Krisenkommunikation – Im Ernstfall richtig kommunizieren

Krisenkommunikation bei Cyberangriffen und IT-Sicherheitsvorfällen ist wichtig für die Schadensbegrenzung. Wie ein Unternehmen in den ersten Stunden nach einem Ransomware-Angriff, einer Datenschutzverletzung oder einem größeren IT-Ausfall kommuniziert, bestimmt maßgeblich über Reputationsschäden, rechtliche Konsequenzen und den wirtschaftlichen Gesamtschaden.

Studien zeigen: Unternehmen, die in der Krise professionell und transparent kommunizieren, verlieren deutlich weniger Kunden und erholen sich schneller. Unternehmen mit mangelhafter Krisenkommunikation erleiden dagegen oft Reputationsschäden, die den eigentlichen Angriffsschaden übersteigen.

Warum Krisenkommunikation bei Cyberangriffen?

Rechtliche Pflichten

• DSGVO Art. 33 — Meldung an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden bei Verletzung personenbezogener Daten
• DSGVO Art. 34 — Benachrichtigung der betroffenen Personen bei hohem Risiko für deren Rechte und Freiheiten
• NIS2 — Frühwarnung an BSI/Aufsichtsbehörde innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden
• KRITIS — Meldepflicht an das BSI bei erheblichen IT-Störungen
• Kapitalmarkt — Ad-hoc-Meldepflicht für börsennotierte Unternehmen bei wesentlichen Vorfällen

Zielgruppen der Krisenkommunikation

• Geschäftsführung und Krisenstab — Interne Entscheidungsebene
• Mitarbeiter — Müssen wissen, was passiert und was zu tun ist
• Kunden und Partner — Transparente Information über Auswirkungen und Maßnahmen
• Aufsichtsbehörden — DSGVO-Meldungen, BSI, BaFin
• Strafverfolgungsbehörden — Polizei, LKA Cybercrime bei Straftaten
• Medien — Proaktive Pressekommunikation bei öffentlich bekannt werdenden Vorfällen
• Cyber-Versicherung — Schadensmeldung gemäß Versicherungsvertrag

Krisenkommunikationsplan — Aufbau

1. Krisenstab und Rollen

• Incident Manager — Koordiniert den gesamten Incident-Response-Prozess
• Kommunikationsverantwortlicher — Einzige Schnittstelle für externe Kommunikation. Alle Statements werden über diese Person freigegeben
• Geschäftsführung — Entscheidet über strategische Kommunikation und Freigaben
• Datenschutzbeauftragter — Bewertet DSGVO-Meldepflichten und koordiniert Behördenmeldungen
• Rechtsabteilung/Anwalt — Prüft rechtliche Implikationen aller Statements, berät zu Haftungsfragen
• IT/Security-Team — Liefert technische Fakten und Status-Updates
• IT-Sicherheitsbeauftragter — Koordiniert die technische Analyse und bewertet den Sicherheitsvorfall

2. Kommunikationskanäle

• Sichere Kanäle — Wenn die IT kompromittiert ist, können E-Mail und interne Systeme nicht mehr vertrauenswürdig sein
• Alternative Kommunikation — Vorbereitete Mobiltelefon-Liste, Signal/Threema-Gruppe, externes E-Mail-Konto
• Status-Seite — Vorbereitete Webseite für Status-Updates (z.B. status.firma.de, gehostet extern)
• Telefonkette — Für die erste Stunde, wenn digitale Kanäle nicht verfügbar sind

Ein häufiger Fehler: Der Krisenkommunikationsplan liegt auf dem Fileserver, der bei einem Ransomware-Angriff verschlüsselt ist. Halten Sie daher stets eine gedruckte Version und eine Kopie auf einem externen Medium bereit.

