Thought Leadership
Wenn Bits zu Bomben werden, muss die IT-Welt einige Aspekte und Faktoren neu denken. Eine oft unterschätzte Kompetenz rückt in den Vordergrund: Kommunikation.
Während Firewalls und Notfallpläne auf technischer Ebene vielerorts existieren, fehlt es häufig an Strategien für den kommunikativen Ernstfall. Doch genau hier entscheidet sich, ob eine Organisation gestärkt oder geschwächt aus einer Krise hervorgeht.
Wie lässt sich die IT-Welt nicht nur für digitale Gefahren, sondern auch für die entscheidende Bedeutung professioneller Krisenkommunikation sensibilisieren? Diese Fallstudie zeigt eindrucksvoll, wie ein Schweizer Unternehmen inmitten eines massiven Cyberangriffs nicht nur seine IT-Systeme, sondern auch seine Kommunikationswege neu erfinden musste. Sie offenbart, welche Rolle transparente, schnelle und menschliche Kommunikation in einem Moment spielt, in dem jedes System stillsteht – und wie Führung in der Krise gelingen kann.
Im Sommer 2019 wurde ein Schweizer Unternehmen, spezialisiert auf Gebäudetechnik, Opfer eines schweren Cyberangriffs. Der Angriff ereignete sich völlig unerwartet, inmitten der Sommerferien, wobei sich glücklicherweise die meisten Entscheidungsträger in der Schweiz aufhielten. Der Angriff, wurde in der Nacht vom externen IT-Dienstleister erkannt. Dieser hatte sofort alle Systeme vom Netz getrennt und die Geschäftsleitung informiert. Alle IT-Systeme – ausgenommen der E-Shop – waren betroffen. Kein Mitarbeiter konnte mehr auf Daten zugreifen, geschweige denn grundlegende Arbeitsprozesse durchführen und das gesamte Unternehmen kam zum Stillstand.
Ein Cyberangriff und seine Konsequenzen
Der Angriff stellte sich als Erpressung heraus: Die Angreifer verlangten eine Summe von mehreren Millionen Schweizer Franken im Austausch für die Herausgabe des Schlüssels zur Entschlüsselung der verschlüsselten Daten. Die Angreifer hatten über mehrere Monate hinweg Schadsoftware, vergleichbar mit digitalen „Sprengsätzen“, unbemerkt im IT-System des Unternehmens platziert. Diese Schadsoftware wurde durch das Öffnen eines infizierten E-Mail-Anhangs aktiviert, wodurch die gesamte IT-Infrastruktur des Unternehmens lahmgelegt wurde.
Die Unternehmensleitung stand vor der Entscheidung, ob sie das geforderte Lösegeld zahlen sollte oder nicht. In Absprache mit dem Verwaltungsratspräsidenten entschied sich die Geschäftsleitung, keine Zahlungen an die kriminelle Organisation zu leisten und stattdessen die Situation offen gegenüber allen Stakeholdern zu kommunizieren. Diese Entscheidung führte zu einer massiven Betriebsunterbrechung, da alle Systeme – von der Zutrittskontrolle bis zu den Produktions- und Kommunikationssystemen – nicht mehr funktionsfähig waren.
Krisenmanagement und interne Organisation
Angesichts der Krise organisierte die Geschäftsleitung rasch einen Krisenstab, der nach militärischem Vorbild hierarchisch strukturiert wurde. Der Krisenstab wurde vom CEO geleitet und traf sich täglich dreimal, um die Situation zu bewerten und Entscheidungen zu treffen. Unterstützt wurde das Unternehmen durch externe Experten, darunter das Bundesamt MELANI, die Kriminalpolizei Zürich sowie Cyber-Spezialisten, die wertvolle Unterstützung und Fachwissen in die Krisenbewältigung einbrachten.
Besonders herausfordernd war die interne Kommunikation. Da die regulären Kommunikationswege über E-Mail und andere IT-Systeme nicht mehr nutzbar waren, griff das Unternehmen auf WhatsApp-Gruppen zurück. Obwohl WhatsApp zu diesem Zeitpunkt noch nicht vollständig verschlüsselt war, blieb dies die einzige praktikable Lösung, um die Mitarbeiter kurzfristig in Echtzeit zu erreichen. Ein starkes Bild dieser Phase war der tägliche Treffpunkt um 6.30 Uhr, bei dem auf einem Flipchart die wichtigsten Aufgaben notiert und anschließend per Foto über WhatsApp an die Mitarbeiter verteilt wurden.
Externe Kommunikation und Auswirkungen auf Kundenbeziehungen
Die externe Kommunikation war ebenso entscheidend. Das Unternehmen entschied sich bewusst für eine offene Kommunikation und erstellte umgehend eine Notfall-Website, über die sich alle Stakeholder zeitgleich und jederzeit über den aktuellen Stand informieren konnten. Dieser offene Umgang mit dem Vorfall wurde von den Medien und auch von staatlichen Stellen positiv aufgenommen. Allerdings zeigte sich, dass die Kundenbeziehungen unter dem Vorfall litten. Während anfänglich noch viel Verständnis und Unterstützung von Seiten der Kunden kam, änderte sich dies nach einigen Wochen, als die Betriebsablaufstörungen teilweise anhielten. Einige Kunden wandten sich aufgrund von Sicherheitsbedenken vorübergehend ab, was zu erheblichen Umsatzverlusten führte.
Lessons Learned und langfristige Auswirkungen
Im Nachgang der Krise wurde deutlich, dass das Unternehmen seine IT-Sicherheitsvorkehrungen erheblich verstärken musste. Trotz vorhandener guter Sicherheitsmaßnahmen war es den Angreifern gelungen, in das System einzudringen. Das Unternehmen zog wichtige Lehren aus der Krise, insbesondere in Bezug auf die Bedeutung von präventiven Krisenplänen und die regelmäßige Übung solcher Szenarien.
Ein weiterer entscheidender Punkt war die Erkenntnis, dass die Kommunikation – sowohl intern als auch extern – der Schlüssel zur Bewältigung einer solchen Krise ist. Der CEO und sein Stellvertreter spielten eine zentrale Rolle, indem sie die Kommunikation persönlich überwachten und über die Kommunikationsabteilung sicherstellten, dass alle Mitarbeiter und Kunden regelmäßig und transparent informiert wurden.
Fazit
Der Cyberangriff stellte das Unternehmen vor immense Herausforderungen, doch die rasche und koordinierte Reaktion der Geschäftsleitung, gepaart mit einer offenen Kommunikationsstrategie, ermöglichte es dem Unternehmen, sich allmählich zu erholen. Die Krise schweißte das Unternehmen zusammen und führte zu einer stärkeren Unternehmenskultur. Nach etwa einem Jahr hatte das Unternehmen die Krise weitgehend überwunden und konnte wieder auf Wachstumskurs gehen. Die Erfahrungen aus dieser Zeit sind heute fest im Risikomanagement und in den Kommunikationsstrategien des Unternehmens verankert.
