Nehmen wir als fiktives Datum den 23. März 2016 – ein Tag vor Gründonnerstag. Es ist 16:05 Uhr und bei den Banken A und B herrscht Wochenendstimmung.*
Die schlecht vorbereitete Bank A verdeutlicht das negative Szenario A:
Der Mitarbeiter V. ist gedanklich schon mit seiner Freizeit beschäftigt. Eilig bearbeitet er die letzten Mails und klickt auf eine angehängte Word-Datei mit dem Namen Rechnung.Von ihm unbemerkt nistet sich hierbei ein bis dato unbekannter und auf Banksysteme spezialisierter Trojaner in das Netzwerk des Geldhauses ein.
Zu den Autoren
Christian Einhaus ist verantwortlich für das OpRisk-Management der IKB Deutsche Industriebank AG in Düsseldorf.
Christian Endreß ist verantwortlich für das Notfall- und Krisenmanagement der IKB Deutsche Industriebank AG in Düsseldorf.
Durch die Ausnutzung von Software-Schwachstellen, so genannten zero-day-exploits, und einen unzureichenden Aktualisierungstand des Bankenkernsystems erlangt die Schadsoftware Zugriff auf Kundenkonten und ist in der Lage, internationale Überweisungen durchzuführen. Kurz vor dem Annahmeschluss für Aufträge werden insgesamt mehrere Millionen Euro von zahlreichen Konten über das EURO-Land Zypern auf die Britischen Jungferninseln überwiesen. Der weitere Weg des Geldes ist mangels Kooperation der internationalen Banken und Behörden nicht mehr nachzuvollziehen.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Mitarbeiter M. bemerkt kurz vor Feierabend eine Auffälligkeit im IT-System der Bank und versucht die IT-Hotline zu erreichen, was jedoch zu keinem Erfolg führt. Auch die Vorgesetzten des Mitarbeiters befinden sich bereits auf dem Weg ins lange Wochenende. M. geht nach Hause und denkt sich: „Es wird schon nicht so schlimm sein. Bislang ist ja auch nichts passiert in der Bank.“
Am 29. März häufen sich die Gerüchte, dass ein Computervirus das System der Bank infiltriert hat. Die IT-Abteilung hat zwischenzeitlich ebenfalls mehrere Indizien für ein Ereignis.
Nach einer anfänglichen Ratlosigkeit erkennt man nun Handlungsbedarf. Doch was ist zu tun? Welche Meldewege gibt es? Ist der Vorstand zu informieren? Ein einheitliches Meldesystem sieht die Bank A nicht vor. Notfallpläne sind schon lange nicht mehr auf den aktuellen Stand gebracht worden. Für ein Krisenmanagement wurde bislang kein Bedarf gesehen.
Es wird ein provisorischer Krisenstab gebildet. Das Krisenmanagement funktioniert nicht, da die Abläufe und das Zusammenspiel nicht bekannt sind. Parallel tauchen vor dem Hintergrund der gerade überwundenen Finanzmarktkrise am Markt Gerüchte auf, dass die betroffene Bank durch den massiven Mittelabfluss in eine Liquiditätsklemme geraten sein könnte.
Kunden und sonstige Stakeholder sind durch die mediale Berichterstattung und „Horrorgeschichten“ in den Sozialen Medien verunsichert. Viele Kunden, die selbst nicht betroffen sind, kündigen ihr Vertragsverhältnis. Der Reputationsschaden für das Bankhaus ist massiv.
Die gut vorbereitete Bank B verfügt über ein angemessenes Notfall- und Krisenmanagement und verdeutlicht das positive Szenario B:
Auch hier herrscht Vorfreude auf das lange Wochenende. Allerdings konnte der Computervirus bei dieser Bank ebenfalls erfolgreich in das System eingebracht werden. Frau L., die im Zahlungsverkehr tätig ist, stellt eine Auffälligkeit fest und informiert die IT. Die IT ist zunächst ratlos, eskaliert das Ereignis aber vorsorglich an das Notfallmanagement. Problematik und Brisanz des Ereignisses werden zügig erkannt.
Bedingt durch den monetären Schaden sowie den drohenden Reputationsschaden aktiviert das Notfallmanagement den Krisenstab. Auf die wesentlichen Maßnahmen ist die Bank vorbereitet. Eine Strategie für die Krisenkommunikation ist vorhanden.
Häufige Trainings machen sich nun bezahlt: Die Abläufe des Krisenmanagements funktionieren einwandfrei. Das Management informiert die betroffenen Kunden und weitere wesentliche Stakeholder wie Aufsichtsbehörden und Refinanzierungspartner adressatengerecht.
Insbesondere die zur Zahlungsfähigkeit der Bank zur Verfügung gestellten Informationen sind so überzeugend, dass keine Marktgerüchte entstehen. Durch die offene und vertrauensvolle Zusammenarbeit mit den Sicherheitsbehörden verläuft die Kooperation auch in diesem Fall reibungslos. Das gute Krisenmanagement dieser Bank hat dazu geführt, dass kein Vertrauensverlust beziehungsweise Reputationsschaden entstanden ist.
