Krisenkommunikation für Kommunen

Dieser Artikel zeigt auf, wie man sich als Kommune heute kommunikativ optimal auf Cyberangriffe vorbereiten kann. Zuletzt unterstützte vibrio die Universität Vechta gemeinsam mit G DATA CyberDefense bei der Entwicklung einer Krisenpräventionsstrategie.

Kommunen, die sich gut auf Krisen vorbereiten, minimieren negative Krisenfolgen und sparen so hohe Folgekosten. Denn eines ist sicher: Keine Technik kann 100-prozentigen Schutz vor Cyberkriminalität (und anderen Risiken) garantieren.

Eine gute Krisenprävention hat aus der Perspektive der Kommunikation drei Elemente:

• Eine gute Kommunikationsarbeit im Tagesgeschäft schafft etablierte Kontakte zu Meinungsführern. Auf gute Beziehungen und starkes Standing kann man in der Krise aufsetzen.
• Ein Krisenkommunikationsplan bereitet die Kommune auf alle möglichen Krisenszenarien optimal vor. Dazu zählen klare Verhaltens- und Kommunikationsregeln, vorbereitete Inhalte und sichere Kommunikationskanäle und -instrumente.
• Ein Internet-Monitoring zeigt an, wie die Krise in sozialen und traditionellen Medien wahrgenommen wird. Reputationsschädigende Veröffentlichungen können frühzeitig entdeckt und Gegenmaßnahmen eingeleitet werden. Idealerweise kann ein Krisenmonitoring schnell auf im Tagesgeschäft vorhandene Online-Clipping-Services oder Monitoring-Dienste erweitert werden.

  Advertising

  Abonnieren Sie unseren Newsletter mit Link zur kostenlosen PDF Ausgabe der Kommunalwirtschaft!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Erstellung eines „Notfallhandbuchs“ und gibt konkrete Tipps, was so ein Handbuch alles enthalten sollte. Ein solches Notfallhandbuch beinhaltet vor allem technische Vorkehrungen zum Schutz der IT-Infrastruktur. Aber auch die Krisenkommunikation sollte immer ein Teil eines Notfallhandbuchs sein, denn das Vertrauen der Bürger in funktionierende Behörden darf nicht beschädigt oder muss gegebenenfalls schnell wiederhergestellt werden. Für die Krisenkommunikation ist der „Leitfaden Krisenkommunikation“, den das Bundesministerium des Innern herausgegeben hat, hilfreich.
Erfahrungsgemäß muss ein Krisenkommunikationsplan immer in einem Prozess mit Behördenleitung, Pressestelle, IT-Abteilung, Sicherheits-Experten und betroffenen Fachabteilungen einer Organisation erarbeitet werden.

Kommunikation in der Krise ist Stabsarbeit

Um eine konsistente Kommunikation und im Krisenfall eine schnelle Reaktion auf alle Herausforderungen zu garantieren, ist eine klare kommunikative Verantwortungsstruktur notwendig. Während die Gesamtverantwortung für korrektes behördliches Handeln in der Krise bei der Amtsleitung liegt, muss die Verantwortung für die Krisenkommunikation in der Pressestelle angesiedelt werden.

Am Krisenkommunikations-Notfallstab (KKN) sollten nur aktiv an Kommunikationsentscheidungen beteiligte Verantwortliche teilnehmen. Dieses Gremium wird nicht nach hierarchischen Gesichtspunkten besetzt. Es handelt sich um einen Expertenrat. Die Information der Gesamtorganisation erfolgt über den erweiterten Krisenkommunikations-Notfallstab (eKKN), dem Mitglieder aller Stabsstellen, Dezernate und Ämter angehören. Neben der Krisenkommunikation geht es im konkreten Handeln zur Lösung einer Krise vor allen Dingen um die Koordination technischer Maßnahmen. Im Falle einer Cyber-Attacke liegt die Verantwortung bei der IT-Abteilung. Deshalb führen ein Mitglied aus der Pressestelle und ein Mitglied aus der IT gemeinsam den KKN.

