Wer sich optimal auf Krisen vorbereitet, minimiert negative Krisenfolgen und spart hohe Folgekosten. Denn eines ist sicher: Keine Technik kann 100-prozentigen Schutz vor Cyberkriminalität (und den meisten anderen modernen Geschäftsrisiken) garantieren. Die Planung der Krisenkommunikation ist eine Versicherungsleistung der Unternehmenskommunikation, nicht weniger wichtig als ein professioneller technischer Schutz vor Einbrechern oder Cyberkriminellen.
Um eine konsistente und schnelle Krisenkommunikation zu garantieren, ist eine klare kommunikative Verantwortungsstruktur wichtig.
(Bild: Visions-AD - stock.adobe.com)
Eine gute Krisenprävention hat aus der Perspektive der Kommunikation drei Elemente:
Ein Krisenkommunikationsplan bereitet das Unternehmen auf alle möglichen Krisenszenarien optimal vor. Dazu zählen klare Verhaltens- und Kommunikationsregeln, vorbereitete Inhalte und sichere Kommunikationskanäle und -instrumente.
Ein Internet-Monitoring zeigt an, wie die Krise in sozialen und traditionellen Medien wahrgenommen wird. Reputationsschädigende Veröffentlichungen können frühzeitig entdeckt und Gegenmaßnahmen eingeleitet werden. Idealerweise kann ein Krisenmonitoring schnell auf im Tagesgeschäft vorhandene Online-Clipping-Services oder Monitoring-Dienste erweitert werden.
Eine gute Kommunikationsarbeit im Tagesgeschäft schafft etablierte Kontakte zu Meinungsführern. Auf gute Beziehungen und starkes Standing kann man in der Krise aufsetzen.
Um eine konsistente Kommunikation und im Krisenfall eine schnelle Reaktion auf alle Herausforderungen zu garantieren, ist eine klare kommunikative Verantwortungsstruktur unbedingt notwendig. Während die Gesamtverantwortung für korrektes unternehmerisches Handeln in der Krise bei der Geschäftsführung liegt, muss die Verantwortung für die Krisenkommunikation in der Abteilung Unternehmenskommunikation angesiedelt werden.
Im Krisenkommunikations-Notfallstab (KKN) sollten nur aktiv an Kommunikationsentscheidungen beteiligte Verantwortliche teilnehmen. Dieses Gremium wird nicht nach hierarchischen Gesichtspunkten besetzt. Die Information der Gesamtorganisation erfolgt über den erweiterten Krisenkommunikations-Notfallstab (eKKN), dem Mitglieder aller Unternehmensbereiche angehören.
Neben der Krisenkommunikation geht es im konkreten Handeln zur Lösung einer Krise vor allen Dingen um die Koordination technischer Maßnahmen. Im Falle einer Cyber-Attacke liegt die Verantwortung bei der IT-Abteilung. Deshalb führen ein Mitglied aus der Unternehmenskommunikation und ein Mitglied aus der IT gemeinsam den KKN.
Zu den Aufgaben des KKN, gehört das Abarbeiten der Kommunikationsmaßnahmen und die laufende Beobachtung der traditionellen und sozialen Medien und die Entscheidung über die Anpassung von Kommunikationsmaßnahmen und Inhalten.
Die Planung der Krisenkommunikation umfasst auch viele praktische Aspekte der Umsetzung. Unbedingt notwendig ist die Vorbereitung eines echten und eines virtuellen Meeting-Raums für die Sitzungen des Krisenstabs. Dabei muss für den Fall einer Cyber-Krise immer mit bedacht werden, dass gegebenenfalls die gelernten Kommunikationstools wie E-Mail, Chat und (Festnetz- bzw. IP-Telefonie) nicht verfügbar sind.
Es muss auch damit gerechnet werden, dass das IT-Netz nicht zugänglich ist oder aus Sicherheitsgründen abgeschaltet werden muss. Sämtliche vorbereiteten Dokumente und Kontaktlisten des Krisenstabs müssen deshalb auch ohne Zugang zum IT-Netz erreichbar sein, ebenso wie ein virtueller Meeting-Raum. Dabei müssen für die Teammitglieder natürlich (private) E-Mail-Accounts genutzt werden, die unabhängig von der IT-Infrastruktur des Unternehmens sind. Nach einem Cyberangriff funktionieren möglicherweise die Mail-Accounts der beteiligten Mitarbeitenden nicht mehr. Die Datenschutz- und Datensicherheitsrelevanten Aspekte sind trotzdem zu beachten.
