Kommunikation in der Cyberkrise E-Book

Stimmen zu Kommunikation in der Cyberkrise

Dieses Buch schließt eine entscheidende Lücke in der Fachliteratur, denn es bietet eine fundierte und praxisnahe Orientierung für eine der größten Herausforderungen auf dem Weg zur Cyberresilienz: die Krisenkommunikation. Besonders bemerkenswert ist der umfassende Blick auf alle relevanten Stakeholder, vom Management bis hin zu den Angreifern selbst. Ein Muss für jede Krisenstabsübung und für alle, die im Ernstfall handlungsfähig bleiben wollen.

– Dr. Tim Sattler, CISO Jungheinrich AG und Präsident ISACA Germany Chapter e.V.

Endlich ein Buch, das zeigt, wie entscheidend gute Kommunikation im Cyber-Notfall ist. Profis finden hier jede Menge praktische Tipps, wie sie in typischen Situationen richtig reagieren können.

– Prof. Dr. Kristin Weber, Vizepräsidentin der Technische Hochschule Würzburg-Schweinfurt

Krise – schon in diesem Wort steckt ein gewichtiger Faktor, der Unternehmen in schwierige Situationen stürzen kann. Dieses Buch hilft, die richtigen und wichtigen Aspekte zur Bewältigung von Schieflagen aller Art – seien sie hausgemacht oder fremd generiert – aufzuzeigen. Eine absolut wichtige Lektüre für alle, die sich in Zeiten von KI über Risiken informieren müssen.

– Peter Hausmann, ehemaliger Sprecher der Regierung von Helmut Kohl

Hinweise zur Benutzung

Dieses E-Book ist urheberrechtlich geschützt. Mit dem Erwerb des E-Books haben Sie sich verpflichtet, die Urheberrechte anzuerkennen und einzuhalten. Sie sind berechtigt, dieses E-Book für persönliche Zwecke zu nutzen. Sie dürfen es auch ausdrucken und kopieren, aber auch dies nur für den persönlichen Gebrauch. Die Weitergabe einer elektronischen oder gedruckten Kopie an Dritte ist dagegen nicht erlaubt, weder ganz noch in Teilen. Und auch nicht eine Veröffentlichung im Internet oder in einem Firmennetzwerk.

Copyright-Vermerk

Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Nutzungs- und Verwertungsrechte liegen bei den Autor*innen und beim Rheinwerk Verlag, insbesondere das Recht der Vervielfältigung und Verbreitung, sei es in gedruckter oder in elektronischer Form.

© Rheinwerk Verlag GmbH, Bonn 2025

Nutzungs- und Verwertungsrechte

Sie sind berechtigt, dieses E-Book ausschließlich für persönliche Zwecke zu nutzen. Insbesondere sind Sie berechtigt, das E-Book für Ihren eigenen Gebrauch auszudrucken oder eine Kopie herzustellen, sofern Sie diese Kopie auf einem von Ihnen alleine und persönlich genutzten Endgerät speichern. Zu anderen oder weitergehenden Nutzungen und Verwertungen sind Sie nicht berechtigt.

So ist es insbesondere unzulässig, eine elektronische oder gedruckte Kopie an Dritte weiterzugeben. Unzulässig und nicht erlaubt ist des Weiteren, das E-Book im Internet, in Intranets oder auf andere Weise zu verbreiten oder Dritten zur Verfügung zu stellen. Eine öffentliche Wiedergabe oder sonstige Weiterveröffentlichung und jegliche den persönlichen Gebrauch übersteigende Vervielfältigung des E-Books ist ausdrücklich untersagt. Das vorstehend Gesagte gilt nicht nur für das E-Book insgesamt, sondern auch für seine Teile (z. B. Grafiken, Fotos, Tabellen, Textabschnitte).

Urheberrechtsvermerke, Markenzeichen und andere Rechtsvorbehalte dürfen aus dem E-Book nicht entfernt werden.

Die automatisierte Analyse des Werkes, um daraus Informationen insbesondere über Muster, Trends und Korrelationen gemäß § 44b UrhG (»Text und Data Mining«) zu gewinnen, ist untersagt.

Markenschutz

Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne besondere Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.

Haftungsausschluss

Ungeachtet der Sorgfalt, die auf die Erstellung von Text, Abbildungen und Programmen verwendet wurde, können weder Verlag noch Autor*innen, Herausgeber*innen oder Übersetzer*innen für mögliche Fehler und deren Folgen eine juristische Verantwortung oder irgendeine Haftung übernehmen.

Kommunikation in der Cyberkrise

Sprach- und handlungsfähig im IT-Ernstfall

Isabelle Ewald, Alexander Schinner

Wir hoffen, dass Sie Freude an diesem Buch haben und sich Ihre Erwartungen erfüllen. Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected].

Informationen zu unserem Verlag und Kontaktmöglichkeiten finden Sie auf unserer Verlagswebsite www.dpunkt.de. Dort können Sie sich auch umfassend über unser aktuelles Programm informieren und unsere Bücher und E-Books bestellen.

Autorin und Autor: Isabelle Ewald, Alexander Schinner

Lektorat: Alexandra Follenius

Buchmanagement: Friederike Demmig

Copy-Editing: Friederike Daenecke, Vettweiß-Gladbach

Satz: III-satz, www.drei-satz.de

Herstellung: Stefanie Weidner

Covergestaltung: Karen Montgomery, Michael Oréal, www.oreal.de

Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion, der Vervielfältigung auf fotomechanischen oder anderen Wegen und der Speicherung in elektronischen Medien.

Ungeachtet der Sorgfalt, die auf die Erstellung von Text, Abbildungen und Programmen verwendet wurde, können weder Verlag noch Autor*innen, Herausgeber*innen oder Übersetzer*innen für mögliche Fehler und deren Folgen eine juristische Verantwortung oder irgendeine Haftung übernehmen.

Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne besondere Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.

Die automatisierte Analyse des Werkes, um daraus Informationen insbesondere über Muster, Trends und Korrelationen gemäß §44b UrhG (»Text und Data Mining«) zu gewinnen, ist untersagt.

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.

ISBN Print: 978-3-96009-267-4

ISBN PDF: 978-3-96010-919-8

ISBN ePub: 978-3-96010-920-4

1. Auflage 2025

Dieses Buch erscheint in Kooperation mit O’Reilly Media, Inc. unter dem Imprint »O’REILLY«.

O’REILLY ist ein Markenzeichen und eine eingetragene Marke von O’Reilly Media, Inc. und wird mit Einwilligung des Eigentümers verwendet.

© Rheinwerk Verlag, Bonn 2025

Rheinwerk Verlag GmbH • Rheinwerkallee 4 • 53227 Bonn

[email protected]

Dieses Buch ist Stephan Mertens gewidmet – einem brillanten Wissenschaftler, leidenschaftlichen Denker und inspirierenden Lehrer. Sein Schaffen an der Schnittstelle von Physik und Informatik, seine Neugier und seine Fähigkeit, Wissen greifbar zu machen, hinterlassen ein bleibendes Erbe. Sein Geist lebt weiter – in seinen Arbeiten, seinen Studierenden, seiner Familie und Freunden – und auch in diesem Buch.

Danke, Stephan!

Durch sein Soufflieren, seinen scharfen Blick und seine Geduld hat Nils Stünkel diesem Buch wichtige Impulse gegeben und maßgeblich zu seiner Qualität beigetragen.

Ein besonderer Dank gilt auch Tom Gries, der uns seine Idee für eine CR-Karte anvertraut und für dieses Buch zugänglich gemacht hat.

Und danke an Christian Wolff, Patrick Bauer, Stefan Zimmermann, Catrin Schröder-Jaross, den Flix und all die anderen, die uns mit ihrem Austausch, ihren Ideen und ihrer Unterstützung auf vielfältige Weise begleitet haben – über dieses Buch hinaus.

Auf einen Blick

1

Einleitung

Teil I: Der Einstieg

2

Case Study: Compor AG

3

Historische Beispiele

Teil II: Background – Grundlagen von Cyberkrisen

4

Anatomie einer Cyberkrise

5

Vorbereitung und Risikoanalyse

6

Analyse von Cyberkrisen

7

Recht und Regulierung

8

Grundlagen und Prinzipien der Krisenkommunikation

9

Kommunikation bei Cyberkrisen

Teil III: Der Werkzeugkasten – Reaktion auf die Krise

10

Kickstart Krisenmanagement

11

Rollen und Verantwortlichkeiten

12

Interne Kommunikation

13

Externe Kommunikation

14

Digitale Kanäle und Social Media

15

Medienarbeit in der Cyberkrise

16

Wer darf was wann wissen? – Vertraulichkeit, Geheimhaltung und Informationsaustausch

17

Kommunikation mit Angreifern

Teil IV: Gute Vorbereitung

18

Toolbox für die Praxis

19

Training und Übungen

Teil V: Nachbereitung und Ausblick

20

Analyse und Nachbereitung

21

Die Cyberkrisenkommunikation von morgen: Von der Reaktion zur Resilienz

A Glossar

B Literaturverzeichnis

Index

Inhalt

1

Einleitung

Orientierung in digitalen Ausnahmesituationen: Warum es dieses Buch braucht

An wen sich das Buch richtet

Wie Sie mit dem Buch arbeiten

Schnellstart für Eilige – die wichtigsten Kapitel für den schnellen Einstieg

Die Website zum Buch

Teil I: Der Einstieg

2

Case Study: Compor AG

Die Firma

Standorte

Mitarbeitende

Chronologie einer Krise – vom ersten Verdacht bis zur Aufarbeitung

3

Historische Beispiele

Wenn man nicht kommuniziert – Deutscher Bundestag

Wenn man verharmlost – Equifax

Wenn man nicht zuhört – die Connect17-App der CDU

Wenn man Insidern glaubt – Tesla

Wenn man Patches vernachlässigt – Universitätsklinikum Düsseldorf

Wenn man sich zu viel Zeit lässt – SolarWinds

Wenn man falsch verstanden wird – Kammergericht Berlin

Wenn man sich die Öffentlichkeit zum Freund macht – Facebook

Teil II: Background – Grundlagen von Cyberkrisen

4

Anatomie einer Cyberkrise

Was eine Cyberkrise ausmacht – Definition, Abgrenzung, Relevanz

Elemente einer Cyberkrise – vom Angreifer bis zur Auswirkung

Verursacher – wer steckt hinter dem Problem?

Motivation – zwischen Macht und Missgeschick

Root Cause – wie Vorfälle entstehen

Betroffene Systeme – wo Vorfälle entstehen

Auswirkungen – wenn nichts mehr geht

Betroffene Personen und Organisationen – wen die Krise betrifft

Wie alles zusammenhängt – systemische Dynamiken verstehen

5

Vorbereitung und Risikoanalyse

Bedrohungen einschätzen – Risikoanalyse und Modellierung

Risikobereitschaft als Faktor – Entscheiden im Spannungsfeld

Strategien zur Risikominimierung – was Sie präventiv tun können

ISO 27001

Grundschutz nach BSI

NIST CSF

Welches Framework eignet sich wofür?

