Mit <kes>+ lesen

Wer gefragt wird, braucht Antworten : Umgang mit Medienanfragen im Krisenfall

Ist ein Unternehmen von einer Cyber-Attacke betroffen, die es als Krise einstufen muss, hat es in der Konsequenz auch mit Medienanfragen zu rechnen. Unsere Autoren haben den Journalisten Herbert Kordes befragt, wie die Presse im Falle eines Cyberzwischenfalls auf eine betroffene Organisation zugeht.

Lesezeit 6 Min.

Typische Fälle, in denen eine Cyberattacke zur „Krise“ für ein Unternehmen gerät, sind großangelegte Diebstähle personenbezogener Daten, die Sabotage von Produktionsanlagen mit möglicherweise gefährlichen Folgen für die Mitarbeiter oder eine derart nachhaltige Gefährdung des Geschäftsbetriebs, dass der Zusammenbruch der Organisation zu befürchten ist. Jede dieser Krisenvarianten hat neben ihren unmittelbaren Folgen die unangenehme Nebenwirkung, dass sie mit hoher Wahrscheinlichkeit schnell öffentlich bekannt wird – betroffene Organisationen müssen also mit direkten Anfragen von Journalisten rechnen.

Wie die Kontakte zur Presse in solch einem Fall tatsächlich ablaufen, ist jedoch nicht jeder Organisation vertraut. Unsicherheiten gibt es vor allem dort, wo fast nur Angriffe aus dem Cyberraum eine Organisation nachhaltig treffen können. Beispielsweise Chemieunternehmen oder Kraftwerksbetreiber haben hingegen Krisenkommunikations-Strategien, die sie für andere interne Katastrophenfälle ohnehin entwickeln müssen, und können sie leicht auf den Sonderfall eines Angriffs aus dem Internet übertragen. Ein Unternehmen, das weitgehend ungefährliche Güter produziert oder dessen Business auf der Verarbeitung personenbezogener Daten fußt, muss sich die passende Kommunikationspraxis dagegen möglicherweise erst neu erarbeiten.

Interview

Herbert Kordes ist häufiger für den WDR tätig und recherchiert unter anderem für das TV-Magazin „Plusminus“. Die hat mit dem freien Journalisten über seine Arbeit gesprochen und ihn gebeten, für den Fall einer bekannt gewordenen Cyberattacke auf ein Unternehmen seine Vorgehensweise (und die seiner Kollegen) im Umgang mit der betroffenen Organisation zu erläutern.

<kes>: Herr Kordes, Unternehmen zeigen sich im Falle einer konkret erlittenen Cyberattacke zuweilen recht hilflos im Umgang mit Medienvertretern, die dann bei ihnen um Auskunft bitten. Vielleicht vorweg die Frage: Gibt es einen „typischen“ Weg, auf dem Pressevertreter gewöhnlich von Vorfällen dieser Art erfahren?

Kordes: Nein. Und zweifellos erfahren wir von den meisten der Angriffe, die tagtäglich passieren, nichts. Aber es führt ja auch nicht jeder Angriff direkt zur Katastrophe. Am Ende zählt die Frage, wie bereit betroffene Organisationen sind, offen mit einem relevanten Angriff umzugehen. Es gibt Beispiele wie das Lukaskrankenhaus in Neuss vor gut zwei Jahren: Dort ist die Klinikleitung sehr offen mit der Attacke umgegangen. Und diese Kommunikationsstrategie hat sich – nach allem, was man hört – ausgezahlt. Ein Imageschaden für die Klinik ist demnach ausgeblieben – die Menschen vertrauen ihr, gerade weil sie sich dem Problem offen gestellt hat.

<kes>: Wie groß ist Ihrer Einschätzung nach heute das Interesse der Öffentlichkeit an den Angriffen von Cyber-Kriminellen auf Organisationen – etwa dann, wenn Sabotage verübt wird, wenn personenbezogene Daten wie Krankenakten oder Zahlungsinformationen gestohlen oder Geschäftsgeheimnisse bekannt werden?

Kordes: Das Interesse ist tatsächlich in allen Fällen groß. Dies gilt einfach deshalb, weil das Internet für viele Bürger flächendeckend ein Element des täglichen Lebens und eigener Betätigungen geworden ist. Zugleich registrieren wir allerdings ein gewisses Ohnmachtsgefühl, was die eigenen Schutzmaßnahmen der Bürger gegen Cyber-Risiken betrifft. Das heißt aber nicht, dass die Leser, Zuhörer oder Zuschauer eine Berichterstattung über solche Geschehnisse nicht aufmerksam verfolgen.

Herbert Kordes ist freier Journalist und recherchiert unter anderem für das TV-Magazin „Plusminus“ – im Gespräch mit der beleuchtet er die Anforderungen der Presse in der Krisenkommunikation.
Herbert Kordes ist freier Journalist und recherchiert unter anderem für das TV-Magazin
„Plusminus“ – im Gespräch mit der <kes> beleuchtet er die Anforderungen der Presse in der Krisenkommunikation.

<kes>: Wenn Sie auf einen entsprechenden Vorfall stoßen, auf wen gehen Sie dann in der betroffenen Organisation zuerst zu?