3. Kommunikationsvorlagen

Vorgefertigte Templates für verschiedene Szenarien beschleunigen die Kommunikation im Ernstfall erheblich. Die emotionale Belastung in einer Krise führt dazu, dass die Qualität spontaner Kommunikation drastisch sinkt — vorbereitete Templates sichern ein professionelles Niveau:

• Erstmeldung an Geschäftsführung (intern, 30 Min nach Erkennung)
• Mitarbeiter-Information (intern, 2-4 Stunden)
• Kunden-Benachrichtigung (extern, nach Freigabe)
• DSGVO-Meldung an Aufsichtsbehörde (Art. 33, innerhalb 72h)
• Betroffenen-Benachrichtigung (Art. 34, wenn erforderlich)
• Pressemitteilung (wenn Vorfall öffentlich wird)
• Social-Media-Statements
• FAQ-Dokument für Kundensupport und Mitarbeiter

Kommunikation bei Ransomware-Angriffen

Erste 4 Stunden

• Krisenstab informieren und einberufen
• Fakten sammeln: Was ist betroffen? Seit wann? Welche Daten?
• Interne Kommunikation: „IT-Störung, arbeiten an Lösung, weitere Infos folgen“
• KEINE externe Kommunikation vor Abstimmung im Krisenstab
• KEINE Details über den Angriff auf Social Media oder in Chats teilen
• Forensische Beweissicherung sicherstellen — nicht vorschnell Systeme neu installieren

4-24 Stunden

• DSGVO-Meldepflicht prüfen (personenbezogene Daten betroffen?)
• Strafanzeige bei Polizei/LKA Cybercrime — frühzeitig, da Ermittlungsbehörden wertvolle Unterstützung bieten können
• Cyber-Versicherung informieren — Frist beachten, oft 24-48 Stunden
• Kunden/Partner informieren, wenn deren Daten betroffen sind
• Mitarbeiter regelmäßig updaten (alle 4-6 Stunden)
• Externe Experten hinzuziehen: Incident Response Dienstleister, spezialisierte Anwälte, Krisenberater

24-72 Stunden

• DSGVO-Meldung an Aufsichtsbehörde (Frist!)
• Detaillierter Bericht an Behörden
• Betroffenen-Benachrichtigung vorbereiten
• Öffentliche Kommunikation, falls Vorfall bekannt wird
• Regelmäßige Status-Updates an alle Zielgruppen

Nach der akuten Phase

• Abschlussbericht erstellen und intern kommunizieren
• Lessons Learned Workshop mit allen Beteiligten
• Krisenkommunikationsplan anpassen basierend auf den Erfahrungen
• Vertrauenswiederherstellung bei Kunden und Partnern aktiv betreiben

Kommunikation bei Datenschutzverletzungen

Bei Datenschutzverletzungen gelten besondere Anforderungen:

DSGVO Art. 33 — Meldung an die Aufsichtsbehörde

Die Meldung muss innerhalb von 72 Stunden erfolgen und folgende Informationen enthalten:

• Art der Verletzung und betroffene Datenkategorien
• Ungefähre Anzahl betroffener Personen und Datensätze
• Kontaktdaten des Datenschutzbeauftragten
• Wahrscheinliche Folgen der Verletzung
• Ergriffene und vorgeschlagene Maßnahmen

DSGVO Art. 34 — Benachrichtigung der Betroffenen

Wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, müssen diese direkt benachrichtigt werden. Die Benachrichtigung muss:

• In klarer, einfacher Sprache verfasst sein
• Die Art der Verletzung beschreiben
• Empfehlungen für Schutzmaßnahmen enthalten (z.B. Passwort ändern)
• Kontaktmöglichkeiten für Rückfragen bieten

Krisenkommunikation und Social Media

Social Media kann in einer Krise Fluch und Segen zugleich sein:

Risiken

• Mitarbeiter teilen unabgestimmte Informationen in sozialen Netzwerken
• Gerüchte verbreiten sich schneller als offizielle Statements
• Screenshots interner Kommunikation werden öffentlich
• Kunden beschweren sich öffentlich und verstärken den Reputationsschaden

Best Practices

• Social-Media-Richtlinie im Krisenfall vorab definieren und kommunizieren
• Monitoring der relevanten Plattformen auf Erwähnungen des Vorfalls
• Schnelle, sachliche Antworten auf öffentliche Anfragen
• Verweis auf die offizielle Status-Seite für aktuelle Informationen