6

Analyse von Cyberkrisen

Identifikation

Erste Einschätzung

Beispiel 1

Beispiel 2

Die Cyber Kill Chain

®

– Phasen eines Angriffs verstehen

MITRE ATT&CK

®

– Taktiken, Techniken und Verfahren

Das Diamond Model – Beziehungen innerhalb eines Angriffs verstehen

Dreifach stark – der kombinierte Einsatz von Analysemodellen

Die Gefahr von Fehlannahmen sinkt

Die Dynamik von Angriffen wird berücksichtigt

Kein Vertrauensverlust durch ungenaue Kommunikation

Fazit

7

Recht und Regulierung

Relevante Gesetze und Normen

Datenschutz und Meldepflichten

Datenschutzbeauftragte

8

Grundlagen und Prinzipien der Krisenkommunikation

Definition und Ziele der Krisenkommunikation

Kommunikationsstrategien in einer Krise

Faktor Mensch

Krisentypen und Kommunikationsstrategien

9

Kommunikation bei Cyberkrisen

Was Cyberkrisen besonders macht

Weitere kommunikative Herausforderungen – Umgang mit Komplexität

Praktische Herausforderungen

Taktische Herausforderungen

Entwicklung eines Krisenkommunikationsplans

Kommunikation mit technischen Experten – zwischen Welten übersetzen

Teil III: Der Werkzeugkasten – Reaktion auf die Krise

10

Kickstart Krisenmanagement

Ein 10-Punkte-Plan für Sofortmaßnahmen am IT-Unfallort, wenn’s richtig brennt

1. Identifizieren Sie die Art des Incidents!

2. Formieren und organisieren Sie einen Krisenstab!

Der Krisenstabsleiter

Das Lage-Team

Das Fach-Team

Arbeitsweise

3. Bereiten Sie frühzeitig die Kommunikation vor!

Kommunikation mit Behörden

Interne Kommunikation

Externe Kommunikation

4. Sichere Kommunikationskanäle sind unverzichtbar!

Telefonieren

E-Mail

Messenger-Dienste

Austausch von Dateien

Internetzugang

Die Unternehmenswebsite

Kommunikation zwischen den Beteiligten

5. Lassen Sie alles in Sicherheit bringen, was geht!

6. Dokumentation sofort starten!

7. Holen Sie frühzeitig Experten dazu!

8. Prioritäten setzen!

9. Entscheidungen treffen

10. Ruhe bewahren!

11

Rollen und Verantwortlichkeiten

Teamstruktur in der Krise

Schnittstellen verstehen und nutzen – Kommunikation ohne Reibungsverluste

12

Interne Kommunikation

Informieren und Mobilisieren der Mitarbeitenden

Menschen als Kommunikatoren

Menschen als Entscheidungsträger

Menschen als Multiplikatoren

Menschen als emotionale Wesen

Wenn die Krise ins Herz trifft: Menschliche Resilienz stärken

Kommunikationswege unter Beschuss: So bleiben Teams verbunden

Stufe 1: Das Intranet ist kompromittiert

Stufe 2: Intranet und E-Mail sind kompromittiert

Stufe 3: Intranet, E-Mail und Messenger sind kompromittiert

Stufe 4: Intranet, E-Mail, Messenger und Telefon sind kompromittiert

Stufe 5: Totalausfall aller digitalen und elektronischen Systeme

13

Externe Kommunikation

Kommunikation mit Kunden, Partnern und der Öffentlichkeit

Zusammenarbeit mit Medien und Behörden

Medien

Behörden

14

Digitale Kanäle und Social Media

Social Media Monitoring und Sentiment-Analyse

Social Media Monitoring

Sentiment-Analyse

Echtzeit-Kommunikation auf digitalen Plattformen

Phasen der Kommunikation in der akuten Krise

Die »Luftbrücke« – der Informationsfluss zwischen IT und Kommunikation

Die Wahl der richtigen Plattform

15

Medienarbeit in der Cyberkrise

Pressemitteilungen und Stellungnahmen

Pressekonferenzen

1. Akt: Die Exposition – die Entscheidung zur Pressekonferenz

2. Akt: Die Vorbereitung – Skript, Rollen und (wenn genügend Zeit vorhanden ist) Proben

3. Akt: Der Höhepunkt – der Gang vor die Presse

4. Akt: Der Abgang – Kontrolle bewahren

5. Akt: Die Nachbereitung – Kritik, Learnings, Anpassung

Die Wahl des Sprechers

Analoge versus virtuelle Pressekonferenzen

Umgang mit Medienanfragen

Verschiedene Formen von Medienanfragen

Entscheidung über Form und Umfang der Reaktion

Strategien bei fehlerhafter Berichterstattung

Sonderfall Fake News

Die Rolle des Presserechts in der Cyberkrisenkommunikation

16

Wer darf was wann wissen? – Vertraulichkeit, Geheimhaltung und Informationsaustausch

Das VS-Einstufungssystem

Das Traffic Light Protocol

Unter eins, zwei, drei

Firmeninterne Regelungen

17

Kommunikation mit Angreifern

Die Ökonomie der Erpressung

Wer sind die Angreifer?

Wie sind die Angreifer organisiert?

Warum tun sie, was sie tun?

Vorbereitende Maßnahmen

Verhandlungsansätze und Taktiken

Schlüsselfaktoren einer Ransomware-Verhandlung

»Freundliche« Angreifer? – Mythos und Realität

(Straf-)Rechtliche Aspekte

Mache ich mich strafbar, wenn ich zahle?

Cyberversicherung kontaktieren

Externe Spezialisten für die Verhandlungsführung hinzuziehen

Umgang mit Stress und Druck

Warum Erpresser nicht unbegrenzt Zeit haben

Taktische Maßnahmen: So kehren Unternehmen den Druck um

Zwischen Stakeholder-Transparenz und taktischer Verhandlungsführung

Das Dilemma der parallelen Kommunikation

Taktische Kommunikation: Ein Balanceakt zwischen Wahrheit und Strategie

Teil IV: Gute Vorbereitung

18

Toolbox für die Praxis

A Checkliste zur Dokumentation von Verdachtsmomenten

B Muster für einen Krisenkommunikationsplan

C Modulbaukasten für Pressemitteilungen

D Selbst-Check: Wo steht meine Organisation?

E Die CR-Karte: Spreche ich wirklich mit dem CEO?

19

Training und Übungen

Krisenübungen durchführen – Simulation statt Improvisation

Übungsszenarien

1. Szenario: »Der stille Abfluss«

2. Szenario: »Lieferstopp«

3. Szenario: »Gefälschte Lieferkette«

4. Szenario: »Backups? Welche Backups?«

5. Szenario: »Der CEO ist gar nicht der CEO«

6. Szenario: »Update mit Nebenwirkungen«

7. Szenario: »Spion im Smartphone«

8. Szenario: »Shitstorm nach dem Cyberangriff«

9. Szenario: »Überflutung im Rechenzentrum«

10. Szenario: »Schlechter Fisch, kein Patch«

11. Szenario: »Anpfiff blockiert«

Übungen als Frühwarnsystem – Lücken erkennen, Lösungen schaffen

Entscheidungen und Kommunikation unter Stress

Was wir von der Luftfahrt über den Umgang mit Cyberkrisen lernen können

Welche Implikationen ergeben sich daraus für die Kommunikation in der Cyberkrise?

Verhaltensmuster in der Krise: Wie Menschen unter Stress agieren

Wie sollte man mit diesen Verhaltensmustern umgehen?

Teil V: Nachbereitung und Ausblick

20

Analyse und Nachbereitung

Dokumentation und Auswertung des Krisenverlaufs

Root-Cause-Analyse: Ursachen hinterfragen statt Symptome beheben

Analyse der Kommunikation

Lessons Learned und Verbesserungsmaßnahmen

Bewertung der Kommunikation in der Krise

21

Die Cyberkrisenkommunikation von morgen: Von der Reaktion zur Resilienz

Ein Wettlauf zwischen Angriff und Verteidigung

Cyberkrisen: Ein Flächenphänomen

Wer ist besonders gefährdet?

Neue Bedrohungen durch KI

Handlungsempfehlungen: Wie können Unternehmen sich schützen?

Herausforderungen für die Kommunikation

A Glossar

B Literaturverzeichnis

Index

KAPITEL 1 Einleitung

Wer regelmäßig Wirtschaftsnachrichten liest, wird festgestellt haben, dass sich binnen kürzester Zeit1 eine neue Gattung von Neuigkeiten darin etabliert hat, nämlich Berichte über elementare Cyberkrisen. Zwischen positiven Umsatzmeldungen und Analysen prosperierender Märkte rücken immer öfter auch Beschreibungen gezielter Angriffe durch Hacker und andere Kriminelle auf Unternehmen und Organisationen in den Fokus der Medien. Man erfährt von Firmen, die durch gezielte Phishing-Attacken Millionenbeträge verloren haben, oder von Datendiebstählen, bei denen vertrauliche Informationen in die Hände von Computerkriminellen gelangt sind. Auch Meldungen über Ransomware-Angriffe, bei denen ganze Landkreise mit der Verschlüsselung ihrer Daten erpresst werden und darum bangen müssen, sie wiederzuerlangen, sind keine Seltenheit mehr.

Im Idealfall gelingt es einer Gruppe übermüdeter, aber entschlossener IT-Administratoren, innerhalb einer einzigen Nachtschicht den alten Zustand wiederherzustellen – eine schöne Vorstellung, aber leider kaum realistisch. Im Worst Case, und von diesem sollten wir ausgehen, bedeutet ein Angriff weit mehr als nur das Zurückspielen von Backups. Mitarbeiterinnen und Mitarbeiter müssen informiert, Kunden beruhigt und Zulieferer um Geduld gebeten werden. Verträge, Service-Level-Agreements und gesetzliche Meldepflichten treten plötzlich in den Vordergrund. Die eigentliche Herausforderung ist nicht nur der technische Wiederanlauf, sondern der Wiederaufbau von Vertrauen – und dieser erfordert Zeit, strategische Kommunikation und konsequente Maßnahmen.

Da sich genau dieses Szenario zunehmend als Status quo etabliert, nehmen wir es in diesem Buch als Ausgangspunkt für alle weiteren Überlegungen und Maßnahmen.

In diesen Momenten zeigt sich, dass Kommunikation mehr als nur ein Werkzeug ist – sie wird zum Lebensnerv eines jeden Krisenmanagements. Gerade in den ersten Stunden einer Krise, wenn Unsicherheit und Chaos dominieren, kommt es darauf an, klare Botschaften zu formulieren und die richtigen Informationen an die richtigen Adressaten weiterzugeben. Intern müssen die Mitarbeiterinnen und Mitarbeiter wissen, wie sie handeln sollen, während extern das Vertrauen von Kunden und Partnern in die Kompetenz des Unternehmens aufrechterhalten werden muss. Diese präzise, zielgerichtete und transparente Kommunikation wird zur zentralen Aufgabe, um Eskalationen zu vermeiden.

Dieses Buch führt Krisenmanagerinnen und Krisenmanager nicht nur näher an die grundlegenden Prinzipien zur Bewältigung von Cyberkrisen heran, sondern zeigt auch die entscheidenden Schnittstellen auf, die eine effektive Krisenkommunikation ermöglichen. Es verbindet operative Maßnahmen mit strategischer Planung und berücksichtigt dabei auch regulatorische Vorgaben, sodass Unternehmen ihre internen Prozesse optimal an externe Anforderungen anpassen können.

Orientierung in digitalen Ausnahmesituationen: Warum es dieses Buch braucht

Eine Cyberkrise bringt Unternehmen und Organisationen in eine Ausnahmesituation, die rasches Handeln und bereichsübergreifende Koordination erfordert. Dabei wird eine ganze Bandbreite von Akteuren mobilisiert, denn Cyberkrisen als solche haben eine ganz eigene Dynamik, die sie zum Teil stark von anderen Krisenarten unterscheidet (dazu mehr im Abschnitt »Schnellstart für Eilige – die wichtigsten Kapitel für den schnellen Einstieg« auf Seite 26). Um sie zu überstehen, ist das Zusammenspiel von Verantwortlichen quer durchs Organigramm wesentlich geworden. Dabei sind Jobtitel weniger entscheidend als vielmehr der Handlungsbereich der jeweiligen Person. Die einzelnen Rollen zu orchestrieren, ist zu einer zentralen Herausforderung in digitalen Zeiten geworden, da jeder Einzelne gezwungen ist, über seinen Aktionsradius hinauszuschauen und interdisziplinär zu denken und zu handeln. Krisenmanager haben in zentraler koordinierender Funktion also eine entscheidende Aufgabe: Sie müssen sicherstellen, dass alle Beteiligten effektiv zusammenarbeiten und dass die verschiedenen Kompetenzen im Unternehmen optimal genutzt werden. Aber auch die fachlich Verantwortlichen haben eine wichtige Rolle: Sie müssen in der Lage sein, ihre Expertise gezielt einzubringen und gleichzeitig über ihre gewohnten Zuständigkeitsbereiche hinauszublicken.

»Wir wurden gehackt, das war sicher ein Virus!«: Solche Pauschalaussagen klingen in einer Cyberkrise ähnlich fundiert wie eine medizinische Diagnose aus der Antike: »Die gelbe Galle ist nicht im Gleichgewicht.« Aussagen wie diese zeigen vor allem eines: gefährliches Halbwissen. Und genau das ist der Anfang allen Übels. Solche Formulierungen mögen für Laien harmlos erscheinen, doch in der Krisenkommunikation sind sie fatal. Sie vermitteln ein Bild von Planlosigkeit, verhindern eine fundierte Ursachenanalyse und bieten Raum für Spekulationen. Eine unpräzise oder uninformierte Kommunikation kann nicht nur das Vertrauen der Stakeholder erschüttern, sondern auch dazu führen, dass falsche Maßnahmen ergriffen werden. Deshalb ist es wichtig, dass Unternehmen die Anatomie eines Cyberangriffs verstehen und ihre Kommunikation auf Fakten stützen – sowohl intern als auch extern.

Nach der Lektüre dieses Buchs sind Verantwortliche nicht nur deutlich besser informiert und vorbereitet, sondern haben auch konkrete Maßnahmen vor Augen – sodass alle Beteiligten genau wissen, was im Ernstfall zu tun ist. Um dies zu verdeutlichen, hilft es, sich einmal die folgenden Fragen zu stellen:

Habe ich einen Plan, wann ich die Öffentlichkeit informiere, um Schaden zu minimieren und Vertrauen zu erhalten, ohne dabei die laufende Krisenbewältigung zu gefährden?

Bin ich in der Lage, alle relevanten Akteure, unabhängig von ihrer Position im Unternehmen, rasch zu koordinieren und sicherzustellen, dass sie ihre Rollen und Verantwortlichkeiten in der Krise kennen?

Wie stelle ich sicher, dass Kunden, Partner und die Öffentlichkeit mir auch im Ernstfall Gehör schenken und meine Kommunikation ernst nehmen? Habe ich die technischen Möglichkeiten und die notwendigen Informationen, um mit jeder Person zu kommunizieren, mit der ich kommunizieren möchte?

Kann ich gewährleisten, dass unser Unternehmen nach einem Cyberangriff schnell wieder funktionsfähig ist, und welche Maßnahmen kann ich präventiv treffen, um den Schaden zu begrenzen?

Wie gut bin ich darauf vorbereitet, in einer hochstressigen Situation mit den psychologischen Taktiken der Angreifer umzugehen, die darauf abzielen, maximalen Druck aufzubauen, und diese Strategie im Krisenstab und im Unternehmen zu kommunizieren?

Verstehe ich, warum ein professioneller Verhandler so agiert, wie er es tut – warum er gezielt verhandelt, wann er bewusst Zeit gewinnt, wann er klare Grenzen setzt und wie er dabei stets die Kontrolle über die Situation behält?

Spätestens jetzt sollte ersichtlich geworden sein, dass es entscheidend ist, dass Fachabteilungen nicht isoliert agieren, sondern ihr Wissen und ihre Ressourcen im Kontext des Gesamtereignisses einbringen. Dieses Buch zeigt, wie genau diese Zusammenarbeit vorbereitet, koordiniert und in der Praxis umgesetzt werden kann. Sie lernen, wie Sie komplexe Sachverhalte verständlich aufbereiten und kommunizieren, um fundierte Entscheidungen zu ermöglichen. Darüber hinaus wird vermittelt, welche Strukturen und Prozesse notwendig sind, damit Fachabteilungen flexibel und kooperationsbereit agieren – nicht nur im akuten Krisenfall, sondern auch präventiv, um Risiken frühzeitig zu erkennen und eigenständig zu handeln. So werden sie zu unverzichtbaren Partnern im Krisenmanagement, die durch ihre Expertise und ihr Engagement maßgeblich zur Bewältigung der Krise beitragen. »Communication is key« – in der Krise ist sie entscheidend. Schnelligkeit, Klarheit und Strategie bestimmen, ob eine Cyberkrise bewältigt wird oder eskaliert. Wer vorbereitet ist, bleibt handlungsfähig. Mit der Lektüre dieses Buches haben Sie, liebe Leserinnen und Leser, einen wichtigen Schritt gemacht, um einer potenziellen Cyberkrise resilient zu begegnen.

An wen sich das Buch richtet

Die effiziente Bewältigung einer Cyberkrise erfordert, wie wir bereits festgestellt haben, eine koordinierte Anstrengung verschiedener Expertisen innerhalb eines Unternehmens oder einer Organisation (dazu zählen auch öffentliche Einrichtungen). Dieses Buch richtet sich daher an eine breite Zielgruppe in Unternehmen und Organisationen, denn eine ganze Reihe von Expertinnen und Experten spielen in der Krisenbewältigung eine wichtige Rolle. Dazu zählen allen voran die hier aufgelisteten Profilgruppen:

IT-Security

als Expertengruppe mit der Verantwortung, Sicherheitsvorfälle zu überwachen, Bedrohungen abzuwehren, Schäden zu begrenzen und die IT-Infrastruktur nach einem Angriff wiederherzustellen.

Datenschutz

als überwachende Instanz, die sicherstellt, dass der Schutz personenbezogener Daten von Kunden, Mitarbeiterinnen und Mitarbeitern und Geschäftspartnern gewahrt bleibt – insbesondere in Krisensituationen. Sie spielt eine zentrale Rolle bei der rechtlichen Bewertung, der Einhaltung regulatorischer Vorgaben und der Kommunikation mit den Aufsichtsbehörden.

Management und Führungskräfte

als Entscheiderinnen und Entscheider, die Strategien vorgeben, notwendige Ressourcen bereitstellen und die gesamte Krisenreaktion koordinieren, während sie das Unternehmen gegenüber relevanten Stakeholdern vertreten. Das Team rund um CIO, CTO und CISO nimmt hier eine besondere Rolle ein.

Krisenstab

als Koordinator, der die Gesamtabläufe während der Krise steuert, Notfallpläne umsetzt und sicherstellt, dass alle Abteilungen koordiniert und effektiv zusammenarbeiten, um die Krise zu bewältigen.

Compliance- und Risikomanagement

als Überwacher der Einhaltung gesetzlicher Vorgaben und interner Richtlinien, die Risiken bewerten und notwendige Maßnahmen einleiten, um den Vorfall zu dokumentieren und die Sicherheitsstrategien zu verbessern.

Juristen

als Beraterinnen und Berater, die juristische Unterstützung bieten, insbesondere in Bezug auf die Einhaltung von Gesetzen und anderen verbindlichen Bestimmungen. Sie helfen, die rechtlichen Risiken der Krise zu bewerten und notwendige Schritte zur Schadensbegrenzung einzuleiten.

Human Resources

als zentrale Stelle, die Mitarbeiterinnen und Mitarbeiter im Umgang mit der Krise unterstützen und ihre Bedürfnisse berücksichtigen, um das Wohlbefinden und die effektive Kommunikation innerhalb des Unternehmens zu gewährleisten.

Unternehmenskommunikation

als Team, das Kunden, Partner und Medien informiert und die Krisenkommunikation steuert, um Reputationsschäden zu minimieren und das Vertrauen ausgewählter Stakeholder sicherzustellen.

In einer Cyberkrise bilden alle beteiligten Gruppen innerhalb einer Organisation eine Schicksalsgemeinschaft, in der alle aufeinander angewiesen sind. In dieser Situation sollten einzelne Gruppen nicht isoliert voneinander agieren. Umso wichtiger ist es, die Bedürfnisse der jeweils anderen Involvierten zu verstehen, und die wichtigste Grundlage für diese Zusammenarbeit ist nun mal die Kommunikation. Nur durch transparente, schnelle und präzise Informationsflüsse kann sichergestellt werden, dass alle Beteiligten jederzeit auf dem gleichen Stand sind und effektiv agieren können. Eine klare und kontinuierliche Kommunikation ist der Schlüssel, um Missverständnisse zwischen den Parteien zu vermeiden und Reaktionszeiten zu optimieren. Ohne diese enge Abstimmung drohen Fehlinformationen und Verzögerungen, die den Erfolg der Krisenbewältigung gefährden könnten.

Nicht zuletzt in dezentralen Strukturen und/oder einer unübersichtlichen Gemengelage ist es von enormer Bedeutung, dass die oben genannten Gruppen Hand in Hand zusammenarbeiten und ihren Beitrag zur Bewältigung einer Cyberkrise leisten. Das ist kommunikativer Hochleistungssport, da im Eifer des Gefechts wertvolle Informationen verloren gehen oder falsch interpretiert werden könnten, was am Ende negativen Einfluss auf die Reaktionszeit hat. Aus diesem Grund gibt es dieses Buch: Es soll als umfassender Leitfaden dienen, der bewährte Verfahren und Strategien für die interdisziplinäre Zusammenarbeit und Kommunikation während einer Cyberkrise detailliert beschreibt. Ziel ist es, eine gute Struktur und effektive Kommunikationskanäle zu schaffen, um sicherzustellen, dass alle Beteiligten schnell und präzise auf Vorfälle reagieren können und so die Auswirkungen der Krise minimiert werden.

Wie Sie mit dem Buch arbeiten

Das vorliegende Werk soll Ihnen dabei helfen, Ihre Kommunikation als eines der wichtigsten Werkzeuge zur Bewältigung einer Cyberkrise (was auch immer diese ausgelöst haben mag) »gut geölt« zu halten. Kommunikation ist schließlich mehr als nur das bloße Übermitteln von Informationen – sie bildet einen integralen Bestandteil des Krisenmanagements, indem sie die Grundlage für Transparenz, Glaubwürdigkeit und koordinierte Reaktionen schafft. Sie muss agil, angemessen, wertschätzend und zielführend sein, was ein hohes Maß an Flexibilität erfordert.

Es ist nicht entscheidend, dass Sie jedes Kapitel dieses Buches von Anfang bis Ende stringent durcharbeiten. Sie können auch punktuell und nach Bedarf auf bestimmte Abschnitte zugreifen, je nachdem, in welcher Phase Ihrer Krisenbewältigung Sie sich befinden. Nutzen Sie das Buch als flexibles Nachschlagewerk, das Ihnen spezifische Informationen und Handlungsempfehlungen bietet, wenn Sie sie am dringendsten benötigen.

Dieses Buch bietet eine ausgewogene Mischung aus fundamentalen Konzepten und praxisnahen Anleitungen, mit denen Sie sowohl strategisch als auch operativ auf eine Cyberkrise vorbereitet sind. Betrachten Sie es als Ihren Begleiter, der Sie durch die dynamischen Phasen eines digitalen Ernstfalls führt – sei es bei präventiven Maßnahmen, in der akuten Krisenbewältigung oder bei der nachträglichen Analyse.

Die modular aufgebaute Struktur des Buches ermöglicht es Ihnen, gezielt die für Ihre Situation relevanten Kapitel zu konsultieren. Durch diese flexible Herangehensweise können Sie die für Ihre individuellen Bedürfnisse und den aktuellen Stand Ihrer Krise passenden Informationen und Tools effizient nutzen. Der Gesamttext ist in elementare Bereiche gegliedert, die Ihnen helfen, sich umfassend und praxisnah auf Cyberkrisen vorzubereiten.

Aufbau des Buchs

Teil I: Der Einstieg

Bevor es an Konzepte und Strategien geht, bietet das Buch mit

Kapitel 2

,

Case Study: Compor AG

, eine fiktive, aber realitätsnahe Fallstudie zur Compor AG, die typische Kommunikationsmuster, Fehlentscheidungen und Dynamiken im Verlauf einer Cyberkrise nachvollziehbar macht.

Kapitel 3

,

Historische Beispiele

, ergänzt diesen Einstieg um reale Beispiele von Cyberkrisen aus Politik, Wirtschaft und öffentlicher Verwaltung – inklusive Lessons Learned und Kommunikationsanalyse.

Teil II: Background – Grundlagen von Cyberkrisen

Kapitel 4

,

Anatomie einer Cyberkrise

, bietet Ihnen eine fundierte Einführung in die verschiedenen Arten von Cyberkrisen und deren Auswirkungen. Sie müssen diese theoretischen Grundlagen kennen, um die aus ihnen resultierenden praktischen Anleitungen und Maßnahmen zu verstehen.

Kapitel 5

,

Vorbereitung und Risikoanalyse

, befasst sich mit Bedrohungsanalysen, Risikobereitschaft und präventiven Maßnahmen wie Bedrohungsmodellierungen und mit der Kommunikationsvorbereitung auf Basis gängiger Standards.

Kapitel 6

,

Analyse von Cyberkrisen

, stellt bewährte Analysemodelle vor – wie die Cyber Kill Chain

®

, MITRE ATT&CK

®

oder das Diamond Model –, die dabei helfen, Angriffe systematisch zu analysieren.

Kapitel 7

,

Recht und Regulierung

, erläutert rechtliche Rahmenbedingungen, regulatorische Vorgaben und Meldepflichten.

Ein wesentlicher Bestandteil des Buches ist die Krisenkommunikation, die sowohl grundlegende Prinzipien als auch spezifische Herausforderungen bei Cyberkrisen abdeckt.

Kapitel 8

,

Grundlagen und Prinzipien der Krisenkommunikation

, und

Kapitel 9

,

Kommunikation bei Cyberkrisen

, helfen Ihnen, eine effektive Kommunikationsstrategie zu entwickeln und anzuwenden, um Transparenz zu gewährleisten und die Akzeptanz bei Stakeholdern sicherzustellen.

Teil III: Der Werkzeugkasten – Reaktion auf die Krise

Kapitel 10

,

Kickstart Krisenmanagement

, bietet Ihnen konkrete Handlungsempfehlungen, um direkte und gezielte Reaktionen auf eine Krise zu ermöglichen. Hier finden Sie praktische Tipps, die Sie unmittelbar in der Krisensituation umsetzen können – inklusive Aufbau eines Krisenstabs, Kommunikationsstart, Prioritätensetzung und Dokumentation.

Kapitel 11

,

Rollen und Verantwortlichkeiten

, erläutert die Struktur von Krisenteams, Zuständigkeiten und das Schnittstellenmanagement.

Kapitel 12

,

Interne Kommunikation

, und

Kapitel 13

,

Externe Kommunikation

, liefern Ihnen Anleitungen zur internen und externen Kommunikation mit verschiedenen Anspruchsgruppen.

Kapitel 14

,

Digitale Kanäle und Social Media

, zeigt, wie Unternehmen digitale Kanäle in der Krise sinnvoll einsetzen können. Es erläutert ein durchdachtes Social-Media-Management, das auf Monitoring, Reaktionsstrategien und proaktive Kommunikation setzt.

Kapitel 15

,

Medienarbeit in der Cyberkrise

, widmet sich der Frage, wie Unternehmen ihre Reputation in einer digital beschleunigten Krisendynamik schützen können – und was zu tun ist, wenn das Vertrauen bereits Risse zeigt. Sie lernen Strategien kennen, um mit Medienanfragen souverän umzugehen und Narrative aktiv zu steuern.

Kapitel 16

,

Wer darf was wann wissen? – Vertraulichkeit, Geheimhaltung und Informationsaustausch

, hat die Informationsklassifizierung und den Informationsschutz zum Thema. Es wird erläutert, welche Informationen geschützt werden sollten, welche geteilt oder veröffentlicht werden können und welche Methoden es dafür gibt.

Kapitel 17

,

Kommunikation mit Angreifern

, beschäftigt sich mit der Frage, ob man mit Cyberkriminellen kommunizieren sollte, und wenn ja, wie. Es gibt einen Überblick über Verhandlungsstrategien und rechtliche Rahmenbedingungen.

Teil IV: Gute Vorbereitung

Kapitel 18

,

Toolbox für die Praxis

, bietet eine Auswahl an Checklisten, Mustervorlagen und einen Kommunikations-Selbstcheck, mit dem Sie Ihre Organisation auf den Prüfstand stellen können.

Kapitel 19

,

Training und Übungen

, führt in Szenarientrainings, Simulationen und Verhalten unter Druck ein. Es zeigt, wie realitätsnahe Übungen und Trainings die Krisenresilienz stärken – insbesondere im Bereich der Kommunikation.

Teil V: Nachbereitung und Ausblick

Kapitel 20

,

Analyse und Nachbereitung

, widmet sich der systematischen Nachbereitung – mit Methoden zur Root-Cause-Analyse, zur Kommunikationsevaluation und zu den Lessons Learned.

Das abschließende

Kapitel 21

,

Die Cyberkrisenkommunikation von morgen: Von der Reaktion zur Resilienz

, schließlich gibt einen Ausblick auf die Weiterentwicklung der Cyberkrisenkommunikation – etwa mit Blick auf neue Bedrohungslagen durch künstliche Intelligenz.

Diese Publikation bietet eine wertvolle Ergänzung zu einem möglicherweise bereits vorhandenen internen Krisenhandbuch, das in Ihrer Organisation entwickelt wurde. Während Ihr Krisenhandbuch spezifische, auf Ihre Organisation zugeschnittene Prozesse und Notfallpläne enthält, liefert dieses Buch umfassende Strategien, Prinzipien und Methoden für das Krisenhandling. Unsere Empfehlung lautet daher:

Nutzen Sie die Informationen in diesem Buch, um bestehende Prozesse in Ihrem Notfallmanagement zu verfeinern und zu erweitern.

Integrieren Sie neue Erkenntnisse und bewährte Praktiken aus dem Buch in Ihr internes Krisenhandbuch, um es auf dem neuesten Stand zu halten.

Verwenden Sie die hier beschriebenen Kommunikations- und Reaktionsstrategien, um Ihre Trainingsszenarien im Krisenhandbuch zu verbessern und sich gezielter auf Akutsituationen vorzubereiten.

Unser Use Case: Die Compor-AG

Um komplexe Prozesse und Theorien besser nachvollziehbar zu machen, präsentieren wir in Kapitel 2 einen fiktiven Fall in Form einer Case Study. Er dient als illustrative Brücke zwischen komplexer Theorie und praktischer Anwendung, um die behandelten Konzepte anschaulicher und verständlicher zu gestalten. Alle im Fall dargestellten Personen, Ereignisse und Daten sind rein fiktiv, und jegliche Ähnlichkeiten mit realen Personen oder tatsächlichen Ereignissen sind zufällig und unbeabsichtigt. Der fiktive Fall soll ein vertieftes Verständnis der behandelten Themen fördern und ist daher nicht als tatsächliche Darstellung realer Szenarien zu interpretieren.

Schnellstart für Eilige – die wichtigsten Kapitel für den schnellen Einstieg

Es ist passiert, die Cyberkrise ist im Anmarsch – Verantwortliche müssen schnell ins Tun kommen, denn jede Minute zählt. Für diesen Fall zeigt Tabelle 1.1 Ihnen die wesentlichen Kapitel, die einen raschen Einstieg in die dringend benötigten Maßnahmen und Kommunikationsstrategien ermöglichen. Von den Sofortmaßnahmen am IT-Unfallort bis hin zur effektiven internen und externen Krisenkommunikation – hier finden Betroffene kompakt jene Bausteine, die sie brauchen, um in der akuten Cyberkrise den Überblick zu behalten, rasch fundierte Entscheidungen zu treffen und den Krisenverlauf erfolgreich zu steuern.

Tabelle

1.1

:

Schnellstart in die Cyberkrisenkommunikation

Kapitel

Inhalt

Kapitel 10: Kickstart Krisenmanagement – Ein 10-Punkte-Plan für Sofortmaßnahmen am IT-Unfallort, wenn’s richtig brennt

Dieses Kapitel liefert einen 10-Punkte-Plan mit Sofortmaßnahmen, der direkt ansetzt, wenn ein IT-Incident eskaliert. Besonders der frühzeitige Kommunikationsstart (siehe Abschnitt »3. Bereiten Sie frühzeitig die Kommunikation vor!« auf Seite 182) und das Einrichten sicherer Kommunikationskanäle (siehe Abschnitt »4. Sichere Kommunikationskanäle sind unverzichtbar!« auf Seite 188) sind wichtig, um rasch handlungsfähig zu werden.

Kapitel 8: Grundlagen und Prinzipien der Krisenkommunikation

Hier werden die fundamentalen Definitionen, Ziele und Strategien der Krisenkommunikation erläutert – eine unverzichtbare Basis, um in der Krise strukturiert und zielgerichtet zu agieren.

Kapitel 9: Kommunikation bei Cyberkrisen

Da Cyberkrisen spezifische Herausforderungen mit sich bringen, bietet dieses Kapitel praxisnahe Empfehlungen, wie diese im Kommunikationsprozess adressiert werden können, etwa bei der Entwicklung eines Krisenkommunikationsplans.

Kapitel 12: Interne Kommunikation

Eine schnelle und zielgerichtete Information der Mitarbeiter ist entscheidend, um intern Ruhe zu bewahren und koordiniert zu reagieren. Dieses Kapitel gibt Ihnen praxisnahe Maßnahmen an die Hand, wie intern mobilisiert und informiert wird.

Kapitel 13: Externe Kommunikation

Neben der internen Abstimmung muss auch die Kommunikation mit Kunden, Partnern und der Öffentlichkeit souverän gesteuert werden – Kapitel 13 liefert hier konkrete Ansätze und Strategien.

Kapitel 15: Medienarbeit in der Cyberkrise

Insbesondere wenn die Krise nach außen dringt, ist der richtige Umgang mit Medien und Presseanfragen zentral. Dieses Kapitel zeigt, wie Pressemitteilungen, Stellungnahmen und Medienkonferenzen zielgerichtet umgesetzt werden können.

Kapitel 18: Toolbox für die Praxis

Praktische Tools wie Checklisten und Muster können im akuten Krisenfall den schnellen Überblick und die Umsetzung von Maßnahmen unterstützen.

Die Website zum Buch

Weitere Materialien, Checklisten, Vorlagen, die CR-Card, Errata sowie ergänzende und aktualisierte Links zum Thema finden Sie unter:

https://www.cyberkrisenkommunikation.com

TEIL I Der Einstieg

KAPITEL 2 Case Study: Compor AG

Die hier beschriebene Case Study ist fiktiv, basiert jedoch auf realistischen Szenarien. Die handelnden Personen sind bewusst überzeichnet und klischeehaft dargestellt, um typische Dynamiken in Unternehmen aufzuzeigen. Ähnlichkeiten mit realen Personen oder Ereignissen sind rein zufällig. Die Fallstudie dient der Veranschaulichung von Herausforderungen in der IT-Sicherheit und der Entscheidungsfindung – und sie zeigt, wie kleine Fehleinschätzungen zu großen Problemen in der Krisenkommunikation eskalieren können.

Die Firma

Die Compor AG ist ein mittleres börsennotiertes Unternehmen mit etwas über 300 Mitarbeitern, das sich an der Schnittstelle zwischen Beratung und Produktion in der Automobilindustrie bewegt. Mit einem tiefen Verständnis für technologische Entwicklungen und industrielle Fertigungsprozesse bietet Compor sowohl strategische Expertise als auch maßgeschneiderte Lösungen für namhafte Automobilhersteller und Zulieferer.

Eine starke Doppelstrategie

Das Unternehmen gliedert sich in zwei zentrale Geschäftsbereiche:

Beratung und Entwicklung:

Compor unterstützt Automobilunternehmen mit datengetriebenen Analysen und innovativen Konzepten. Entwicklungsdaten der Kunden werden genutzt, um neue Erkenntnisse zu gewinnen und passgenaue Lösungen zu erarbeiten. Die Berater arbeiten dabei an hochsensiblen Projekten – oft mit vertraulichen, nicht-öffentlichen Informationen. Der Schutz dieser Daten ist essenziell, denn eine unautorisierte Veröffentlichung könnte den Kunden erheblichen wirtschaftlichen Schaden zufügen.

Produktion & Fertigungstechnologie:

Neben der Beratung fertigt Compor spezialisierte Gerätschaften, die in der industriellen Produktion von Automobilen eingesetzt werden. Die Produkte sind essenziell für die reibungslose Fertigung, und ein Stillstand in der Produktion könnte drastische Folgen haben – bis hin zu Fertigungsausfällen bei Kunden. In solchen Fällen drohen nicht nur finanzielle Verluste, sondern auch erhebliche Vertragsstrafen, wenn Lieferketten ins Stocken geraten.

Herausforderungen und Verantwortung

Als Unternehmen, das sich sowohl mit sensiblen Daten als auch mit kritischer Infrastruktur beschäftigt, trägt die Compor AG eine große Verantwortung. Ihre Kundendatenbank enthält hochspezialisierte Kontakte, deren Sicherheit oberste Priorität hat. Gleichzeitig ist der Produktionsbereich eng mit der Automobilindustrie verflochten – jeder Ausfall könnte weitreichende Konsequenzen haben.

Mit dieser Kombination aus Beratung und Produktion steht die Compor AG für Innovation, Präzision und Verlässlichkeit – doch genau diese Stärken machen sie auch zu einem potenziellen Ziel für Cyberangriffe.

Standorte

Die Compor AG hat zwei Standorte. Der erste Standort ist der Firmensitz, an dem die Verwaltung und Geschäftsführung ansässig sind, ebenso wie die Ingenieure, Berater und Consultants, die im Beratungsgeschäft tätig sind. An diesem Standort befindet sich ebenfalls das kleine Rechenzentrum. Der zweite Standort ist der Produktionsstandort, der sich am Stadtrand in einem kleinen Gewerbegebiet befindet.

Friedrichstraße (Verwaltung)

Der Hauptstandort der Compor AG liegt an der Friedrichstraße im Herzen Berlins, unmittelbar an einem stark frequentierten Tourismus-Hotspot. Hier arbeiten neben dem Management und dem Vertrieb auch etwa 80 Ingenieure, Projektleiter und Entwickler. Des Weiteren sind hier in den typischen Supportbereichen (HR, IT, Buchhaltung, Marketing) etwa 50 Menschen tätig. Das Gebäude beherbergt im Erdgeschoss mehrere Schnellrestaurants, alle mit offenem WLAN, während sich in den oberen Etagen die Büroarbeitsplätze des Unternehmens befinden. Zusätzlich betreibt die Compor AG ein kleines Rechenzentrum in einem Kellerabteil.

Am Haupteingang sitzt ein Pförtner, der den Zugang überwacht, jedoch gibt es keine weitergehenden Zugangskontrollen wie Drehtüren oder Vereinzelungsanlagen. Auch für das Rechenzentrum existieren keine besonderen Sicherheitsvorkehrungen, die den Zutritt reglementieren oder physische Manipulationen erschweren würden. Auf der Rückseite des Gebäudes liegt ein Innenhof, der jedoch wenig Platz bietet und insgesamt wenig einladend wirkt. Mitarbeiterinnen und Mitarbeiter der Compor AG sowie die Beschäftigten anderer Firmen im Gebäude und angrenzender Geschäfte nutzen ihn vor allem für kurze Raucherpausen. Wie in solchen Fällen oft zu beobachten ist, sind die Türen zum Hinterhof dauerhaft geöffnet und teils mit Keilen fixiert – leider nichts Ungewöhnliches.

Diese Gegebenheiten lassen darauf schließen, dass die Compor AG nicht mit gezielten Angriffen auf die Verwaltung rechnet und der IT- sowie der Gebäudesicherheit bislang keine hohe Priorität eingeräumt hat.

Gewerbegebiet am Flughafen

Der Produktionsstandort der Compor AG befindet sich im Gewerbegebiet Sandstücken nahe dem Flughafen Berlin Brandenburg. Das Gelände umfasst mehrere Fabrikhallen, in denen Maschinen und Produktionsanlagen im Einsatz sind. Hier arbeitet ein Team von ca. 180 Mitarbeitern (Maschinenbediener, Fertigungsingenieure, Produktionsleiter, QS-Teams, Lager) in der Fertigung, unterstützt durch automatisierte Prozesse und Industrieroboter. Eine Kantine steht den Mitarbeiterinnen und Mitarbeitern zur Verfügung; Verwaltungseinheiten oder Entwicklungsabteilungen sind hier nicht vorhanden – der Standort ist ausschließlich auf die Produktion ausgerichtet.

Die Sicherheitsmaßnahmen bestehen aus einer Umzäunung, gesicherten Zufahrten für Lieferanten und Speditionen sowie einer Zugangskontrolle am Werktor. Das Gelände wird durch Kameras überwacht, zusätzlich ist Sicherheitspersonal vor Ort, der physische Schutz wird hier ernst genommen. Schutzmaßnahmen gegen Cyberangriffe sind jedoch nicht erkennbar.

Die IT-Infrastruktur des Produktionsstandorts ist per VPN an die Zentrale in der Friedrichstraße angebunden. Darüber laufen sowohl der Zugriff auf zentrale Geschäftsanwendungen als auch die Ansteuerung und Überwachung bestimmter Produktionssysteme. Eine vollständige Trennung zwischen Office-IT und Produktionsnetzwerk existiert nicht – Daten und Steuerbefehle werden über dieselbe Verbindung übertragen. Damit hängt die Sicherheit des Produktionsstandorts unmittelbar von der Absicherung der VPN-Verbindung und der zentralen IT-Systeme in der Zentrale ab.

Mitarbeitende

Vorbemerkung

Alle Porträts der Mitarbeiter, also die hier genannten Personas, sind bewusst übertriebene Klischees. Diese Übertreibung soll Ihnen helfen, sich die Personen besser vorstellen und gut merken zu können.

Prof. Dr. Bernd Kaiser, Geschäftsführung

Sein Motto: »Business First.«

Bernd Kaiser ist der CEO der Compor AG. Wie würde man ihn charakterisieren? Nun, die jüngere Generation würde ihn vielleicht als »Boomer« bezeichnen, während andere ihn als gestandenen Geschäftsmann mit langjähriger Erfahrung sehen würden. Sein Fokus liegt hauptsächlich darauf, Geschäfte zu machen, den Betrieb am Laufen zu halten und die Firma erfolgreich zu führen. IT ist für ihn eher ein notwendiges Übel, die eben funktionieren muss, damit das Geschäft läuft, aber sie ist ihm nicht wirklich wichtig.

Tobias Kuhn, IT

Sein Motto: »Hauptsache, es läuft.«

Tobias Kuhn ist der Systemadministrator und quasi die gesamte IT-Abteilung des Unternehmens in einer Person. Es gibt zwar ein paar Werkstudenten und Aushilfen; diese beschäftigen sich aber vor allem damit, den Mitarbeitern zu helfen, wenn der Drucker nicht geht oder Anwendungsprogramme Schwierigkeiten machen. Alles, was in der IT zu tun ist, landet auf Tobias’ Schreibtisch. Gelegentlich kann er externe Kräfte für spezielle Anwendungen hinzuziehen, aber ansonsten ist er für alles zuständig: von den Systemen wie Active Directory und der gesamten Windows-Infrastruktur bis hin zu den Produktionsmaschinen am Standort nahe dem Flughafen. Tobias genießt seinen Job – er ist jung, energiegeladen und überzeugt davon, dass er sich gut auskennt und alles zum Laufen bringt. Was ihm jedoch oft fehlt, ist die Zeit, um Dinge tiefergehend zu planen oder sich umfassend um die Sicherheit zu kümmern. Er aktiviert die Sicherheitsfeatures und installiert die Firewall, aber darüber hinausgehende Sicherheitsmaßnahmen bleiben oft auf der Strecke.

Ahmet Kurtuluş, Rechtsabteilung

Sein Motto: »Recht muss sein.«

Ahmet Kurtuluş ist Syndikusanwalt der Compor AG und verantwortet alle rechtlichen Angelegenheiten des Unternehmens. Mit seiner besonnenen Art und seinem analytischen Verstand sorgt er dafür, dass Verträge wasserdicht sind, Compliance-Vorgaben eingehalten werden und rechtliche Risiken minimiert bleiben. Er ist Ende 30, zielstrebig und nimmt die Zügel in die Hand, wenn es darauf ankommt. Sein Fachgebiet beherrscht er aus dem Effeff, doch für IT-Themen hat er wenig übrig – für ihn sind das abstrakte Systeme, die andere verstehen sollen. Er verlässt sich darauf, dass die IT-Abteilung ihre Arbeit macht, und sieht Cybersecurity eher als bürokratische Pflicht denn als konkrete Bedrohung.

Britta Lüdemann-Herzog, Presse

Ihr Motto: »Gute Nachrichten sind mein Job.«

Britta Lüdemann-Herzog ist die Pressesprecherin der Compor AG und eine erfahrene Kommunikatorin mit jahrelanger Agenturerfahrung, bevor sie in das Unternehmen wechselte. Sie ist patent, eloquent und weiß genau, wie man Botschaften wirkungsvoll platziert. Bisher hatte sie in der Compor AG ein leichtes Spiel – das Unternehmen wächst, und ihre Aufgabe bestand vor allem darin, positive Entwicklungen nach außen zu tragen. Doch Britta vertraut anderen manchmal zu sehr, was sie in der Unternehmenskommunikation angreifbar machen könnte. In Krisensituationen fehlt ihr die Erfahrung mit schwierigen Botschaften, aber sie ist lernbereit und entschlossen, ihre Rolle souverän auszufüllen.

Leo Falkenstein, Vertrieb

Motto: »Erfolg hat seinen Preis.«

Leo Falkenstein ist der Vertriebschef der Compor AG – ein charismatischer, aber durch und durch opportunistischer Geschäftsmann. Er weiß, wie man Beziehungen pflegt und Deals einfädelt, auch wenn es dafür gelegentlich einer großzügigen Einladung in exklusive Kreise bedarf. Mit seinem geschliffenen Auftreten, seinen Designeranzügen und seinem markanten Lächeln schafft er es, selbst skeptische Geschäftspartner für sich zu gewinnen. Privat lebt er nach dem Motto »Zu viel ist nicht genug«. Verheiratet mit einem D-Promi-Model, liebt er den Luxus und lässt sich gern mit seinem knallgelben Lamborghini ablichten.

Die Angreifer

Motto: »Wieso durch die Firewall, wenn die Tür offen ist?«

Die Angreifer sind zwar kein offizieller Mitarbeiter, aber unbemerkt gehen auch sie in den Netzwerken der Compor AG ihrer Arbeit nach. Das Hauptziel der Angreifer ist es jedoch, auf irgendeine Weise finanziellen Gewinn zu erzielen – sei es durch den Diebstahl von Informationen oder durch das Abschöpfen von Geldern aus der Compor AG mittels IT-Angriffen. Es ist wahrscheinlich, dass die Angreifergruppe zumindest teilweise in Deutschland ansässig ist, was ihnen die Möglichkeit gibt, auch vor Ort bei der Compor AG zu agieren, sei es in der Hauptniederlassung oder am Produktionsstandort.

Die Gruppe agiert sehr professionell und nutzt das Darknet, um ihre Aktivitäten zu verschleiern. Sie setzt auf gut abgesicherte Dienste wie VPNs, das Darknet und verschlüsselte E-Mail-Dienste wie ProtonMail, um ihre Spuren zu verwischen. Diese Maßnahmen machen es äußerst schwierig, die Gruppe kurzfristig aufzuspüren oder schnell zu identifizieren.

Die Gruppe ist zudem äußerst geschickt in der Kommunikation. Ihre Mitglieder wissen genau, wie man über Social Media und andere Kanäle die Aufmerksamkeit der Presse auf sich zieht. Ihre Aktivitäten werden von der Presse genau beobachtet, sodass Aussagen oder Aktionen der Angreifer schnell in den Zeitungen erscheinen würden.

Chronologie einer Krise – vom ersten Verdacht bis zur Aufarbeitung

Montag, 5:00 Uhr: Der erste Verdacht

Zu Beginn der Frühschicht fällt auf, dass etwas nicht stimmt. In der Produktion stockt es – das ERP-System reagiert nicht und die VPN-Verbindung scheint unterbrochen zu sein. Zunächst wirkt es wie eine normale technische Störung. Die IT nimmt den Vorfall zur Kenntnis, ordnet ihn als möglichen Ausfall der Virtualisierungsumgebung ein und beginnt mit der Fehleranalyse.

8:00 Uhr: Ein seltsamer Zufall?

Während die IT noch mit der Analyse beschäftigt ist, meldet sich um 8:00 Uhr Frau Meier, die Assistentin des CEO: Ihr Rechner ist abgestürzt. Ein Routinefall? Die IT erstellt ein Ticket, doch als Administrator Tobias Kuhn sich den betroffenen Rechner ansieht, stößt er auf etwas Unerwartetes – ein Erpresserschreiben auf dem Bildschirm. Ein Screenshot des Schreibens bestätigt den Verdacht: Die Compor AG ist Ziel eines Cyberangriffs.

Abbildung

2.1

: Der Arbeitsplatz von Frau Meier mit Ransom-Note, verschlüsselten Dateien, Personalakten, privaten Dateien und dem Kater Flupsi

Kommunikationschaos – wer weiß was?

Jetzt beginnt die erste große Herausforderung: die richtige Kommunikation. Der Support geht zunächst von einem lokalen Problem aus – schließlich betrifft es nur den Rechner einer Einzelperson. Die Aushilfe in der Produktions-IT vermutet indes eine technische Störung in der Infrastruktur, hat aber keinen Grund, an einen Angriff zu denken. Noch erkennt niemand den Zusammenhang zwischen den Vorfällen – bis Tobias Kuhn tiefer gräbt.

Ein Fehler ist gerade passiert:

Beide Abteilungen kommunizieren nicht direkt miteinander oder mit einer zentralen Stelle, die das Gesamtbild hätte erkennen können.

Wer drückt den »roten Knopf«?

Die wachsende Zahl an Störmeldungen aus unterschiedlichen Abteilungen verdeutlicht, dass dies kein isoliertes Problem ist. Doch wer trifft die Entscheidung, die Alarmstufe auszulösen? Um 11:00 Uhr wird schließlich der Krisenstab durch den Geschäftsführer Prof. Dr. Bernd Kaiser einberufen.

Der Krisenmodus beginnt – Achmed Kurtulus übernimmt

Da der CEO zunächst mit der Koordination beschäftigt ist, übernimmt Syndikusanwalt Kurtuluş vorübergehend die Führung. Er bringt Struktur in die Situation und setzt Prioritäten:

Interne Kommunikation:

Die Mitarbeiter müssen informiert werden, aber ohne Panik auszulösen.

Externe Kommunikation:

Investoren und Geschäftspartner müssen beruhigt werden.

Cyberversicherung:

Kontakt zur Versicherung wird aufgenommen, um mögliche Gegenmaßnahmen und Deckungsfragen zu klären.

Drei kritische Fehler passieren:

Aufsichtsbehörden, Polizei und das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden in der Hektik vergessen.

Es wird nicht darüber diskutiert, externe Fachkräfte dazuzuholen, das Fachteam besteht lediglich aus dem Systemadministrator Tobias Kuhn.

Auch über die mögliche Pflicht einer Aktiengesellschaft, gemäß Art. 17 Marktmissbrauchsverordnung (MMVO)/Market Abuse Regulation (MAR) eine Ad-hoc-Mitteilung zu veröffentlichen, wurde nicht diskutiert.

Rollenverteilung

Personalchefin Sandra Gersten versucht hektisch, eine interne Kommunikation aufzusetzen, agiert jedoch ohne Abstimmung mit der Pressestelle.

Pressesprecherin Britta Lüdemann-Herzog bereitet sich auf Presseanfragen vor – bisher war sie nur positive Nachrichten gewohnt, jetzt steht sie vor einer echten Cyberkrise.

Der CEO selbst übernimmt die Kommunikation mit den wichtigsten Stakeholdern: Investoren, Partnern und Zulieferern.

Koordination des Krisenstabs

Der Krisenstab trifft sich fortan zweimal täglich, um die Lage neu zu bewerten. Zwischen den Meetings arbeiten alle Verantwortlichen in ihren Bereichen, um die Krise einzudämmen. Doch während sie handeln, läuft die Zeit gegen sie – und die Angreifer warten auf eine Reaktion.

