Warum ist Krisenkommunikation bei Cyberangriffen so wichtig?

Der langfristige Schaden entsteht oft nicht durch den Angriff selbst, sondern durch mangelhafte Kommunikation. Kunden, die aus der Presse von einem Datenleck erfahren, oder widersprüchliche Aussagen zerstören Vertrauen nachhaltig. 87% der deutschen Unternehmen waren 2024 von Cyberattacken betroffen.

Welche Stakeholder müssen bei einem Cyberangriff informiert werden?

Vier Gruppen in dieser Reihenfolge: Primär direkt Betroffene (Kunden mit kompromittierten Daten), sekundär interne Gruppen (Mitarbeiter, Führungskräfte), tertiär Behörden (BSI, Datenschutzaufsicht) und quartär die Öffentlichkeit und Medien.

Warum ist WhatsApp für Krisenkommunikation ungeeignet?

Consumer-Messenger wie WhatsApp übertragen Kontaktdaten an Server außerhalb der EU und erfüllen DSGVO-Anforderungen nicht. Für die Krisenkommunikation sollten Business-Messenger mit EU-Serverstandort, Ende-zu-Ende-Verschlüsselung, keiner Adressbuch-Synchronisation und Auftragsverarbeitungsvertrag genutzt werden.

Welche Meldefristen gelten bei Cybervorfällen?

DSGVO: Meldung an Aufsichtsbehörde innerhalb 72 Stunden bei Verletzung personenbezogener Daten. NIS-2: Frühwarnung binnen 24 Stunden, detaillierte Meldung binnen 72 Stunden, Abschlussbericht binnen 1 Monat an das BSI für regulierte Einrichtungen.

Krisenkommunikation bei Cyberangriff: Leitfaden & Vorlagen

Die Frage, wie man bei einem Cyberangriff kommuniziert, gehört zu den unterschätzten Themen der Informationssicherheit. Wer online recherchiert, findet abstrakte Empfehlungen wie „transparent kommunizieren" oder „Ruhe bewahren" – Ratschläge, die im Ernstfall wenig helfen. Dieser Artikel erklärt, welche Stakeholder wann welche Informationen benötigen, warum WhatsApp keine Option ist und wie Sie Ihr Unternehmen kommunikativ auf den Ernstfall vorbereiten.

Warum Krisenkommunikation über Erfolg oder Scheitern entscheidet

Ein Cyberangriff ist längst kein Ausnahmefall mehr. Die Bitkom-Wirtschaftsschutzstudie 2025 zeigt alarmierende Zahlen: 87 Prozent der deutschen Unternehmen waren in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen – ein Anstieg gegenüber 81 Prozent im Vorjahr. Der Gesamtschaden: 289,2 Milliarden Euro, davon 70 Prozent durch Cyberangriffe verursacht.

Die entscheidende Zahl: 59 Prozent der Unternehmen fühlen sich durch Cyberangriffe in ihrer geschäftlichen Existenz bedroht, doch nur die Hälfte gibt an, auf einen solchen Angriff gut vorbereitet zu sein. Bitkom-Präsident Dr. Ralf Wintergerst bringt es auf den Punkt: „Ein erfolgreicher Cyberangriff kann für Unternehmen das wirtschaftliche Aus bedeuten."

Die Erfahrung zeigt: Der langfristige Schaden eines Cyberangriffs entsteht oft nicht durch die technische Kompromittierung selbst, sondern durch mangelhafte Kommunikation. Kunden, die aus der Presse von einem Datenleck erfahren. Mitarbeitende, die sich mit widersprüchlichen Informationen konfrontiert sehen. Behörden, die Meldefristen verstreichen sehen. In all diesen Fällen hätte professionelle Krisenkommunikation den Schaden begrenzen können.

Der Grundsatz: Intern vor extern

Ein zentrales Prinzip der Krisenkommunikation lautet: Die eigenen Mitarbeitenden erfahren es zuerst – vor externen Stakeholdern, vor den Medien und vor der Öffentlichkeit.

Die Rechnung ist einfach: Mitarbeitende, die von einem Cyberangriff aus den Nachrichten erfahren, verlieren Vertrauen in die Unternehmensführung. Uninformierte Beschäftigte geben auf Nachfragen widersprüchliche Auskünfte. Verunsicherte Teams werden zu unkontrollierbaren Informationsquellen für Journalisten und Wettbewerber.

Gleichzeitig gilt bei größeren Organisationen: „Intern gleich extern" – was intern kommuniziert wird, muss so formuliert sein, dass es auch nach außen getragen werden könnte. Bei 200 Mitarbeitenden ist die Wahrscheinlichkeit hoch, dass interne Informationen innerhalb von Stunden nach außen dringen.

Wer muss informiert werden? Die Stakeholder-Analyse

Die systematische Identifikation aller relevanten Stakeholder bildet die Grundlage jeder Kommunikationsstrategie. Im Rahmen des professionellen Incident Response Managements werden vier Gruppen mit unterschiedlichen Informationsbedürfnissen unterschieden.

Primäre Stakeholder: Direkt Betroffene

Die erste Priorität gilt denjenigen, die vom Vorfall unmittelbar betroffen sind – Kunden mit kompromittierten Daten, Geschäftspartner mit unterbrochenen Lieferketten oder Nutzer ohne Zugang zu Diensten.

Die Bitkom-Studie zeigt die Dimension: 44 Prozent der Unternehmen, bei denen Zulieferer von Cyberangriffen betroffen waren, kämpften anschließend mit Lieferengpässen, Produktionsausfällen oder Reputationsschäden. Diese Kettenreaktion verdeutlicht, warum schnelle Kommunikation mit direkt Betroffenen essenziell ist.

Diese Gruppe erwartet konkrete Antworten:

Was ist passiert?
Bin ich betroffen?
Was muss ich tun?
Welche Risiken bestehen für mich?

Die Kommunikation erfordert Empathie – Betroffene sind nicht verantwortlich für den Vorfall und verdienen eine respektvolle Ansprache mit konkreten Handlungsempfehlungen.

Sekundäre Stakeholder: Interne Gruppen

Mitarbeitende, Führungskräfte, Betriebsrat und interne Dienstleister bilden die zweite zentrale Gruppe. Ihre Information schafft Klarheit, gibt Verhaltensanweisungen und rüstet für den Umgang mit externen Anfragen.

Typische interne Kommunikationsinhalte:

Was ist passiert (so viel wie bekannt und kommunizierbar)
Welche Systeme sind betroffen
Handlungsrichtlinien für Mitarbeitende
Externe Kommunikationszuständigkeiten
Zeitrahmen für nächste Updates

Eine klare Kommunikationskaskade ist entscheidend. Besonders wichtig: Es muss vor dem Ernstfall definiert sein, über welche Wege Mitarbeitende erreicht werden, wenn E-Mail und Intranet ausfallen.

Tertiäre Stakeholder: Institutionelle Gruppen

Aufsichtsbehörden, Regulierungsstellen, Strafverfolgungsbehörden, Wirtschaftsprüfer und Rechtsberater gehören in diese Kategorie. Die Kommunikation folgt hier oft gesetzlichen Vorgaben mit definierten Fristen – dazu später mehr.

Die Zusammenarbeit zwischen Unternehmen und Behörden funktioniert zunehmend besser. Versicherungen mit entsprechenden Cyber-Policen können im Schadensfall innerhalb weniger Stunden ein Expertenteam zusammenstellen – sofern die Meldung rechtzeitig erfolgt.

Quartäre Stakeholder: Öffentlichkeit und Medien

Die Medienöffentlichkeit steht bewusst an letzter Stelle – nicht weil sie unwichtig wäre, sondern weil die anderen Gruppen zuerst informiert sein müssen. Proaktive, transparente Medienansprache verhindert Spekulationen. Schweigen oder widersprüchliche Aussagen verschärfen die Krise.

Die drei Phasen der Krisenkommunikation

Die Kommunikation bei einem Cybervorfall folgt typischerweise drei Phasen mit unterschiedlichen Zielen und Inhalten.

