Krisenkommunikation bei Sicherheitsvorfällen | Leitfaden

von Jörg Apel


Der praktische Leitfaden für die ersten 72 Stunden

Management-Zusammenfassung

Ein Cyberangriff entwickelt sich häufig innerhalb weniger Stunden von einem technischen Sicherheitsvorfall zu einer umfassenden Unternehmenskrise. Während die IT an der Analyse und Wiederherstellung arbeitet, erwarten Mitarbeitende, Kunden, Lieferanten, Behörden und Medien schnelle Antworten.

Die Praxis zeigt, dass viele Unternehmen nicht an der technischen Bewältigung scheitern, sondern an fehlender Kommunikation, unklaren Verantwortlichkeiten und mangelnder Vorbereitung.

Die gute Nachricht: Krisenkommunikation lässt sich vorbereiten. Wer Verantwortlichkeiten festlegt, Kommunikationswege definiert und die ersten Schritte kennt, kann die Auswirkungen eines Sicherheitsvorfalls erheblich reduzieren.

Dieser Leitfaden zeigt, welche Maßnahmen in den ersten 72 Stunden notwendig sind, welche Kommunikationskanäle genutzt werden können und wie Unternehmen auch bei einem Ausfall ihrer IT handlungsfähig bleiben.

Warum die ersten 72 Stunden so wichtig sind

Die ersten Stunden nach einem Sicherheitsvorfall sind geprägt von Unsicherheit. Oft liegen nur wenige gesicherte Informationen vor. Gleichzeitig steigt der Druck von allen Seiten. Kunden bemerken Einschränkungen, Mitarbeitende stellen Fragen und die Geschäftsführung benötigt belastbare Entscheidungen.

In dieser Phase entstehen die meisten Kommunikationsfehler. Unternehmen kommunizieren zu spät, widersprüchlich oder gar nicht. Dadurch entstehen Gerüchte und Spekulationen, die häufig größeren Schaden verursachen als der eigentliche Vorfall.

Deshalb sollte die Kommunikation bereits parallel zur technischen Analyse beginnen. Ziel ist nicht, sofort alle Antworten zu liefern. Ziel ist es, Orientierung zu geben und Vertrauen zu erhalten.

Schritt 1: Krisenstab aktivieren

Ein Cyberangriff ist keine reine IT-Störung. Deshalb sollte unmittelbar nach Feststellung eines schwerwiegenden Vorfalls ein Krisenstab aktiviert werden.

Zum Krisenstab gehören in der Regel:

  • Geschäftsführung

  • IT-Verantwortliche

  • Informationssicherheitsbeauftragter

  • Datenschutzbeauftragter

  • Unternehmenskommunikation

  • Personalbereich

  • Rechtsberatung

  • Externe Spezialisten bei Bedarf

Der Krisenstab übernimmt die zentrale Steuerung aller Maßnahmen und stellt sicher, dass technische, organisatorische und kommunikative Entscheidungen abgestimmt erfolgen.

Eine wichtige Erkenntnis aus realen Sicherheitsvorfällen lautet: Wer keinen Krisenstab hat, improvisiert. Wer improvisiert, verliert wertvolle Zeit.

Schritt 2: Verantwortlichkeiten eindeutig festlegen

Bereits in den ersten Stunden sollte klar sein, wer welche Aufgaben übernimmt.

Besonders wichtig sind folgende Rollen:

  • Wer trifft Entscheidungen?

  • Wer kommuniziert mit Mitarbeitenden?

  • Wer spricht mit Kunden?

  • Wer beantwortet Medienanfragen?

  • Wer kommuniziert mit Behörden?

  • Wer protokolliert Entscheidungen?

Ein häufiger Fehler besteht darin, dass mehrere Personen gleichzeitig kommunizieren. Dadurch entstehen widersprüchliche Aussagen und zusätzliche Unsicherheit.

Unternehmen sollten deshalb möglichst früh einen offiziellen Sprecher benennen.

Schritt 3: Interne Kommunikation vor externer Kommunikation

Eine der wichtigsten Regeln professioneller Krisenkommunikation lautet:

Interne Kommunikation vor externer Kommunikation.

Mitarbeitende sollten niemals aus den Medien oder von Kunden erfahren, dass ihr Unternehmen Opfer eines Cyberangriffs geworden ist.

Bereits die erste interne Mitteilung sollte folgende Fragen beantworten:

  • Was ist passiert?

  • Was ist derzeit bekannt?

  • Welche Auswirkungen bestehen aktuell?

  • Welche Verhaltensregeln gelten?

  • Wann folgen weitere Informationen?

Mitarbeitende benötigen Orientierung. Werden sie frühzeitig eingebunden, unterstützen sie die Krisenbewältigung aktiv.

Schritt 4: Kommunikationskanäle prüfen

Viele Unternehmen stellen während eines Cyberangriffs fest, dass ihre üblichen Kommunikationsmittel nicht mehr verfügbar sind.

Deshalb sollte sofort geprüft werden:

  • Funktioniert E-Mail?

  • Funktioniert Microsoft Teams?

  • Funktionieren Telefonanlagen?

  • Sind Mobilfunknetze nutzbar?

  • Sind externe Plattformen verfügbar?

Fällt die Unternehmens-IT aus, müssen alternative Kommunikationswege genutzt werden.