Dienstag, 09:00 Uhr: drittes Krisentreffen – die Realität holt Compor AG ein

Der Krisenstab tritt erneut zusammen

Die Lage hat sich dramatisch verschärft:

Während die Mitarbeiterinnen und Mitarbeiter in der Verwaltung die Mitteilungen von Personalchefin Sandra Gersten lesen und bei Kaffee und Zigaretten im Innenhof angeregt mit Kolleginnen und Kollegen aus den Nachbarbüros diskutieren, herrscht in der Produktion ein vollständiges Informationsvakuum. Ohne die VPN-Anbindung gibt es keinerlei Nachrichten aus der Zentrale – keine offiziellen Updates, keine Anweisungen, keine Klarheit. In der Kantine versammeln sich die Beschäftigten, während die Gerüchteküche auf Hochtouren läuft. Spekulationen machen die Runde, Unsicherheit breitet sich aus, und die Stimmung verschlechtert sich zusehends. Die fehlende Kommunikation verstärkt das Gefühl, von der Zentrale im Stich gelassen zu werden.

Mitarbeiter sind verunsichert, die interne Kommunikation gerät außer Kontrolle.

Transparenz vs. Kontrollverlust

Krisenkommunikation bedeutet nicht nur, externe Stakeholder zu informieren – vor allem die eigene Belegschaft muss schnell und gezielt eingebunden werden. Wenn Mitarbeiterinnen und Mitarbeiter im Unklaren gelassen werden, entsteht ein gefährliches Kommunikationsvakuum.

Viele zentrale Systeme bleiben weiterhin außer Betrieb, und die IT-Abteilung um Tobias Kuhn kämpft verzweifelt gegen die Verschlüsselung der Unternehmensdaten durch den Angreifer an – jedoch ohne Erfolg. Jeder Versuch, die betroffenen Daten zu entschlüsseln oder die Systeme wiederherzustellen, scheitert an der robusten Verschlüsselung.

Die Backups sind ebenfalls betroffen. Die Ransomware hat sich offenbar nicht nur auf Produktions- und Verwaltungssysteme ausgebreitet, sondern auch die Backup-Infrastruktur kompromittiert. Eine Wiederherstellung aus gesicherten Datenbeständen ist damit ausgeschlossen. Der Worst Case tritt ein: Ohne funktionierende Systeme und ohne Backup-Option steht das Unternehmen still.

Die Erpresser erhöhen den Druck: Sie haben direkt an der Pforte angerufen und mit Nachdruck Verhandlungen eingefordert. Offenbar sind sie unzufrieden, weil sich bisher niemand aus der Compor AG bei ihnen gemeldet hat.

Stakeholder sind nervös, halten die Füße aber noch still – es ist die Ruhe vor dem Sturm.

Die Cyberversicherung zieht sich zurück, verweist auf vertragliche Klauseln.

Der Krisenstab steht mit dem Rücken zur Wand: Es gibt keine funktionierenden Systeme, keine verwertbaren Backups, der finanzielle Schaden steigt – und jetzt drängen die Erpresser auch noch aktiv auf Verhandlungen.

Lösegeld zahlen oder nicht?

Ein Ransomware-Angriff stellt Unternehmen vor eine existenzielle Entscheidung: Soll das Lösegeld gezahlt werden, um den Betrieb zu retten – oder verweigert man sich aus Prinzip, trotz möglicher Schäden?

Das Verhandlungsteam wird aufgestellt

Der Leiter der Produktion macht unmissverständlich klar, dass jeder weitere Stillstandstag das Unternehmen rund eine halbe Million Euro kostet – eine Summe, die sich schnell zu einem existenzbedrohlichen Risiko entwickelt. Die Diskussion eskaliert: CEO Bernd Kaiser, entschlossen und ungeduldig, fordert: »Ich will meine Firma sofort wiederhaben, egal wen ich bezahlen muss!« Dem entgegnet Achmet Kurtuluş mit Nachdruck: »Erpresser bezahlt man nicht – und außerdem kann das illegal sein!«

Letztlich setzt sich der Lautere durch: Bernd Kaiser legt fest, doch mit den Angreifern zu verhandeln. Der Vorschlag, die Verhandlungsführung an Britta Lüdemann-Herzog zu übergeben (»Kommunikation ist ihr Beruf.«), wird von ihr kategorisch abgelehnt. Auch der selbstbewusste Vorstoß von Vertriebschef Leo Falkenstein (»Mit so ein paar Hackern werde ich doch fertig, die rede ich einfach an die Wand!«) wird vom Krisenstab einstimmig verworfen.

Schließlich fällt die Entscheidung, einen von der Cyberversicherung empfohlenen externen Verhandlungsspezialisten hinzuzuziehen. Dieser besteht darauf, sofort die Polizei einzuschalten. Die Beamten verweisen die Compor AG wiederum an das BSI, um einen Incident-Response-Dienstleister zu finden. Das BSI verweist auf seine offizielle Liste spezialisierter APT-Experten. Währenddessen steigt der Druck – jede Verzögerung verschärft die Lage.

Internes Chaos: Die Krise eskaliert

Interne Kommunikation: Die Pressesprecherin übernimmt endlich die Kontrolle über die Mitarbeiterkommunikation. Erste Lehren werden gezogen:

Gehackt zu werden ist eine Cyberkrise, keine IT-Störung.

Klarheit und Transparenz sind entscheidend, um Panik zu vermeiden.

Machtverschiebung im Krisenstab

CEO Kaiser wird aus dem Fachteam hinauskomplimentiert. Er soll sich auf die Stakeholderkommunikation konzentrieren und sich nicht in technische Diskussionen einmischen. Das Krisenteam entwickelt parallel einen strukturierten Plan zur Schadensbegrenzung. Eine zentrale Herausforderung bleibt die Informationsweitergabe an die Produktion, da die VPN-Verbindung zur Zentrale unterbrochen ist. Doch die Pressesprecherin Britta Lüdemann-Herzog reagiert kreativ und pragmatisch. Als Live-Ticker dient nun der Kantinenmonitor, der normalerweise den Speiseplan anzeigt. Stattdessen läuft dort jetzt eine PowerPoint-Präsentation mit aktuellen Updates, die von ihr in der Friedrichstraße erstellt wird. Doch wie bringt man die neuen Folien ins Werk, wenn kein Netzwerk funktioniert?

Hier kommt die wohl unkonventionellste – aber effektivste – Lösung ins Spiel: Ein Azubi auf einem Motorrad übernimmt den Job des »analog-digitalen Boten«. Mit einem USB-Stick im Gepäck pendelt er nun regelmäßig zwischen Zentrale und Produktion, um die neuesten Informationen zu überbringen. Eine unkonventionelle, aber effektive Lösung, die zeigt, dass Krisenkommunikation auch Improvisationstalent erfordert.

Dienstag, 12:00 Uhr: Die Außenwelt bekommt Wind von der Sache

Während die interne Krise ihren Höhepunkt erreicht, dringt die Katastrophe nach außen:

Fachmedien berichten erstmals über den Angriff, darunter »Industrie Heute« und die »Maschinenbau-Revue« – zwei relevante Fachtitel.

Ein Journalist ruft in der Unternehmenszentrale an – auf der Homepage findet sich noch keine offizielle Stellungnahme.

Die Pressesprecherin erkennt, dass das Unternehmen schnell handeln muss.

Die interne Kommunikation eskaliert

Ein Azubi sorgt ungewollt für einen Kommunikations-GAU: Auf BlueSky postet er leichtfertig: »Hände hoch, Feierabend. Gehackt werden ist wie bezahlter Urlaub.« Der Beitrag geht viral, und schon bald tauchen auch erste sarkastische Kommentare unter Fachartikeln auf – der Vorfall beginnt Kreise zu ziehen. Gleichzeitig wird auch die interne Kommunikation zum Problem. Mitarbeiterinnen und Mitarbeiter diskutieren im Intranet offen über ihre Ängste: Fragen wie »Sind wir bald arbeitslos?« oder »Bekommen wir noch Gehalt?« werden diskutiert. Die Unsicherheit wächst, und es droht ein Kontrollverlust über die Informationshoheit.

Die Erkenntnis ist eindeutig: Die externe Kommunikation muss sofort auf die Homepage, um Spekulationen und Gerüchten entgegenzuwirken. Die Pressesprecherin bereitet einen offiziellen Text für die Unternehmensseite vor. Glücklicherweise ist die Homepage extern gehostet – sie funktioniert also noch.

Gegen 12:30 Uhr wird ein erster offizieller Hinweis veröffentlicht:

Stellungnahme der Compor AG zum IT-Sicherheitsvorfall

Sehr geehrte Damen und Herren,

die Compor AG wurde Ziel eines Cyberangriffs. Wir arbeiten mit internen und externen Experten daran, den Vorfall aufzuklären und unsere Systeme wiederherzustellen. Aktuell kommt es zu Einschränkungen in der Produktion und bei internen Abläufen.

Wir stehen im Austausch mit den Behörden und werden Sie über weitere Entwicklungen informieren.

Ihr Team der Compor AG

Mit dieser Meldung versucht das Unternehmen, die Kontrolle über die öffentliche Wahrnehmung zurückzugewinnen.

Dienstag, 15:00 Uhr: Erstes Verhandlungsgespräch mit den Erpressern

Nachdem der Krisenstab die erste Kontaktaufnahme der Erpresser ignoriert hatte, leitet nun der Verhandlungsspezialist eine professionelle Kommunikation mit den Tätern ein. Sein erstes Ziel ist zu verifizieren, ob die Angreifer tatsächlich die verschlüsselten Daten entschlüsseln können und welche Forderungen sie stellen.

Ergebnis:

Es sind die echten Erpresser.

Die Angreifer liefern einen ersten Entschlüsselungsbeweis, indem sie eine verschlüsselte Datei, die ihnen der Verhandlungsspezialist übermittelt, entschlüsselt zurücksenden.

Sie stellen eine offizielle Lösegeldforderung und untermauern ihre Drohung, indem sie mit der Veröffentlichung sensibler Personal-, Finanz- und Entwicklungsdaten der Compor AG drohen.

Jetzt steht das Unternehmen vor der schwersten Entscheidung: Zahlen oder nicht?

Mittwoch, 09:00 Uhr: viertes Krisentreffen – die Lage wird klarer

Eine Bestandsaufnahme ist nun möglich:

Die Compor AG weiß nun,

welche Daten mutmaßlich gestohlen wurden,

welche Forderungen die Erpresser haben und

welche Systeme betroffen sind.

Erkenntnisse:

Der Personalserver ist verschlüsselt – alle Personaldaten sind vermutlich weg.

