Unternehmensführungen wissen, dass Desinformation ein Risiko ist. Sie handeln trotzdem nicht. Das ist der beunruhigendste Satz aus zwei Paneldiskussionen, die der Council for Countering Online Disinformation Anfang Mai im House of Lords geführt hat. Parlamentarier, Akademiker, Technologen: alle sind sich einig über das Problem, alle sind ratlos über die Reaktion. Der Bericht nennt «Angst oder Unwissenheit» als Ursache.
Das ist eine wohlwollende Erklärung. Aber das Problem ist Unwissenheit.
Menschen können auf konkrete, erlebte Probleme reagieren
Menschen sind schlecht darin, etwas zu fürchten, was sie noch nicht erlebt haben. Das gilt für Privatpersonen. Es gilt genauso für Verwaltungsräte und Geschäftsleitungen. Wer noch nie eine koordinierte Reputationskampagne gegen sich erlebt hat, kann das Risiko intellektuell verstehen — aber nicht wirklich antizipieren. Die Bedrohung bleibt abstrakt. Die Kosten einer Vorbereitung sind konkret. Die Entscheidung fällt entsprechend aus.
Das ist weniger ein Führungsversagen als vielmehr Kognition. Bei Ransomware war es genauso. Die ersten Warnungen kamen Jahre vor den ersten grossen Angriffen. Niemand handelte in der Breite — bis die Bilder von gesperrten Bildschirmen, lahmgelegten Spitälern und erpressten Gemeinden real wurden. Dann hat jeder gehandelt. Nicht weil die Bedrohung neu war, sondern weil sie endlich vorstellbar war.
Was 417 Milliarden Dollar bedeuten
Der globale Schaden durch Desinformation hat 2024 diese Zahl erreicht. Kursverluste durch Falschmeldungen, Kundenabwanderung durch koordinierte Kampagnen, politischer Druck durch gezielte Fehlinformationen. Die Infrastruktur für koordinierte Reputationsangriffe ist günstig, skalierbar und aktiv im Einsatz. KI macht sie zusätzlich billiger und schwerer erkennbar. Die Angreifer entwickeln sich schneller als die Regulierung.
Im Spätsommer 2025 haben europäische Luxusmarken erlebt, was das konkret bedeutet. Eine koordinierte Medienwelle veröffentlichte Listen ihrer chinesischen Produktionsstätten, inklusive Einkaufspreisen. Der Schaden für Markenwahrnehmung und Aktienkurs war real. Wer dahintersteckte, ist offen. Der Mechanismus ist es nicht.
Der Proof of Concept ist erbracht
Die IT-Sicherheit kennt dieses Muster. Die ersten koordinierten Angriffe hiessen nicht Ransomware. Sie zeigten nur, dass der Angriff möglich ist. Das Geschäftsmodell kam später: Zahlt, oder die Daten werden veröffentlicht.
Die Reputationserpressung folgt der gleichen Logik. Zahlt, oder wir starten die Kampagne. Was fehlt, ist nicht die Technologie. Was fehlt, ist jemand, der das Geschäftsmodell erkennt und anwendet. Das Londoner Panel hat dieses Wort nicht in den Mund genommen. Die Voraussetzungen dafür haben sie vollständig beschrieben.
Das Organigramm hilft nicht
Bei Ransomware war die erste Reaktion überall dieselbe: das ist ein IT-Problem. Bis es keines mehr war. Bis Geschäftsführer persönlich hafteten, Lieferketten stillstanden und Versicherungen die Deckung verweigerten.
Reputationserpressung trifft nicht die Kommunikationsabteilung. Sie trifft die Entscheidungsfähigkeit der Führung unter Druck. Die Frage ist nicht, ob ein Unternehmen in diese Situation gerät. Die Frage ist, ob es vorbereitet ist, wenn es passiert.
Bei Ransomware hatten die Nachzügler keine Wahl mehr. Das Fenster für geordnete Vorbereitung ist eng — und schliesst sich mit jedem Angriff, der das Modell verfeinert.