Tabletop-Exercises — Krisenkommunikation üben

Die beste Vorbereitung auf eine echte Krise ist das regelmäßige Üben. Tabletop-Exercises sind simulierte Krisenszenarien, bei denen der Krisenstab das Vorgehen durchspielt:

1. Szenario definieren — Realistisches Szenario (z.B. Ransomware-Angriff am Freitagabend, Datenleck durch Insider)
2. Rollen verteilen — Alle Krisenstab-Mitglieder nehmen ihre reale Rolle ein
3. Durchspielen — Stunde für Stunde das Szenario durcharbeiten: Wer macht was? Wer kommuniziert mit wem?
4. Injects — Während der Übung werden neue Informationen eingespeist (z.B. Medienanfrage, Kundenbeschwerden)
5. Debriefing — Was lief gut? Was muss verbessert werden? Welche Lücken wurden sichtbar?

Empfehlung: Mindestens halbjährliche Tabletop-Exercises mit wechselnden Szenarien. Das ISMS sollte diese Übungen als festen Bestandteil vorsehen.

Dos and Don’ts

Dos

• Transparent — Ehrlich kommunizieren, was bekannt ist (und was noch nicht)
• Schnell — Lieber eine kurze Erstmeldung als langes Schweigen
• Empathisch — Betroffenheit zeigen, Verständnis für die Auswirkungen
• Proaktiv — Nicht warten, bis Medien nachfragen
• Konsistent — Eine Stimme, eine Botschaft über alle Kanäle
• Faktisch — Nur bestätigte Informationen kommunizieren

Don’ts

• Schweigen — Langes Schweigen wird als Vertuschung wahrgenommen
• Schuldzuweisungen — Keine Mitarbeiter oder Dienstleister öffentlich beschuldigen
• Bagatellisieren — „Alles unter Kontrolle“ wenn es das nicht ist, zerstört Vertrauen endgültig
• Technisches Fachchinesisch — Zielgruppengerecht kommunizieren, nicht in IT-Jargon
• Versprechen — Keine Garantien geben, die nicht eingehalten werden können
• Details zum Angriff — Keine technischen Details veröffentlichen, die dem Angreifer helfen könnten

Fallbeispiele aus der Praxis

Gute Krisenkommunikation — Norsk Hydro (2019)

Der norwegische Aluminium-Konzern Norsk Hydro wurde 2019 Opfer eines massiven Ransomware-Angriffs. Die Krisenkommunikation gilt als Musterbeispiel: Das Unternehmen kommunizierte von Beginn an transparent, hielt regelmäßige Pressekonferenzen mit dem CEO persönlich ab und teilte sogar technische Details mit der Security-Community. Das Ergebnis: Die Reputation blieb weitgehend intakt, das Vertrauen der Investoren wurde gestärkt.

Schlechte Krisenkommunikation — Equifax (2017)

Der US-Datenhändler Equifax verschwieg einen Datenverlust von 147 Millionen Datensätzen wochenlang. Führungskräfte verkauften Aktien, bevor der Vorfall bekannt wurde. Die verspätete, unvollständige Kommunikation verursachte einen Reputationsschaden, der den eigentlichen Angriff bei weitem übertraf — Milliardenverluste und jahrelange Rechtsstreitigkeiten.

Krisenkommunikation und NIS2

Die NIS2-Richtlinie verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich:

Dreistufiges Meldeverfahren

• Frühwarnung (24 Stunden) — Erste Meldung an die zuständige Behörde innerhalb von 24 Stunden nach Erkennung. Enthält: Art des Vorfalls, vermutete Ursache, betroffene Dienste, grenzüberschreitende Auswirkungen
• Vorfallmeldung (72 Stunden) — Detaillierter Bericht innerhalb von 72 Stunden. Enthält: Bewertung des Schweregrads, Auswirkungen, ergriffene Maßnahmen, Indicators of Compromise
• Abschlussbericht (1 Monat) — Umfassender Abschlussbericht innerhalb eines Monats. Enthält: Detaillierte Beschreibung, Ursachenanalyse, Maßnahmen, grenzüberschreitende Auswirkungen

Diese kurzen Fristen erfordern vorbereitete Prozesse und Templates — ohne einen Krisenkommunikationsplan sind die Fristen kaum einzuhalten.