Phase 1: Die Erstreaktion (erste Stunden)

In der unmittelbaren Anfangsphase ist die Informationslage unklar. Ausmaß, Angriffsart und betroffene Systeme sind noch nicht vollständig analysiert. Dennoch muss kommuniziert werden.

Die Kernbotschaften dieser Phase:

„Wir wissen, dass ein Vorfall eingetreten ist."
„Wir arbeiten mit Hochdruck an der Analyse und Behebung."
„Die Sicherheit unserer Daten und Systeme hat höchste Priorität."
„Wir informieren, sobald wir weitere gesicherte Erkenntnisse haben."

Das Bundesamt für Cybersicherheit der Schweiz (NCSC) empfiehlt für diese Phase ein sogenanntes Haltestatement:

„Aktuell kommt es zu Störungen in unseren IT-Systemen aufgrund eines Sicherheitsvorfalls. Wir analysieren die Situation gemeinsam mit IT-Sicherheitsexperten und haben die zuständigen Behörden informiert. Wir bitten um Verständnis, dass wir zum jetzigen Zeitpunkt noch keine detaillierten Aussagen treffen können, und werden zeitnah weitere Informationen bereitstellen."

Wichtig in dieser Phase: Keine Spekulationen über Ursachen, Täter oder Schadensausmaß. Keine voreilige Entwarnung, aber auch keine Dramatisierung. Ehrlichkeit über die Grenzen des aktuellen Wissens.

Phase 2: Die Bewältigungsphase (Tage bis Wochen)

Mit fortschreitender Analyse können konkretere Informationen kommuniziert werden:

Art und Umfang des Vorfalls (soweit bekannt und kommunizierbar)
Betroffene Systeme und Daten
Ergriffene Gegenmaßnahmen
Zeitrahmen für die Wiederherstellung
Konkrete Handlungsempfehlungen für Betroffene

Die Botschaften verschieben sich von „Wir arbeiten daran" zu „Das haben wir bereits erreicht" und „So geht es weiter". Regelmäßige Updates in definierten Intervallen – etwa täglich um 10 Uhr – signalisieren Kontrolle und Professionalität.

Phase 3: Die Abschlussphase (Wochen bis Monate)

Nach Bewältigung des akuten Vorfalls folgt die kommunikative Aufarbeitung. Diese Phase dient der Wiederherstellung von Vertrauen und der Demonstration organisationalen Lernens.

Kommunikationsinhalte der Abschlussphase:

Abschlussbericht über den Vorfall (soweit angemessen)
Implementierte Verbesserungsmaßnahmen
Langfristige Sicherheitsinvestitionen
Gegebenenfalls Entschuldigungen und Entschädigungsangebote

Ein Beispiel für exzellente Abschlusskommunikation lieferte der norwegische Industriekonzern Norsk Hydro: Nach einem schweren Ransomware-Angriff 2019 eröffnete das Unternehmen bereits am Folgetag eine öffentliche Kriseninfo-Seite, die regelmäßig aktualisiert wurde. Dieser Fall gilt bis heute als leuchtendes Beispiel für transparente Krisenkommunikation – und dem Unternehmen entstand trotz des schweren Angriffs langfristig kaum Reputationsschaden.

Was kommunizieren – und was nicht?

Die Frage, welche Informationen in welcher Tiefe kommuniziert werden, erfordert eine sorgfältige Abwägung zwischen Transparenz und operativen sowie rechtlichen Einschränkungen.

