Ein national und europaweit bedeutender Automobilkonzern wurde Opfer einer Cyber-Attacke.
Zunächst wurde das Datenleck geheimgehalten, sickerte jedoch schon bald über Mitarbeitende an einzelne Stammkunden und letztlich an die breite Öffentlichkeit durch.
Die verschleppte Kommunikation und das Verschweigen des Datenlecks riskierte neben der gesamten Reputation auch den Verlust von wichtigen Teilen der Wertschöpfungskette, wie Markenpartner, Zulieferer, Fachkräfte und Schlüsselpersonal.
Eine europaweit tätige Unternehmensgruppe für Automobil-Dienstleistungen, wie Handel, Instandsetzung, Flottenmanagement, Parkflächen-Bewirtschaftung, Finanzierung und Versicherung mit einer fünfstelligen Anzahl an Mitarbeitenden und einer mittleren dreistelligen Anzahl an Standorten wurde Opfer eines Cyber-Angriffs.
Der Angriff selber und das entstandene Datenleck blieben relativ lange unerkannt und wurden erst entdeckt, als durch Zufall neue, unbekannte Verzeichnisse auf Unternehmensservern bemerkt wurden.
Betroffen waren neben Kunden- und Mitarbeiterdaten, Verträge mit Partnern, Zustandsberichte der betriebseigenen Werkstätten und Kundenzufriedenheits-Reports, leider auch streng vertrauliche, ethisch und wettbewerbsrechtlich streitbare Absprachen.
Aufgrund Letzterem und weil keine Ransomware installiert, keine Daten verschlüsselt, keine Lösegelder gefordert wurden, entschied sich das Management dazu, das Datenleck -vorerst- zu verschweigen.
Die Geheimhaltungs-Strategie beinhaltete u.a. möglichst wenig Personen in den Sachverhalt zu involvieren, vor allem keine externen. Die geringe Manpower und die fehlende, eigentlich dringend benötige, externe Expertise führten zu einer relativ langen Zeitspanne, um das Datenleck zu schliessen.
Nur einzelne Mitarbeitende wurden inhaltlich, wie strategisch nicht ausreichend gebrieft und zusätzlich latent unter dringenden Verdacht gestellt schuld durch Versagen oder gar Verursacher der Situation zu sein.
Entsprechend besorgte, verärgerte und enttäuschte Mitarbeitende stachen vertrauliche Informationen über die aktuelle Situation an Betroffene durch. Betroffene gaben entsprechende Informationen unter vorgehaltener Hand an die breite Öffentlichkeit weiter.
Hauptziel der Krisenintervention war es den Kunden- und Partnerverlust einzudämmen, den Personal-Abfluss zu verhindern und die Reputation des Unternehmens zu erhalten.
Als erste Massnahmen wurden unter anderem externe Cyber Security-Spezialisten hinzugezogen und ein Krisenstab nach Bereichen, Fähigkeiten, Verfügbarkeit, Befugnissen und Entscheidungs-Kompetenz zusammengestellt.
Zusätzlich wurde ein AI-basiertes Monitoring-System installiert, um weitere Veröffentlichungen von Daten aus dem Leck in Internet und Darkweb aufzudecken, sowie einen kontinuierlichen Überblick über Berichterstattung und Meinungsbild in Media- und Social Media-Kanälen zu gewährleisten.
Parallel dazu wurden Kampagnen zur umfassenden Information aller internen und externen Bezugsgruppen entwickelt und lanciert.
Die schnelle Intervention externer Kräfte konnte erste Effekte des vorangegangenen Zögerns nicht komplett verhindern.
So ziehen sich erste Key Accounts -v.a. Flotten-Kunden und Finanzpartner- zurück, der Verlust von Lizenzen und Markenpartnern steht im Raum, und eine temporäre Kauf- und Investitionszurückhaltung sorgte in logischer Folge für einen massiven Umsatzrückgang und die reelle Gefährdung von Arbeitsplätzen.
Erste Mitarbeitende verlassen vorsorglich das vermeintlich sinkende Schiff. Investigationen des Krisen-Interventions-Teams zeigen ein breites Spektrum persönlicher Motivationen.