Der Entwicklungsserver zeigt Spuren der Angreifer – es muss davon ausgegangen werden, dass vertrauliche Kundendaten exfiltriert wurden. Die Erpresser wollen eine hohe Summe – die Höhe wird noch verhandelt.

Die Diskussion im Krisenstab nimmt Fahrt auf: verhandeln, zahlen oder auf Zeit spielen? Die Entscheidung wird zur Gratwanderung. Leo Falkenstein, der sich aktuell seinen Flugschein als Privatpilot erarbeitet (»Der Lambo ist zu langsam, so komme ich ja nie zu den Kunden.«), überrascht mit einem ungewohnt produktiven und sinnvollen Vorschlag: Er empfiehlt die Anwendung des FORDEC-Verfahrens – einer bewährten Entscheidungsfindungsmethode aus der Luftfahrt.

Mittwoch, 12:00 Uhr: Die Öffentlichkeit baut Druck auf

Während intern noch über das weitere Vorgehen diskutiert wird, wächst der externe Druck:

Die ersten großen Wirtschaftsmedien berichten.

Artikel erscheinen in der Handelszeitung und der Wirtschaftswoche.

Kunden werden nervös, erste Anfragen treffen beim CEO ein.

Interne Frustration eskaliert.

Die Produktion vermeldet: Mitarbeiter beschweren sich weiter auf BlueSky, da sie sich nicht ausreichend informiert fühlen.

Die Verwaltung gibt bekannt: Diskussionen im Intranet drehen sich um Lohnfortzahlung und Arbeitsplatzsicherheit.

Die Stakeholder melden sich: Ein Großkunde fragt besorgt an: »Sind meine Daten betroffen?«, Investoren wollen wissen: »Wie hoch ist der Schaden?«

Immer wird deutlich: Die Compor AG muss eine öffentliche Strategie finden.

Mittwoch, 14:00 Uhr: Strategie für die nächsten 24 Stunden

Die externe Kommunikation wird intensiviert, Ziele sind:

Pressemitteilung aktualisieren und klarstellen, dass Experten aktiv an der Lösung arbeiten.

Kunden proaktiv informieren, um Spekulationen zuvorzukommen.

Die Compor AG veröffentlicht eine weitere Erklärung:

Cyberangriff auf die Compor AG – Untersuchungen dauern an

Berlin, 24. Mai 2024 – In der Nacht vom 23. auf den 24. Mai wurde die Compor AG Ziel eines Cyberangriffs, der Auswirkungen auf unsere Verwaltungs- und Produktionssysteme hat. Unser Sicherheitsteam hat umgehend reagiert und Maßnahmen zur Eindämmung des Vorfalls eingeleitet.

Gemeinsam mit externen Cybersicherheits-Experten und den zuständigen Behörden analysieren wir derzeit die Hintergründe des Angriffs. Unsere IT-Sicherheitsmaßnahmen wurden umgehend verstärkt, und wir arbeiten mit Hochdruck daran, betroffene Systeme sicher und geordnet wiederherzustellen.

Der Schutz der Daten unserer Kunden, Partner und Mitarbeiterinnen und Mitarbeiter hat für uns höchste Priorität. Wir werden regelmäßige Updates bereitstellen, sobald gesicherte Erkenntnisse vorliegen, und alle Beteiligten fortlaufend informieren.

Für Presseanfragen steht unser Kommunikationsteam zur Verfügung.

Compor AG

Würde ein externer Krisenberater die Situation zu diesem Zeitpunkt bewerten, würde er vermutlich empfehlen, den Kontakt zu den Erpressern zu intensivieren – nicht primär, um Zugeständnisse zu machen, sondern um Hinweise auf das Ausmaß des tatsächlichen Datenabflusses zu erhalten. Gleichzeitig sollte aus taktischen Gründen geprüft werden, ob sich die Gespräche gezielt verzögern lassen. Auch intern sähe er Handlungsbedarf: Die Produktion muss regelmäßig mit klaren, stabilisierenden Statusupdates versorgt werden, um operative Unsicherheiten und unnötige Eskalationen zu vermeiden. Zudem sollten Führungskräfte aktiv eingebunden und sensibilisiert werden – sowohl zur Stabilisierung der eigenen Teams als auch zur Eindämmung von Gerüchten und zur Sicherstellung einer konsistenten Kommunikation.

Zwischenfazit: Die Krise ist noch lange nicht vorbei, aber:

Die Compor AG hat die Realität akzeptiert.

Die Pressesprecherin übernimmt endlich ihre Rolle und veröffentlicht eine Pressemitteilung auf der Homepage.

Die Produktion versteht die wirtschaftlichen Konsequenzen.

Die ersten ernsthaften Schritte in den Verhandlungen laufen.

Dennoch:

Die Systeme sind immer noch offline.

Kundendaten könnten bereits veröffentlicht sein.

Die Reputation der Compor AG steht auf dem Spiel.

Tag 3 bis 6: Ein Wechselbad der Gefühle

Die Lage bei der Compor AG bleibt angespannt, doch es gibt erste Fortschritte.

Verhandlungen mit den Erpressern – ein langsamer Durchbruch

Die Gespräche mit den Angreifern laufen weiter. Nach zähen Verhandlungen wird die ursprüngliche Lösegeldforderung von 5 Millionen auf 2 Millionen Euro reduziert. Die Erpresser signalisieren Verhandlungsbereitschaft, verlangen aber weiterhin eine zügige Entscheidung.

Parallel laufen intensive IT-Forensik-Untersuchungen, die erste Ergebnisse liefern sollen:

Bestätigung oder Widerlegung erster Annahmen: Wurde wirklich etwas gestohlen?

Neue Erkenntnisse über das Vorgehen der Angreifer: Wie sind sie ins System gelangt?

Erste Systeme können wiederhergestellt werden: Es gibt vorsichtigen Optimismus.

Inzwischen gibt es eine interne Anweisung zur absoluten Diskretion – alle Mitarbeiterinnen und Mitarbeiter sind angehalten, keine Informationen nach außen dringen zu lassen.

Fortschritte in der Kommunikation:

Die Kommunikationsbrücke zur Produktion ist wieder stabil – endlich sind Verwaltung und Produktion auf demselben Informationsstand. Der Azubi kann sein Motorrad wieder abstellen. Seine Tankrechnungen kann er zwar noch nicht einreichen, da das Reisekostensystem weiterhin außer Betrieb ist, doch sein Chef zeigt sich großzügig und übernimmt die Kosten unbürokratisch.

Die Homepage wird regelmäßig aktualisiert, um Medien und Stakeholder auf dem Laufenden zu halten.

Mitarbeiter werden regelmäßig informiert, was die Gerüchteküche langsam eindämmt.

Steigender Druck von außen – der Fall wird öffentlich

Während das Unternehmen langsam Kontrolle über die technischen Probleme gewinnt, nimmt der öffentliche Druck massiv zu. Die Medienberichterstattung explodiert:

Die Fachpresse berichtet detailliert über den Angriff und seine Auswirkungen.

Die Wirtschaftsmedien stellen Fragen zur Cybersicherheit in der Automobilbranche und spekulieren über die wirtschaftliche Zukunft der Compor AG.

Die Pressesprecherin drängt im Krisenstab darauf, einen Spezialisten für Social-Media-Monitoring und Sentiment-Analyse hinzuzuziehen. Die Nachrichtenflut sei überwältigend und allein könne sie weder den Überblick behalten noch die öffentliche Stimmung präzise einschätzen. Wie recht sie damit hat, zeigt sich kurz darauf, als sich die Boulevardmedien auf einen ganz anderen Aspekt der Compor AG fokussieren – den Vertriebschef Leo Falkenstein. Die Schlagzeilen drehen sich plötzlich nicht mehr nur um den Cyberangriff, sondern auch um halbnackte Tatsachen und fragwürdige Exzesse:

»Cyberangriff legt Compor AG lahm – völlige Überforderung in der Führungsetage?«

»Vertriebschef Falkenstein – Party, Playboys und eine kriselnde Firma«

»D-Promi-Model und Lambo-Lover: Wie viel Schaden entsteht der Compor AG durch ihre eigenen Leute?«

»Krise, Cyber, Kokain? Vertriebschef Falkenstein und die Schattenseiten der Compor AG«

Privatleben auf Firmenrechnern – ein unterschätztes Risiko?

Der Cyberangriff auf die Compor AG nimmt eine neue Wendung, als private Fotos des Vertriebschefs Leo Falkenstein im Darknet auftauchen – und kurz darauf in der Boulevardpresse. Was als IT-Sicherheitsvorfall begann, entwickelt sich zu einem Reputationsskandal.

Die Frage, woher die Gerüchte und vor allem die kompromittierenden Bilder stammen, klärt – wie für Fälle dieser Art nicht unüblich – ein externer Incident-Response-Analyst, der gezielt für die technische Auswertung komplexer Angriffsspuren hinzugezogen wurde. Dieser ist auf datengestützte Angriffsrekonstruktion spezialisiert und unterstützt den Krisenstab bei der Bewertung der Lage.

Um den Druck in den Verhandlungen zu erhöhen, haben die Angreifer gezielt ausgewählte Dokumente in einem bekannten Darknet-Forum veröffentlicht. Neben wertvollen technischen Unterlagen aus der Entwicklungsabteilung der Compor AG findet sich dort auch eine Sammlung sehr persönlicher Bilder von Vertriebschef Falkenstein und seiner Frau. Die Presse beobachtet solche Foren regelmäßig, insbesondere Boulevardmedien durchforsten sie gezielt nach verwertbarem Material. Während Blaupausen die Konkurrenz interessieren, liefern brisante Privatfotos eine perfekte Schlagzeile. So erhält die Cyberkrise eine völlig neue Dimension – und das öffentliche Interesse explodiert.

Die Ursache ist banal, denn der Laptop von Vertriebschef Falkenstein wurde ebenfalls Opfer der Ransomware. Damit steht fest, dass die Angreifer nicht nur Daten verschlüsselt, sondern auch kopiert und durchforstet haben.

Die eigentliche Sicherheitslücke? Falkenstein hat entgegen den Unternehmensrichtlinien seinen Arbeitslaptop auch für private Zwecke genutzt – inklusive der Aufnahme und Verwaltung sehr persönlicher Bilder und Videos.

Der Vertriebschef wird einberufen und bekommt einen sofortigen Maulkorb. Nach einer internen Sitzung wird entschieden: Er wird bis auf Weiteres suspendiert.

Immerhin … ein Durchbruch in den Verhandlungen

Parallel zu den medialen Turbulenzen gibt es einen entscheidenden Fortschritt in den Verhandlungen mit den Erpressern: die Einigung auf eine Zahlung von 950.000 Euro in Bitcoin unter der Bedingung folgender Abmachung:

Die Angreifer liefern einen funktionierenden Entschlüsselungs-Key.