Daten-Kidnapping: Wie sag ich‘s meinen Stakeholdern?

Bei Ransomware-Attacken, also dem Angriff durch eine Erpressungs-Software, werden digital „entführte“ Firmendaten von Hackern nur gegen viel Geld wieder entsperrt. Solche Cyber-Angriffe können Firmen auf Tage oder Wochen hinaus stilllegen. Wie sich Kommunikationsteams darauf vorbereiten und im Fall der Fälle optimal agieren, haben wir Titus Kroder gefragt. Gemeinsam mit langjährig erfahrenen Krisenkommunikatoren und Coaches hat er ein neues Trainingsformat entwickelt, das SCRIPT-Kunden bereits weitergeholfen hat.

Das Besondere an Eurem Training sind die lebensnahen Simulationen eines Cyberangriffs. Wie macht Ihr das genau?

Bei Ransomware-Angriffen haben die Kommunikationsteams oft keinerlei offiziellen Kanäle mehr, um sich abzustimmen. Kein Outlook, kein Telefon, kein Intranet. In unseren Trainings simulieren wir abgeschlossene „War Rooms“, in denen sich die Trainings-Teams erst einmal selbst sortieren und bei Bedarf auch überregional organisieren – beispielsweise über ad hoc eingerichtete Messenger-Gruppen auf den Privathandys, wenn es nicht anders geht. Während der Simulation werden die Teilnehmenden immer wieder mit neuen Lagen konfrontiert. Denn jede Cyber-Attacke hat ihre eigene Eskalation, auf die kommunikativ reagiert werden muss. Ziel ist es, eine flexible Kommunikationsstruktur, unterschiedliche Rollen und klar definierte Wordings für ein komplettes Briefing der Unternehmensleitung zu erstellen, darüber, wie und wann welche Stakeholder angesprochen werden sollen. Auf diese finale Präsentation gibt es dann fachliches Feedback von den Trainern und auch Manöverkritik untereinander. Wie belastbar bereits bestehende Notfall-Abläufe sind und was noch gebraucht wird, stellt sich bei solchen Simulationen rasch heraus.

Was sind die wichtigsten Punkte, die mit welchem Ziel unter diesen Stressbedingungen geklärt werden?

Jede Ransomware-Attacke sieht anders aus. Ein paar Standards muss aber jedes Kommunikationsteam im Grund entweder erzeugen oder schon bereitliegen haben. Ist die Nachricht etwa bereits nach außen gedrungen, gilt es, die die berühmte „Goldene Stunde“ zu nutzen, um mit einem ersten Holding-Statement die Story selbst in den Markt zu geben und als erster zu prägen. Das ist zwar ein wichtiger aber nur kleiner Teil der Aufgaben. Die Teilnehmenden müssen bei einer solchen Krise, je nach Firma, oft mit vielen Stakeholdern gleichzeitig kommunizieren – von den Mitarbeitenden bis zu Kunden, Investoren und Regulierungsstellen. Wer spricht in welcher Tonalität mit wem, wieviel Transparenz, wieviel Empathie, wie viele Updates braucht es? Das sind die Fragen, die in den Simulationsrunden und dem anschließenden Feedback geklärt werden.

Wie groß sind die Teams, die Ihr trainiert – und wie sehen die anderen Teile des Trainings aus?

Es können Teams von bis zu 15 Personen sein, die wir als Gesamtgruppe schulen. Für die einzelnen Simulationen bilden wir dann Fünfer-Gruppen. Zeitlich gesehen umfasst ein solches Training einen ganzen Tag – mit Verpflegung und Pausen. Los geht es am Vormittag mit einer ersten Bestandsaufnahme, was das Kommunikationsteam bereits in der Schublade hat für einen Cyberangriff. Dann werden die Themen verfeinert. Anhand von Best-Case-Beispielen entwickeln die Teams dann authentische Wordings und wie man diese auf die einzelnen Stakeholder anpasst. Wer spricht zu welchem Thema verantwortlich, wie ist die logische Abfolge der Schritte und Maßnahmen? Nach der Mittagspause geht es dann in die Simulationen und Feedbackrunden. Außerdem skizzieren wir, wie die Organisation des Komm-Teams künftig aufgebaut werden sollte, um einen Cyber-Angriff erfolgreich zu managen.