A. Festlegung der zu kommunizierenden Informationen
Dans le cadre d’un PCA, il est essentiel de définir quel type d’information sera communiquée, et à qui, mais aussi de quelle façon elle va être délivrée. La question des délais de communication est également très importante et elle peut être déterminée en amont, dans le cadre de la définition du PCA. Enfin, choisir la personne qui sera apte à communiquer est essentiel.
B. Interne Kommunikation
Wenn eine Organisation eine Krise durchlebt, werden sich die Mitarbeitenden zwangsläufig fragen, was los ist, wie sich die Krise auf sie auswirken wird, welche Haltung sie einnehmen sollen. Daher ist es von entscheidender Bedeutung, ihnen geeignete und präzise Informationen zur Verfügung zu stellen.
In einer Reihe von Fällen kann die Art der Geschäftstätigkeit zu besonderen Auswirkungen im Krisenfall führen. Bei diesen kritischen Infrastrukturen muss die Leiterin oder der Leiter der Rechtsabteilung sehr rasch über die Auswirkungen der Krise informiert werden.
Ein weiterer Bereich mit strategischer Bedeutung für die Kommunikation ist der Empfang. Die dort tätigen Personen sind oft die zentrale Anlaufstelle für externe (natürliche und juristische) Personen. Wenn von aussen telefonische Anfragen zur laufenden Krise eingehen, müssen diese Personen ganz genau wissen, was sie sagen sollen. Ohne entsprechende Vorbereitung kann es passieren, dass die Empfangsmitarbeitenden mit der Situation überfordert sind, in Panik geraten oder gar Dinge erfinden oder Informationen weitergeben, die sie nicht weitergeben dürfen.
C. Externe Kommunikation.
Medien und soziale Netzwerke reagieren heutzutage immer schneller. In Krisensituationen können – je nach Unternehmen – Inhalte (Artikel, Tweets usw.) über die aktuelle Krise kursieren und potenziellen Schaden anrichten. Es ist daher wichtig, die Kontrolle zurückzugewinnen – zumindest so weit, um an die breite Öffentlichkeit kommunizieren zu können, dass sich das Unternehmen und seine Verantwortlichen der Lage bewusst sind und alle notwendigen zur Krisenbewältigung erforderlichen Massnahmen ergreifen. Oder auch nur, um verlautbaren zu lassen, dass man sich nicht weiter dazu äussern wird.
Für den Fall, dass es zu Störungen der traditionellen Kommunikationskanäle (Telefon, E-Mail) kommt, sollten alternative Kommunikationskanäle vorgesehen werden. Einige Unternehmen setzen bei ihrer informellen Alltagskommunikation (innerhalb des Unternehmens wie auch mit externen Partnern) auf Messengerdienste wie WhatsApp, Telegram, Signal, die der breiten Masse zugänglich sind. In Krisensituationen ist es jedoch sinnvoller, auf massgeschneiderte und sichere Lösungen zurückzugreifen, bei denen die Vertraulichkeit der ausgetauschten Informationen gewahrt wird.
D. Der richtige Zeitpunkt, um sich an die Medien zu wenden
Einer der Unterschiede zwischen dem klassischen Krisenmanagement und dem Cyberkrisenmanagement ist die unterschiedliche Geschwindigkeit, mit der man mit den Medien kommunizieren muss. Das ist und bleibt eine heikle Frage, mag das Krisenkommunikationskonzept auch noch so gut sein.
Wann sollte eine Organisation eine offizielle Pressemitteilung erstellen und an die Medien herausgeben?
Jede Krisensituation ist anders, der optimale Zeitpunkt, um mit der Erstellung einer Pressemitteilung zu beginnen, ist jedoch immer derselbe: so schnell wie möglich. Zunächst muss die Person, die für die Kommunikation zuständig ist, verstehen, um welche Art von Cybervorfall es sich handelt. Ein DDOS-Angriff, der dazu führt, dass die Website des Opfers unerreichbar wird, löst einen anderen Kommunikationsplan aus als ein massiver Verlust von Bürger- oder Kundendaten.
Der Zeitpunkt, um an die Öffentlichkeit zu gehen, muss mit dem technischen Cyber-Incident-Response-Team abgesprochen und von der Stabstelle für das Cyberkrisenmanagement validiert werden. Welcher der richtige Zeitpunkt ist, lässt sich nicht allgemeinverbindlich beantworten. Den idealen Zeitpunkt kann man nicht von oben vorgeben. Er ergibt sich aus der konkreten Situation. Dazu ist es notwendig, die internen Vorgänge engmaschig zu überwachen, möglichst viele Massnahmen in die Wege zu leiten und diese mit den von aussen kommenden Signalen in Verbindung zu setzen. Oberste Priorität hat dabei stets: Es muss das gehackte Unternehmen selbst sein, das potenziellen Opfern wie Kundinnen und Kunden, Partnern, Dienstleistern die schlechte Nachricht überbringt (und dabei sollten Kollateralschäden nicht vernachlässigt werden).
Entscheidungshilfe für Krisenkommunikation (schematische Darstellung):
Auszug aus dem Buch «Les fondamentaux de la gestion de crise cyber» (dt. Übersetzung: Grundlagen des Cyberkrisenmanagements» (Kap. 8, Krisenkommunikation)