«Krisen können jeden treffen»
Die aktuellen Entwicklungen haben deutliche Spuren hinterlassen. «Die Bedrohungslage für KMU hat sich in den vergangenen fünf Jahren verschärft und ist komplexer geworden», sagt Bettina Zimmermann. «Denken wir nur an die Coronapandemie, die Energiemangellage, den Ukrainekrieg und die damit einhergehende hybride Kriegsführung mit Sabotageakten und Cyberangriffen. Dies alles trifft Unternehmen direkt oder indirekt.» Zimmermann weiss, wovon sie spricht: Die CEO und Mitinhaberin der GU Sicherheit & Partner AG, Verwaltungsrätin und mehrfache Buchautorin berät seit 2009 Unternehmen und Behörden präventiv bei Krisenmanagement, Krisenkommunikation, Risk-, Business-Continuity- und Bedrohungsmanagement. Daneben begleitet sie Unternehmen in akuten Krisensituationen – bis heute waren das gegen 300 Fälle.
«Krisen sind heute multikomplex und erreichen durch soziale Medien rasch nationale Aufmerksamkeit.»
Multikomplexe Krisen statt isolierter Vorfälle
Die internationale Vernetzung führe dazu, dass regionale Betriebe auch von Störungen in fernen Konfliktgebieten betroffen sind, etwa durch fehlende Rohstoffe, Probleme bei Zulieferern oder steigende Energiepreise, sagt Zimmermann. Immer häufiger werden KMU Opfer von Dominoeffekten, bei denen einzelne Störungen ganze Prozesse zum Stillstand bringen. Auch der Alltag in der Krisenbegleitung hat sich stark verändert. «Ein entscheidender Unterschied ist die Geschwindigkeit, die Reichweite und die Komplexität von Krisen», so Zimmermann. Früher blieb ein Ereignis oft lokal, heute kann ein Vorfall durch soziale Medien innert Minuten nationale Aufmerksamkeit erlangen. Zudem seien Krisen kaum mehr eindeutig zuzuordnen. «Wir erleben multikomplexe Krisen, in denen sich verschiedene Ebenen überlagern: technische, menschliche, kommunikative, gesellschaftliche und manchmal auch politische Faktoren.»
Gesellschaftliche Spannungen wirken ins Unternehmen hinein
Zunehmend spürt Zimmermann interne Spannungen in Unternehmen. «Was sich in der Gesellschaft zeigt, spiegelt sich auch im Unternehmen.» Konflikte, Überlastung, Misstrauen oder Orientierungslosigkeit können eskalieren und selbst zu Auslösern von Krisen werden. Besonders anspruchsvoll sind Situationen, in denen Mitarbeiter unterschiedliche politische Positionen an den Arbeitsplatz bringen und sensible Branchen zusätzlich belasten. Wie Unternehmen mit der wachsenden Bedrohung umgehen, ist sehr unterschiedlich. Bettina Zimmermann erlebt gut vorbereitete KMU ebenso wie Betriebe, die Risiken zu lange ignorieren. «Es gibt Unternehmen, die sich der veränderten Welt bewusst sind und sich bestmöglich vorbereiten.» Gleichzeitig gebe es viele, die verkennen, dass Krisen jedes Unternehmen treffen können, unabhängig von Branche oder Grösse.
«Alles, was wir sagen, ist wahr, aber nicht alles, was wahr ist, müssen wir sagen.»
Warum Krisenmanagement Chefsache ist
Häufig spielt Ressourcenknappheit eine Rolle, da Krisenmanagement selten eine Hauptaufgabe ist. «Krisenmanagement bedeutet Führungsverantwortung, ist Teil der strategischen Unternehmensentwicklung und zahlt auf das Konto der Reputation ein.» Unternehmer, die das Thema ernst nehmen, schaffen Widerstandsfähigkeit, die weit über technische Massnahmen hinausgeht. Ihre Haltung, dass Krisenmanagement Chefsache ist, fasst Zimmermann so zusammen: «Krisenmanagement kann weder in der Prävention noch im Ereignis delegiert werden.» Die Geschäftsleitung muss das Thema tragen und im Ernstfall sichtbar Verantwortung übernehmen. Dazu gehört auch, gegenüber Mitarbeitern, Kunden oder Medien Stellung zu beziehen und Orientierung zu geben.
Cyberangriffe als existenzielle Bedrohung
Besonders zu schaffen machen KMU derzeit Cyberangriffe. «Wir erleben eine Zunahme von Angriffen, die eine Verschlüsselung mit Lösegeldforderung, einen Datenabfluss und das Löschen der Backups zur Folge haben.» Seit Neuestem komme hinzu, dass Angreifer die Geschäftsleitung telefonisch unter Druck setzen. Die psychologische Belastung sei enorm, zumal viele KMU solche Situationen zum ersten Mal erleben.
