Der Charakter einer Krise ist der Eintritt eines bedrohlichen Ereignisses, mit dem meist keiner der Betroffenen gerechnet hat. Bisherige Erfahrungen, Werte und Ziele werden in Frage gestellt und purer Aktionismus bringen nicht den erhofften, raschen Erfolg, den man sich wünscht. Ist die Krise da, dann stellt sich gleich mal die Frage, ob Behörden eingeschaltet werden sollen – oder ist dies sogar ein „muss“?! Wer wird verständigt, wenn der Bildschirm schwarz ist und nur und eine Lösegeldforderung die Daten wieder herstellt? Was, wenn ein Mitarbeiter in Mexiko nicht mehr erreichbar ist und niemand weiß, wo er ist? Ist ein bedrohliches Schreiben schon ein Tatbestand, den ich nachgehen muss? Ist das jetzt überhaupt schon eine Krise und wie löse ich diesen Vorfall – jetzt..?!
Natürlich wäre es möglich gewesen all die Prozessabläufe, Informationen und Kontakte im Vorstadium einer Krise zu erstellen, aber das Tagesgeschäft und die mangelnde Bereitschaft Ressourcen zur Verfügung zu stellen, ließen ein solches Projekt nicht zu – Prävention bleibt auf der Strecke. Notfallpläne beschränken sich meist auf die vom Gesetzgeber vorgeschriebenen Maßnahmen wie Brandschutzpläne, Black Out Regelwerke etc. Vor allem Klein- und Mittlere Unternehmen (KMU´s) – in der Regel Eigentümergeführte – Unternehmen neigen stark dazu, die Prävention nur auf tagesaktuelle Themen wie Cyber Angriffe (dafür ist ja die IT-Abteilung zuständig..) und vermeintlich sicher prognostizierte Ereignisse Aufmerksamkeit zu schenken.
Diese Tatsache bestätigen sowohl Meinungsforschungsinstitute, durchgeführte Studien, als auch Erfahrungswerte als Krisenberater, dass DACH Unternehmen selten Präventionskonzepte in der Schublade haben. Prävention wird hier als Beispiel in Form von Penetrationstest oder Phising Maßnahmen betrieben (was zu einem geeigneten Zeitpunkt durchaus Sinn macht), dem Aspekt nicht betrachtend, dass man Mitarbeiter hier eher vorführt, als sie zu sensibilisieren. Ein wenig unverständlich, da die Tatsache Fachkräftemangel in jeder Branche zu spüren ist und die Tendenz eher dahin gehen sollte, wie halte ich gute Mitarbeiter?! Damit, dass ich sie auf einem wirklich gut erstellten Phishing link klicken lasse und dieser Mitarbeiter dann für sein Handeln gerügt wird? Jede Wette, dass bei einem Unternehmen mit 20 Mitarbeitern mindestens einer auf einem solchem Phishing link klickt – und das reicht!
Interessant, dass vor allem Klein- und mittlere Erfolgsgeschichten und auch Hidden Champions zielorientiert und strategisch wachsen, sich selten allerdings auf ein Worst Case Szenario vorbereiten oder dies in Form einer Übung einmal durchspielen. Somit ist es eine logische Konsequenz, dass Unternehmen und deren handelnde Personen, in Krisensituationen nach einer anfänglichen Schockstarre in Aktionismus verfallen und sich an alle möglichen Institutionen wenden, die dankbar in der Krise hohe Aufwendungen in Rechnung stellen. Unverständlich, dass in einer Krise Finanzen plötzlich keine große Rolle mehr spielen und hier Budgets zu Verfügung stehen, die sinnvollerweise nur halb so viel Aufwand in der Vorbereitung ein gutes Investment gewesen wären. Natürlich ist es möglich, Krisen durch Versicherungen zu kompensieren, die einen Schaden abdecken. Im Übrigen ist es auch keine Selbstverständlichkeit mehr, dass Versicherungen blanko jedes Risiko versichern. Deshalb sollte sich jedes Unternehmen die Frage stellen, ob eine gute Versicherung die Lösung aller Krisen sein wird. Vergleichbar wie in der Schule: Gute Noten werden nur dann vergeben, wenn auch die Hausaugaben gemacht worden sind. Ein einfacher Rat: Prävention vor Reaktion.
Der Autor:
Andreas Radelbauer ist akademischer Krisenmanager und Leiter des Bereiches Crisis Risk & Response bei Corporate Trust. Jahrzehntelange globale Erfahrung in Umgang mit Krisen, Bedrohungen, Erpressungen und Entführungen prägen seinen Werdegang.
E-Mail: radelbauer@corporate-trust.de
Tel: +49 89 599 88 75 80
Corporate Trust Sicherheitsblog 