Die Chamäleons unter den Beratern

Krisenmanager sind zähe Strategen, denken stets einen Schritt voraus, doch Compliancefälle bleiben ­unberechenbar

Von Jens Greiner

Beitrag als PDF (Download)

Fragil ist sie, die Welt, in der wir leben. Was wird morgen passieren? Keiner weiß es. Dennoch können wir uns auf das Ungewisse vorbereiten. Eine praxisnahe Anleitung.
Panik hilft in der Krise nicht weiter. Improvisationstalent erweist sich im Ernstfall oft als nützlich, doch vor allem sind dann Strategie und Organisation gefragt: umsichtiges Denken und ein krisenfestes Team. Die dafür notwendige Resilienz können Verantwortliche allerdings nicht mal eben zwischen zwei Meetings aufbauen. Das geht nur mit nachhaltigem Krisenmanagement.
Resilienz – eigentlich ein Begriff aus der Psychologie – zeigt, wie man seine Ressourcen in der Krise optimal einsetzt. Diese Fähigkeit zu entwickeln braucht Zeit. Im Alltag sieht das allerdings anders aus. Viele Geschäftsführer agieren nach dem Motto: „Krisen? Hab´ ich jeden Tag. Einfach die Ärmel hochkrempeln und machen. Hat bisher immer geklappt.“ Das mag pragmatisch sein, zu resilientem Krisenmanagement führt die Methode jedoch nicht.
Resilienz ist kein technischer Punkt auf einer Checkliste. Also, raus aus der „Häkchenecke“ und üben, üben, üben! Entscheider sollten Krisenpläne nicht auswendig lernen, sondern Mitarbeiter ermutigen, selbst zu denken – und manchmal zu improvisieren. In den regelmäßigen Übungen analysieren Teilnehmende unterschiedliche Krisentypen und testen Kommunikations- und Informationsketten.
Doch worauf sollte sich ein Unternehmen vorbereiten? Ob komplexe Cyberattacken, Complianceskandale, Naturkatastrophen oder politische Aufstände: Krisen können sich auf vielfältige Weise entwickeln. Noch vielschichtiger sind die Risiken, die daraus entstehen, wenn Medienberichte nicht abreißen, wenn Mitarbeiter bedroht sind oder wenn Steuerfahndung und Kartellamt ermitteln. All das wirkt potentiell schädigend auf eine Organisation und erfordert fundierte Krisenmanagementfähigkeiten. Daher ist es höchste Zeit, Krisenma-nagement als eigene Organisationsdisziplin zu betrachten.

Risiken verstehen
Risikoanalysen zeigen, in welchem Umfeld sich ein Unternehmen bewegt. Wer geringe Ressourcen hat, setzt dafür auf erfahrene Dienstleister. Sie helfen bei wesentlichen Entscheidungen, weil sie relevante Risiken zu bewerten wissen und wirksame Präventionskonzepte kennen. Ihre Services reichen vom Aufbau einer effektiven Krisenmanagementorganisation über die Qualifizierung der Funktions- und Entscheidungsträger bis hin zur Beratung während und nach konkreten Ereignissen.
Wer in Ausnahmesituationen verzögert oder ineffektiv reagiert, schadet dem Unternehmen, was im Einzelfall existenzbedrohend ist. Mitunter sind Leib und Leben gefährdet, die Reputation leidet, oder es kommt zu Produktionsausfällen und erheblichen finanziellen Einbußen.
Interne Forschungsergebnisse, Finanzierungsverträge und vertrauliche Personalien – brisante Daten brauchen Schutz. Gelangen Unternehmensdaten in fremde Hände, drohen im schlimmsten Fall hohe Geldbußen, Schadensersatzforderungen oder gar die persönliche Haftung der Geschäftsführer.
Das sollten Entscheider immer im Hinterkopf haben – mag der Vorfall im ersten Moment noch so klein erscheinen. Es muss übrigens gar nicht immer das große Medienecho sein: Zunehmend vernetzte Wertschöpfungsprozesse, Lieferketten und Datenflüsse können auch krisenverstärkend wirken.