Generell zu kommunizierende Informationen

Dass ein Vorfall eingetreten ist (sobald bekannt)
Welche Dienste oder Systeme betroffen sind
Welche Auswirkungen für Stakeholder bestehen
Welche Maßnahmen ergriffen wurden und werden
Wohin sich Betroffene wenden können
Wann das nächste Update erfolgt

Mit Vorsicht zu kommunizierende Informationen

Technische Details zum Angriffsvektor (können Angreifern nutzen)
Namen von Angreifergruppen (Abstimmung mit Ermittlungsbehörden erforderlich)
Exakte Zeitpunkte und Abläufe (können Täterwissen sein)
Laufende Ermittlungen und forensische Analysen
Verhandlungen mit Angreifern bei Ransomware

Grundsätzlich nicht zu kommunizierende Informationen

Unbestätigte Vermutungen über Ursachen oder Täter
Details, die laufende Ermittlungen gefährden könnten
Technische Schwachstellen, die noch nicht behoben sind
Interne Schuldzuweisungen oder Konflikte

Die Abstimmung mit Rechtsabteilung, Datenschutzbeauftragten und gegebenenfalls Strafverfolgungsbehörden ist vor jeder externen Kommunikation zwingend erforderlich.

Kommunikationskanäle bei IT-Ausfall

Ein Cyberangriff kann genau die Systeme lahmlegen, die normalerweise für die Kommunikation genutzt werden: E-Mail, Intranet, VoIP-Telefonie, Kollaborationsplattformen. Die Etablierung alternativer Kommunikationswege – sogenannter Out-of-Band-Kanäle – ist daher essentiell. Dabei ist zu beachten, dass auch die Notfallkommunikation den DSGVO-Anforderungen entsprechen muss.

Warum Consumer-Messenger keine Option sind

Die Nutzung von Consumer-Messengern wie WhatsApp ist für die geschäftliche Kommunikation aus datenschutzrechtlichen Gründen problematisch. Viele dieser Dienste übertragen Kontaktdaten an Server außerhalb der EU und erfüllen die Anforderungen der DSGVO nicht.

Die Nutzung nicht-DSGVO-konformer Messenger für die Krisenkommunikation kann daher zusätzliche rechtliche Probleme verursachen – ausgerechnet in einer Situation, in der das Unternehmen ohnehin unter Druck steht.

Anforderungen an DSGVO-konforme Messenger

Für die interne Notfallkommunikation sollten Business-Messenger-Lösungen gewählt werden, die folgende Kriterien erfüllen:

Kriterium	Bedeutung
Server- und Unternehmensstandort EU oder vergleichbar	Keine Datenübertragung in unsichere Drittstaaten
Ende-zu-Ende-Verschlüsselung	Schutz der Kommunikationsinhalte
Keine Adressbuch-Synchronisation	Keine ungewollte Übertragung von Kontaktdaten
Auftragsverarbeitungsvertrag (AVV)	Rechtliche Absicherung nach DSGVO
Administrationsmöglichkeiten	Zentrale Verwaltung, Nutzerrechte, Audit-Logs
Unabhängigkeit von der Unternehmens-IT	Funktionsfähigkeit auch bei kompromittierter Infrastruktur

Es gibt mittlerweile mehrere europäische Anbieter, die diese Anforderungen erfüllen und speziell für den Unternehmenseinsatz konzipiert sind. Einige werden sogar in Behörden und Organisationen mit Sicherheitsaufgaben eingesetzt.

Entscheidend ist: Die Kontaktsynchronisation muss bei allen Business-Messengern deaktiviert werden, um DSGVO-Konformität sicherzustellen.

Anforderungen an sichere E-Mail für die Außenkommunikation

Für die externe Kommunikation im Krisenfall sollten vorab Konten bei sicheren, unabhängigen E-Mail-Providern eingerichtet werden. Das BSI empfiehlt für die Behördenkommunikation die Verwendung von S/MIME-Verschlüsselung.

Anforderungen an Notfall-E-Mail-Provider:

Kriterium	Bedeutung
Server- und Unternehmensstandort EU oder vergleichbar	Datenschutzkonformität, kein Zugriff durch Drittstaaten
S/MIME- und/oder PGP-Unterstützung	Verschlüsselung und digitale Signatur
Eigene Domain möglich	Professionelle Außenwirkung (z.B. krise.firmenname.de)
Unabhängigkeit von der Unternehmens-IT	Funktionsfähigkeit auch bei kompromittierter Infrastruktur
Webmail-Zugang	Zugriff ohne Installation auf beliebigem Gerät

Es gibt mehrere E-Mail-Provider, die diese Anforderungen erfüllen und sich explizit an Geschäftskunden richten.

