Hackern gelingt es immer öfter, die Cybersecurity von Unternehmen zu umgehen. Insofern ist das Ergebnis einer repräsentativen Umfrage des Digitalverbands “Bitkom” besonders alarmierend. Denn laut dieser haben fast die Hälfte aller Firmen in Deutschland keinen Notfallplan, wenn es um Diebstahl, Spionage oder Sabotage geht. Hier klären wir, wie sich Unternehmen – auch unabhängig von der IT – vor Cyberattacken schützen können und wie man als Marketingverantwortlicher im Ernstfall die Krisenkommunikation managt.
Cybersecurity: Sicherheit gegen Phishing, Ransomware und Co.
Phishing Mails, Malware, SQL-Injection… Die Liste der potenziellen Bedrohung für Unternehmen ist lang. Erst im November 2021 ist internationalen Ermittlern ein Schlag gegen Kriminelle gelungen, die für Tausende Ransomware-Attacken auf Organisationen und Unternehmen verantwortlich sein sollen. Hierbei handelt es sich um Schadprogramme, die den Computer sperren oder Daten verschlüsseln. Der Bildschirm oder die Daten werden dann zum Beispiel nur durch eine Lösegeldzahlung wieder freigegeben. Die gefassten Personen standen im Verdacht, auch hinter der großen Attacke auf den amerikanischen IT-Dienstleister “Kaseya” im Juli 2021 zu stecken. Dabei wurden 70 Millionen Dollar Lösegeld gefordert.
Cybersecurity soll mobile Endgeräte, Server, elektronische Systeme, Netzwerke und Daten vor genau solchen Angriffen schützen. Der Begriff umfasst von der Netzwerk- und Programmsicherheit über die Informationssicherheit bis hin zur Nutzer-Aufklärung alle Sicherheits-Aspekte.
Doch Hacker finden immer wieder neue Wege, um Sicherheitsvorkehrungen von Unternehmen zu umgehen. Im September 2021 ereignete sich ein Cyberangriff, der in Zusammenhang mit der Bundestagswahl eingestuft wurde. Wie “Business Insider” berichtet, soll auf einem Confluence-Programm des Statistischen Bundesamtes, dessen Chef zugleich der Bundeswahlleiter ist, eine Software installiert worden sein. Diese ermöglicht einen externen Zugriff auf Server und Dateisysteme. Das Informationstechnik-Zentrum des Bundes stuft das Ereignis als “Major Incident”, als schwerwiegendes Sicherheitsereignis ein. Wie es zu dem Hackerangriff kam und ob tatsächlich Daten abgegriffen werden konnten, soll noch ermittelt werden.
Diese Cyberattacke ist kein Einzelfall. Es gibt kaum noch Unternehmen oder Institutionen in Deutschland, die von einem Angriff verschont bleiben. Wie aus der “Bitkom”-Studie hervorgeht, waren nahezu 9 von 10 Unternehmen in den Jahren 2020/2021 von einem Angriff betroffen. Dabei entstehen Schäden für die deutsche Wirtschaft von etwa 223 Milliarden Euro pro Jahr – eine neue Rekordsumme. In den Jahren 2018/2019 betrug die jährliche Summe noch 103 Milliarden Euro.
Nicht nur große Einrichtungen sind von Cyberattacken betroffen. Auch kleine und mittelständische Unternehmen werden von Hackern angegriffen. Vorbereitet auf so einen Fall sind allerdings die wenigsten. Laut einer “Forsa”-Umfrage erfüllt nur jedes fünfte befragte Unternehmen die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. Peter Graß, GDV-Cyberexperte, erklärt dem “Gesamtverband der Deutschen Versicherungswirtschaft”: “Der Mittelstand müsste viel mehr für den Schutz seiner IT-Systeme tun. Aktuell zeigen sich große Sicherheitslücken, die Cyberkriminelle ausnutzen können”.