Aufgaben des Kommunikation-Notfallstabs

Im Krisenfall koordiniert der Krisenkommunikations-Notfallstab folgende Aufgaben:

1. Recherche rechtlicher Informationspflichten und Umsetzung entsprechender Informationspflichten. Dieser Schritt ist insbesondere im Rahmen der DSGVO relevant.
2. Aufbereitung der Botschaften für die reaktive und aktive Kommunikation.
3. Umsetzung der geeigneten Kommunikationsmaßnahmen für alle Zielgruppen in den geeigneten Kanälen, gemeinsam mit den Verantwortlichen für die Kommunikationsinstrumente und/oder -kanäle.
4. Analyse der Quellen und Multiplikatoren der Krisenmeldungen.
5. Analyse des Wahrheitsgehalts der Vorwürfe: Recherche in den Fachabteilungen und bei externen Stellen.
6. Entscheidung über die grundsätzliche Reputationsstrategie: Schweigen, Reagieren oder Verdrängen und davon abhängig, Entscheidung, welche Zielgruppen aktiv und welche reaktiv informiert werden.
7. Für diese Zwecke erhält die Pressestelle während des Krisenfalls direkten Zugriff auf alle Social-Media-Kanäle der Kommune und auf alle alternativen Online-Kanäle sowie auf eine Darksite.

Von der Theorie in die Praxis

Die Planung der Krisenkommunikation umfasst auch viele praktische Aspekte der Umsetzung. Unbedingt notwendig ist die Vorbereitung eines echten und eines virtuellen Meeting-Raums für die Sitzungen des Krisenstabs. Dabei muss für den Fall einer Cyber-Krise immer mit bedacht werden, dass gegebenenfalls die gelernten Kommunikationstools wie E-Mail, Chat und (Festnetz- bzw. IP-Telefonie) über die etablierten Systeme der Behörde oder des Unternehmens nicht verfügbar sind.

Es muss damit gerechnet werden, dass das IT-Netz nicht zugänglich ist oder aus Sicherheitsgründen abgeschaltet werden muss. Sämtliche vorbereiteten Dokumente und Kontaktlisten des Krisenstabs müssen deshalb auch ohne Zugang zum IT-Netz erreichbar sein, ebenso wie ein virtueller Meeting-Raum. Dabei müssen von den Teammitgliedern gegebenenfalls (private) E-Mail-Accounts genutzt werden, die unabhängig von der IT-Infrastruktur der Kommune sind. Nach einem Cyberangriff funktionieren möglicherweise die Mail-Accounts der beteiligten Mitarbeitenden nicht mehr.

DSGVO und Arbeitszeitregeln gelten – auch im Krisenfall

Die Zustimmung aller betroffenen Mitarbeitenden zur Speicherung der privaten E-Mail-Accounts für den Zweck des Betriebs der Krisenteams muss im Vorfeld eingeholt werden. Für die Präsenz in den Teams muss arbeitsrechtlich eine Präsenzpflicht angeordnet werden können. Geprüft werden muss auch ein möglicher Ausgleich für den Fall von krisenbedingten Mehrarbeiten, optional während außergewöhnlicher Arbeitszeiten nach Feierabend, an Wochenenden und Feiertagen. Dass dies der Zustimmung des Personalrats unterliegt, versteht sich von selbst. Krisenkommunikation ist leider auch immer mit reichlich Bürokratie verbunden. Und ein Krisenkommunikationshandbuch regelt das alles – bis hin zur Protokollpflicht der Meetings.

Licht ins Dunkel mit der Darksite

Dunkel ist die Darksite nur im Normalbetrieb, im Krisenfall kann sie die einzige Verbindung der krisenbetroffenen Organisation zur Außenwelt werden. Eine solche Darksite ist eine vorbereitete Internet-Seite mit den wichtigsten Informationen für Bürger, Mitarbeitende und Öffentlichkeit im Krisenfall. Diese Darksite wird bei Bedarf „scharf geschaltet“, die Web-Adresse der Homepage wird über den Provider auf die Darksite gelenkt.

Auf der Darksite können anschießend laufend aktuelle Informationen zur Krise und zur Krisenbewältigung veröffentlicht werden sowie Kontaktadressen für Betroffene, Medien und Partner.

Bereits im Vorfeld muss geklärt sein, wer während der Krise für die Redaktion der Darksite verantwortlich ist. Die verantwortliche Redaktionsleitung sollte Teil des KKN sein. Die Ergonomie der Darksite muss im Vorfeld getestet und auf Performanz optimiert werden. Es geht nicht um grafische Qualität, sondern um Schnelligkeit, Bedienbarkeit und Verständlichkeit auch im mobilen Einsatz.

Mit Medienarbeit aus der Krise

Entscheidend für eine gute Medienarbeit ist, dass traditionelle Medien und Nutzer sozialer Medien aus einer Hand informiert werden. Deshalb muss geklärt sein, dass ausschließlich definierte Mitarbeiter*innen der Pressestelle mit Erfahrung in der Öffentlichkeitsarbeit Stellungnahmen gegenüber den Medien abgeben. Alle Stabsstellen, Dezernate und Ämter müssen darüber informiert sein, wer als Ansprechpartner für Medien zur Verfügung steht und an wen Anfragen von Medienvertretern weitergeleitet werden.