Verschlüsselung und digitale Signatur

Für die Kommunikation mit Behörden, Geschäftspartnern und rechtlich relevante Korrespondenz ist die Möglichkeit zur Verschlüsselung und digitalen Signatur entscheidend:

S/MIME (Secure/Multipurpose Internet Mail Extensions):

Standard für Behörden- und Unternehmenskommunikation
Zertifikatsbasiert mit hierarchischer Public Key Infrastructure (PKI)
Hohe Vertrauensstellung durch Zertifizierungsstellen
Kompatibel mit Outlook, Thunderbird und anderen gängigen E-Mail-Clients
Vom BSI für Projekte des Bundes empfohlen

PGP/OpenPGP (Pretty Good Privacy):

Open-Source-Standard
Web of Trust statt zentraler Zertifizierungsstellen
Kostenlose Schlüsselerstellung möglich
Breite Unterstützung durch sichere E-Mail-Provider

Praktische Empfehlung: Für die Behördenkommunikation (BSI, BaFin, Datenschutzbehörden) ist S/MIME der bevorzugte Standard. Die BaFin beispielsweise akzeptiert sowohl S/MIME als auch PGP für die gesicherte Kommunikation.

Weitere Kommunikationskanäle

Neben Messengern und E-Mail sollten weitere Kanäle vorbereitet sein:

SMS-Verteiler über externe Dienstleister: Für Massenbenachrichtigungen, unabhängig von Smartphones mit Messenger-Apps
Telefonketten: Dokumentierte Ablaufpläne mit privaten Mobilfunknummern (mit Einwilligung der Mitarbeitenden)
Physische Aushänge: An zentralen Orten wie Eingängen, Pausenräumen, Kantinen
Lokale Versammlungen: In definierten Räumlichkeiten zu festgelegten Zeiten

Die Kontaktdaten für diese Kanäle müssen außerhalb der betroffenen IT-Systeme verfügbar sein – idealerweise sowohl in physischer Form (laminierte Notfallkarten, ausgedruckte Listen) als auch in einer Cloud-Lösung, die unabhängig von der Unternehmens-IT funktioniert.

Einrichtung eines Notfall-E-Mail-Systems

Vor dem Vorfall:

Notfall-Domain registrieren (z.B. krise.firmenname.de) bei einem unabhängigen Provider
E-Mail-Konten anlegen für Geschäftsführung, Pressesprecher, Datenschutzbeauftragten und IT-Leitung
S/MIME-Zertifikate beschaffen bei einer anerkannten Zertifizierungsstelle (z.B. D-Trust, SwissSign)
Signierte Test-E-Mails versenden an wichtige Behörden und Geschäftspartner, damit diese die öffentlichen Schlüssel speichern
Zugangsdaten sicher verwahren außerhalb der Unternehmens-IT (verschlüsselter USB-Stick im Safe, Papierausdruck)

Im Krisenfall:

Zugang zum Notfall-E-Mail-System über externes Gerät (privates Smartphone, Notfall-Laptop)
Erste Kommunikation mit Hinweis auf temporäre Adresse
Bei Antworten: Authentizität durch digitale Signatur nachweisen
Für vertrauliche Inhalte: Verschlüsselung aktivieren (sofern Empfänger dies unterstützt)

Das Krisenkommunikationsteam

Die Zusammensetzung und Organisation des Kommunikationsteams entscheidet über die Reaktionsfähigkeit im Ernstfall. Ein externer Informationssicherheitsbeauftragter kann hier wertvolle Unterstützung bieten – insbesondere für KMU, die keine eigene Sicherheitsabteilung haben.

