Krisenkommunikation bei Sicherheitsvorfällen

von Jörg Apel

Warum Kommunikation über den Erfolg der Krisenbewältigung entscheidet

Management-Zusammenfassung

Wenn Unternehmen über Cyberangriffe sprechen, stehen häufig technische Themen im Mittelpunkt. Es geht um Firewalls, Backups, Forensik oder die Wiederherstellung von Systemen. Dabei wird ein entscheidender Erfolgsfaktor häufig unterschätzt: die Kommunikation.

Ein Sicherheitsvorfall entwickelt sich innerhalb kürzester Zeit zu einer Unternehmenskrise. Kunden erwarten Informationen, Geschäftspartner benötigen Planungssicherheit, Mitarbeitende suchen Orientierung und Behörden fordern Meldungen. In dieser Situation entscheidet nicht allein die technische Reaktionsfähigkeit über den Erfolg der Krisenbewältigung, sondern vor allem die Fähigkeit der Unternehmensführung, Vertrauen zu erhalten und Orientierung zu geben.

Krisenkommunikation ist keine reine Aufgabe der Kommunikationsabteilung. Sie ist eine Führungsaufgabe. Unternehmen, die vorbereitet sind, einen Krisenstab etablieren, Kommunikationswege definieren und Verantwortlichkeiten festlegen, bewältigen Sicherheitsvorfälle nachweislich erfolgreicher als Organisationen, die erst im Ernstfall über ihre Kommunikation nachdenken.

Warum das Thema wichtig ist

Die Bedrohungslage hat sich in den vergangenen Jahren deutlich verändert. Cyberangriffe richten sich längst nicht mehr ausschließlich gegen große Konzerne oder kritische Infrastrukturen. Insbesondere kleine und mittelständische Unternehmen geraten zunehmend in den Fokus professioneller Angreifer. Moderne Ransomware-Gruppen verschlüsseln nicht nur Systeme, sondern stehlen Daten, bedrohen Lieferketten und nutzen die öffentliche Berichterstattung gezielt als Druckmittel.

Viele Unternehmen verfügen inzwischen über technische Schutzmaßnahmen und Wiederherstellungspläne. Dennoch zeigt die Praxis, dass erhebliche Schäden häufig nicht durch den eigentlichen Angriff entstehen, sondern durch Unsicherheit, Gerüchte und mangelnde Kommunikation während der Krise. Kunden erfahren über soziale Medien von einem Vorfall, bevor sie vom betroffenen Unternehmen informiert werden. Mitarbeitende erhalten widersprüchliche Informationen. Geschäftspartner wissen nicht, ob Lieferungen oder Dienstleistungen weiterhin erbracht werden können. Medien berichten auf Basis unvollständiger Informationen.

In solchen Situationen entsteht schnell der Eindruck eines Kontrollverlustes. Dieser Eindruck kann für das Vertrauen in ein Unternehmen oft schädlicher sein als der technische Vorfall selbst.

Genau deshalb sollte Krisenkommunikation als integraler Bestandteil der Unternehmensresilienz betrachtet werden. Sie ist nicht die Begleiterscheinung eines Sicherheitsvorfalls, sondern ein wesentliches Instrument seiner Bewältigung.

Welche Risiken professionelle Krisenkommunikation reduziert

Ein Cyberangriff trifft selten nur die IT. Er betrifft das gesamte Unternehmen. Je länger Unsicherheit herrscht, desto größer werden die Auswirkungen auf Kundenbeziehungen, Lieferketten und die Reputation des Unternehmens.

Professionelle Krisenkommunikation reduziert diese Risiken erheblich. Sie sorgt dafür, dass Informationen geordnet fließen, Entscheidungen nachvollziehbar werden und alle Beteiligten wissen, woran sie sind. Dadurch sinkt die Wahrscheinlichkeit von Fehlentscheidungen, Spekulationen und Vertrauensverlusten.