Dazu gehören beispielsweise:

  • Mobiltelefone

  • Messenger-Dienste

  • Notfalltelefonlisten

  • Externe Kollaborationsplattformen

  • Krisenhotlines

  • Persönliche Treffen

Die wichtigste Regel lautet: Die Kommunikationswege müssen bereits vor dem Vorfall bekannt und getestet sein.

Schritt 5: Stakeholder identifizieren und priorisieren

Nicht jede Zielgruppe benötigt dieselben Informationen.

Typischerweise sollten folgende Gruppen berücksichtigt werden:

Mitarbeitende

Mitarbeitende benötigen Orientierung und klare Handlungsanweisungen.

Kunden

Kunden benötigen Informationen über mögliche Auswirkungen auf Produkte, Dienstleistungen und Liefertermine.

Lieferanten und Partner

Geschäftspartner müssen beurteilen können, ob ihre eigenen Prozesse betroffen sind.

Behörden

Je nach Vorfall können Meldepflichten bestehen.

Medien und Öffentlichkeit

Sobald ein Vorfall öffentlich bekannt wird, müssen Medienanfragen professionell beantwortet werden.

Schritt 6: Meldepflichten bewerten

Cybervorfälle können gesetzliche Meldepflichten auslösen.

Besonders relevant sind:

Da teilweise sehr kurze Fristen gelten, sollten Datenschutzbeauftragte und Rechtsberater frühzeitig eingebunden werden.

Die Kommunikation gegenüber Behörden sollte auf gesicherten Erkenntnissen beruhen und eng mit den technischen Analysen abgestimmt werden.

Schritt 7: Mit Medien professionell umgehen

Viele Unternehmen fürchten Medienanfragen. Tatsächlich bieten sie jedoch die Möglichkeit, die eigene Sichtweise aktiv darzustellen.

Wichtige Grundsätze sind:

  • Nur bestätigte Informationen kommunizieren

  • Keine Spekulationen äußern

  • Keine Schuldzuweisungen vornehmen

  • Unsicherheiten offen benennen

  • Regelmäßig Updates liefern

Wer glaubwürdig kommuniziert, erhält häufig deutlich mehr Verständnis als erwartet.

Checkliste für die ersten 72 Stunden

Innerhalb der ersten 4 Stunden

  • Sicherheitsvorfall bestätigen

  • Krisenstab aktivieren

  • Verantwortlichkeiten festlegen

  • Kommunikationswege prüfen

  • Erste Lageeinschätzung erstellen

Innerhalb von 24 Stunden

  • Mitarbeitende informieren

  • Kritische Kunden identifizieren

  • Geschäftspartner bewerten

  • Meldepflichten prüfen

  • Kommunikationsrhythmus festlegen

Innerhalb von 48 Stunden

  • Weitere Lagebewertungen durchführen

  • Kommunikationsmaßnahmen aktualisieren

  • Medienstrategie abstimmen

  • Alternative Arbeitsprozesse etablieren

Innerhalb von 72 Stunden

  • Vollständiges Lagebild erstellen

  • Stakeholder erneut informieren

  • Lessons Learned vorbereiten

  • Nächste Phase der Krisenbewältigung planen

Welche Hilfsmittel bereits heute vorbereitet werden sollten

Die beste Krisenkommunikation entsteht lange vor der Krise.

Unternehmen sollten mindestens folgende Hilfsmittel vorbereiten:

  • Krisenplan

  • Krisenstabsordnung

  • Notfallkontaktlisten

  • Kommunikationsvorlagen

  • Stakeholder-Verzeichnis

  • Meldepflichtenübersicht

  • Alternative Kommunikationswege

  • Medienleitfaden

  • Entscheidungsprotokolle

Je mehr dieser Bausteine bereits vorhanden sind, desto ruhiger und strukturierter verläuft die Bewältigung eines Sicherheitsvorfalls.

Wer kann unterstützen?

Unternehmen müssen eine Krise nicht allein bewältigen.

Unterstützung können unter anderem leisten:

  • Cyberversicherungen

  • Incident-Response-Dienstleister

  • IT-Forensiker

  • CERTs

  • Informationssicherheitsberater

  • Datenschutzexperten

  • Rechtsanwälte

  • Krisenkommunikationsspezialisten

Viele Cyberversicherungen stellen bereits im Rahmen ihrer Leistungen entsprechende Expertennetzwerke bereit.

Fazit

Krisenkommunikation entscheidet maßgeblich darüber, wie ein Unternehmen einen Sicherheitsvorfall wahrnimmt und wie es von Kunden, Mitarbeitenden und Geschäftspartnern wahrgenommen wird.

Technische Maßnahmen bleiben unverzichtbar. Sie allein reichen jedoch nicht aus. Unternehmen müssen in der Lage sein, Informationen zu steuern, Orientierung zu geben und Vertrauen zu erhalten.

Wer Krisenkommunikation vorbereitet, Verantwortlichkeiten definiert und regelmäßig übt, erhöht nicht nur seine Reaktionsfähigkeit. Er stärkt gleichzeitig die Resilienz des gesamten Unternehmens.

Die wichtigste Erkenntnis lautet deshalb: Erfolgreiche Krisenkommunikation beginnt nicht während eines Cyberangriffs. Sie beginnt lange vorher.


Weiterführende Informationen

Weitere Beiträge zu Informationssicherheit, ISO 27001, NIS2, Risikomanagement, Business Continuity Management und Cyber-Resilienz findest Du in der Blog-Übersicht von ResKontIS. Dort kannst Du gezielt nach Kategorien und Schwerpunkten filtern.

Zum Wissensportal

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »