Waren Sie jemals Ziel von Online-Kritik ehemaliger Kund:innen, Mitarbeiter:innen, Geschäftspartner:innen oder Konkurrenzunternehmer:innen? Wenn ja, wissen Sie, wie schmerzhaft das sein kann. Wenn also heutzutage Unternehmen oder Unternehmer:innen, Gegenstand manipulierter Desinformationen und einer verstärkten Medienberichterstattung werden, die dem Image und der Reputation schaden, könnte es sich durchaus um sog. Dark PR-Maßnahmen handeln. Die werden von bspw. Konkurrenzunternehmen und einer jeweiligen Dark PR-Agentur entworfen. Denn es existieren nicht nur die ‚klassischen’ PR-Firmen, die Organisationen, Unternehmen, Parteien oder Behörden in der Öffentlichkeit besonders positiv präsentieren wollen, sondern auch PR-Agenturen, die sich auf die Zerstörung und nicht auf eine Steigerung der Unternehmensreputation spezialisiert haben. Schafft ein Unternehmen es also nicht mehr auf die herkömmliche Art zu glänzen, ist es gegenwärtig möglich, eine:n Geschäftsrival:in durch verdeckte Dark PR-Aktivitäten zu diffamieren, zu beschädigen und seine Reputation zu zerstören.
Gerät ein Unternehmen ins Fadenkreuz einer solchen Dark PR-Kampagne, hilft nur noch ein gutes Reputationsrisiko- und Krisenmanagement. Denn die Dark PR-Agenturen sind Experten in ihrem Gebiet: Sie erzeugen falsche Nachrichten, streuen Desinformationen und nutzen die sozialen Netzwerke, um ihr Ziel zu schwächen und zu denunzieren. Dafür manipulieren solche Dark PR-Profis gezielt die Meinung von Stakeholder:innen. Warum tun sie das? Weil es funktioniert.
Jedes vierte Unternehmen war bereits von Desinformationsangriffen betroffen.
Deloitte 2019.
Dunkle PR (englisch Black oder Dark PR), auch negative PR, bezieht sich auf jede Praxis, die absichtlich darauf abzielt, Konkurrent:innen oder Konkurrenzunternehmen durch PR-Bemühungen zu schaden, es zu diskreditieren oder zu zerstören. Meist kommen dabei politisch aufgeladene Kampagnen zum Einsatz, die gezielt die negativen Aspekte der Wettbewerber:innen herausstellen, anstatt die positiven Aspekte der eigenen Marke zu betonen. Diese organisierten Rufmordkampagnen können langfristige Folgen für betroffene Unternehmen haben und im schlimmsten Fall sogar die gesamte Unternehmensreputation zerstören.
Vor der eigentlichen Konzeption von spezifischen Dark PR-Maßnahmen, müssen Angreifer:innen zunächst ein Angriffsziel für Ihre Kampagne identifizieren. Mögliche Ziele sind hier sowohl ganze Unternehmen als auch einzelne Personen wie z.B. Geschäftsführer:innen. Mittels Dark PR-Aktivitäten kann so bspw. der Ruf des oder der Geschäftsführer:in zerstört werden, sodass sich diese:r unmittelbar auf die Reputation seines oder ihres Unternehmens auswirkt und sich so recht simpel Wettbewerbsvorteile erschlichen werden können.
Wenn sich ein Unternehmen für den Einsatz einer Dark PR-Kampagne entschieden hat, muss im nächsten Schritt das eigentliche Werkzeug beschafft werden: eine Agentur muss her! Da sich bereits einige Agenturen auf die Entwicklung und Umsetzung dieser Dark PR-Kampagnen spezialisiert haben, sollte die Suche nicht allzu schwierig sein.
Personalisierte Cyberangriffe boomen – 486 Prozent mehr Kundendienstbetrug über Social Media, 80 Prozent mehr E-Mail-Angriffe auf Unternehmen und 99 Prozent aller Ziele in einem Jahresquartal 2019 waren neu.