Besonders wichtig ist dabei die Erkenntnis, dass Menschen in Krisen nicht zwangsläufig perfekte Lösungen erwarten. Sie erwarten jedoch Transparenz, Orientierung und Verlässlichkeit. Kunden akzeptieren in vielen Fällen technische Probleme oder Einschränkungen, wenn sie nachvollziehbar informiert werden. Was sie dagegen selten akzeptieren, ist Schweigen.

Menschen können mit Unsicherheit besser umgehen als mit fehlender Kommunikation.

Aus Sicht der Geschäftsführung bedeutet dies, dass Kommunikationsversäumnisse schnell zu wirtschaftlichen Risiken werden können. Verlorenes Vertrauen lässt sich häufig deutlich schwerer wiederherstellen als ein ausgefallener Server.

Die ersten 72 Stunden entscheiden über den weiteren Verlauf

Die ersten Stunden nach Bekanntwerden eines Sicherheitsvorfalls sind für die gesamte weitere Krisenbewältigung von zentraler Bedeutung. In dieser Phase müssen technische Analysen, organisatorische Entscheidungen und Kommunikationsmaßnahmen parallel erfolgen.

Viele Unternehmen machen den Fehler, zunächst ausschließlich auf die technische Problemlösung zu fokussieren. Die IT arbeitet unter Hochdruck an der Analyse und Wiederherstellung der Systeme, während Kunden, Mitarbeitende und Geschäftspartner auf Informationen warten. Genau hier entstehen häufig die größten Kommunikationsprobleme.

Krisenstab aktivieren

Deshalb sollte unmittelbar nach der Feststellung eines Sicherheitsvorfalls ein Krisenstab aktiviert werden. Ein Cyberangriff ist kein reines IT-Thema und sollte auch nicht ausschließlich von der IT gesteuert werden. Neben der Geschäftsführung gehören typischerweise Vertreter der Informationssicherheit, der IT, des Datenschutzes, der Unternehmenskommunikation, des Personalbereichs sowie gegebenenfalls externe Spezialisten in den Krisenstab.

Der Krisenstab dient als zentrales Führungsinstrument. Hier werden Lagebilder erstellt, Entscheidungen getroffen, Maßnahmen priorisiert und Kommunikationsaktivitäten abgestimmt. Ziel ist es, sicherzustellen, dass das Unternehmen mit einer Stimme spricht und widersprüchliche Aussagen vermieden werden.

Kommunikationsrhythmus festlegen

Ebenso wichtig ist die Einführung einer regelmäßigen Prozesskommunikation. Selbst wenn noch nicht alle Informationen vorliegen, sollten die relevanten Stakeholder kontinuierlich informiert werden. Menschen können mit Unsicherheit deutlich besser umgehen als mit fehlender Kommunikation.

Vertrauen entsteht durch Orientierung, nicht durch Schweigen.

Interne Kommunikation vor externer Kommunikation

Interne Kommunikation vor externer Kommunikation.

Diese Regel gehört zu den wichtigsten Grundsätzen erfolgreicher Krisenkommunikation.

Mitarbeitende sind die wichtigsten Multiplikatoren eines Unternehmens. Sie stehen im Kontakt mit Kunden, Lieferanten und Geschäftspartnern. Werden sie nicht oder zu spät informiert, entstehen zwangsläufig Gerüchte und Unsicherheiten.

Besonders problematisch wird es, wenn Mitarbeitende von einem Sicherheitsvorfall erstmals über Medienberichte oder soziale Netzwerke erfahren. Dies führt nicht nur zu Vertrauensverlust innerhalb der Organisation, sondern erschwert auch die externe Kommunikation erheblich.

Die Unternehmensführung sollte deshalb frühzeitig und transparent informieren. Dabei geht es nicht darum, bereits alle Antworten zu liefern. Viel wichtiger ist es, Orientierung zu geben und zu erklären, welche Maßnahmen eingeleitet wurden, welche Auswirkungen derzeit bekannt sind und wann mit weiteren Informationen gerechnet werden kann.

Informierte Mitarbeitende schaffen Vertrauen. Uninformierte Mitarbeitende werden unbeabsichtigt Teil des Problems.

Kommunikation auch bei Ausfall der eigenen IT sicherstellen

Ein häufig unterschätztes Problem besteht darin, dass die üblichen Kommunikationskanäle während eines Cyberangriffs möglicherweise nicht mehr verfügbar sind. E-Mail-Systeme, Kollaborationsplattformen oder Telefonanlagen können betroffen sein oder vorsorglich abgeschaltet werden.

Genau deshalb sollte bereits vor einem Vorfall festgelegt werden, wie das Unternehmen in einer solchen Situation kommuniziert. Alternative Kommunikationswege gehören zu den wichtigsten Vorbereitungsmaßnahmen im Krisenmanagement.

Dazu können Notfalltelefonlisten, private Mobilfunknummern kritischer Funktionsträger, Messenger-Dienste, externe Kommunikationsplattformen oder spezielle Notfallsysteme gehören. Entscheidend ist dabei weniger die eingesetzte Technologie als die Tatsache, dass ihre Nutzung vorab getestet und geübt wurde.

Die beste Kommunikationslösung hilft nicht, wenn sie im Ernstfall niemand bedienen kann.

Meldepflichten frühzeitig berücksichtigen

Neben den organisatorischen und kommunikativen Herausforderungen müssen Unternehmen auch regulatorische Anforderungen beachten. Je nach Art des Vorfalls können verschiedene Meldepflichten ausgelöst werden.

Besonders relevant sind dabei Datenschutzverletzungen nach der DSGVO sowie die Anforderungen aus NIS2 und dem deutschen Cybersicherheitsrecht. Hinzu kommen häufig vertragliche Verpflichtungen gegenüber Kunden oder Geschäftspartnern.

Die Fristen können sehr kurz sein. Deshalb sollten Datenschutzbeauftragte, Rechtsberater und Informationssicherheitsverantwortliche frühzeitig eingebunden werden. Meldungen sollten stets auf belastbaren Informationen basieren und eng mit den laufenden technischen Analysen abgestimmt werden.

Eine vorschnelle oder fehlerhafte Kommunikation gegenüber Behörden kann ebenso problematisch sein wie eine verspätete Meldung.

Kommunikation mit Kunden, Geschäftspartnern und Lieferanten

Während eines Sicherheitsvorfalls benötigen Geschäftspartner vor allem eines: Verlässlichkeit.

Kunden möchten wissen, welche Leistungen betroffen sind, welche Einschränkungen bestehen und wann mit einer Normalisierung gerechnet werden kann. Lieferanten benötigen Informationen, um eigene Risiken bewerten zu können. Partner in der Lieferkette müssen einschätzen können, ob ihre eigenen Prozesse beeinträchtigt werden.

Offene Kommunikation schafft hier Vertrauen. Unternehmen sollten klar kommunizieren, welche Auswirkungen bekannt sind, welche Maßnahmen laufen und wann weitere Informationen bereitgestellt werden.

Die Erfahrung aus zahlreichen Sicherheitsvorfällen zeigt, dass Geschäftspartner einen Cyberangriff oftmals eher akzeptieren als mangelnde Transparenz. Wer offen kommuniziert, signalisiert Handlungsfähigkeit und Verantwortungsbewusstsein.

Umgang mit Medien und Öffentlichkeit

Spätestens wenn ein Sicherheitsvorfall öffentlich wird, rücken Medien und Öffentlichkeit in den Fokus. In dieser Phase ist Disziplin in der Kommunikation entscheidend.

Unternehmen sollten einen zentralen Ansprechpartner benennen und sicherstellen, dass alle öffentlichen Aussagen abgestimmt erfolgen. Spekulationen über Ursachen, Täter oder Zeitpläne sollten vermieden werden. Ebenso problematisch sind vorschnelle Entwarnungen oder unrealistische Versprechungen.

Eine glaubwürdige Kommunikation zeichnet sich dadurch aus, dass Unsicherheiten offen benannt werden. Es ist vollkommen legitim zu erklären, dass bestimmte Analysen noch laufen und deshalb noch keine abschließenden Aussagen möglich sind.