Unternehmenskrisen setzen Prozesse außer Kraft
Unternehmenskrisen kommen zumeist plötzlich, unerwartet und bergen eine erhebliche Eigendynamik. Die regulären Gesetzmäßigkeiten und Prozesse in den Unternehmen finden dann keine Berücksichtigung mehr. Alles muss in der Krise ganz schnell gehen.
Die Krise verschärft sich zumeist durch den Druck der Medien, die rasante Verbreitung und Skandalisierung in sozialen Medien sowie kritische Behörden und nicht zuletzt Stakeholder, die sich möglicherweise in einem undifferenziert öffentlich wahrgenommenen Haftungsverbund mit der betroffenen Institution sehen und wiederum um die eigene Reputation besorgt sind.
In einer solchen Situation ist es erforderlich, dass das Krisenmanagement funktioniert. Die Mehrzahl der großen Unternehmen verfügen über vorsorgliche Pläne zur Bewältigung von Notfällen. Fraglich ist jedoch, ob die Unternehmen und Finanzinstitute auch auf komplexe Szenarien vorbereitet sind und über Fähigkeiten sowie Ressourcen verfügen, zunächst unplanbare Ereignisse bewältigen zu können. Wird bei der Vorbereitung der Aspekt der Kommunikation oder vielmehr des Reputationsmanagements ausgeklammert, ist das höchste immaterielle Gut eines Unternehmens in Gefahr: der gute Ruf.
Dies gilt umso mehr aufgrund der dynamischen Entwicklung der medialen Berichterstattung und deren rasanter Verbreitung über Social Media. Wenngleich sich der monetäre Reputationsschaden von Krisen nur schwer bestimmen lässt, so sind die Auswirkungen in der Realität zumeist massiv spürbar. Es ist davon auszugehen, dass das Reputationsmanagement zukünftig eine stärkere Beachtung finden wird. Gerade in der Finanzdienstleistungsbranche ist die Reputation ein Katalysator allen wirtschaftlichen Handelns.
Angesichts sehr vertrauensempfindlicher und zum Teil erklärungsbedürftiger Dienstleistungen am Absatzmarkt und des hohen Stellenwerts einer Vertrauensbeziehung zu Refinanzierungspartnern, kann eine Rufschädigung unmittelbare Auswirkungen auf Liquidität und Ertragskraft entfalten. Vor diesem Hintergrund hat die Bankenaufsicht das Thema Reputation bereits in der nationalen und internationalen Regulierung verankert.
Doch was zeichnet ein angemessenes Reputationskrisenmanagement aus und wie ist es in die Organisationsstruktur zu integrieren?
Spielraum durch frühe Einbindung
Eine frühzeitige Berücksichtigung kommunikativer Elemente zum Schutz der Reputation im Rahmen des Krisenmanagements steigert die Handlungsfähigkeit der Unternehmen. Ein interessanter Ansatz ist das Issue-Management. Dabei handelt es sich nicht um eine aktuelle Modeerscheinung, vielmehr hat der amerikanischen PR-Manager Howard Chase den Begriff im Jahr 1976 geprägt, als er Unternehmen in Krisen beriet. Sein Ansatz war, den betroffenen Unternehmen durch kommunikative Maßnahmen größere zeitliche Spielräume zur Behebung der Krisenursachen zu verschaffen, indem kritische Themen frühzeitig identifiziert und Handlungsrahmen für eine aktive Auseinandersetzung mit den Herausforderungen zu definieren.
Das Issue-Management empfiehlt ein vergleichbares Vorgehen, wie die Notfallpläne von zahlreichen Kreditinstituten. Beide bieten den Vorteil, dass neben der Öffentlichkeit auch Mitarbeiter sensibilisiert und im Umgang mit den Medien diszipliniert werden. Dennoch greift ein rein auf die mediale Wahrnehmung ausgerichtetes Vorgehen zu kurz, da andere relevante Stakeholder wie Kunden, Aufsichtsbehörden und Ratingagenturen, die möglicherweise im direkten Dialog mit dem Unternehmen stehen, vernachlässigt werden. Der methodische Ansatz des Issue-Managements muss daher mindestens um die Schlüsseladressaten erweitert werden, um ein effektives Instrument des Reputationskrisen-Managements darzustellen.
Vernetzung mit Notfallmanagement
Ein weiteres wichtiges Element eines integrierten Krisenmanagements ist die Verzahnung mit dem Notfallmanagement. Notfallmanagement und Reputationsrisiko-Management haben zwar unterschiedliche Wurzeln. Während das Notfallmanagement beziehungsweise Business Continuity Management aus der IT und der Unternehmenssicherheit stammt, orientiert sich das (Reputations-)Risiko-Management zumeist am Geschäftsmodell. Beide Disziplinen weisen Unterschiede auf, profitieren jedoch auch stark voneinander.
