Cybersecurity und Kommunikation: Das müssen Unternehmen beachten
Cybersicherheit gilt als komplexes technisches Thema, bei dem Informatiker:innen, Programmierer:innen oder Forensiker:innen gefragt sind. Und obgleich all diese Menschen fraglos ihren Platz in diesem Bereich haben, gibt es eine weitere wichtige Gruppe: Kommunikator:innen. Hauke Gierow, Practice Director Cybersecurity, erklärt in diesem Beitrag, welche Rolle Cybersecurity für sie spielt.
Das Thema Cybersicherheit gilt für viele Angestellte als komplex. Die Bereitschaft, sich damit im Kontext der eigenen Stellenbeschreibung zu beschäftigen, ist daher nicht immer hoch. Dabei ist unter Sicherheitsexper:innen seit Jahren klar: Ohne die Mithilfe der eigenen Belegschaft kann Cybersicherheit nicht gelingen. Die Kommunikationsabteilung kann im Bereich Cybersicherheit also einen wesentlichen Beitrag zur Verbesserung der Sicherheit im Unternehmen leisten.
Fünf Felder, in denen das mit wenig Aufwand umzusetzen ist:
1) Transparente Information über eingesetzte Software und Dienste
Gerade im Zuge der Pandemie und dem Trend zu Remote-Work haben viele Unternehmen in zahlreichen Bereichen Cloud-Dienste eingesetzt. Aus Unternehmenssicht ist das oft sinnvoll, denn das vereinfacht das Deployment und die Wartung deutlich. Auch für Mitarbeiter:innen ist es oft bequemer, diese Dienste von außerhalb des Unternehmensnetzes nutzen zu können – selbst ohne VPN.
Die Einführung neuer Dienste sollte aber immer von einer klaren internen Informationskampagne begleitet sein. Denn seit Jahren wird Mitarbeiter:innen gepredigt, dass sie auf keinen Fall auf beliebige, unbekannte Links klicken sollen. Bei einer ungefragt erhaltenen Einladung zu einem Cloud-Dienst werden viele daher zurecht misstrauisch sein.
Wichtig ist, klar zu benennen, ab wann und für welchen Zweck die neue Software eingesetzt wird. Wenn die Kommunikation in diesem Bereich klar ist, wird das Sicherheitslevel im Unternehmen steigen.
2) Offener Umgang mit Fehlern
Die Kommunikationsabteilung kann dabei unterstützen, eine offene Fehlerkultur im Unternehmen zu etablieren, und zeitgleich anonyme Kommunikationskanäle schaffen. Denn wenn Mitarbeiter:innen einen Fehler im Umgang mit der IT machen, ist das zwar schlecht, aber in der Regel kein Weltuntergang. Deutlich schlechter aber ist es, wenn sie versuchen, den Fehler zu vertuschen.
Nur wer keine Angst vor negativen Konsequenzen auf das eigene Arbeitsverhältnis fürchten muss, wird sich trauen, mit dem eigenen Fehlverhalten offen umzugehen. Hier kann die Kommunikation im Zusammenspiel mit Führungskräften und dem Top-Management wichtige Unterstützung leisten, eine offene Fehlerkultur zur kreieren.
3) Durchführung von Awareness-Maßnahmen
Wie bei der Einführung neuer Software sollten auch bevorstehende Awareness-Maßnahmen im Unternehmen frühzeitig angekündigt werden. Insbesondere wenn diese mit einer Phishing-Simulation, Notfallübungen oder ähnlichen Programmen kombiniert werden, ist Aufklärung dringend erforderlich, um kein Gefühl der Überwachung bei Mitarbeiter:innen auszulösen.
Denn es kann passieren, dass Mitarbeitende das Gefühl bekommen, diese Instrumente würden zur Bewertung der eigenen Performance genutzt. Dann werden diese Maßnahmen nicht als Möglichkeit zur persönlichen Weiterentwicklung, sondern als Angriff auf das Vertrauensverhältnis empfunden. Nur wer durch proaktive Kommunikation einen sicheren Raum schafft, kann Awareness-Maßnahmen nachhaltig und sinnvoll umsetzen.
Ebenfalls wichtig: Mitarbeitende müssen genug Zeit haben, um die Schulungen zu absolvieren. Wer erwartet, dass diese einfach neben der üblichen Arbeit erledigt werden, baut Stress auf und verursacht Ablehnung.
4) Klare Strategie schafft Sicherheit
Fast jedes Unternehmen hat eine Strategie für die eigene Entwicklung in der Schublade liegen – die Kommunikation dieser Strategie lässt aber häufig zu wünschen übrig. Das kann gefährliche und teure Folgen haben.
Einer der am weitverbreitesten Angriffe auf Unternehmen ist der sogenannte CEO-Fraud, auch Business Email Compromise genannt. Dabei werden im Namen der Geschäftsführung fingierte Zahlungsanweisungen an Mitarbeitende in der Buchhaltung geschickt. Diese sollen schnell und meist unter großer Geheimhaltung bearbeitet werden.
Dabei werden häufig Überweisungen an angebliche Tochtergesellschaften im Ausland als Vorwand genommen, um Millionenbeträge überweisen zu lassen. Wenn unter den Mitarbeitenden eine klare Vorstellung der Unternehmensstrategie existiert, können sie entsprechende Mails deutlich einfacher hinterfragen – und so Schäden verhindern.
Eine offene Kommunikationskultur führt außerdem dazu, dass Mitarbeitende sich vor Ausführung der Zahlung noch einmal über eine Chatnachricht, ein persönliches Gespräch oder ein Telefonat davon überzeugen, dass die angeforderte Überweisung tatsächlich von der Geschäftsführung stammt.
5) Der Krisenfall: Das Unternehmen hat ein Datenleck oder eine andere Form von Cybervorfall
Meldungen über Hacks, Datenlecks oder andere Cybersicherheitsvorfälle sind mittlerweile leider Alltag geworden. Trotzdem tun sich viele Unternehmen weiterhin schwer, richtig darauf zu reagieren. Statt transparenter Information an Kunden, Partner und die eigene Mitarbeiterschaft wird oft versucht, den Vorfall herunterzuspielen oder gar ganz zu vertuschen. Ein Vertrauensverlust auf allen Seiten ist beinahe garantiert.
Dabei ist spätestens seit Inkrafttreten der DSGVO klar, dass Vorfälle mit personenbezogenen Daten innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden müssen. Wer das versäumt, riskiert hohe Geldstrafen.
Bei der Meldung eines Datenschutzvorfalls sollte in der Regel eine auf das Thema spezialisierte Anwaltskanzlei hinzugezogen werden. Die Kunden- und Partnerkommunikation hingegen sollte von der eigenen Kommunikationsabteilung geleistet werden, bei Bedarf unterstützt durch Expert:innen im Bereich Krisenkommunikation.
Wer im Gespräch bleibt und Vertrauen schafft, kann Spekulationen wirksam vorbeugen und so einen Reputationsverlust vermeiden.
Fazit: Sicherheit für alle, mit allen
Es wird deutlich: Cybersicherheit hat mit Kommunikation und Führung genauso viel zu tun wie mit komplexen technischen Fragestellungen. Wer das Potenzial nutzt, kann seine Investitionen in Sicherheitssoftware, Appliances und andere Geräte sinnvoll begleiten und die Wahrscheinlichkeit eines teuren Sicherheitsvorfalls deutlich reduzieren.
Für Krisen-PR und die Kommunikation von Cybersecurity und Datenschutzfragen ist PIABO der richtige Ansprechpartner. Bei Rückfragen wende dich gern an unseren Practice Director Hauke Gierow.
Dieser Beitrag erschien zuerst bei it-daily.net.