Licht ins Dunkel mit der Darksite
Dunkel ist die Darksite nur im Normalbetrieb, im Krisenfall kann sie die einzige Verbindung der krisenbetroffenen Organisation zur Außenwelt werden. Eine solche Darksite ist eine vorbereitete Internet-Seite mit den wichtigsten Informationen für Kunden, Partner und Öffentlichkeit im Krisenfall. Diese Darksite wird bei Bedarf „scharf geschaltet“, die Web-Adresse der Homepage wird über den Provider auf die Darksite gelenkt.
Auf der Darksite können anschießend laufend aktuelle Informationen zur Krise und zur Krisenbewältigung veröffentlicht werden sowie Kontaktadressen für Betroffene, Medien und Partner. Bereits im Vorfeld muss geklärt sein, wer im KKN für die Redaktion der Darksite verantwortlich ist.
Das Vorhalten einer Darksite ist unbedingt zu empfehlen, da die Webseite ein attraktives Ziel für Cyberkriminelle ist, weil sie einen erfolgreichen Angriff für die Außenwelt sichtbar macht.
Entscheidend für eine gute Medienarbeit ist, dass traditionelle Medien und Nutzer sozialer Medien aus einer Hand informiert werden. Deshalb muss geklärt sein, dass ausschließlich definierte Mitarbeiter*innen der Unternehmenskommunikation mit Erfahrung in der Öffentlichkeitsarbeit Stellungnahmen gegenüber den Medien abgeben. Alle Abteilungen müssen darüber informiert sein, wer Ansprechpartner für Medien ist. Die Pressearbeit in der Krise erfolgt grundsätzlich mehrstufig.
Sofort bei Ausbruch der Krise muss ein vorbereitetes Statement bereitgestellt werden, das auf Anfrage herausgegeben werden kann. Dieses Statement kann noch keine Details zum Vorfall selbst enthalten, muss aber bereits die Bereitschaft zur offenen Kommunikation erklären. Dieses Statement wird bereits vor der Krise vorbereitet. Da die meisten Cyber-Vorfälle nach dem gleichen Muster ablaufen können die Dokumente weitgehend vorbereitet werden. Je konkreter das Ausmaß der Krise intern bekannt ist, desto konkreter kann das reaktive Statement angepasst werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sobald Ursache und Ausmaß der Krise benannt werden können, erfolgt eine aktive Information mit Kern-Aussagen. Da die häufigsten Formen von Cyber-Angriffen bekannt sind, kann auch diese Pressemitteilung bereits vor der Krise vorbereitet werden. Gegebenenfalls können noch ergänzende Aussagen hinzugefügt werden, die für das Verständnis des Vorfalls wichtig sind bzw. die Reputation schützen oder zusätzliche Informationen für Betroffene beinhalten.
Bei der aktiven Kommunikation ist darauf zu achten, dass interne Systeme, etwa Listen mit Medienkontakten oder Tools für den Versand von Pressemitteilungen nicht mehr zur Verfügung stehen. Cloud-Lösungen können hier Abhilfe schaffen und lassen sich meist auch im Tagesgeschäft nutzen (dann muss man sich im Krisenfall nicht erst einarbeiten).
Eine zweite Pressemitteilung folgt zeitnah mit ergänzenden Informationen zum Vorfall und mit einer Erläuterung der Anti-Krisenstrategie sowie ggf. Hinweisen für Betroffene. Je nach Krisenverlauf folgen weitere Pressemitteilungen.
Die optionale vierte Phase kann kommunikativ grundsätzlich für den Vertrauensaufbau genutzt werden: Geschäftsführende und Mitglieder des Expertenteams können gemeinsam darüber berichten, welche Wege zur erfolgreichen Bewältigung der Krise geführt haben.
Das Kommunikationshandbuch – Nachschlagwerk für die Krise
Das Krisenkommunikationshandbuch ist Teil des Notfallhandbuchs. Das Notfallhandbuch deckt alle Aspekte der Krisenbewältigung ab, es kann für jede potenziell von einer Krise betroffene Fachabteilung mit einem entsprechenden Kapitel ergänzt werden. Zusätzlich sollte das Notfallhandbuch weitere Unterlagen umfassen, die eher dem allgemeinen Krisenmanagement einer Organisation zuzuordnen sind.