In Bezug auf das Reputationsrisiko-Management empfiehlt es sich daher, Methoden des Notfallmanagements und Business Continuity Managements zu integrieren. Notfallpläne bzw. Reaktionspläne, die das Reputationsrisiko berücksichtigen, sind in der Krise eine gute Arbeitsgrundlage für Mitarbeiter, die mit der internen und externen Kommunikation betraut sind; regelmäßige Übungen erleichtern den Umgang mit den Plänen und sensibilisieren Entscheidungsträger.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Anforderungen an das Notfall- und Krisenmanagement
Die regulatorischen Anforderungen an ein angemessenes Notfall- und Krisenmanagement ergeben sich bei Finanzdienstleistern aus diversen Richtlinien und Vorgaben seitens der nationalen und internationalen bankenrechtlichen Aufsicht.
Auf internationaler Ebene formuliert zum einen die European Banking Authority (EBA) bestimmte Richtlinien, welche aus den „Guidelines on Internal Governance“ (GL) hervorgehen. Besondere Relevanz für die Banken haben die Arbeitspapiere (z.B. BCBS 292) des „Basel Committee on Banking Supervision“ (BCBS) der europäischen Bankenaufsicht. Diese Richtlinien werden durch die Bundesanstalt für Finanzdienstleistungen (BaFin) in nationale Vorgaben umgesetzt. Das Kreditwesengesetz (KWG) fordert, dass Kreditinstitute im Rahmen einer ordnungsgemäßen Geschäftsorganisation ein angemessenes Notfallkonzept, insbesondere für IT-Systeme, festlegen (§25a Abs. 1, Satz 3, Nr. 3 KWG). Nach den Mindestanforderungen an das Risikomanagement (MaRisk AT 7.3.) ist für zeitkritische Aktivitäten und Prozesse Vorsorge in Form eines Notfallkonzeptes zu treffen.
Es fehlt folglich nicht an regulatorischen Vorgaben und Anforderungen speziell für Finanzdienstleister. In der Realität kann zunehmend festgestellt werden, dass es sich bei Schadensszenarien nicht nach dem „ob“, sondern vielmehr um das „wann“ dreht, dass etwas passiert. Und die Realität hat bei den jüngsten Ereignissen gezeigt (z. B. beim sogenannten „Abgas-Skandal“), dass diese zumeist mit erheblichem Reputationsschaden verbunden sind.
Krisenhafte Erscheinungen bei Unternehmen können Auswirkungen auf die von den Stakeholdern wahrgenommene Reputation des Hauses haben. Integraler Bestandteil der Krisenbewältigung ist also die parallele Berücksichtigung der Reputationswirkungen. Hierbei wird eine auf die Bedürfnisse der wesentlichen Stakeholder abgestimmte Kommunikation aufgebaut. Federführend eingebunden werden müssen hierfür mindestens die Hauptansprechpartner („Key Account Manager“) z. B. für Markt-, Interbanken-, Regulierungs- und Pressekontakte. Bei Bedarf sollten weitere Gruppen hinzukommen.
Dabei ist das Leitbild einer offenen Kommunikation empfehlenswert sowie ein stetiger, aktiver und zielgruppengerechter Informationsaustausch mit den Stakeholdergruppen. Gerade auch kritische Informationen sollten (auf vertraulicher Ebene) mit den wesentlichen Stakeholdern zur Festigung der Vertrauensbasis ausgetauscht werden.
Speziell in der Krisenphase können Unternehmen durch diese Maßnahmen Verbündete gewinnen und krisenverstärkende Handlungen von Stakeholdern reduzieren. Zudem können Unternehmen die Deutungshoheit bei öffentlich kontrovers diskutierten Sachverhalten erlangen, indem sie die Kommunikation aktiv gestaltet und nicht anderen Akteuren überlassen.
Organisatorische Verankerung
Erfolgreiches (Reputations-)Krisenmanagement kann nur dann funktionieren, wenn die Prozesse permanent trainiert werden, wenn die relevanten internen und externen Akteure bereits vor der Krise bekannt sind und ein funktionierender Krisenstab existiert. Er ist und bleibt das zentrale Instrument bei der Krisenbewältigung im Unternehmen. Die Kommunikation in der Krise muss als integraler Bestandteil des Krisenmanagements betrachtet werden und trägt dazu bei, das Vertrauen in der öffentlichen Wahrnehmung zu bestätigen oder wiederherzustellen. Das Notfallmanagement sollte Aspekte des Reputationsrisikos integrieren. Im Sinne eines gesamtheitlichen Ansatzes ist ein „Zusammenwachsen“ beider Disziplinen anzustreben und in die Unternehmens- sowie Risikokultur zu integrieren.
*Dieser Beitrag gibt die Meinung der Autoren wieder und repräsentiert nicht notwendigerweise die Position der IKB Deutsche Industriebank AG