Der Verein der Cybersecurity-Spezialisten (Information Security Society Switzerland, ISSS) vergab diese Woche zum zweiten Mal eine Auszeichnung für die beste Offenlegung nach einem Hackerangriff. Damit möchte der Verein Firmen hervorheben, die mit gutem Beispiel vorausgehen.
Im vergangenen Jahr waren Cybervorfälle vermehrt in den Medien, zum Beispiel jene bei Xplain, beim Basler Erziehungsdepartement und bei der «NZZ». Praktisch keiner dieser Fälle hat mit einer besonders guten Kommunikation geglänzt.
Da stellt sich die Frage:
Warum ist die Kommunikation nach einem Cybervorfall meist so schlecht?
Die «Strategie» der meisten betroffenen Firmen scheint zu sein: Zuerst gar nichts sagen und erst, wenn es unumgänglich wird, beruhigen und abwiegeln.
Angelo Mathis, der Begründer des Courage Awards, sagt, Firmen hätten Angst vor einer negativen Reaktion. Deshalb sei es wichtig, dass Firmen, die gut kommuniziert haben, als gutes Beispiel vorangehen und zeigen: Wenn man proaktiv und ehrlich kommuniziert und sich für seine Kunden einsetzt, kann das unter Umständen sogar positiv sein.
Es gibt diese Scham: Wir sind betroffen und das wird unsere Reputation schädigen. Das muss ändern.
Es sei auch ein kulturelles Problem, meint Mathis: «Es gibt diese Scham: Wir sind betroffen und das wird unsere Reputation schädigen.» Das müsste nicht sein. Erstens kann jede und jeder Opfer eines Angriffs werden, zweitens gehört es zu einer guten Fehlerkultur, Pannen auch einzugestehen.
Mathis vergleicht das mit dem Me-Too-Movement: Nicht die Opfer sollten sich schämen, sondern die Angreifer. Und nur wenn mehr Opfer über den Angriff sprechen, kann das Tabu gelöst werden.
Eine dritte und letzte Hürde für bessere Transparenz steckt in mangelnder Vorbereitung. Nur wenn die Kommunikation zwischen Cybersecurity-Abteilung und Geschäftsführung funktioniert und ein Notfallplan in der Schublade bereitliegt, können Firmen im Ernstfall rasch und gut organisiert reagieren.
Nur zu sagen: ‹Wir hatten ein Problem und die Polizei untersucht›, genügt nicht. Man muss das Vertrauen wieder aufbauen.
Zu einer guten Kommunikation gehört nämlich nicht nur, die Öffentlichkeit zu informieren. Nur zu sagen: ‹Wir hatten ein Problem und die Polizei untersucht›, das genüge nicht, meint Angelo Mathis. Man müsse das Vertrauen wieder aufbauen. Dazu müsse man proaktiv auf betroffene Kunden und Behörden zugehen und mit ihnen zusammenarbeiten. Bis zum Ende einer Krise können Monate vergehen, während derer ein intensiver Austausch zentral ist.
And the Winner is ...
Dass eine gute Krisenkommunikation möglich ist, zeigt der diesjährige Gewinner des Courage Awards: die Unico Data, ein IT-Unternehmen aus Münsigen im Kanton Bern.
Im Mai wurde die Firma von der Ransomware-Bande «Play» angegriffen, die ihre Daten verschlüsselte und im Darknet veröffentlichte. Zu den betroffenen Kunden gehörten unter anderem die Pathé Kinos und die Gemeinde Rüegsau.
Die ISSS verlieh der Unico Data den Courage Award für ihre offene Kommunikation und gute Zusammenarbeit mit Kunden und Behörden, aber auch für den mutigen Auftritt des CEO Vince Lehmann in einem Interview bei Inside-IT. Darin sprach der gelernte Informatiker offen über das Erlebte, mit dem Ziel, das Tabu rund um Cyberangriffe aufzubrechen und die eigenen Erfahrungen mit anderen Firmen zu teilen.
Lehmann sagt, es sei zwar unangenehm gewesen, Probleme der Firma öffentlich auszubreiten, doch er hätte dafür viel positive Rückmeldung und Unterstützung aus der Branche erhalten. Er hoffe, dass sein Beispiel Signalwirkung habe.
Wir sind deine Korrespondenten aus der digitalen Welt. Ist ein Chip drin oder hängt es am Internet? Wir berichten wöchentlich. Smartphones, soziale Netzwerke, Computersicherheit oder Games – wir erklären und ordnen Digitalisierungs-Vorgänge ein, seit 2006
Um diesen Podcast zu abonnieren, benötigen Sie eine Podcast-kompatible Software oder App. Wenn Ihre App in der obigen Liste nicht aufgeführt ist, können Sie einfach die Feed-URL in Ihre Podcast-App oder Software kopieren.