Proofpoint
Reputationsangriffe auf Unternehmen funktionieren generell nach einem bestimmten Schema. Die Vorgehensweise kann wie folgt zusammengefasst werden:
Schritt 1: Informationen sammeln und Schwachstellen finden
Dabei durchsuchen sog. Crawler:innen das Netz nach Unternehmensdaten, die zukünftig den Kern der Schmierkampagne bilden sollen. Dabei werden nicht nur Informationen zusammengetragen, die derzeit im Netz zu finden sind, sondern durch Online-Archive wie bspw. die Wayback Machine auch Informationen sichtbar, die auf der Oberfläche derzeitig im Netz nicht mehr verfügbar sind. Das heißt, dass durch Anwendungen wie bspw. die Wayback Machine ältere Websiteversionen sichtbar werden. Denn was einmal digital öffentlich gemacht wurde, bleibt ewig bestehen. Andere Anwendungspraktiken um an Informationen zu gelangen, sind zum Beispiel: Hacking, Spionage, Datendiebstahl, Google-Hacking.
Schritt 2: Eine Basis schaffen und Inhalte kreieren
Die Methoden und Taktiken, die im Rahmen von Dark PR zum Einsatz kommen, sind vielfältig und nahezu grenzenlos. An dieser Stelle sollen nur einige Beispiele genannt werden.
1. ‚Honey Traps’
Eine besonders populäre Dark PR-Praktik ist das sog. ‚Honey Trapping’. Hier wird eine Zielperson beschattet oder von einem Angreifenden verführt, um sie so in eine kompromittierende Situation zu bringen und diese per Video-, Sprach- oder Fotoaufnahme für die Nachwelt festzuhalten. Um die Dark PR perfekt zu machen, wird das Material wiederum de-kontextualisiert und in u.a. Fake News eingebettet. So kann bspw. ein Bild, das den Geschäftsführer einer Firma mit einer anderen Frau zeigt, in eine Falschmeldung eingebettet werden, die zum Ziel hat, den Geschäftsführer des Ehebruchs zu bezichtigen. Hierfür wird das gewonnene Material dann von den Dark PR-Agenten entweder auf den unternehmenseigenen Webseiten oder auf Social Media-Plattformen online gestellt, um eine größtmögliche Reichweite zu erzielen. Zudem können Dark PR-Agenten auch eigene schriftliche Inhalte erstellen und somit manipulierte Beweise an Kolleg:innen, Nachbar:innen oder Freund:innen der Zielperson senden – an jede Person also, die in der Lage ist, die Reputation der Zielperson nachhaltig online zu schädigen.
2. Falscher Inhalt
Lass der Phantasie freien Lauf ist hier die Devise. Ein:e Angreifer:in erfindet in diesem Fall u.a. falsche oder irreführende Blog- oder Social Media-Beiträge oder kreiert gleich eine Webseite mit falschen Inhalten. Das Ziel: ein Unternehmen oder eine Person in einem negativen Licht darzustellen und somit den Ruf zu schädigen oder zu zerstören. Diese Dark PR-Methode ist leicht umsetzbar und zeugt von großem Erfolg. Denn: Mit etwas Glauben und ausreichend Indizien werden Personen, die auch nur die geringste Affinität zu den verbreiteten, falschen und manipulierten Inhalten haben, diese auch glauben. Vor allem dann, wenn die verbreitete Nachricht mit ihrem eigenen Weltbild korrespondiert. Dieses Phänomen wird auch Bestätigungsfehler oder -verzerrung genannt und von den Dark PR-Profis gekonnt genutzt.
3. Soziale Medien und E-Mail-Manipulation
Schafft es ein:e Angreifer:in die persönlichen Passwörter der Zielperson zu knacken oder anderweitig an persönliche und vertrauliche Informationen zu kommen, kann er oder sie so die Social Media- sowie E-Mail-Konten der Zielperson zu seinem Zweck infiltrieren. Auf diese Weise können anstößige, reputationsschädigende oder wenig schmeichelhafte Fotos, Videos oder Kommentare veröffentlicht oder versendet werden.
4. Unautorisierte Lecks
Angreifer:innen können schädigende Informationen über eine Zielperson oder ein Zielunternehmen an Nachrichtendienste, Konkurrent:innen oder andere Personen durchsickern lassen. Die wiederum können die Reputation der Zielperson oder des Zielunternehmens im digitalen Raum schädigen.
5. Manipulierte Kritiken
Online-Rezensionsseiten wie Kununu oder Yelp werden beispielhaft von Angreifer:innen mit Hilfe von verschiedenen Tarnungstaktiken (u.a. Trolle oder Social Bots) unterwandert und zum Zwecke der Manipulation genutzt. So können ohne großen Ressourcenaufwand Desinformationskampagnen an eine breite Öffentlichkeit gelangen und die Zielperson oder das Zielunternehmen in schlechtem Licht darstellen.
Schritt 3: Die richtigen Adressat:innen erreichen
Dank der Digitalisierung ist es heutzutage einfach, eine Vielzahl von Personen in kürzester Zeit zu erreichen. Für die Streuung der Dark PR-Inhalte bieten sich u.a. sog. Dark Ads an. Das ist die Verbreitung von ‚dunkler’ Online-Werbung, die nur für den Herausgebenden der Anzeige und die vorher bestimmte Zielgruppe sichtbar ist. So können durch den Herausgebenden verschiedene Anzeigen an verschiedene Zielgruppen gesendet werden und so die Erfolgsquote der Dark PR steigern. Dark Ads finden sich häufig auf Online-Plattformen und in sozialen Medien. Aber auch über Publisher Netzwerke, Dark Net und Deep Web können die manipulierten und reputationsschädigenden Inhalte in Umlauf gebracht werden. Denn viele Wege führen nach Rom.
Des einen Freud, des anderen Leid: Hat eine Schmierkampagne erst einmal zielführend den Weg in die Öffentlichkeit gefunden, so kann sich zumindest eine Person freuen – der oder die Auftraggeber:in. Denn das Konkurrenzunternehmen wurde in einem schlechtesten Licht dargestellt und das eigene Geschäft so wieder angekurbelt. Folgeschwer sind aber die Auswirkungen für das geschädigte Unternehmen. Der Verlust der Unternehmensreputation ist das eine – langfristige finanzielle Schäden das andere. So kann also mit einer organisierten Rufmordkampagne nicht nur die Reputation, das Image und das Vertrauen in ein Unternehmen und/oder eine:n Unternehmer:in nachhaltig zerstört werden, sondern ebenso Aktienkurse einstürzen und in letzter Instanz Standorte und Arbeitsplätze verschwinden lassen.
Unterschätzt werden sollte Dark PR also nicht. Denn auch wenn verbreitete Desinformationen über Unternehmen im Nachgang aufgeklärt und öffentlichkeitswirksam identifiziert werden, bleibt ein negativer Beigeschmack bestehen.
Hinter Dark PR stecken meistens Agenturen, die sich darauf spezialisiert haben, Reputationsangriffe gegen Unternehmen oder Einzelpersonen durchzuführen, um so nachhaltig Schaden anzurichten. Engagiert werden können diese Agenturen quasi von jeder Person. Egal ob unzufriedene Mitarbeiter:innen, konkurrierende Unternehmen oder Lobbygruppen – die Gesichter der Auftraggeber:innen können vielfältig sein. Gerade durch die Präsenz von Trollen – also realen Personen, die aus u.a. wirtschaftlichen Motiven im Social Web mit ihren Beiträgen provozieren und Diskurse stören oder auch von Menschen eingesetzte Computerprogramme wie Social Bots, ist die Umsetzung von Dark PR-Maßnahmen recht simpel. Vor allem, weil es im Zeitalter der sozialen Netzwerke kein großes IT-Wissen mehr braucht, um reputationsschädigende Inhalte zu verbreiten. Die können sogar mittlerweile auf dem sog. Disinformation as a Service-Markt (kurz: DaaS) im Dark Net für kleines Geld an Personen verkauft werden.
Was uns allen also klar werden sollte ist, dass es nie einfacher war, Menschen oder Unternehmen mit negativen PR-Kampagnen ins Visier zu nehmen und so langfristig einen großen wirtschaftlichen Schaden anzurichten. Der Suchmaschinenanbieter Google kündigte zwar in der Vergangenheit an, sich vermehrt auf gefälschte Nachrichtenseiten zu fokussieren, aber das Problem sind wahrlich nicht die Kanäle, sondern vielmehr die Menschen, die sie bespielen. Wenn Google also in aller Schärfe gegen bspw. gefälschte Nachrichtenseite vorgeht, ist das natürlich gut, aber der Schaden ist bereits angerichtet. Denn: die Desinformationen kursieren im nie vergessenden Netz und die Angreifer:innen sind meist über alle Berge.
Ich, Du, Er, Sie, Es, Wir, Ihr, Sie – prinzipiell kann nahezu jede:r Opfer von Dark PR-Attacken werden und ins Visier von kriminellen Agenturen geraten. Da große Organisationen, Institutionen oder Unternehmen aber grundsätzlich mehr zu verlieren haben als Einzelpersonen, geraten sie eher ins Lauffeuer. Denn das Geschäft mit der Dark PR ist lukrativ: Zum einen besitzen u.a. Unternehmen eine Vielzahl an Daten, die im Dark Web Gewinne erzielen können und zum anderen können so Marktvorteile für bspw. Konkurrenzunternehmen erzwungen werden, wenn es auf dem ‚sauberen’ Weg nicht mehr funktioniert.
Sind Unternehmen erst einmal Ziel von einer Schmierkampagne geworden, ist es schwer den Karren aus dem Dreck zu fahren. Wir empfehlen daher, vor allem präventiv zu handeln.
1. Schaffen Sie Bewusstsein
Indem Sie neben den technischen auch die menschlichen Sicherheitslücken in Ihrem Unternehmen schließen. Dafür bedarf es vor allem einer Mitarbeitendensensibilisierung und -befähigung sowie eines präventiven Mitarbeitendentrainings. So wissen Sie, wie im Ernstfall zu handeln ist. Denn ja, auch Ihr Unternehmen kann Ziel einer Schmierkampagne werden.
2. Schaffen Sie die richtigen Strukturen
Mit dem richtigen Handwerkszeug, können Krisen rechtzeitig abgewandt werden. Ein professionelles Krisenmanagement ist hier das A und O. Risikoanalysen und Controllingmaßnahmen, ein Krisenhandbuch und die Präparation einer digitalen Infrastruktur schaffen den notwendigen Überblick.
3. Üben Sie den Ernstfall im Krisenstab
Versuch macht klug! Ist man im Unternehmen schon einmal durch eine Krise gegangen oder hat sie zumindest im Vorhinein simuliert, ist es im Ernstfall einfacher mit ihr umzugehen. So kann unternehmensintern auf bestimmte Erfahrungswerte zurückgegriffen werden und die Krisenkommunikation vereinfacht werden. Die Befähigung der Mitarbeitenden mit Krisensituationen adäquat umzugehen, ist besonders wichtig. Seien Sie umsichtig und üben Sie den Ernstfall – z.B. mit einer Krisensimulation.
4. Schaffen Sie Regeln
Indem Sie festlegen, wie sich Nutzer:innen, aber auch Mitarbeitende auf Ihrem digitalen Kanal verhalten sollen. Interne und externe Kommunikation sind hier der Schlüssel.
5. Web-Monitoring als Schlüssel zum Erfolg: Richten Sie es ein
Potentielle Gefahren müssen frühzeitig erkannt und analysiert werden. Dafür bietet sich ein vollautomatisiertes Web-Monitoring an, das die öffentlichen Informationsströme überwacht und so relevante Informationen extrahiert. Denn diese Daten händisch auszuwerten, ist wenig zielführend.
6. Entwerfen Sie Gegenmaßnahmen
Schmierkampagnen zu ignorieren, hilft Ihnen nicht aus der Klemme. Führen Sie deshalb frühzeitig eine Risiko-Analyse durch, identifizieren potenzielle Gefahrenszenarien und leiten Sie daraus individuelle Maßnahmen für den Ernstfall ab.
Krisen werden von Menschen gemeistert, nicht von Handbüchern. Trainieren Sie jetzt den Umgang mit Social Media-Krisen in einer Shitstorm-Simulationund steigern Sie die Krisenkompetenz in Ihrem Social Media-Team.