Kernrollen und Verantwortlichkeiten

Rolle	Verantwortlichkeiten
Kommunikationsleiter/in	Gesamtkoordination, strategische Entscheidungen, Eskalation
Sprecher/in	Einzige autorisierte Stimme nach außen, Medieninterviews
Interne Kommunikation	Mitarbeiterinformation, Führungskräfte-Briefings
Externe Kommunikation	Pressemitteilungen, Website, Social Media
Stakeholder-Management	Kunden, Partner, Lieferanten, Investoren
Behördenkontakt	Meldungen an BSI, Datenschutzbehörden, Polizei

Schnittstellen zu anderen Teams

Das Kommunikationsteam arbeitet nicht isoliert. Enge Abstimmung ist erforderlich mit:

IT/IT-Sicherheit: Für technische Fakten und Freigabe von Informationen
Rechtsabteilung: Für rechtliche Prüfung aller Aussagen
Datenschutz: Bei personenbezogenen Daten
Geschäftsführung: Für strategische Entscheidungen und Top-Management-Kommunikation
HR: Bei Auswirkungen auf Mitarbeitende

Der One-Voice-Grundsatz

In der Krise darf es nur eine konsistente Botschaft geben. Widersprüchliche Aussagen aus verschiedenen Unternehmensteilen untergraben die Glaubwürdigkeit massiv.

Praktisch bedeutet dies:

Regelmäßige Abstimmungsrunden (mindestens täglich, in akuten Phasen mehrfach täglich)
Zentrale Freigabe aller Kommunikationsinhalte
Klare Regeln, wer zu welchen Themen Auskunft geben darf
Sprachregelungen für alle Mitarbeitenden mit Kundenkontakt

Regelmäßige Übungen

Ein Plan, der nie getestet wurde, versagt im Ernstfall. Jährliche Krisensimulationen – analog zu Brandschutzübungen – prüfen die Funktionsfähigkeit der Kommunikationswege, trainieren die Teammitglieder und identifizieren Verbesserungspotenziale. Die NIS-2-Schulungspflicht für Geschäftsführer unterstreicht die Bedeutung solcher Übungen auch auf Leitungsebene.

Eine Übung sollte umfassen:

Aktivierung des Krisenstabs unter realistischen Bedingungen
Erstellung und Abstimmung von Kommunikationsmaterialien unter Zeitdruck
Test der Out-of-Band-Kanäle (Messenger, Notfall-E-Mail)
Simulation von Medienanfragen
Test der verschlüsselten Kommunikation mit Behörden
Dokumentation und Lessons Learned

Der Krisenkommunikationsplan

Die Qualität der Krisenkommunikation hängt maßgeblich von der Vorbereitung ab. Ein Krisenkommunikationsplan sollte vor dem Ernstfall erarbeitet, abgestimmt und getestet werden.

Bestandteile des Plans

Organisatorische Grundlagen:

Zusammensetzung des Krisenkommunikationsteams mit Kontaktdaten
Vertretungsregelungen und Erreichbarkeiten (24/7)
Eskalationsstufen und Entscheidungskompetenzen
Schnittstellen zu anderen Krisenstäben

Stakeholder-Dokumentation:

Vollständige Liste aller Stakeholder-Gruppen
Kontaktdaten und Kommunikationspräferenzen
Informationsbedürfnisse je Gruppe
Priorisierung und Reihenfolge der Information

Kommunikationsmittel:

Vorbereitete Textbausteine für verschiedene Szenarien
Templates für Pressemitteilungen, E-Mails, Social-Media-Posts
Q&A-Kataloge mit antizipierten Fragen und Antworten
Haltestatements für die erste Reaktion

Technische Infrastruktur:

Dokumentierte Out-of-Band-Kanäle (Messenger, Telefon)
Zugangsdaten zu Notfall-E-Mail-System
Notfall-Domain und Darksite-Konzept
Externe Dienstleister für Notfallunterstützung

Vorbereitete Textbausteine

Erfahrene Krisenkommunikatoren empfehlen, 70 bis 90 Prozent der benötigten Texte bereits vor dem Ernstfall vorzubereiten. Im Krisenfall werden dann nur noch die situationsspezifischen Details ergänzt. Dies spart wertvolle Zeit und verhindert Formulierungsfehler unter Druck.

Beispiel für einen vorbereiteten Textbaustein (Kundeninformation):

Sehr geehrte Kundin, sehr geehrter Kunde,

wir möchten Sie darüber informieren, dass [Unternehmen] am [Datum] einen Sicherheitsvorfall in unseren IT-Systemen festgestellt hat. Nach aktuellem Kenntnisstand [Art der Betroffenheit].

Wir haben umgehend Maßnahmen ergriffen: [Maßnahmen]. Die zuständigen Behörden wurden informiert.

Wir empfehlen Ihnen, [Handlungsempfehlungen].

Für Fragen stehen wir Ihnen unter [Kontakt] zur Verfügung. Wir werden Sie über weitere Entwicklungen zeitnah informieren.

[Abschluss]

Behördenkommunikation: Fristen und Inhalte

Die Kommunikation mit Behörden unterliegt bei Cybervorfällen gesetzlichen Pflichten. Die wichtigsten Regelwerke sind das NIS-2-Umsetzungsgesetz für regulierte Einrichtungen und die DSGVO bei Verletzungen personenbezogener Daten.

NIS-2-Meldepflichten

Unternehmen, die unter das NIS-2-Umsetzungsgesetz fallen, müssen erhebliche Sicherheitsvorfälle dem BSI melden. Das dreistufige Verfahren sieht vor:

Frist	Meldungstyp	Inhalt
24 Stunden	Frühwarnung	Identifikation der Einrichtung, Zeitpunkt der Kenntniserlangung, erste Einschätzung zu rechtswidrigen Handlungen, grenzüberschreitende Auswirkungen
72 Stunden	Detaillierte Meldung	Bewertung von Schweregrad und Auswirkungen, technische Details (IoC), ergriffene und geplante Maßnahmen
1 Monat	Abschlussbericht	Vollständige Dokumentation, Ursachenanalyse, implementierte Maßnahmen, Lessons Learned

Nutzen Sie unseren Cybervorfall-Meldefristen-Rechner, um die Fristen für Ihren konkreten Fall zu berechnen. Mit der NIS-2-Betroffenheitsanalyse können Sie prüfen, ob Ihr Unternehmen überhaupt unter die Regelung fällt.

DSGVO-Meldepflichten

Bei Verletzungen des Schutzes personenbezogener Daten gelten die Meldepflichten nach Art. 33 und 34 DSGVO:

Meldung an die Aufsichtsbehörde (innerhalb von 72 Stunden):

Art der Verletzung
Kategorien und ungefähre Zahl betroffener Personen
Name und Kontaktdaten des Datenschutzbeauftragten
Wahrscheinliche Folgen
Ergriffene oder vorgeschlagene Maßnahmen

Benachrichtigung betroffener Personen (unverzüglich bei hohem Risiko):

In klarer, einfacher Sprache
Mit konkreten Handlungsempfehlungen

Unser Datenschutzpannen-Meldetool unterstützt bei der strukturierten Erfassung aller meldepflichtigen Informationen. Mehr zu den Überschneidungen von DSGVO und NIS-2 finden Sie in unserem ausführlichen Fachartikel.

Strafverfolgungsbehörden

Die Einschaltung der Polizei oder Staatsanwaltschaft ist nicht immer verpflichtend, aber in vielen Fällen ratsam. Vor einer Anzeige sollte abgewogen werden:

Beweissicherung vor polizeilichen Maßnahmen
Abstimmung von Pressemitteilungen (Ermittlungsbehörden haben oft Pressehoheit)
Mögliche Auswirkungen auf Verhandlungen mit Angreifern (bei Ransomware)

Häufige Fehler in der Krisenkommunikation

Aus der Praxis lassen sich typische Fehler identifizieren:

Kommunikationsverweigerung: „Kein Kommentar" wird als Schuldeingeständnis oder Inkompetenz interpretiert. Auch wenn wenig gesagt werden kann, muss kommuniziert werden.

Zu späte Kommunikation: Wenn Stakeholder aus anderen Quellen vom Vorfall erfahren, ist die Deutungshoheit verloren. Das Negativbeispiel Yahoo zeigt die Konsequenzen: Der Webdienstleister verschleierte 2013 einen Hackerangriff mit 3 Milliarden betroffenen Konten trotz gesetzlicher Informationspflicht – mit verheerenden Folgen für Reputation und Aktienkurs.

Widersprüchliche Aussagen: Unterschiedliche Botschaften aus verschiedenen Unternehmensteilen zerstören Glaubwürdigkeit innerhalb von Stunden.

Technischer Fokus statt Empathie: Betroffene interessieren sich weniger für technische Details als für die Auswirkungen auf sich selbst. Die Kommunikation muss die Perspektive der Betroffenen einnehmen.

Voreilige Entwarnung: Eine zu frühe „Alles unter Kontrolle"-Botschaft, die später revidiert werden muss, schadet mehr als zurückhaltende, ehrliche Kommunikation.

Schuldzuweisungen: Öffentliche Schuldzuweisungen an Mitarbeitende, Dienstleister oder Dritte lenken vom eigentlichen Thema ab und wirken unprofessionell.

Nutzung unsicherer Kommunikationskanäle: Die Verwendung von nicht-DSGVO-konformen Diensten für die Krisenkommunikation kann zusätzliche rechtliche Probleme verursachen und das Vertrauen weiter beschädigen.

Kommunikation nach der Krise

Die Krisenkommunikation endet nicht mit der technischen Behebung. Die Post-Crisis-Phase dient der Wiederherstellung von Vertrauen und der kommunikativen Aufarbeitung.

Interne Aufarbeitung

Danksagung an beteiligte Teams
Transparente Information über Lessons Learned
Kommunikation implementierter Verbesserungen
Gegebenenfalls Schulungen zu neuen Sicherheitsmaßnahmen

Externe Aufarbeitung

Abschließende Information an alle Stakeholder
Dokumentation der Krisenbewältigung (für Regulierer, Cyberversicherungen)
Gegebenenfalls positive Narrative über erfolgreiche Krisenbewältigung
Langfristige Vertrauensarbeit durch erhöhte Transparenz

Evaluation der Kommunikation

Rückmeldungen von Stakeholdern einholen
Medienresonanzanalyse durchführen
Kommunikationsprozesse evaluieren
Krisenkommunikationsplan aktualisieren
Notfall-Kommunikationskanäle überprüfen und aktualisieren

Was gute Krisenkommunikation kostet – und was sie verhindert

Die Investition in Krisenkommunikationsvorbereitung sollte im Verhältnis zu den potenziellen Schäden betrachtet werden:

Schadensart	Typische Kosten
Ransomware-Angriff (KMU)	50.000 – 500.000 €
Betriebsunterbrechung (pro Tag)	10.000 – 100.000 €
DSGVO-Bußgeld bei verspäteter Meldung	bis 20 Mio. € oder 4% des Jahresumsatzes
NIS-2-Bußgeld	bis 10 Mio. € oder 2% des Jahresumsatzes
Reputationsschaden durch schlechte Kommunikation	schwer quantifizierbar, oft existenzbedrohend
Verlorene Aufträge (fehlendes Vertrauen)	variabel, oft sechsstellig

Ein professioneller Krisenkommunikationsplan, etablierte Out-of-Band-Kanäle und regelmäßige Übungen kosten einen Bruchteil dessen, was eine misslungene Krisenkommunikation an Folgeschäden verursachen kann.

Unsere Unterstützung

Transparenz ist uns wichtig. Die Vorbereitung auf Krisenkommunikation ist Teil unserer Leistungen als externer Informationssicherheitsbeauftragter. Im Rahmen der laufenden Betreuung unterstützen wir bei:

Erstellung von Krisenkommunikationsplänen
Stakeholder-Analyse und Kontaktmanagement
Einrichtung von Out-of-Band-Kommunikationskanälen
Entwicklung von Textbausteinen und Haltestatements
Vorbereitung auf Behördenmeldungen (NIS-2, DSGVO)
Durchführung von Krisenübungen

Für eine individuelle Beratung vereinbaren Sie ein kostenloses Erstgespräch.