Mehrstufige Pressearbeit

Sofort bei Ausbruch der Krise muss ein vorbereitetes reaktives Statement zur Verfügung gestellt werden, meistens in Form einer Pressemitteilung. Dieses Statement kann noch keine Details zum Vorfall selbst enthalten, muss aber bereits die Bereitschaft zur offenen Kommunikation erklären. Dieses Statement wird bereits vor der Krise vorbereitet. Je konkreter das Ausmaß der Krise intern bekannt ist, desto konkreter kann das reaktive Statement angepasst werden.

Sobald Ursache und Ausmaß der Krise benannt werden können, erfolgt eine aktive Information mit Kern-Aussagen. Da die häufigsten Formen von Cyber-Angriffen bekannt sind, kann auch diese Pressemitteilung bereits vor der Krise vorbereitet werden.

Mögliche Inhalte sind:

• Wann ist der Cyberangriff erfolgt?
• Welcher Schaden ist offenbar eingetreten? (Ggf. Warnung von betroffenen Externen.)
• Erste Maßnahmen zur Schadensbehebung wurden eingeleitet usw.

Bei der aktiven Kommunikation ist darauf zu achten, dass interne Systeme, etwa Listen mit Medienkontakten oder Tools für den Versand von Pressemitteilungen nicht mehr zur Verfügung stehen. Cloud-Lösungen können hier Abhilfe schaffen und lassen sich meist auch im Tagesgeschäft nutzen.

Eine zweite Pressemitteilung folgt zeitnah mit ergänzenden Informationen zum Vorfall und mit einer Erläuterung der Anti-Krisenstrategie.

Mögliche Inhalte der Pressemitteilung sind:

• Welche Maßnahmen wurden und werden ergriffen?
• Erste technische Details zu den Abwehrmaßnahmen
• Weitere Informationen zum Schaden (Welche Bürger und andere externen Kontakte könnten ggf. betroffen sein, wie hoch ist das Gefährdungspotenzial, welche Gegenmaßnahmen werden empfohlen, welche Symptome sind Anzeichen einer Gefährdung, Kontaktmöglichkeiten für Bürger)
• Weitere Informationen zu den nächsten Schritten

Je nach Krisenverlauf folgen weitere Pressemitteilungen.

Das Kommunikationshandbuch – Nachschlagwerk für die Krise

Das Krisenkommunikationshandbuch ist Teil des Notfallhandbuchs. Das Notfallhandbuch deckt alle Aspekte der Krisenbewältigung ab, es kann für jede potenziell von einer Krise betroffene Fachabteilung mit einem entsprechenden Kapitel ergänzt werden. Zusätzlich sollte das Notfallhandbuch weitere Unterlagen umfassen, die eher dem allgemeinen Krisenmanagement einer Organisation zuzuordnen sind.

Das Krisenkommunikationshandbuch umfasst zum Beispiel folgende Elemente:

• Definition einer Krise
• Definition von Zuständigkeiten
• Mitgliedslisten der Krisenstäbe mit allen Kontaktdaten (inkl. privater E-Mail-Adressen und privater Telefonnummern)
• Beschreibung der Aufgaben der Gremien
• Definition der Prozesse
• Definition aller in der Krise genutzten Kommunikationskanäle (mit Zielgruppenzuordnung)
• Definition aller Kommunikationsinstrumente in der Krise
• Definition der Sprecher*innen-Rollen
• Ablaufdiagramme (vom Feststellen der Krise bis zur Beendigung der Krise)
• Beschreibung der Kommunikationskultur
• Vorformulierte Dokumente (siehe Krisenkommunikationsplan Abschnitt 5)

Alle Jahre wieder – der Praxistest

Als Lackmustest wird eine Krisensituation simuliert, von der Ausrufung der Krise durch die Leitung des Krisenkommunikations-Notfallstabs bis zu dessen erster Konferenz. Dort werden dann die ersten Maßnahmen beschlossen. Damit wird überprüft, ob Maßnahmen funktionieren, die Prozesse wie gewünscht ablaufen und die Vorlagen tauglich sind. Im Idealfall werden solche Krisenreaktionstests jährlich wie eine Brandschutzübung durchgeführt. Dies ist dann auch immer ein guter Anlass, um alle Dokumente, v.a. Ansprechpartner und Kontaktdaten, zu aktualisieren und die definierten Prozesse neuen Gegebenheiten anzupassen. Ein Krisenreaktionsplan ist nie fertig. Die Cyberkriminellen sind es mit ihren Planungen ja auch nicht.