kontext ist besonders die interne Unternehmenskommunikation von Bedeutung, um das Bewusstsein für das Thema Cyberattacken zu schärfen. Ebenso wichtig ist es, in kritischen Situationen durch gezielte Kommunikation Transparenz zu schaffen, was eines der zentralen Ziele der PR darstellt. S. 392Dabei spielen die Medien eine besondere Rolle, da sie als Vermittler oft das zentrale Element in der Bewältigung von krisenhaften Ereignissen oder auch juristischen Auseinandersetzungen bilden.

Darüber hinaus ist es entscheidend, nicht nur präventive Maßnahmen zu ergreifen, sondern auch im Vorfeld einen umfassenden (Kommunikations-)Plan für den Krisenfall oder den Fall eines Cyberangriffs zu erarbeiten. Dabei gilt es aus den vielfältigen PR-Funktionen maßgeschneiderte Kommunikationsstrategien zu entwickeln. Besonders in Krisensituationen liegt damit der Fokus der PR auf der Identifikation von Handlungsbedarf und Handlungsmöglichkeiten innerhalb der Organisation sowie auf der Entwicklung passender kommunikativer Lösungen. Durch diese sorgfältige Vorbereitung auf verschiedene Szenarien und das Erstellen spezifischer Handlungspläne können Unternehmen im Krisenfall effektiver reagieren und die negativen Auswirkungen minimieren.

Letztendlich lässt sich das Risiko von Cyberkrisen durch gründliche Vorbereitung und regelmäßige Überprüfung der Sicherheitsmaßnahmen deutlich reduzieren. Eine vollständige Vermeidung ist jedoch nie möglich. Kommunikationsarbeit ist dabei jedoch unverzichtbar, insbesondere weil die Public Relations auch beim Aufbau stabiler Netzwerke zu Stakeholdern und Partnern eine Rolle spielen. Ein starkes Netzwerk ist nicht nur für die Informationsbeschaffung oder -verbreitung, sondern auch für das Erkennen neuer Möglichkeiten und Partnerschaften von großer Bedeutung. Ein gezielter Kommunikationsplan kann im Ernstfall helfen, die Situation zu meistern und damit den Schaden für das Unternehmen und dessen Reputation gering zu halten. So kann sich sogar eine aussichtlose Krise mit den richtigen kommunikativen Maßnahmen noch zu einer neuen Chance für das Unternehmen wandeln.