Hilfreich ist auch der „Leitfaden Krisenkommunikation“, den das Bundesministerium des Innern herausgegeben hat. Die Krisenkommunikation sollte immer ein Teil eines Notfallhandbuch sein, denn es hilft auch nichts, wenn ein Unternehmen technisch gerettet ist, aber die Kunden und Partner mangels Kommunikation weglaufen. Nach meiner Erfahrung muss ein Notfallhandbuch immer in einem Prozess mit Geschäftsführung, Kommunikationsabteilung, IT-Abteilung, Sicherheits-Experten und betroffenen Fachabteilungen eines Unternehmens erarbeitet werden.
Als Lackmustest simulieren wir eine Krisensituation durch Ausrufung der Krise durch die Leitung des Krisenkommunikations-Notfallstabs bis zu dessen erster Konferenz. Dort werden dann die ersten Maßnahmen beschlossen. Damit wird überprüft, ob Maßnahmen funktionieren, Gremien arbeitsfähig sind und die Prozesse wie gewünscht ablaufen und die Vorlagen tauglich sind.
Im Idealfall werden solche Krisenreaktionstests idealerweise jährlich wie eine Brandschutzübung durchgeführt. Dies ist dann auch immer ein guter Anlass, um alle Dokumente, v.a. Ansprechpartner und Kontaktdaten, zu aktualisieren und die definierten Prozesse neuen Gegebenheiten anzupassen. Ein Krisenreaktionsplan ist nie fertig. Die Cyberkriminellen sind es mit ihren Planungen ja auch nicht.
Über den Autor: Dr. Michael Kausch ist Gründer und Geschäftsführer der PR- und Content-Agentur vibrio. mit Hauptsitz in München. vibrio hat als Agentur für Kommunikationsmanagement schon viele Unternehmen, Organisationen und Institutionen wie Hochschulen auf Cyberkrisen vorbereitet und sicher durch Krisen begleitet. Dies liegt unter anderem daran, dass die Agentur seit ihrer Gründung Unternehmen aus der IT-Sicherheit betreut. Einer der ersten war vor rund 30 Jahren der britischen Anti-Viren-Spezialist Dr. Solomon, später kamen dann so renommierte Anbieter wie Barracuda, G DATA, Microsoft, Sophos und der Verband der Softwareindustrie Deutschlands vsi hinzu.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/02/c6/02c6db2030b30fb961763e6426721851/95116129.jpeg "In der Hektik eines Cyberangriffs eine klare Kommunikationslinie neu zu entwickeln, ist nahezu unmöglich. Ein Krisenplan inklusive Kommunikationsempfehlung sollte deshalb bereits fertig in der Schublade liegen. (©Rymden - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/12/641244fab12277c16ab5cdda868bf88a/0120917079v2.jpeg "Cyberrisiken sind wie überfüllte Straßen: Sind sie einmal da, gehen sie so schnell nicht wieder weg. Dann hilft nur: anschnallen und dauerhaft vorsichtig fahren. (Bild: Drazen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/58/6c58f874ac2af27c6a395593026d739b/0115814734.jpeg "Im Ernstfall mindern eine mangelhafte Organisation und Kommunikation die Effizienz der Notfallmaßnahmen drastisch – mit oftmals gefährlichen Folgen für die Angestellten. (Bild: Elnur - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1633700/1633728/original.jpg "Unternehmen sollten sich nicht nur damit beschäftigen, wie man eine Krise verhindert, sondern auch wie man sie durch gute Vorbereitung, richtige Kommunikation und schnelles Handeln meistert. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/01/18/0118bda3aac854c87322e896f99563aa/0118614255.jpeg "Unternehmen sollten sich dem Thema Cyber-Krisenmanagement annähern, denn traditionelles Krisenmanagement bietet keinen angemessenen Schutz vor Cyberangriffen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/b5/fbb5d2fee453bd19dbaea1134c20ca60/0122575354v2.jpeg "Studien zeigen, dass Unternehmen, die über eine dezidierte Sicherheitsabteilung oder eine beauftragte Person für Cybersicherheit verfügen, signifikant resilienter gegenüber Angriffen sind. (Bild: ilkercelik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/12/1b129c2ebd11ce07cb470e3daabf5d4a/0123017231v2.jpeg "Kommunikationsexperten bringen eine entscheidende Perspektive in eine Cyber-Taskforce ein: die Sichtweise der Öffentlichkeit. (Bild: DigitalMagicVisions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/31/fc31a6b03fc269e18c9c7ac47364b22c/0126586207v2.jpeg "Krisenkommunikation entscheidet im Ernstfall: Bei Cyberangriffen kommt es auf schnelle, klare und vertrauensbildende Botschaften an. (Bild: © lucadp - stock.adobe.com)")