Kordes: Es ist fast immer erst mal die offizielle Pressestelle. Natürlich nutzen wir auch persönliche Kontakte, die wir vielleicht schon ins Unternehmen haben – etwa aus Interviews über andere Dinge. Aber allein schon deshalb, weil wir fair vorgehen wollen, sind die vom Unternehmen benannten Sprecherinnen oder Sprecher gewöhnlich der erste Anlaufpunkt. Erhalten wir von dort eine professionelle, hilfreiche Reaktion, bleibt es gewöhnlich auch erst einmal dabei, dass wir uns an dieser Stelle informieren.

<kes>: Haben Sie Verständnis dafür, wenn man Ihnen dann sagt, man müsse sich erst einmal selbst über den Vorfall orientieren und herausfinden, was es mitzuteilen gäbe?

Kordes: Natürlich, das können wir nachvollziehen. Aber dieses Verständnis hat auch Grenzen. Wir sind recht geübt darin, zu erkennen, ob man offen mit uns umgeht und tatsächlich noch Zeit braucht, um selber klar zu sehen, oder ob das Gegenüber von vornherein „mauert“. Die Offenheit und Ehrlichkeit im Umgang mit Journalisten entscheidet also über Vieles. Das zweite Element ist der Zeitfaktor: Werden wir immer und immer wieder vertröstet, beginnen wir dann doch, andere Quellen zu suchen und beispielsweise direkt uns bekannte Personen in der Organisation zu kontaktieren. Oder das Unternehmen muss damit rechnen, vielleicht in einem Kommentar die eine oder andere nicht ganz freundliche Bemerkung zu kassieren.

<kes>: Auch weil ab einer gewissen Zeit die Unfähigkeit, Informationen über den Vorfall liefern zu können, selbst schon berichtenswert ist? Organisationen haben ja in bestimmten Fällen auch eine Informationspflicht gegenüber den Betroffenen oder dem Staat.

Kordes: Absolut. Das ist ein wichtiger Aspekt.

<kes>: Gibt es einen Punkt, von dem an Sie Stellungnahmen auch von anderen Stellen in einem Unternehmen erwarten, etwa von der Geschäftsleitung?

Kordes: Das hängt zunächst einmal von der Professionalität der Pressestellen ab. Arbeiten diese gut mit uns zusammen, reicht das – wie gesagt – für eine ganze Weile. Allerdings gibt es auch Dimensionen von Vorfällen, bei denen sehr wohl Statements vom CEO oder direkt verantwortlichen Personen angebracht sind – und die fordern wir dann auch ein.

<kes>: Nehmen wir an, ein Mitarbeiter einer betroffenen Organisation vertraut sich Ihnen direkt an – als eine Art „akuter Whistleblower“. Schützen Sie seine Identität?

Kordes: Auf jeden Fall. Das ist ein Aspekt, den wir extrem ernst nehmen, da wir anderenfalls eine wichtige Säule unserer Arbeit untergraben würden. Informantenschutz hat oberste Priorität – selbst wenn uns jemand mit Klage droht.

<kes>: Vielen Dank für das Gespräch.

Fazit

Die Ergebnisse aus dem Interview legen nahe, dass Unternehmen vor allem ihre offiziellen Pressestellen im Umgang mit Krisenfällen schulen sollten – tatsächlich laufen auch im Fall akuter Krisen die Medienanfragen zunächst dort auf. Die Qualität der Kommunikation und die Kooperationsbereitschaft der Verantwortlichen für die Pressearbeit gegenüber den Journalisten entscheiden dann mit darüber, wie lange der Kontakt zur Pressestelle der primäre Weg des Informationsaustauschs zwischen Unternehmen und Medienvertretern bleibt.

Ein allzu langes Zurückhalten von Informationen ist dabei nicht zu empfehlen, da die Folgen den Ruf des betroffenen Unternehmens unter Umständen stärker schädigen als der jeweilige Vorfall selbst – vor allem, was das Vertrauen von Endkunden oder Partnerunternehmen betrifft.

Damit die eigene Pressestelle professionell agieren kann, muss sie in der Lage sein, intern die für sie notwendigen Informationen ungehindert einholen zu können und Statements gegebenenfalls schnell freigeben zu lassen. Da kein Weg daran vorbeiführt, das berechtigte Interesse der Medien zu bedienen, müssen sich ihrer akuten hohen Belastung zum Trotz dann auch solche Personen für die Belange der Kommunikation nach außen Zeit nehmen, die sich eigentlich auf die Bewältigung der Krise selbst konzentrieren wollen.

Erfahrungsgemäß kann dies vor allem bei kleinen IT-Security-Teams zu Problemen führen, die durch den Vorfall selbst bereits an die Grenze ihrer Leistungsfähigkeit geraten. Es ist deshalb sinnvoll, für Krisenfälle Pflichten und Prozeduren zu entwickeln und das Vorgehen im Fall der Fälle in der Organisation auch einmal interdisziplinär zu üben.

Darüber hinaus sollte jeder, der in einer Organisation bereits Medienkontakte pflegt, darauf vorbereitet sein, im Krisenfall unter Umständen auch direkt kontaktiert zu werden. Auch hier helfen vorab entwickelte Leitlinien, um im Krisenfall zügig und richtig zu agieren.

Bettina Weßelmann (bettina@wesselmann.com) ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele (johannes@wiele.com) ist freier Autor sowie GDD-geprüfter Datenschutzbeauftragter und arbeitet als Managing Security-Consultant.

Diesen Beitrag teilen: