Krisenmanagement

Krisenmanagement umfasst alle organisatorischen, technischen und kommunikativen Maßnahmen, mit denen ein Unternehmen unerwartete Ereignisse mit hohem Schadenpotenzial bewältigt. Klassische Auslöser sind Cyberangriffe, Brände, Lieferengpässe, Reputationsschäden, Pandemien oder Streiks. Ziel ist nicht, jede Krise zu vermeiden, sondern Schaden zu begrenzen, Handlungsfähigkeit zu erhalten und schnell zum Normalbetrieb zurückzukehren. Ein gutes Krisenmanagement entsteht nicht im Ernstfall, sondern wird vorbereitet, geübt und regelmäßig überprüft.

Definition und Phasen

Die Wissenschaft (Roselieb, Töpfer) beschreibt Krisenmanagement als Querschnittsdisziplin aus Betriebswirtschaft, Kommunikation und Sicherheitsmanagement. Maßgebliche Norm ist die DIN ISO 22361 (Krisenmanagement, Leitlinien) sowie die ISO 22301 für Business Continuity Management. Krisenmanagement bewegt sich in drei Phasen: Prävention vor der Krise, Bewältigung während der Krise und Nachbearbeitung danach. Die Übergänge sind fließend und folgen einem zyklischen Lernprozess.

Phasen des Krisenmanagements 1. PräventionRisiken bewertenPläne erstellen,Übungen, Frühwarnung 2. ErkennenLage einschätzenStab einberufen,Fakten sammeln 3. Reagierenhandeln & steuernNotfallplan,Kommunikation 4. LernenaufarbeitenLessons Learned,Pläne anpassen Vier Phasen, die zyklisch ineinandergreifen.

Krisenstab und Rollen

  • Stabsleitung: entscheidet, koordiniert, vertritt das Unternehmen nach außen.
  • Lagebild: sammelt Fakten aus Fachbereichen, IT, Personal, Recht, Behörden.
  • Kommunikation: Sprachregelung für intern, extern, Medien.
  • Operatives Team: setzt Maßnahmen vor Ort um.
  • Schreibdienst: protokolliert Beschlüsse, Aufträge und Kommunikation.
  • Vertretungsregeln: jede Rolle hat einen Vertreter, sonst bricht der Stab im Ernstfall zusammen.

Krisenkommunikation

Im Ernstfall entscheidet die Kommunikation oft mehr über den Schaden als das Ereignis selbst. Bewährt haben sich drei Grundsätze: zügig informieren, ehrlich bleiben, Verantwortung sichtbar machen. Vorbereitete Sprachregelungen für die häufigsten Szenarien sparen wertvolle Minuten. Wichtige Stakeholder sind Mitarbeitende, Kunden, Lieferanten, Behörden, Versicherungen und gegebenenfalls Medien. Studien aus dem Bereich Krisenkommunikation (Coombs, SCCT) zeigen, dass Vertrauen schneller zurückgewonnen wird, wenn Verantwortung übernommen statt verschoben wird.

IT- und Cyber-Krisen

Ein wachsender Anteil der Krisen entsteht in der IT, etwa durch Ransomware, Phishing oder Ausfall einer Cloud-Region. Standard-Bausteine sind ein Notfallplan nach BSI-Standard 200-4, getestete Backups, ein Incident-Response-Team und vorbereitete Kommunikation für Datenschutzbehörden. Das Datenschutz-Meldegesetz nach Artikel 33 DSGVO verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, die NIS2-Richtlinie der EU verschärft die Pflichten für viele Unternehmen ab 2024. IT-Dienstleistungen für den Mittelstand kümmern sich um Aufbau, Erprobung und 24/7-Begleitung im Ernstfall.

Räume und Infrastruktur

Ein Krisenstab braucht Räume, in denen er ungestört arbeiten kann: ein Hauptraum mit Lagebild an den Wänden, Bildschirmen für Daten, ausreichend Stromanschlüssen und stabilem Internetzugang sowie kleinere Rückzugsräume für vertrauliche Gespräche. Wichtig ist auch ein zweiter Standort oder eine Homeoffice-Vereinbarung, falls das Hauptgebäude betroffen ist. Eine durchdachte Büroplanung mit flexiblen Räumen erleichtert das Improvisieren im Ernstfall, etwa wenn ein Konferenzraum kurzfristig zum Krisenraum wird.

Übungen und Tests

  • Tabletop-Übung: Stab durchspielt ein Szenario am Tisch, ohne reale Aktionen.
  • Funktionsübung: einzelne Funktionen werden geprüft, etwa Wiederherstellung eines Backups.
  • Vollübung: ganzes Unternehmen probt das Zusammenspiel mit Behörden und Lieferanten.
  • Rotation: Mitglieder des Krisenstabs wechseln in Rollen, um Vertretungsfähigkeit zu sichern.

Synonyme

Crisis Management, Notfallmanagement, Incident Management. Das BSI verwendet im Standard 200-4 den Begriff Notfallmanagement (BCM), der inhaltlich überlappt, aber stärker auf Aufrechterhaltung kritischer Prozesse fokussiert.

Abgrenzung zu

  • Risikomanagement: betrachtet Risiken im Vorfeld, Krisenmanagement steuert das Verhalten im Ernstfall.
  • Business Continuity Management (BCM): hält kritische Prozesse aufrecht, ergänzt Krisenmanagement.
  • Eskalationsmanagement: beschreibt Wege, wie Themen gestuft weitergegeben werden.
  • Compliance: rechtliche Pflichten, kann Krisen auslösen oder verhindern.

Siehe auch

Literaturhinweise

  • DIN ISO 22361: Sicherheit und Resilienz, Krisenmanagement, Leitlinien.
  • DIN ISO 22301: Business Continuity Management Systeme.
  • BSI-Standard 200-4: Business Continuity Management.
  • Coombs, T.: Ongoing Crisis Communication, Sage.
  • NIS2-Richtlinie der EU (2022/2555).
« Alle Begriffe im Unternehmenslexikon anzeigen