In solchen Momenten stellt sich innert kurzer Zeit eine Vielzahl existenzieller Fragen. «Welche Systeme sind betroffen? Sind wir noch arbeitsfähig? Welche Daten wurden abgezogen? Wie informieren wir Mitarbeiter, Kunden und Lieferanten?» Die Zeit drängt, denn Erpresser setzen meist enge Fristen. Viele Unternehmer unterschätzen, wie schnell sich ein Cyberangriff zu einer existenzbedrohenden Lage entwickeln kann.
Auch interessant
Kommunikation entscheidet über Vertrauen
Ein entscheidender Faktor im Ernstfall ist der Umgang mit Öffentlichkeit und Stakeholdern. «Eine offene und ehrliche Kommunikation ist ein sehr guter Weg», sagt Zimmermann. Fehler kann man auch mal zugeben, wichtig sei, Massnahmen zur Bewältigung transparent aufzuzeigen. Für heikle Situationen hält sie sich an einen Grundsatz: «Alles, was wir sagen, ist wahr, aber nicht alles, was wahr ist, müssen wir sagen.» Gerade bei Cyberangriffen kann eine unüberlegte Kommunikation zusätzlichen Schaden verursachen.
In ihrer Arbeit begegnet sie häufig grundlegenden Schwächen. «Eines der grösseren Probleme ist, dass Unternehmen wegschauen, anstatt hinzuschauen, und eine Krise oft zu spät als solche erkennen.» Warnsignale werden übersehen oder falsch gedeutet. Entscheidungen ohne Blick auf mögliche Folgewirkungen sind ein weiteres Muster. Viele Unternehmen werden erst dann wirklich aktiv, wenn der Schaden bereits eingetreten ist.
Massgeschneiderte Sicherheitsmassnahmen statt Standardrezepte
Investitionen in Sicherheit müssen sinnvoll und massgeschneidert sein. «08/15 Konzepte kosten vielleicht weniger, aber passen im Ereignis möglicherweise nicht und das kostet dann mehr.» Unternehmen sollten Szenarien definieren, Zuständigkeiten festlegen und praxistaugliche Notfallchecklisten entwickeln. Diese müssen praxistauglich sein und regelmässig überprüft werden.
«Dazu gehören auch gut durchdachte Kontinuitätspläne, damit bei einem Ausfall geschäftskritischer Prozesse sofort passende Überbrückungsmassnahmen eingeleitet werden können.» Ein gut vorbereiteter Betrieb kann auch in schwierigen Situationen handlungsfähig bleiben.
Und wie soll ein funktionierendes Krisenmanagement aufgebaut werden? «Eine effektive Vorbereitung beinhaltet die Bildung eines Krisenstabes, das Festlegen der Führungsinfrastruktur und das Wissen um die Arbeitsweise eines Krisenstabes.» Die Mitglieder müssen entscheidungsfähig und mental belastbar sein. Jährliche Trainings sind unerlässlich. «Nur wer regelmässig trainiert, ist im Ereignis funktionsfähig.» Übungen ermöglichen zudem, Rollen zu klären und Abläufe einzuüben, bevor der Ernstfall eintritt.
Risikomanagement pragmatisch umsetzen
Risikomanagement lasse sich in praktisch allen Betrieben pragmatisch umsetzen, ist Zimmermann überzeugt. «Auch ein kleines Unternehmen kann sich mal einen halben Tag Zeit nehmen und die wichtigsten Handlungsfelder definieren.» Danach sollten Risiken bewertet und dort, wo nötig, Minimierungsmassnahmen festgelegt werden. «Wer das tut, egal wie gross das Unternehmen ist, hat schon sehr viel in Sicherheit und Reputation investiert.» Entscheidend ist die regelmässige Aktualisierung, da sich Rahmenbedingungen und Bedrohungen laufend verändern.
Zum Schluss nennt Bettina Zimmermann drei Prioritäten für KMU in den kommenden zwölf Monaten. «Hinschauen anstatt wegschauen», sagt sie. Ausserdem solle man die geopolitische Lage aufmerksam verfolgen und Krisen frühzeitig antizipieren. Als dritten Punkt nennt sie Vorbereitung und Organisation: «Vorbereitet sein für den Ernstfall mit einem aufs Unternehmen angepassten Krisenmanagement und mit Telefonnummern von Partnern, die im Ernstfall unterstützen.»
Text: Stephan Ziegler
Bild: Marlies Beeler-Thurnheer
