„Lanxess ist Ziel eines Hackerangriffs geworden“, „Massiver Hackerangriff auf Onlinebank alarmiert Finanzaufsicht“, „Hackerin stiehlt Daten von 100 Millionen Bankkunden“, „Universität und Klinikum Gießen ‚komplett offline‘“, „Autovermietung stellt Daten von drei Millionen Nutzern ins Netz …“, „Norsk Hydro Hackerangriff treibt Aluminiumpreis hoch“, „Cyberangriff auf deutsche Konzerne – mindestens acht Unternehmen betroffen“: So lauten nur einige Schlagzeilen aus den vergangenen Monaten. Von Götz Schlegtendal

Ob börsennotiertes oder nicht-notiertes Unternehmen, Konzern, Small oder Mid Cap, staatliche Einrichtungen wie Universitäten, Krankenhäuser oder Institutionen, Bundestag oder österreichisches Außenministerium: Vor einer Attacke durch externe Angreifer ist niemand sicher. Wie der Branchenverband Bitkom im November 2019 berichtete, waren rund zwei Drittel aller befragten Unternehmen mit Schäden durch digitale Angriffe konfrontiert. 2017 lag dieser Wert noch bei 43%. Die Angreifer sind überwiegend Profis aus dem Ausland – oft mit Duldung der jeweiligen Staaten.

Die Wahrscheinlichkeit steigt also, dass auch das eigene Unternehmen Ziel eines Cyber-Angriffs werden kann. Die zunehmende Bedrohung durch Attacken in Form von Schadsoftware, Spy-Programme etc. ist nicht nur eine Herausforderung für die IT-Verantwortlichen, sondern zunehmend für die Kommunikation – für Public Relations und Investor Relations. Cyber-Angriffe reichen dabei von Phishing-Websites zum Abgreifen von Passwörtern über Angriffe, bei denen Rechner gegen Lösegeldforderungen gekapert oder verschlüsselt werden, bis zur „Chef-Masche“.

Dabei gibt es im Prinzip zwei wesentliche Phasen, die aus Sicht des Kapitalmarkts relevant sind: Die Zeit vor einem Angriff, also Vorsorge und Abwehr, und die Reaktion auf eine Attacke einschließlich der kommunikativen Nachbereitung, also Schutz und Wiederaufbau von Reputation. Ein weiteres Risiko, nämlich die Konfrontation mit Fake News aus dem Cyber-Raum, soll hier nicht betrachtet werden.

Finanzkommunikation und Prävention

Im Vorfeld möglicher Attacken muss IR mit den Präventionsmaßnahmen vertraut sein (interne oder externe Verantwortung für die IT-Infrastruktur, Sicherheitsstandards, Evaluierung von IT-Risiken, Schutzmaßnahmen, Häufigkeit von Angriffen). Konkrete Aufgabe ist die Erstellung von Grundzügen eines Krisenmanagements bei Cyber-Attacken. Beides fließt auch in die Erstellung des Risikoberichts sowie des Nachhaltigkeitsberichts ein. Nicht alle Aussagen sind dabei für die Öffentlichkeit gedacht, aber sie erlauben es, potenzielle Risiken einzuschätzen. Auch im Nachhaltigkeitsmanagement spielen die Themen Datensicherheit und IT-Infrastruktur eine wichtige Rolle und können mittlerweile Kriterien für Investitionsentscheidungen sein. Je nach Betrachtungsweise von Investoren wird das Thema Datensicherheit entweder der Governance oder dem Komplex Soziales und Gesellschaft zugeordnet.

Die Kommunikation fokussiert in dieser Phase auf die Präventionsmaßnahmen: Schulungen und Fortbildungen, aktuelle IT-Systeme und mögliche Fall-Back- sowie Back-up-Lösungen, Priorität des Themas im Management und in der Strategie. Darüber hinaus spielen auch Cyber-Versicherungen sowie zertifizierte Schutzmaßnahmen eine wesentliche Rolle. Ein Krisenmanual für Cyber-Risiken beinhaltet u.a. verschiedene Szenarien über das Ausmaß einer möglichen Attacke, die wichtigen Ansprechpartner aus der IT, Recht, Financials und Compliance sowie den operativen Abteilungen. Besonders wichtig sind Pläne dazu, wie die relevanten Ansprechpartner im Unternehmen erreicht werden, falls Email und Telefon nicht funktionieren, oder welche Form der Kontaktaufnahme sich zu den verschiedenen Zielgruppen anbietet.