Die Angst vor weniger Verdienst, oder Jobverlust. Ethisch-moralische Bedenken gegenüber dem Arbeitgeber. Die Sorge, das schlechte Unternehmensimage färbe auf die eigne Person und Biographie ab. Und letztlich die Enttäuschung und der massive Vertrauensverlust in die Unternehmensführung, bewog nicht wenige Mitarbeitende das Unternehmen zu verlassen, oder sich vorsorgliche bei anderen Unternehmen der Branche zu bewerben.
Neue Erkenntnisse über das Datenleck und dessen Hintergründe leiteten die entscheidende Wende des Krisenverlaufs ein.
Daten aus dem Leck wurden auf einer öffentlichen, aber Passwortgeschützten Micro-Site, in einem versteckten Unterverzeichnis auf dem unternehmenseigenen Server, sowie im Darkweb lokalisiert.
Zusammen mit dem kompetitiven Marktumfeld, einem Markt im Wandel, geprägt von Übernahmen und Konsolidierungen innerhalb der Industrie und existenten Quasi-Monopolen in einigen Bereichen und geografischen Regionen, wurde das Ereignis von den mittlerweile beigezogenen Ermittlungsbehörden im Bereich Wirtschaftskriminalität verortet.
Man vermutete Sabotage durch eine interne Quelle, oder eine Komplizenschaft aufgrund von Ort und Art der Veröffentlichung. Wahrscheinlich stand eine Weitergabe der Daten an einen Mitbewerber oder die Presse kurz bevor.
Unter dem Druck der Ereignisse und Erkenntnisse räumte die aktuelle Geschäftsführung Versäumnisse ein und trat zurück.
Das und die neue Informations-Lage ermöglichte eine weitere substanzielle, kommunikative Informations- und Vertrauens-Offensive in Richtung aller relevanten Bezugsgruppen des Unternehmens.
Inhaltlich wurden die Geschehnisse in voller Transparenz aufgearbeitet -inklusive Mea Culpa der scheidenden Geschäftsführung- und eine überzeugende, viel versprechende Zukunfts-Vision vom kommenden CEO gezeichnet.
Einige Kunden, Markenparter und Mitarbeitende hat man nicht halten können, vor allem weil diese aufgrund der zunächst schleppenden Intervention und auch der dadurch relativ langen Aufarbeitungszeit bereits Alternativen gefunden hatten.
Die Mehrheit der Mitarbeitenden, Kunden und Markenpartnerschaften konnten allerdings durch Kommunikations- und Vertrauens-Kampagnen erhalten, und durch die neue Zukunfts-Vision enger an das Unternehmen gebunden werden.
Der Umsatzeinbruch konnte als temporäre Baisse in der Unternehmens-Historie verbucht werden, trotz der hohen vermeidbaren Kosten durch das mangelhafte Krisen-Management zu Beginn.
Diese Krise entblösste diverse Schwachstellen des Unternehmens, die man in der Folge erkannte und ergriff. Als Ansatzpunkte das Unternehmen mit sinnvollen Impulsen zukunftsfähig und zukunftssicher zu machen.
Retrospektiv muss anerkannt werden, dass bedeutend früher, schneller und konsequenter hätte gehandelt werden müssen; egal welche Strategie der Krisenbewältigung gewählt worden wäre.
Allerdings war es aus unserer Sicht nicht nur retrospektiv in diesem Fall eine Fehlentscheidung, ein Datenleck diesen Ausmasses zu verdecken.
Darüber hinaus sollte man überdenken, Mitarbeitende, die Teil der Lösung sein sollen, massiv zu beschuldigen und zu verängstigen.
Abschliessend beweist dieser Fall eindrucksvoll, dass IT-Sicherheit selbst in grossen, mittelständischen Unternehmen immer noch zu wenig priorisiert wird.
“Das Schlimmste konnte verhindert werden, und ich habe jetzt eine hervorragende Substanz für Reformen und einen koordinierten Neustart.”
NEUER CEO DES UNTERNEHMENS
“Das Schlimmste konnte verhindert werden, und ich habe jetzt eine hervorragende Substanz für Reformen und einen koordinierten Neustart.”
NEUER CEO DES UNTERNEHMENS
Wir nutzen nur absolut notwendige Cookies.
Weitere Informationen finden Sie hier: Datenschutz