Vertrauen entsteht nicht durch Vollständigkeit, sondern durch Ehrlichkeit.

Reputationsmanagement und Vertrauenswiederherstellung

Mit der technischen Wiederherstellung der Systeme endet die Krise nicht. Für viele Unternehmen beginnt anschließend die Phase der Vertrauenswiederherstellung.

Kunden, Geschäftspartner und Mitarbeitende erwarten Antworten auf zentrale Fragen. Wie konnte der Vorfall entstehen? Welche Erkenntnisse wurden gewonnen? Welche Maßnahmen wurden umgesetzt, um eine Wiederholung zu verhindern?

Unternehmen sollten diese Fragen aktiv beantworten. Transparenz über Verbesserungsmaßnahmen signalisiert Lernfähigkeit und Verantwortungsbewusstsein. Dies gilt insbesondere dann, wenn personenbezogene Daten oder kritische Geschäftsprozesse betroffen waren.

Die Erfahrung zeigt, dass Unternehmen nicht daran gemessen werden, ob sie Opfer eines Cyberangriffs wurden. Sie werden daran gemessen, wie professionell sie mit einer solchen Situation umgehen.

Wer trägt die Kosten und lohnt sich eine Cyberversicherung?

Die finanziellen Auswirkungen eines Sicherheitsvorfalls werden häufig unterschätzt. Neben den direkten Kosten für Forensik, Incident Response und Wiederherstellungsmaßnahmen entstehen oftmals erhebliche Folgekosten durch Betriebsunterbrechungen, Produktionsausfälle, Vertragsstrafen oder Reputationsschäden.

Cyberversicherungen können helfen, einen Teil dieser Risiken abzufedern. Besonders wertvoll ist dabei häufig nicht die finanzielle Entschädigung, sondern der schnelle Zugang zu spezialisierten Dienstleistern für Forensik, Incident Response, Krisenmanagement und Krisenkommunikation.

Cyberversicherungen ersetzen keine Vorbereitung.

Eine Versicherung kann vorhandene Prozesse unterstützen, aber keine fehlenden Strukturen kompensieren.

Wie eine erfolgreiche Umsetzung erreicht werden kann

Die wirksamste Krisenkommunikation beginnt lange vor dem eigentlichen Sicherheitsvorfall. Unternehmen sollten Kommunikationsprozesse, Rollen, Verantwortlichkeiten und Eskalationswege definieren, bevor sie benötigt werden.

Ein Krisenplan, ein handlungsfähiger Krisenstab, gepflegte Kontaktlisten, vorbereitete Kommunikationsvorlagen und regelmäßig durchgeführte Krisenübungen bilden die Grundlage für eine erfolgreiche Bewältigung von Sicherheitsvorfällen.

Die entscheidende Frage lautet nicht mehr, ob ein Unternehmen von einem Cyberangriff betroffen sein wird. Die entscheidende Frage lautet, wie gut es darauf vorbereitet ist.

Krisenkommunikation ist dabei weit mehr als Öffentlichkeitsarbeit. Sie ist ein Führungsinstrument, das Orientierung schafft, Vertrauen erhält und die Handlungsfähigkeit des Unternehmens sichert. In einer digitalen Krise wird Vertrauen zur wichtigsten Ressource. Wer dieses Vertrauen schützt, schützt letztlich auch die Zukunft seines Unternehmens.

Krisenkommunikation sollte nicht erst während eines Sicherheitsvorfalls entstehen. Unternehmen, die ihre Kommunikationsprozesse, Verantwortlichkeiten und Krisenabläufe frühzeitig definieren und regelmäßig üben, erhöhen ihre Widerstandsfähigkeit erheblich. Die Vorbereitung auf die Krise beginnt lange bevor die Krise eintritt.

Weiterführende Informationen

Weitere Beiträge zu Informationssicherheit, ISO 27001, NIS2, Risikomanagement, Business Continuity Management und Cyber-Resilienz findest Du in der Blog-Übersicht von ResKontIS. Dort kannst Du gezielt nach Kategorien und Schwerpunkten filtern.

Zum Wissensportal

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »