Spotlight: Wenn ein Cyberangriff zuschlägt: Schutz und Wiederherstellung des Markenrufs

Dezember 13, 2021

Auf LinkedIn teilen Auf Facebook teilen Teilen auf X

Von Gastautoren: Sean Wood und Katherine Goodyear

Willkommen zur neuesten Ausgabe von Spotlight. Spotlight ist unsere Art, Einblicke und Perspektiven unserer strategischen Partner - Anwälte, Versicherer, Risikomanager und Krisenkommunikationsexperten aus verschiedenen Branchen - zu Themen zu teilen, die das Potenzial haben, die Sicht eines Unternehmens auf marktinterne Vorfälle und Krisenmanagement zu beeinflussen.

In dieser Ausgabe geben Sean Wood, Executive Vice President, und Katherine Goodyear, Account Director bei Weber Shandwick, einen Überblick über die Kommunikation im Bereich Cybersicherheit. Wir gehen der Frage nach, was Unternehmen tun sollten, um sich auf einen Vorfall vorzubereiten, und welche praktischen Schritte sie unternehmen sollten, um die Auswirkungen zu minimieren und den Ruf ihrer Marke zu schützen und zu verbessern, wenn ein Vorfall eintritt.

Vorwort von Chris Harvey, SVP Client Services bei Sedgwick:

Lesen Sie weiter und erfahren Sie mehr von Sean Wood und Katherine Goodyear.

Vorfälle im Bereich der Cybersicherheit gehören zu den schwerwiegendsten Bedrohungen für das Geschäft und den Ruf eines Unternehmens und können das Vertrauen der wichtigsten Interessengruppen - von Kunden über Mitarbeiter bis hin zur Öffentlichkeit - schnell untergraben. Hinzu kommt, dass sie schwer zu beheben, kostspielig und schnell wachsend sind.

Es wird erwartet, dass Cyberkriminalität im Jahr 2021 weltweit Schäden in Höhe von etwa 6 Billionen US-Dollar verursachen wird, was einer Verdoppelung gegenüber 2015 entspricht - und Ransomware-Angriffe sind in der ersten Jahreshälfte 2021 im Vergleich zum Gesamtjahr 2020 um 151 % gestiegen. Die stetige Zunahme dieser Vorfälle, ihre Raffinesse und ihre potenziellen betrieblichen und finanziellen Auswirkungen unterstreichen, wie wichtig es für Unternehmen aller Branchen ist, vorbereitet zu sein.

Eine kürzlich von KRC Research und Weber Shandwick durchgeführte weltweite Umfrage unter Führungskräften in 12 Ländern ergab, dass Cybersicherheit und Datenschutz die beiden wichtigsten Anliegen von Führungskräften sind, wenn sie wichtige Geschäftsentscheidungen treffen.

Vorsprung durch Vorausplanung

Die Menschen wissen zwar, dass es zu Cybersecurity-Vorfällen kommt, aber sie beurteilen Unternehmen und Organisationen oft danach, wie sie reagieren - und machen sie verantwortlich, wenn Informationen preisgegeben oder missbraucht werden. Aus diesem Grund sollte die oberste Priorität eines Unternehmens darin bestehen, einen Plan für die Zeit vor einem Vorfall zu erstellen, damit das Unternehmen schnell auf einen Angriff reagieren kann.

Diese Planung ist nicht nur zum Schutz sensibler persönlicher und kommerzieller Daten und des Rufs der Marke richtig, sondern auch Kunden, Versicherer und die Regierung betonen, wie wichtig es ist, die Reaktionspläne für Zwischenfälle zu stärken. Kürzlich hielt US-Präsident Joe Biden ein Treffen ab, bei dem er die Cybersicherheit als "zentrale nationale Sicherheitsherausforderung" bezeichnete und den privaten Sektor aufforderte, die Cybersicherheit des Landes partnerschaftlich und individuell zu stärken, wobei der Schwerpunkt auf der Behebung des Fachkräftemangels im Bereich der Cybersicherheit liegt. Im Anschluss an die Treffen der Anti-Ransomware-Initiative, die im Oktober vom Nationalen Sicherheitsrat des Weißen Hauses abgehalten wurden, gaben mehr als 30 Länder und die Europäische Union eine gemeinsame Erklärung zur Zusammenarbeit ab, um die nationale Widerstandsfähigkeit zu verbessern, illegale Finanzierungen zu bekämpfen, Ransomware-Kriminelle zu stören und die Diplomatie als Instrument zur Bekämpfung von Ransomware einzusetzen.

In diesem Fall bedeutet Planung:

  • Ausarbeitung oder Aktualisierung eines Reaktionsplans für Zwischenfälle. Diese Pläne, die sowohl betriebliche als auch kommunikative Reaktionen abdecken, sollten integriert sein und darlegen, wer einzubeziehen ist, welche Aufgaben und Zuständigkeiten bestehen, welche Risikostufen und Schwellenwerte gelten und wie eine rasche Kommunikation mit den betroffenen Akteuren erfolgen soll.
  • Erstellung einer Szenarienplanung für potenzielle Risiken und Zwischenfälle. Der Szenarienplan sollte situationsspezifische Überlegungen und Anleitungen sowie eine Vorlage für Mitteilungen an die Interessengruppen enthalten, die im Falle eines Vorfalls schnell an die tatsächlichen Gegebenheiten angepasst werden können.
  • Testen des Plans. Die Durchführung realistischer Simulationsübungen ist ein wichtiger Teil des Planungs- und Vorbereitungsprozesses, um die Fähigkeit der Organisation zu testen, gemäß dem Plan und den Protokollen zu funktionieren. Dabei werden auch Lücken in den Abläufen aufgedeckt, die vor dem Eintreten eines echten Ereignisses behoben werden müssen.
  • Im Voraus investieren. Einige Unternehmen haben vielleicht das Gefühl, dass sie nicht in der Lage sind, im Voraus in ein Notfall-Callcenter oder andere Lösungen zu investieren, aber das ist der beste Weg, um nicht unvorbereitet zu sein. Diese Investition kann die Einrichtung eines Call-Centers für die Benachrichtigung bei Verlusten und die Reaktion auf Sicherheitsverletzungen umfassen. Sie kann auch eine sekundäre, separat gehostete Informationsdrehscheibe oder Microsite umfassen, die schnell eingeschaltet werden kann, um die Beteiligten über alternative Kanäle zu informieren, falls Sie den Zugang zu Ihren Systemen verlieren.

Wenn ein Zwischenfall eintritt, ist Ihr Unternehmen oder Ihre Organisation nun besser darauf vorbereitet, die Situation zu bewältigen, den vorhandenen Plan zu aktivieren und sich auf die Minderung des Risikos zu konzentrieren.

Umsetzung des Plans

Wenn es zu einem Zwischenfall kommt, sollte das Unternehmen sofort seinen regelmäßig aktualisierten Plan zur Reaktion auf Zwischenfälle aktivieren. Seien Sie transparent, aber eilen Sie den Tatsachen nicht voraus. Daher ist es wichtig, nur bestätigte Fakten zu kommunizieren und anzuerkennen, dass die Situation im Fluss ist und sich ändern kann. Um die Auswirkungen zu minimieren und den Ruf der Marke zu schützen und möglicherweise zu verbessern, sind mehrere Aspekte zu beachten:

  • Wahrnehmung: Oft wird ein Unternehmen oder eine Organisation als verantwortlich wahrgenommen, auch wenn es/sie nicht für die verletzten Daten verantwortlich ist. Die Stakeholder können und werden Ihnen Sicherheitsmängel, Pech oder sogar beides verzeihen. Aber der Versuch, die Schuld von sich zu weisen, kann nach hinten losgehen. Die von dem Missgeschick Betroffenen sehen es einfach: Sie haben Ihnen ihre Daten anvertraut und Sie haben sie verloren.
  • Kontrolle: Sie (das Unternehmen oder die Organisation) haben möglicherweise keine Kontrolle über den Zeitpunkt der Offenlegung. Es gibt viele Faktoren, die Ihre Reaktion beschleunigen können. Zum Beispiel haben Länder und US-Bundesstaaten unterschiedliche Offenlegungsanforderungen. Auch der Medienzyklus oder Kommentare in den sozialen Medien können dies erzwingen. Hacker verbreiten vertrauliche Informationen im Internet, die dann von Cybersecurity-Reportern und Bloggern aufgegriffen werden. Auch Mitarbeiter können versehentlich vertrauliche Informationen weitergeben, was das Problem noch verschärft.
  • Verpflichtung: Unternehmen und Organisationen können vertraglich verpflichtet sein, den Vorfall offenzulegen. Verträge mit Anbietern und Partnern enthalten zunehmend Klauseln, die Unternehmen verpflichten, eine Sicherheitsverletzung unabhängig von den gesetzlichen Bestimmungen zu melden. Wenn es sich um ein öffentliches Unternehmen handelt, müssen zusätzlich zu den behördlichen Offenlegungen auch die materiellen Auswirkungen und die damit verbundenen Überlegungen berücksichtigt werden.
  • Kommunikation: Nicht jeder Vorfall erfordert eine proaktive Kommunikation der gesamten Situation an alle Zielgruppen. Die Entscheidung, proaktiv oder reaktiv zu handeln und mit welchen Zielgruppen, ist nuanciert und kein Einheitsmodell, das für alle passt. Auch wenn es keine vertraglichen oder behördlichen Anforderungen gibt, können Unternehmen aus ethischen Gründen verpflichtet sein, die Situation offenzulegen - oft in Abhängigkeit vom Ausmaß des Verstoßes und der Wahrscheinlichkeit, dass er öffentlich wird. (Profi-Tipp: Es ist für Ihre Stakeholder immer besser, von Ihnen zu hören, als zum ersten Mal in den Medien davon zu erfahren. Damit zeigen Sie, dass Sie den Schutz ihrer Daten ernst nehmen.)
  • Werte: Begründen Sie Ihre geschäftliche Reaktion immer mit den Werten Ihres Unternehmens. Wofür stehen Sie als Unternehmen und was würden Ihre Stakeholder von Ihnen erwarten? Sehen Sie die Situation mit deren Augen und reagieren Sie entsprechend.

Der alarmierende Anstieg der Vorfälle im Bereich der Cybersicherheit im vergangenen Jahr sowie die Zahl der bekannt gewordenen Sicherheitsverletzungen machen deutlich, dass es nie einen wichtigeren Zeitpunkt für die Vorbereitung gab. Da immer mehr Organisationen und Unternehmen ein hybrides Arbeitsmodell verfolgen, steigt das Risiko einer Datenverletzung weiter an. Bedrohungsakteure sehen in der Telearbeit eine Chance - und wir sollten davon ausgehen, dass sie sich weiterentwickeln und ihre Operationen an die neue Normalität anpassen werden.

Wenn Sie der Planung der Cybersicherheit jetzt Priorität einräumen, können Sie sicherstellen, dass Ihr Unternehmen für den Fall eines Vorfalls gerüstet ist - denn es ist nicht eine Frage des "ob", sondern des "wann" ein Cyberangriff stattfindet.

Laden Sie hier eine Kopie dieses Spotlight-Beitrags herunter.

Über unsere Gastautoren, Sean Wood und Katherine Goodyear:

Sean Wood ist Executive Vice President in der globalen Krisen- und Problemlösungspraxis von Weber Shandwick. Seit mehr als 25 Jahren hilft er Kunden, ihren Ruf in kritischen Situationen zu schützen. Sean bringt eine Unternehmens- und Markenreputationsperspektive in das Krisen- und Problemmanagement ein, um Führungskräften zu helfen, komplexe Situationen mit integrierten Strategien zur Risikominderung zu bewältigen.

Katherine Goodyear ist Direktorin in der Krisen- und Problemlösungsabteilung von Weber Shandwick in New York City. Katherine Goodyear berät Kunden bei ihren komplexesten und heikelsten Problemen, um ihren Ruf zu schützen. Sie bietet eine umfassende Unterstützung bei der Krisenkommunikation und hilft Kunden bei Cybersecurity-Vorfällen.

Stichworte: Markenschutz, Compliance, Krise, Cyber, Cyber-Risiko, Haftung, Rückruf, Regulierung, Regulatorische Änderungen + Compliance, Risiko, Sicherheit