Mittelständische Unternehmen stehen zunehmend unter Druck, weil sich Angriffe auf IT-Systeme massiv häufen. Allein in den vergangenen beiden Jahren waren neun von zehn Unternehmen von Cyberangriffen betroffen (Quelle: Bitkom). Wie sehen präventive Maßnahmen wie Notfall- und Krisenkommunikationspläne aus, damit Ihr Unternehmen krisenfest in die Zukunft geht?
Ein wenig ist es mit den virtuellen Viren wie mit dem Coronavirus: Nicht ob wir uns anstecken, sondern wann ist die Frage – und ob wir zu dem Zeitpunkt hinreichend geschützt sind. Tatsächlich ist in Pandemiezeiten auch die Zahl der Cyberattacken auf mittelständische Unternehmen gestiegen. Je schneller die Digitalisierung voranschreitet, je dezentraler die Arbeit organisiert ist und je weniger sich ein Unternehmen gegen virtuelle Kriminalität gewappnet zeigt, desto häufiger ist mit Cyberattacken zu rechnen.
Mittelständische Unternehmen im Visier von Cyberkriminellen
Die Nachrichten über virtuelle Kriminalität haben in den vergangenen Jahren deutlich zugenommen. Der angerichtete Schaden hat sich innerhalb nur eines Jahres verdoppelt, neun von zehn Unternehmen waren 2020/2021 von Angriffen betroffen. Dabei gerieten nicht nur die Big Player unterschiedlichster Branchen ins Visier von Cyberkriminellen, auch digitale Attacken auf mittelständische Unternehmen haben sich zu einem lukrativen Geschäftsmodell krimineller Akteure im Internet entwickelt. Sie greifen Unternehmen an, verschlüsseln und sperren sensible Daten, stehlen Kundeninformationen und erpressen fallweise auch Lösegeld in Form von Bitcoins. Die Machenschaften sind für viele Unternehmen existenzbedrohend. Wer das Lösegeld nicht aufbringen kann, erhält auch die notwendige Entschlüsselungssoftware nicht und muss schlimmstenfalls mit längeren Produktionsausfällen, der Veröffentlichung sensibler Kundendaten und millionenschweren Kosten rechnen.
Erst Anfang des Jahres hat ein Hackerangriff Europas größten Autohändler getroffen und zeitweise lahmgelegt. Ein Schreckensszenario für die Emil Frey Gruppe: Die Website funktionierte nicht, die Telefonanlage war betroffen und übers Internet ließen sich keine Termine mehr mit dem Service vereinbaren. Eine Woche lang dauerte es, bis das Online-Angebot des Automobilherstellers wieder erreichbar war. Auch der Fall bei Juwelier Wempe im Jahr 2019 ist ein Paradebeispiel dafür, wie verwundbar der Mittelstand gegenüber Internet-Erpressern ist. Von einer „Geiselname der Daten“ sprach die Pressesprecherin nach dem Angriff auf die IT. Die Kriminellen hatten es nicht etwa auf Uhren oder Schmuck abgesehen, sondern auf Kryptowährung.
Ob Erpressungs-Trojaner (sogenannte Ransomware), verteilte Netzwerkangriffe (DDoS-Angriffe) oder die von Expertinnen und Experten vorausgesagte Zunahme an sogenannter Siegeware, die ganze Smart Buildings übernehmen, Strom abstellen und Licht- oder Klimaanlagen deaktivieren kann: Die Cyberangriffe werden mit fortschreitender Digitalisierung immer kreativer. Zugleich wiegen sich noch immer erstaunlich viele Unternehmen in Sicherheit und haben für den Fall der Fälle weder einen Notfallplan noch eine auf dieses Szenario zugeschnittene Kommunikationsstrategie in der Schublade liegen.
Krisenplanung: Präventive Maßnahmen und Notfallpläne
Keine Frage: Im Fall der Fälle muss das Krisenmanagement so schnell wie effektiv sein. Krisenprävention ist dabei die halbe Miete. Unternehmen sollten also ihre Hausaufgaben machen, sprich: einen Krisenplan inklusive einer Krisenkommunikationsstrategie entwickeln, der auf das Szenario einer Cyberattacke vorbereitet:
- Welcher Personenkreis sollte dem Krisenstab angehören und wie ist der Krisenstab organisiert, der sich idealerweise aus internen und externen Expertinnen und Experten zusammensetzt?
- Wie sehen die Informationswege im Krisenfall aus? Auf welchen Kanälen informiert wer wen? Welche Informationskanäle können bei einer lahmgelegten IT genutzt werden?
- Wie geht das Unternehmen mit der Gratwanderung zwischen transparenter Kommunikation auf der einen und Diskretion auf der anderen Seite um?
- Wo trifft man sich im Ernstfall und wer übernimmt die Rolle des Sprechers?
- Wer gibt was in welcher Form an wen weiter (Wer informiert wann die Belegschaft / die Kunden / die Geschäftspartner / die Medien/ die Datenschutz- und Strafverfolgungsbehörden)?
- Wer übernimmt das Monitoring der sozialen Medien und dokumentiert das kommunikative Geschehen?