Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Mit <kes>+ lesen

Stillschweigen ist keine Option : Wie Krisenkommunikation mit einer Drei-Ebenen-Strategie zum Resilienz-Multiplikator wird

Der Schlüssel zu echter Cyber-Resilienz liegt nicht in einer perfekten Abwehr, sondern in der Fähigkeit, Vorfälle durchdacht und authentisch zu kommunizieren, mahnt unser Autor. Hierzu empfiehlt er eine Drei-Ebenen-Strategie, um Krisen in einen produktiven Zustand zu überführen.

Tizian KohlerManagement und WissenSecurity-Management
Lesezeit 7 Min.

Manchmal kommt eine unterschätzte Gefahr von innen: Viele CISOs und Geschäftsführungen schweigen nach einem Sicherheitsvorfall aus Angst vor juristischen Konsequenzen und Reputationsschäden. Sie erzeugen damit jedoch ein Vakuum der Spekulation, das Vertrauen und Marktwerte nachhaltig zerstört – denn natürlich sickert immer etwas über einen Vorfall nach außen.

Psychologische und juristische Blockade

Kommunikative Zurückhaltung nach einem Sicherheitsvorfall ist zutiefst menschlich: Im Kern steht der Irrglaube, das Risiko durch Stillschweigen zu minimieren. Ein massiver Treiber ist dabei die Furcht vor einem Imageverlust und dem damit einhergehenden wirtschaftlichen Schaden.

Psychologische und juristische Blockade Kommunikative Zurückhaltung nach einem Sicherheitsvorfall ist zutiefst menschlich: Im Kern steht der Irrglaube, das Risiko durch Stillschweigen zu minimieren. Ein massiver Treiber ist dabei die Furcht vor einem Imageverlust und dem damit einhergehenden wirtschaftlichen Schaden.

Der Fokus ist bei vielen Akteuren auch aus anderen Gründen falsch gesetzt: Die Angst vor Bußgeldern nach der EU Datenschutzgrundverordnung (DSGVO) führt oft zu einer verzögerten Meldung, was die Risiken einer Pflichtverletzung aber erhöht. Noch größere juristische Risiken entstehen häufig durch Verletzung von Vertragspflichten gegenüber Kunden und Partnern oder durch aktienrechtliche Meldepflichten (bei börsennotierten Unternehmen). Hier ist die Nichterfüllung der Sorgfaltspflicht durch aktives Verschweigen strafrechtlich relevanter als die ehrliche, aber schnelle Meldung. Wer Meldefristen nach NIS-2 (24/72 Stunden) nicht einhält, steht zudem automatisch in der Beweislast und signalisiert fehlende Kontrollfähigkeit über die Situation.

Krise als produktiver Zustand

Ein erfolgreicher CISO sollte einen Sicherheitsvorfall jedoch nicht als Endpunkt, sondern als unfreiwilligen Stresstest und produktiven Zustand betrachten. Solche Krisen legen Schwachstellen schonungslos offen und schaffen einen akuten Handlungsdruck, der in der Routine des Normalbetriebs fehlt. Die technische Bewältigung des Vorfalls steht zweifelsohne im Vordergrund, muss jedoch unmittelbar in einen strategischen Kommunikationsplan überführt werden.

Emotionales Lernen: Der Weg zur tiefen Awareness

Um eine wirkliche Resilienz zu erreichen, müssen Mitarbeiter* verstehen, wie Angreifer vorgehen – das bloße Predigen von Regeln genügt dafür nicht. Die interne Kommunikation nach einem Vorfall birgt eine gute Chance, dieses Wissen auf eine breite emotionale Ebene zu bringen: Indem das Unternehmen transparent erklärt, welche Mechanismen zum Vorfall führten und worauf genau die Mitarbeiter achten müssen, entsteht eine tiefere Sensibilisierung. Geteiltes Wissen und eine gemeinsame Aufarbeitung stärken die gesamte Organisation, da die Mitarbeiter sich dann als aktiven Teil der Lösung verstehen.

Die offene Kommunikation über einen Vorfall unter striktem Ausschluss von Fingerpointing schafft eine „psychologische Sicherheitszone“. Mitarbeiter entwickeln einen „Adlerblick“ für ungewöhnliche Phänomene, weil sie wissen, dass ihr Input geschätzt wird und nicht zu Disziplinarmaßnahmen führt. Diese intrinsische Motivation ist wirksamer als jede Compliance-Schulung.

Multiplikatoreffekt für die Resilienz

Die transparente Aufarbeitung bekannter Vorfälle, ob vom eigenen Unternehmen oder von einem Partner, hat einen größeren Lerneffekt als die reine Theorie. Im Mittelpunkt muss dabei die Auseinandersetzung mit Mechanismen und Denkweisen von Angreifern stehen. Die akribische Aufarbeitung aller bekannter Vorfälle führt dann zu einem Resilienz-Multiplikator:

  • Wissen wird geteilt,
  • Prozesse werden gehärtet,
  • das wechselseitige Vertrauen in die Führungsfähigkeit und das Verhalten der Mitarbeiter wird gestärkt.

So entsteht eine erhöhte Abwehrbereitschaft im gesamten Ökosystem, denn die Transparenz dient nicht nur dem eigenen Lernen: Die proaktive Information von Partnern und Zulieferern über spezifische Taktiken der Angreifer (TTPs) ermöglicht diesen auch, ihre eigenen Abwehrmechanismen zeitnah anzupassen. Die Kommunikation wird so zur kollektiven Präventionsmaßnahme.

Drei-Ebenen-Strategie

Der Weg von der bloßen Krisenkommunikation hin zum produktiven Zustand führt über eine klar definierte Drei-Ebenen-Strategie (vgl. Abb.  1) – diese muss präventiv etabliert und getestet werden.

 

Ebene 1: Präventive Vorbereitung – das Fundament des Handelns

Der Kommunikationserfolg entscheidet sich nicht während, sondern vor dem Vorfall. Notfall- und Kommunikationspläne sind hierfür zwingend erforderlich.

  • Rollen und Freigaben: Ein Notfallkommunikationsplan legt fest, wer wann, in welcher Rolle kommuniziert – er definiert dazu klare Freigabeketten und legt vorbereitete Statements bereit.
  • Prozessdokumentation und Out-of-Band-Vorsorge: Die Notwendigkeit dokumentierter, getesteter Notfallkommunikationsprozesse – in Anlehnung an Best-Practices (vgl. etwa [2]) oder den BSI-Standard 200-4 – dient als Audit-Nachweis. Das umfasst auch die regelmäßige Pflege eines verschlüsselten Offline-Kontaktverzeichnisses. Zudem ist die Nutzung alternativer Kommunikationsplattformen (z.B. dedizierte, gesicherte Messenger-Dienste außerhalb des Unternehmensnetzwerks) vorab zu trainieren und deren rechtliche Zulässigkeit zu prüfen.
  • Hinweis-Tiefe: Der Notfallkommunikationsplan muss klar zwischen Kommunikationsbedarf intern versus extern unterscheiden. Interne Vorlagen können emotionaler sein und den Fokus auf Empathie sowie Anleitung legen, während externe Vorlagen rein faktenbasiert, juristisch geprüft und minimalinvasiv gehalten werden müssen, um keine unnötigen Haftungsansprüche zu generieren.

Ebene 2: Behördliche Berichterstattung – Pflichten und Timing

Die Einhaltung gesetzlicher Fristen und Meldekriterien ist die höchste Pflicht zur Vermeidung von Bußgeldern.

  • 24-Stunden-Falle: Die NIS-2-Richtlinie sieht beispielsweise eine frühe Erstmeldung innerhalb von 24 Stunden und eine Detailmeldung innerhalb von 72 Stunden nach Kenntniserlangung eines erheblichen Sicherheitsvorfalls vor. Die 24-Stunden-Frist erfordert einen primären Fokus auf die Klassifizierung des Vorfalls („erheblich“ oder nicht) und eine erste Einschätzung der Auswirkungen – nicht jedoch auf die vollständige forensische Analyse.
  • Konsequenzen: Bei Nichteinhaltung drohen drastische Bußgelder. Ein betroffener CISO muss daher frühzeitig alle relevanten Stakeholder (z.B. BSI, Landesdatenschutzbehörde o. Ä.) informieren und eine klare Eskalation0smatrix für etwaige Folgemeldungen nutzen.

Ebene 3: Externe Kommunikation – Hoheit über Narrative

In der externen Kommunikation entscheidet sich der Reputationsgewinn oder -verlust. Ziel ist es, die Hoheit über die Narrative zu behalten.

  • Regel der minimalen Aussage: In der externen Kommunikation gilt die Regel: „Sagen Sie nur, was Sie wissen und was Sie wissen müssen.“ Jede unbestätigte Information wird im Kontext der Spekulation gegebenenfalls gegen das Unternehmen verwendet. Daher ist es ratsam, in einer ersten externen Stellungnahme nur die Kernfakten (Betroffenheit, sofortige Gegenmaßnahmen, Einleitung der Untersuchung) zu bestätigen und einen klaren Zeitplan für das nächste Update zu nennen.
  • Experten-Tandem: Eine Abstimmung zwischen dem CISO (Fakten), der Rechtsabteilung und erfahrenen Krisenkommunikationsexperten (Sprache, Timing) ist entscheidend.
  • Aufruf an die Cyber-Verantwortung: Unternehmen sollten aktiv anbieten, das technische Vorgehen der Angreifer zu erklären, um eine sachliche Berichterstattung zu fördern und von emotionalem Fingerpointing hin zu einer pragmatischen Aufklärung zu lenken.

Strategische Vorbereitung

Ein gutes Notfallkommunikations-Fundament legt nicht nur Wert auf den Freigabeprozess, sondern setzt einen Schwerpunkt auf vorausschauende Maßnahmen. Hierzu ist eine klare Definition der strategischen Anforderungen notwendig, damit im Ernstfall gezielt gehandelt werden kann. Diese Überlegungen bilden die Basis für den anzulegenden Vorsorgeordner im Krisenmanagement (vgl. Tab. 1).

Wesentliche Ziele eines Leitfadens zur Notfallkommunikation in diesem Vorsorgeordner lauten (vgl. Abb. 2):

  • Dokumente und Vorlagen erleichtern die Kommunikation
  • Dokumente und Vorlagen beschleunigen die Reaktionszeiten
  • einfache und transparente Abläufe
  • klare Verantwortlichkeiten
  • geübte Vorgehensweisen
  • vorgefertigte Checklisten
  • Gegenwirken geschäftsschädigender Kommunikation
  • Dokumentation und Optimierung

Diese Checkliste ist als „lebendes“ Dokument zu verstehen: Sie muss mindestens einmal jährlich im Rahmen einer Tabletop-Übung (Krisensimulation) getestet werden, wobei Kommunikationsflüsse und Reaktionszeiten auf behördliche Fristen zu überprüfen sind. Wichtig ist beispielsweise auch die Vorbereitung eines Dark-Site-Webauftritts: Eine einfache Webseite, die im Krisenfall sofort aktiviert werden kann, um offizielle Updates bereitzustellen und die Kontrolle über die Informationsverteilung zu sichern, falls die Hauptseite kompromittiert sein sollte.

Die erfolgreiche Bewältigung eines Vorfalls erfordert überdies auch neue Fähigkeiten: Awareness Kampagnen und die Aufarbeitung von Vorfällen verlangen vom IT-Verantwortlichen Kommunikationskompetenzen, die über technische Expertise hinausgehen. Der CISO muss zum strategischen Kommunikator werden oder/und eine enge Partnerschaft mit der Kommunikationsabteilung eingehen.

Fazit

Die technische Bereinigung und Aufarbeitung nach einem Sicherheitsvorfall sind lediglich die halbe Miete – als wahrer „Resilienz-Booster“ erweist sich die begleitende und anschließende Kommunikation. Die hier beschriebene Drei-Ebenen-Strategie ermöglicht es Unternehmen, Krisen zu managen und die Hoheit über die Narrative zu behalten.

Unternehmen und IT-/Security-Verantwortliche sind dabei aufgefordert, selbst mehr Transparenz zu leben – sowohl intern als auch extern! Das bedeutet auch, aktiv Medien aufzufordern, sachlich über die Mechanismen und Vorgehensweisen der Angreifer zu berichten.

Nur wenn dieses Verständnis – diese Sensibilisierung – auf breiter Ebene geteilt wird, lässt sich effektive Prävention betreiben. Die Fähigkeit zur strategischen Transparenz wird damit zur neuen Währung der Informationssicherheit: CISO und Geschäftsverantwortliche müssen die Krise als produktiven Zustand erkennen und die notwendigen Kommunikationsfähigkeiten in der IT aufbauen oder mit Kommunikationsverantwortlichen zusammenarbeiten.

Tizian Kohler ist Head of Security des IT-Beratungsunternehmens Adlon Intelligent Solutions.

Literatur

[1] Aon plc., Findings from Aon’s Global Risk Management Survey, Portalseite, September 2025, www.aon.com/en/insights/reports/globalrisk-management-survey bzw. https://assets.aon.com/-/media/files/aon/reports/2025/grms/2025-grms-germany-country-report.pdf für Ergebnisse auf Deutsch

[2] Adlon, IT-Notfallmanagement, Pragmatisches IT-Notfallmanagement für umfassende Security, Leitfaden/Whitepaper, November 2023, https://adlon.de/leitfaden-notfallmanagement/ (Werbeeinwilligung erforderlich)

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.