IR  im Cyber-Angriff

Nach einer Attacke muss Investor Relations vor allem Schadensbegrenzung betreiben: Gab es Schäden, und wie handhabt das Unternehmen die Krise? Dieses beginnt unmittelbar bei der Frage, ob sensible Daten oder Informationen verloren oder in unbefugte Hände gelangt sind. Hatte der Angriff negative Auswirkungen auf die IT-Landschaft oder das operative Geschäft? Weitere Fragen umfassen die Maßnahmen zur Schadensbegrenzung und Wiederherstellung der Arbeitsfähigkeit, falls die IT-Systeme heruntergefahren wurden: Gibt es alternative Systeme? Gibt es ein Back-Up? Kann die Wertschöpfung manuell erfolgen? Welche Haltung hat das Unternehmen zur Zahlung eines Lösegelds?

Neben dem klassischen Gebot, dass eine enge Abstimmung zwischen allen relevanten Abteilungen erfolgen muss, ist Transparenz ein wichtiges Thema. Ein „erfolgreicher Angriff“ lässt sich kaum verschweigen. Vielmehr muss ein Unternehmen neben den Sicherheitsbehörden auch zügig die Stakeholder informieren. Monitoring und schnelle Reaktion auf Social-Media-Kanälen ist ein essenzielles Instrument. Bisherige Fälle zeigen, dass Transparenz von den Stakeholdern geschätzt und erwartet wird und dazu beiträgt, die Reputation zu schützen.

Eine erfolgreiche Attacke auf die IT kann zu Schäden an Anlagen, Produktionslinien oder der IT-Infrastruktur aus Hard- und Software führen. Das Beispiel Hydro Norsk zeigt, wie schnell sich Schäden auf Millionenhöhen belaufen, was unmittelbar ein Thema für Investor Relations ist. Weitere materielle und immaterielle Schäden drohen durch Datenverluste oder die Veröffentlichung von vertraulichen Daten. Daraus ergibt sich die Verknüpfung zum Thema CSR. Der Umgang mit Daten von Kunden oder Geschäftspartnern erfordert hohe Sensibilität und ist auch aus Nachhaltigkeitssicht sensibel. Ein erfolgreicher Angriff auf die IT-Infrastruktur wirft die Frage auf, ob das Unternehmen gut geführt und vertrauenswürdig ist. Bleibt dieser Eindruck bestehen, kann es zu Abwertungen bei ESG-Kriterien kommen.

Ist ein Cyber-Angriff erfolgreich, muss der Kommunikationsfokus auf den Schutz der Reputation abzielen. Investor Relations ist also nicht nur kurzfristig, sondern auch langfristig bei der Wiederherstellung von Vertrauen gegenüber Investoren, aber auch Geschäftspartnern und Kunden gefordert. Gleiches gilt für Creditor Relations, denn „erfolgreiche Attacken“ und deren Folgen verunsichern auch Kreditgeber. Der Aufbau von Vertrauen gelingt am ehesten durch Transparenz, also die Darstellung konkret umgesetzter Aktivitäten und den offenen Dialog mit den Stakeholdern.

Fazit

Als ob nicht schon genug auf dem Schreibtisch von Investor Relations liegt. Aufgrund der zunehmenden Bedrohung durch Cyber-Attacken gewinnt das Thema auch an Bedeutung für Investor Relations, und die Verantwortlichen müssen sich mit den Dimensionen, Präventionsmöglichkeiten und denkbaren Schäden auseinandersetzen.

Dieser Artikel erschien zuerst in unserem aktuellen Magazin.

Über den Autor

Dr. Götz Schlegtendal

Dr. Götz Schlegtendal ist Managing Partner bei Instinctiv Deutschland und hat über 20 Jahre Erfahrung in der Kapitalmarktkommunikation auf Unternehmens- und Beratungsseite. Er leitet den Bereich Kapitalmarktkommunikation und berät Unternehmen zu Finanz- und Unternehmenskommunikation, Reporting, Krisenkommunikation, Kapitalmaßnahmen und Nachhaltigkeit.