Krisenkommunikation und ISMS

Im Rahmen eines Informationssicherheits-Managementsystems ist die Krisenkommunikation Teil des vollständigeren Incident-Response-Prozesses und eng mit dem Business Continuity Management verknüpft:

• ISO 27001 A.16 — Management von Informationssicherheitsvorfällen: Fordert Kommunikationsverfahren für Sicherheitsvorfälle
• ISO 22301 — Business Continuity Management: Krisenkommunikation als Kernbestandteil des BCM
• BSI IT-Grundschutz DER.2.1 — Behandlung von Sicherheitsvorfällen: Definiert Kommunikationsanforderungen

Die regelmäßige Überprüfung und Aktualisierung des Krisenkommunikationsplans sollte als Teil der ISMS-Managementbewertung erfolgen — mindestens jährlich oder nach jedem realen Vorfall.

Externe Unterstützung in der Krise

Die wenigsten Unternehmen können eine Cyber-Krise vollständig intern bewältigen. Folgende externe Ressourcen sollten vorbereitet sein:

Sofort abrufbare Ressourcen

• Incident Response Dienstleister — Retainer-Vertrag mit garantierten Reaktionszeiten (typisch: 4 Stunden). Vorteil: Der Dienstleister kennt Ihre Umgebung bereits
• Spezialisierte Rechtsanwälte — IT-Recht und Datenschutzrecht. Beraten zu Meldepflichten, Haftungsfragen und Kommunikation
• PR-/Krisenkommunikationsagentur — Unterstützung bei Medienanfragen und öffentlicher Kommunikation
• Forensik-Dienstleister — Professionelle Beweissicherung und Analyse. Wichtig: Forensik erfordert Spezialwissen, das interne IT-Teams meist nicht haben

Behördliche Anlaufstellen in Deutschland

• BSI — Bundesamt für Sicherheit in der Informationstechnik. Erste Anlaufstelle für KRITIS-Betreiber und NIS2-betroffene Unternehmen
• LKA Cybercrime — Jedes Bundesland hat eine spezialisierte Cybercrime-Einheit. In Sachsen: LKA Sachsen, Abteilung 3 (Cybercrime)
• Datenschutzaufsichtsbehörde — Zuständig für DSGVO-Meldungen. In Sachsen: Sächsischer Datenschutzbeauftragter
• CERT-Bund — Computer Emergency Response Team des BSI. Unterstützung bei der technischen Bewältigung

Alle Kontaktdaten und Meldewege sollten im Krisenkommunikationsplan hinterlegt und regelmäßig aktualisiert werden.

Krisenkommunikation als Wettbewerbsvorteil

Unternehmen, die in der Krise professionell kommunizieren, gehen oft gestärkt aus einem Vorfall hervor. Kunden und Partner schätzen Transparenz und Professionalität — und entwickeln mehr Vertrauen in ein Unternehmen, das einen Vorfall offen und kompetent bewältigt hat, als in eines, das nie getestet wurde. Eine gute Krisenvorbereitung ist daher nicht nur Risikominimierung, sondern auch eine Investition in Kundenvertrauen und Markenresilienz.

DATUREX GmbH — Krisenkommunikation

• Kommunikationsplan — Erstellung eines Krisenkommunikationsplans für Cyber-Vorfälle
• Vorlagen — Vorgefertigte Templates für alle Zielgruppen und Szenarien
• Tabletop-Exercises — Krisenkommunikation in realistischen Szenarien üben
• DSGVO-Meldungen — Unterstützung bei der fristgerechten Benachrichtigung von Aufsichtsbehörden und Betroffenen
• Incident Response Integration — Krisenkommunikation als Teil des IR-Plans
• Medientraining — Vorbereitung von Sprechern für den Ernstfall
• Beratung — Ganzheitliche Vorbereitung auf IT-Krisen