Wer fragt, führt
Entscheider müssen frühzeitig vorsorgen, denn es geht wertvolle Zeit verloren, wenn erst im Notfall die Frage aufkommt, wer eingebunden und informiert werden sollte. Bei der Vorbereitung auf Krisenszenarien hilft es, Folgendes zu klären:

  • Welche Ereignisse oder Entwicklungen stellen ein Risiko dar, und wie lässt sich ihr Krisenpotential zügig und sicher bewerten?
  • Was sind wesentliche Schritte und Maßnahmen für eine erfolgreiche Reaktion?
  • Wie lässt sich die eigene Krisenorganisation schnell aktivieren und mit Experten vernetzen?
  • Wie gelingt ein systematisches Informationsmanagement, basierend auf validen Fakten?
    Wie können Entscheider in unsicheren Situationen und unter Druck richtige Entscheidungen treffen?
  • Wie lässt sich das Krisenmanagement effektiv und durchhaltefähig organisieren?
  • Wie wird eine effektive Krisenkommunikation umgesetzt?

Es kommt darauf an, schnell und professionell zu reagieren. Nicht nur, wenn eine Krise länger dauert, sollten Ressourcen und Expertisen wirksam vernetzt sein. Koordinieren Krisenmanager von Anfang an Informationsflüsse, Entscheidungsprozesse und Maßnahmen stringent, können unvorhergesehene Ereignisse erfolgreich bewältigt werden.
Zweifellos: Wer sich im Ernstfall auf veraltete Excel-Listen verlässt, hat verloren. Notfallpläne und Abläufe für Krisenfälle sollten im digitalen Wissensspeicher und parallel in Papierform vorliegen, und qualifizierte Mitarbeiter sollten Methodenwissen ad hoc bereitstellen können.

Aus der Praxis
Unstrittig ist, dass durch die zunehmende Vernetzung sensible Informationen schneller geteilt, aber auch gestohlen werden können. Dazu ein aktuelles Beispiel: Hochgradig vertrauliche Daten eines Unternehmens wurden von Unbekannten auf einer Website veröffentlicht. Die Medien griffen das Thema großflächig auf, was dazu führte, dass nicht nur die Mitarbeiter verunsichert waren, sondern auch Geschäftspartner und Kunden.
Erste Schritte der hinzugerufenen Experten: die forensische Untersuchung der betroffenen Systeme und Daten. Eine solche kriminalistische Arbeit läuft heute über automatisierte Datenauswertung mit Hilfe künstlicher Intelligenz. Dabei geht es um die Angriffsart (intern oder extern), potentielle Schäden und weitere Risiken. Im beschriebenen Fall hatte ein einzelner Mitarbeiter die sensiblen Unternehmensdaten veröffentlicht.
Ein Expertenteam unterstützte die Unternehmensleitung während der gesamten Zeit mit umfassendem Krisenprojektmanagement und arbeitete mit externen Krisenkommunikatoren und Rechtsanwälten zusammen. So wurde das Krisenteam des Kunden (Task-Force) nachhaltig gestärkt.
Nachdem die Lage geklärt war, ging es um die betroffenen Stakeholder und ihren potentiellen Kommunikationsbedarf. Allzu oft kommt es vor, dass Mitarbeiter die neuesten Entwicklungen zuerst aus den Medien erfahren. Um wirksam – und ohne böse Überraschungen – zu kommunizieren, gilt die eiserne Regel „intern vor extern“, die eigene Mannschaft ist also frühzeitig zu informieren.
Anschließend begleiteten die Dienstleister aus den Bereichen Compliance, Security und Cyber auch die Strafverfolgung. So konnten die notwendigen Informationen passgenau weitergegeben und die Ermittlungen im Haus abgeschlossen werden. Eine 360-Grad-Analyse offenbarte, an welchen Stellen der Prozess künftig optimiert werden kann.

