Krisenkommunikation bei Cyberangriffen: Leitfaden für Unternehmen & kritische Infrastrukturen

Was ist Krisenkommunikation?

Krisenkommunikation beschreibt die geplante und kontrollierte Kommunikation eines Unternehmens während einer Ausnahmesituation. Ziel ist es, interne und externe Stakeholder sicher, schnell und umfassend über den Vorfall zu informieren, operative Auswirkungen zu minimieren, Vertrauen zu erhalten und regelkonforme Rückverfolgbarkeit zu gewährleisten.

Warum Krisenkommunikation wichtiger ist als je zuvor

Die Zahl globaler Risiken steigt: Cyberbedrohungen, Naturkatastrophen, Datenschutzverletzungen, geopolitische Konflikte oder ethische Fehltritte. Für Unternehmen kann bereits ein einzelner Vorfall massive Folgen haben – von Reputationsverlust über Produktionsstopps bis hin zu Rechtsfolgen und hohen Bußgeldern.

Besonders im digitalen Zeitalter hat sich die Krisenkommunikation von einer PR-Disziplin zu einer geschäftskritischen Funktion auf Vorstandsebene entwickelt. Neue Regulierungen wie die NIS2-Richtlinie verschärfen die Anforderungen und machen eine dokumentierte Sicherheits- und Kommunikationsstrategie zur Pflicht.

Ein effektiver Krisenkommunikationsplan muss dabei Folgendes leisten:

1. Schnelle Informationsweitergabe an relevante Personen
2. Absicherung der Kommunikationskanäle gegen Datenlecks
3. Revisionssichere Dokumentation aller Maßnahmen und Entscheidungen

Die 5 zentralen Elemente eines Krisenkommunikationsplans

1. Risikobewertung & Prävention: Identifizieren und priorisieren Sie Risiken – von Cyberangriffen bis Naturkatastrophen – und entwickeln Sie Präventions- sowie Reaktionsrichtlinien.
2. Klare Rollenverteilung: Definieren Sie ein Krisenteam, Zuständigkeiten, eine Kommunikationshierarchie und führen Sie praxisnahe Schulungen durch.
3. Sichere Kommunikationskanäle: Verwenden Sie Plattformen mit Ende-zu-Ende-Verschlüsselung und Zero-Trust-Architektur für Gruppensysteme, Rundfunk und Dokumentenaustausch.
4. Echtzeit-Kommunikation: Ermöglichen Sie verifizierte Updates in Sekunden – ob intern oder an externe Partner, Behörden, Kunden oder Medien.
5. Post-Crisis Audit & Reporting: Nachbereitung, Schwachstellenanalyse und lückenlose Dokumentation für interne Learnings & regulatorische Anforderungen.

Krisenkommunikation im Cybersecurity-Kontext

Bei durchschnittlich 600 Mio. Cyberangriffen pro Tag ist Geschwindigkeit alles. 2024 basierten laut Studien 95 % aller Vorfälle auf menschlichem Versagen. Zwei aktuelle Fallbeispiele unterstreichen den Handlungsdruck:

1. China-Hack auf US-Telekombetreiber (Okt. 2024): Über Schwachstellen bei AT&T & Verizon verschafften sich Täter Zugang zu hochsensiblen Regierungsdaten – trotz vorhandener Sicherheitssysteme.
2. SignalGate-Leak (März 2025): Hochrangige US-Beamte kommunizierten über eine unsichere Messaging-App. Dabei wurden militärische Pläne öffentlich zugänglich – mit potenziell verheerenden Folgen.

Diese Vorfälle zeigen: Consumer-Apps oder nicht ganzheitlich verschlüsselte Business-Plattformen genügen nicht. Unternehmen brauchen speziell entwickelte, hochsichere Krisenkommunikationstools.

Drei Funktionen, auf die es wirklich ankommt:

• Fallback-Kommunikation: Out-of-Band-Kanäle, unabhängig vom Unternehmensnetz, sollten synchron/asynchron nutzbar und manipulationssicher sein.
• Ganzheitliche E2EE für alle Formate: Chat, Anruf, Datei, Gruppenkommunikation – alle Kommunikationsformen müssen mit moderner Verschlüsselung gegen Mitschnitt, Abhören oder Datenabfluss geschützt sein.
• Rollenbasierter Zugang & Zero Trust: Zugriff granular steuerbar, kein „Vertrauen durch Zugehörigkeit“. Starke Sicherheitsrichtlinien und ständige Verifikation der Nutzeridentitäten sind Pflicht.

Compliance, Risiko & NIS2: Regulatorische Implikationen

Die EU-Richtlinie NIS2, gültig ab Oktober 2024, verpflichtet u.a. folgende Branchen:

• Energieversorgung
• Gesundheit & Medizin
• Digitales & Cloud-Infrastruktur
• Transport, öffentliche Dienste & Finanzwesen

Betrifft alle Unternehmen mit mehr als:

• 250 Mitarbeitenden oder
• 50 Mitarbeitenden & >10 Mio. EUR Umsatz

Bußgelder: Bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes

Pflichten aus der NIS2 für die Krisenkommunikation:

Welche Kommunikationsplattform ist krisensicher?

Slack, Teams & Co. sind für den Alltag gemacht – nicht für Notfälle. Zahlreiche Sicherheitslücken belegen, dass sie nicht für Zero-Day-Events und Datenschutz-Vorfälle ausgelegt sind:

• 🛑 Slack: Über 1 TB an Datenverlust bei Disney aufgrund von Admin-Rechten
• 🛑 MS Teams: wiederholte Sicherheitslücken und nicht flächendeckend verschlüsselt

Die sichere Alternative: Wire

Wire erfüllt alle Sicherheits-, Compliance- und Verfügbarkeits-Anforderungen:

• Ende-zu-Ende-Verschlüsselung mit Proteus & MLS: alle Medienformate, individuell verschlüsselt – keine Zwischenstelle kann mitlesen.
• Zero-Trust & Zero-Knowledge: strenge Zugriffskontrollen ohne stille Rechte, kontinuierliche Nutzerverifikation
• Fallback bei Netzausfall: Wire funktioniert auch Out-of-Band – offline-fähige Alternativkommunikation für Notfälle
• Intuitiv bedienbar: modernste Sicherheitsinfrastruktur mit UX wie bei Consumer-Apps
• Reporting & Nachvollziehbarkeit: vollständige Kommunikation durchsuchbar und auditfähig

→ Erfahren Sie mehr zur NIS2-Compliance mit Wire

Fazit: Die Zukunft der Krisenkommunikation ist sicher, konform & resilient

Eine robuste Krisenkommunikationsstrategie ist heute Pflicht. Die Risiken sind real – sowohl technisch als auch regulatorisch. Unternehmen brauchen Plattformen, die Sicherheit, Geschwindigkeit und Nachweisbarkeit miteinander vereinen. Wire…ist eine Plattform, die genau dafür entwickelt wurde: für den sicheren, schnellen und zuverlässigen Austausch sensibler Informationen in Krisensituationen – unabhängig davon, ob es sich um einen Cybervorfall, eine Störung in der Lieferkette oder einen physischen Notfall handelt.

Ihr nächster Schritt: Überprüfen Sie, ob Ihre bestehende Kommunikationsinfrastruktur den heutigen Anforderungen in puncto Sicherheit und Compliance genügt. Falls nicht, ist jetzt der richtige Zeitpunkt, um auf eine Plattform umzusteigen, die für den Ernstfall gemacht ist – Wire.

Was ist der Unterschied zwischen Krisenkommunikation und regulärer Unternehmenskommunikation?

Während die reguläre Kommunikation auf den Alltag ausgerichtet ist (z. B. Teamabsprachen, Meetings), zielt Krisenkommunikation auf akute, risikobehaftete Situationen ab. Sie stellt sicher, dass klare, sichere und nachvollziehbare Entscheidungen unter Druck getroffen und kommuniziert werden.

Welchen Beitrag leistet Krisenkommunikation zur NIS2-Compliance?

Die NIS2 verpflichtet Unternehmen u. a. zu einer revisionssicheren Vorfallkommunikation, Echtzeit-Informationsweitergabe und zur Einbindung von Management-Ebenen. Ohne sichere Tools und klar definierte Kommunikationsprozesse sind Unternehmen anfällig für Compliance-Verstöße.

Was bedeutet Out-of-Band-Kommunikation in der Krisenbewältigung?

Unter Out-of-Band versteht man unabhängige Kommunikationskanäle! Diese können verwendet werden, wenn interne Systeme gehackt, überlastet oder ausgefallen sind. Sie garantieren handlungsfähige Kommunikation auch bei schwerwiegenden IT-Ausfällen.

Warum sind Consumer-Apps wie Signal oder WhatsApp ungeeignet für Unternehmen?

Obwohl sie Verschlüsselung bieten, fehlt es ihnen an Transparenz, Rollensteuerung, Compliance-Reporting und Audit-Funktionen. Zudem sind ihre Rechenzentren oft außerhalb der EU – ein Problem für datenschutzsensible Branchen.

Welche Rolle spielt das Management bei der Krisenkommunikation?

Unter NIS2 sind Führungskräfte direkt haftbar. Sie müssen Pläne genehmigen, verstehen und aktiv an der Krisenbewältigung mitwirken. Kommunikationsplattformen müssen darum Reporting-Mechanismen bieten, die Führungsebene jederzeit einbinden.