Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Incident Response

Ransomware-Krisenkommunikation: Der 72-Stunden-Plan für die Geschäftsführung

SecTepe Redaktion
|
|
7 Min. Lesezeit

Die ersten 72 Stunden nach einem Ransomware-Vorfall sind kommunikativ entscheidender als die ersten 72 Stunden technisch. Wer technisch alles richtig macht, aber kommunikativ stolpert, verliert Vertrauen, riskiert Bußgelder und sieht sich später Schadensersatz-Klagen ausgesetzt. Dieses Drehbuch ist für die GF, nicht für die IT.

Die kommunikative Lage nach Stunde Null

Innerhalb der ersten Stunden sprechen mit Ihnen – ob Sie es wollen oder nicht:

  • Mitarbeiter: was sollen wir den Kunden sagen? Können wir noch arbeiten? Wer haftet?
  • Kunden: warum geht eure E-Mail nicht? Wann läuft das wieder? Sind unsere Daten betroffen?
  • Aufsichtsbehörden: BSI (NIS-2), Datenschutzaufsicht (DSGVO), evtl. BaFin/branchenspezifisch.
  • Versicherer: erste Anzeige, Schadensaufnahme, Forensiker-Zustimmung.
  • Medien/Soziale Netzwerke: Spekulationen verbreiten sich vor Fakten.
  • Möglicherweise: der Angreifer selbst mit Lösegeldforderung und Drohung der Veröffentlichung.

Stunde 0 – 6: Was die GF persönlich tut

  1. Krisen-Stab einrichten: GF + CISO/IT-Leiter + Datenschutzbeauftragter + Justiziar + externer IR-Partner. Physisch oder per E2E-verschlüsseltem Kanal.
  2. Wichtig: nicht über die kompromittierten Systeme kommunizieren. Eigenes Notfall-Mobil-Setup, separater Mail-Account, idealerweise Matrix/Jitsi-Kanal, der vom Vorfall nicht betroffen ist.
  3. Forensiker beauftragen: Beweissicherung beginnt jetzt. Nichts neu starten, nichts „mal kurz reparieren". Disk-Images zuerst.
  4. Versicherer informieren: viele Policen verlangen Erstanzeige binnen 24 h. Spätere Anzeige = Deckungsverlust-Risiko.
  5. Erste Mitarbeiter-Kommunikation: kurz, faktisch, ohne Spekulation. „Wir haben einen Sicherheitsvorfall, untersuchen die Lage, halten Sie informiert. Bitte keine externe Kommunikation außerhalb des freigegebenen Sprechs."

Stunde 6 – 24: Aufsichts-Kommunikation

DSGVO Art. 33 verlangt Meldung an die Aufsicht binnen 72 h, sobald ein Verdacht auf Verletzung des Schutzes personenbezogener Daten besteht. NIS-2 Art. 23 verlangt eine Frühwarnung an die zuständige Behörde binnen 24 h, sobald sich der Verdacht eines erheblichen Vorfalls erhärtet.

Wichtig: Frühwarnung ist nicht Schluss-Bericht. Sie sagt nur: „Wir haben einen wahrscheinlich erheblichen Vorfall, hier ist, was wir bisher wissen." Sie können später nachsteuern. Spät zu melden ist deutlich schlimmer als unvollständig zu melden.

Stunde 24 – 48: Externe Kommunikation

Spätestens jetzt brauchen Sie eine schriftliche Sprachregelung – freigegeben durch GF, Justiziar und Datenschutzbeauftragten:

  • Kunden-Mail: was ist passiert (in einem Satz), was bedeutet es für sie, welche Daten sind möglicherweise betroffen, was wird unternommen, wie ist der Status, wie können sie kontaktieren.
  • FAQ auf der Website: deutlich sichtbar, regelmäßig aktualisiert mit Zeitstempel.
  • Status-Page: technische Wieder-Anlauf-Stati (welche Dienste sind wieder verfügbar). Externes Hosting, falls eigene Site betroffen.
  • Mitarbeiter-Sprachregelung: wer darf was zu Externen sagen? In den meisten Fällen: nur der/die explizit benannte Sprecher. Alle anderen verweisen.

Stunde 48 – 72: Medien und Aufsichts-Detail-Bericht

Falls Medien Wind bekommen haben (oder der Angreifer öffentlich macht): proaktive Pressemitteilung statt reaktive Stellungnahme. Inhalt: was ist passiert, was wird unternommen, was wir nicht wissen, wann der nächste Update kommt. Spekulation vermeiden.

Aufsicht erwartet bis Ende der 72 h einen detaillierteren Zwischenbericht. Wer eine integrierte Plattform hat, kann Audit-Trail, Asset-Liste, Incident-Klassifizierung und betroffene Datenarten in Stunden statt Tagen bereitstellen.

Was die GF in jedem Statement vermeidet

  • „Wir wurden Opfer eines Hackerangriffs": passiv-defensiv, klingt nach Verharmlosung. Stattdessen: „Wir haben am Tag X einen Sicherheitsvorfall festgestellt."
  • „Es sind keine Daten betroffen" – ohne dass Sie das wissen. Ein späterer Widerruf zerstört Vertrauen.
  • Schuldzuweisungen an Mitarbeiter oder Lieferanten: rechtlich heikel, kommunikativ schädlich.
  • Lösegeld-Diskussionen öffentlich: Verhandlung gehört in einen separaten, nicht-öffentlichen Kanal mit Forensiker und Justiziar.

Vorbereitung – jetzt, nicht im Vorfall

  • Krisenkommunikations-Templates: Mitarbeiter-Mail, Kunden-Mail, Pressemitteilung, FAQ. Vorab freigegeben durch GF + Justiziar + DSB.
  • Out-of-Band-Kommunikationskanal: vom Vorfall nicht betroffen. Idealerweise Matrix-Server auf separater Infrastruktur.
  • Status-Page extern gehostet: bei Hetzner, Cloudflare oder ähnlich – nicht im eigenen RZ.
  • Forensik-Partner-Vertrag: Retainer mit zugesicherter Reaktionszeit. Nicht erst im Vorfall verhandeln.
  • Tabletop-Übung jährlich: GF führt sie persönlich durch. Mindestens einmal mit Krisen-PR-Berater.
  • D&O-Police und Cyber-Police: Notrufnummern auf dem Mobil-Telefon der GF.

Fazit

Die ersten 72 Stunden eines Ransomware-Vorfalls sind kommunikatives Eis: ein Fehltritt, und es bricht. Die GF, die vor dem Vorfall einen schriftlichen 72-h-Plan, Templates, einen Out-of-Band-Kanal und eine getestete Tabletop-Übung hat, ist im Ernstfall handlungsfähig. Wer das alles erst im Vorfall improvisiert, riskiert Bußgelder, Vertrauen und Klagen.

Alle Artikel ansehen Mehr aus dieser Kategorie