Was tun bei einer Cyberattacke? Krisenkommunikation im Marketing
Doch was, wenn man als Unternehmen doch Opfer eines Hackerangriffs wird? In so einem Fall muss schnell gehandelt und planvoll kommuniziert werden. Optimal ist es, wenn Marketing- und Kommunikationsabteilungen für den Ernstfall vorab einen strategischen Notfallplan ausgearbeitet haben. Eine klare Kommunikationslinie direkt nach einem Cyberangriff grundlegend neu zu erarbeiten und abzustimmen, ist fast unmöglich.
Neben einer technischen Wiederherstellung entscheidet in der Regel die Krisenkommunikation darüber, welchen Gesamtschaden ein Cyberangriff bei dem betroffenen Unternehmen hinterlässt. Die Marketingverantwortlichen sollten dafür mit den Cybersicherheitsvorkehrungen des Unternehmens und mit möglichen Bedrohungsszenarien vertraut sein, damit im Fall von Diebstahl oder Sabotage klare und verständliche Statements abgegeben werden können. Ein gemeinsames Verständnis der Lage sollte stets das Ziel sein.
Laut einer Studie des Marktforschungsdienstleisters “Semafone” wollen rund 87 Prozent der Kund:innen mit einem von Datendiebstahl betroffenen Unternehmen zukünftig keine bzw. nur ungern Geschäfte machen. Daher ist es verständlich, wenn Unternehmen einen Hackerangriff vorzugsweise unter Verschluss halten wollen. Dies kann allerdings zu noch mehr Misstrauen seitens der Verbraucher:innen führen.
Das Publikmachen eines Cyberangriffs ist notwendig, um als Unternehmen Transparenz und die Verantwortung gegenüber den Kund:innen und der eigenen Belegschaft öffentlich zu zeigen. Entscheidend ist eine aktive Steuerung der Kommunikation: Schlechte Nachrichten sollten immer vom Unternehmen selbst und im Idealfall vor der allgemeinen Medienberichterstattung offiziell bekannt gemacht werden.
Sensibilisierung der Mitarbeiter:innen als Cybersecurity-Strategie
Ziel ist es, als Unternehmen Resilienz durch eine ausgearbeitete Cybersicherheits-Strategie zu erreichen. Neben der Aufrüstung der IT-Sicherheit ist es vor allem wichtig, die Mitarbeiter:innen für das Thema Cyberattacken zu sensibilisieren.
Der HP Wolf Security-Report zeigt auf, dass 38 Prozent der deutschen Büroangestellten im vergangenen Jahr eine E-Mail mit schädlichem Inhalt öffneten. Weiter gaben 33 Prozent an, dies öfter zu tun, seit sie im Home-Office arbeiten. Mit der Aufklärung und Sensibilisierung lassen sich solche Fälle meist verhindern. Die Mitarbeiter:innen beim Thema der Cybersecurity ausreichend zu schulen, ist bereits ein großer Schritt in Richtung Sicherheit. In Workshops oder Awareness Trainings können Angestellte über Phishing-Mails, Passwortsicherheit und Co. umfassend aufgeklärt werden.
Cybersecurity in Unternehmen – ein Fazit
Cyberangriffe sind bis dato noch immer eine unterschätzte Gefahr. Das wird schon daran deutlich, dass rund die Hälfte aller Unternehmen in Deutschland keinen Notfallplan für den Ernstfall haben. Doch die Angst vor einem Hackerangriff steigt. Das zeigt die signifikante Nachfrage nach IT-Sicherheit. Die Branche boomt und verzeichnet Umsatzrekorde. Wie “Bitkom” berichtet, werden im Jahr 2021 in Deutschland voraussichtlich 6,2 Milliarden Euro für Hardware, Software und Services im Bereich der IT-Sicherheit ausgeben.
Für das kommende Jahr wird ein Anstieg auf 6,8 Milliarden Euro prognostiziert.
“Cyberangriffe sind für die Wirtschaft zu einer existenziellen Bedrohung geworden” erklärt Susanne Dehmel, Mitglied der “Bitkom”-Geschäftsleitung. Hohe Sicherheitsstandards sind daher für Unternehmen überlebensnotwendig und müssen ein fester Bestandteil in der Einrichtung sein. Vor allem Mitarbeiter:innen müssen für das Thema Cybersecurity sensibilisiert und ausreichend aufgeklärt und geschult werden.
