Zwischen Transparenz und Sicherheit: Sechs Leitlinien für die Kommunikation im Zeitalter von Cybercrime

Pro Tag gibt es über eine Milliarde Zugriffe auf das Netzwerk von SIX, zu Spitzenzeiten über 30'000 pro Sekunde. Diese sogenannten Events reichen vom harmlosen Versenden einer E-Mail bis hin zum versuchten Login ins Börsen-System. Glücklicherweise besteht heute nur bei einer Handvoll von Ereignissen wirklich Handlungsbedarf. Denn: Eine grosse Störung, ein Diebstahl oder eine Manipulation von Daten könnte innert kürzester Zeit einen massiven finanziellen Schaden für die gesamte Schweizer Wirtschaft verursachen. Vom einhergehenden Reputationsschaden für SIX ganz zu schweigen.

Es gibt aber auch eine andere Seite der Medaille. Die wachsende Nachfrage nach Cybersecurity-Massnahmen in der Schweiz bietet auch Business-Chancen für ein Finanztechnologieunternehmen wie SIX. Ein Stichwort dazu ist das ab Januar 2018 operative Security Operations Center (SOC), das SIX auch Dritten anbietet.

Genau in diesem Spannungsfeld zwischen Sicherheit der eigenen Systeme und Wahrnehmen von Marktchancen liegt die Herausforderung für die Kommunikation von SIX. Dabei müssen wir immer das optimale Verhältnis zwischen Vertrauen, Sicherheit und Transparenz finden. 

Die Zeiten ändern sich langsam. Früher haben wir beim Auftreten möglicher Cyber-Sicherheitslücken «per Default» immer den altbekannten Dreiklang angewendet:

1. Verschweigen
2. Kleinreden
3. Verbergen

Übersetzt in die Kommunikationssprache hiess das: «no comment», «deeskalieren» und «Schaden minimieren». Diese Kommunikation hatte durchaus ihre Berechtigung. Denn wir hatten Bedenken, erst recht in die Schusslinie von Cyberkriminellen zu geraten.

Das kommunikative Umfeld hat sich in den letzten Jahren aber massiv verändert. Die Unternehmenskommunikation alter Schule und ihr natürlicher Gegenspieler ­ die klassischen Medien ­ haben ihre alleinige Deutungshoheit von Ereignissen verloren. Das Orchester ist vielstimmiger geworden und spielt schneller. Nicht nur der Pressesprecher kommuniziert für das Unternehmen, sondern auf Facebook, Twitter oder LinkedIn ist jeder Mitarbeitende quasi ein Sprecher oder besser ein Botschafter von SIX. Vertrauliches bleibt selten lange geheim und Leaks sorgen für permanente Aufregung und Skandalisierung.  

Im oben beschriebenen kommunikativen Umfeld werden Systemausfälle oder Cyber-Angriffe öfter publik. Zusätzlich wird im Mai 2018 die neue Datenschutzgrundverordnung (DSGVO) europaweit anwendbar. Sie sieht vor, dass ein Unternehmen die zuständige Aufsichtsbehörde bei jeder «Verletzung des Schutzes personenbezogener Daten» unverzüglich benachrichtigen muss. Für die Kommunikation bedeutet dies, dass künftig viel mehr Sicherheitsereignisse öffentlich werden.

Aus diesen beiden Gründen überdenken wir laufend unsere Kommunikationsstrategie und entscheiden viel situativer als früher. Selbstverständlich gibt es im Einzelfall weiterhin berechtige Gründe für ein zurückhaltendes Kommunikationsverhalten. Dort wo möglich, möchten wir aber grundsätzlich aktiver kommunizeren, um glaubwürdig zu bleiben. Darüber hinaus benötigen wir für mehr Cybersecurity mehr Informationen über Cybercrimes. Nur so können die Systeme weltweit verbessert und Mitarbeitende und Kunden für die neuen Gefahren sensibilisiert werden.

Wir versuchen also in Bezug auf Cybercrime wenn immer angezeigt, die Kommunikation 2.0 nach einem neuen Dreiklang auszurichten.

1. Problem anerkennen
2. Situation erklären
3. Vertrauen schaffen 

Daraus abgeleitet lauten die Kommunikationsbotschaften «aktiv kommunizieren», «transparent kommunizieren» und «Reputation aufbauen». 

Konkret hat SIX sechs Kommunikationsleitlinien für den Bereich Cybersecurity definiert:

1. Sicherheit und Kompetenz
   Wir schüren mit unserer Kommunikation keine Unsicherheiten, sondern informieren zeitnah. Dadurch strahlt SIX Sicherheit und Kompetenz aus.
2. Sensibilisierung und Ausbildung
   Wir sensibilisieren Mitarbeitende kontinuierlich für den sicheren Umgang mit Informationen und Daten. Dies gilt insbesondere für die Social Media, wo wir unsere Mitarbeitenden zum Teilen und Liken anregen. 
3. Flexibel und anpassungsfähig
   Wir hinterfragen unsere Kommunikation und passen sie wenn nötig an. Der Kommunikations-Mix wird laufend erweitert, um schnell viele Personen und Organisationen zu erreichen.
4. Aktiv und transparent
   Wir informieren im Ernstfall so aktiv und umfassend wie angezeigt. Nur so behält SIX die öffentliche Deutungshoheit über das Thema.   
5. Führend und marktorientiert
   Wir wollen beim Thema Cybersecurity führend sein. Zu diesem Zweck bewirtschaftet SIX dieses Thema aus verschiedenen Blickwinkeln. Dabei kommunizieren wir offen, ehrlich und verschweigen auch mögliche Risiken nicht. Gegenüber Kunden konzentriert sich SIX auf die Sicherheit, Zuverlässigkeit und Stabilität der Infrastruktur und der Dienstleistungen. 
6. Training und Vorbereitung
   Wir üben laufend Cybercrime-Szenarien, um im Ernstfall rasch und aktiv zu informieren und Vertrauen zu vermitteln.

Die Infrastruktur von SIX muss sicher, stabil und verlässlich bleiben. Bei einem grossen Sicherheitsereignis ist der potenzielle Reputationsschaden enorm. Eine optimale Kommunikation vermindert einen solchen Imageverlust. Im Idealfall kann sie den Imageverlust sogar neutralisieren oder ins Positive wenden. Verstehen wir uns richtig: Wir können den Schaden und das Risiko nicht «wegkommunizieren». Aber wir können die Wirkung auf die Reputation mit Hilfe unserer Kommunikationsleitlinien positiv beeinflussen.