Wachsendes Vertrauen
Sicherheits- und Krisenvorsorge sind also ganz eindeutig Führungsaufgaben. In einer Welt, in der Organisationen mit Datenlecks, Angriffen von außen oder behördlichen Ermittlungen umgehen müssen, lässt sich das nicht nach dem Prinzip der kleinsten Anforderung organisieren.
Ist eine Organisation auf bedrohliche Situationen professionell vorbereitet, kann sie schnell und effektiv reagieren. Das ist zum einen ein Wettbewerbsvorteil, zum anderen ein wesentlicher Beitrag zum Fortbestand der Organisation. Zugleich stärkt eine gute Prävention das Vertrauen der Stakeholder und das Selbstvertrauen in das eigene Krisenmanagementsystem. Das sorgt für eine strategische Balance zwischen Chancen und Risiken,
eine starke Sicherheits- und Krisenmanagementkultur in allen Organisationsbereichen,
Reaktionsfähigkeit bei krisenhaften Ereignissen oder in Sondersituationen und
Sicherheit für Personal, Vermögenswerte, Infrastrukturen und Prozesse.

Nachher ist vorher
Es wird keinesfalls ruhiger in unserer Wirtschaftswelt: Dass Betrug und Bestechung weltweit zunehmen, lesen wir täglich in den Medien – auch der Korruptionswahrnehmungsindex 2018 von Transparency International unterstreicht diesen Eindruck. Durch anhaltende Betrugsskandale haben hierzulande beispielsweise Unternehmen aus der Banken- und Automobilbranche ihre moralische Vorbildfunktion eingebüßt.
Ist eine Krise erfolgreich überstanden, darf sich niemand entspannt zurücklehnen. Was lernen wir aus aktuellen Vorfällen? Ehrliche Antworten offenbaren schnell, wo die Strategie noch konkreter ansetzen sollte.
Ja, Sicherheits- und Krisenvorsorge gelten als lästig, langweilig, langsam. So tickt der Mensch. Doch ihr konkreter Nutzen zeigt sich dann, wenn nichts passiert. Resilienz ist ein lebenslanger Lernprozess. Die große Kunst dabei: das Gelernte auf nie dagewesene Situationen übertragen zu können. Klare Strukturen und angstfreie Kommunikation – auch von unten nach oben – sind äußerst hilfreich. Damit aus „bewährt, bekannt und eingespielt“ ein schlagkräftiges Team entsteht. Widerstandsfähigkeit resultiert aus einer einfachen Gleichung: Resilienz = Nachbereitung + Vorbereitung x Kultur.

Den Sturm vorbereiten, wenn die Sonne scheint
Natürlich: Vollkommene Sicherheit kann es in einer vernetzten Welt nicht geben. Jedoch spart jede Minute guter Vorbereitung dem Unternehmen Geld. Dieses Bewusstsein muss sich in Führungsetagen durchsetzen. Verantwortliche müssen Krisenmanagement als gemeinschaftliche und ressortübergreifende Aufgabe im Rahmen des Risikomanagements verstehen. Mit der daraus gewonnenen Flexibilität können Führungskräfte in Krisen handlungs- und widerstandsfähig bleiben.
Auf Stürme muss man sich vorbereiten, wenn die Sonne scheint. Das bedeutet, Krisenprävention sollte in ruhigen Zeiten stattfinden. Verantwortliche müssen Notfallroutinen ins tägliche Handeln und Sicherheitsthemen in die Geschäftsprozesse integrieren. Aufeinander abgestimmte Lösungen verbessern die Krisenintelligenz und -festigkeit einer Organisation.
Dazu braucht es nicht nur Fachwissen, sondern auch das Commitment des Topmanagements. Konkret bedeutet das: Wer nachhaltig und ernsthaft in stabile Strategien investieren will, muss mehr tun als das Nötigste. Dann lässt sich die Frage „Haben wir alles bedacht, um auf krisenhafte Sondersituationen erfolgreich zu reagieren?“ mit einem guten Gewissen beantworten, und Panik entsteht gar nicht erst.

Jens.Greiner@de.ey.com