Die viel beschrieben Zeitenwende ist längst Realität. Damit einhergehen Kriege mit all ihren Folgen für die Wirtschaft, reißende Lieferketten, aber auch zunehmende Cybergefahren. Für Unternehmen bedeutet das, sich auf mögliche Krisen vorzubereiten. Doch wie sieht ein vorausschauendes Krisenmanagement aus? Welche Methoden und Strukturen braucht es und wie kann der neue RMA-Leitfaden „Krisenmanagement ISO 22361“ Krisenstäbe und letztendlich Unternehmen bei der Bewältigung möglicher Krisen unterstützen? Fragen, auf die uns der Krisenmanagementexperte Dr. Klaus Bockslaff, Leiter des Arbeitskreises Krisenmanagement der RMA Risk Management & Rating Association e.V., unter anderem antwortete.
Herr Dr. Bockslaff, als Experte zum Gesamtkomplex des Krisenmanagements blicken Sie seit vielen Jahren auf Unternehmen und deren Schwächen. Woran hapert es aus Ihrer Sicht bei Organisationen, wenn wir über ein vorausschauendes Notfall-, Krisen- und damit Gesamtrisikomanagement schauen?
Lassen Sie mich mit den positiven Entwicklungen der letzten Jahre beginnen. Die Thematik des Krisenmanagements und seiner Entwicklung in den letzten Jahren ist maßgeblich beeinflusst durch die Erfahrungen vieler Unternehmen während der Corona-Krise. In dieser Zeit wurden an den verschiedensten Stellen Taskforces gegründet. Das Topmanagement musste damit zurechtkommen, trotz der Corona-Diskussionen und den damit zusammenhängenden Einschränkungen, um das jeweilige Unternehmen am Laufen zu halten. Da wurde sehr viel geleistet, sehr viele Wege und Methoden entwickelt. Es wurden mit Blick auf das Thema der Digitalisierung der Krisenstabsarbeit eine ganze Reihe an Maßnahmen und Strukturen entwickelt, die dazu führten, dass Unternehmen mit ihren Krisenstäben handlungsfähig blieben, obwohl sie sich kaum in einem zentralen Krisenstabsraum treffen konnten. Die Erfahrungen aus dieser Zeit haben sich rund um die Ukraine-Krise bewährt. Denn ohne die Erfahrungen aus der Corona-Krise hätten die Unternehmen die Herausforderungen durch den Ukraine-Konflikt nicht bewältigen können. Dabei ging es vor allem um das Installieren einer strukturierten und systematischen Krisenstabsarbeit. Der positive Nebeneffekt ist, dass sich dadurch die Akzeptanz der Krisenstabsarbeit in vielen Unternehmen merklich verbessert hat. Damit trat der Krisenstab aus dem zuvor oft vorherrschenden Schattendasein heraus und wurde nunmehr unternehmensweit als wichtiges und wesentliches Element anerkannt. Das heißt, die Akzeptanz des Krisenmanagements in Gänze hat sich in den Unternehmen wesentlich verbessert. Ein weiterer wichtiger Punkt ist die verbesserte Methodik, sprich die strukturierte Vorgehensweise in den Krisenstäben, die sich nach anfänglichen Schwächen durchgesetzt hat. Das sind zusammengefasst die Ergebnisse aus der Corona- und Ukraine-Krise.
Gleichzeitig gibt es bis dato nicht bewältigte Herausforderungen im Umfeld des Krisenmanagements. Und damit sind wir bei den Schwächen hinsichtlich des Krisenmanagements. Ich verweise hier auf die zunehmenden Cyberattacken, die Unternehmen hart treffen. Damit einhergeht, dass die Herausforderungen im Umgang mit der Cybersicherheit für Unternehmen von existentieller Bedeutung sind. Die meisten Unternehmen haben das mittlerweile erkannt. Auch wir erkennen in unserem eigenen Unternehmen die ständig wachsenden Herausforderungen durch Cybergefahren. Im Grunde geht es dabei aber nicht um die große Lösung im Cyberumfeld, sondern um die Sensibilisierung der Mitarbeiter. Denn der einzelne Mitarbeiter ist und bleibt das Einfallstor in Organisationen, wenn es um Schadprogramme in der jeweiligen Unternehmens-IT geht.
Heißt das nicht im Umkehrschluss, dass Unternehmen mehr in die Prävention und damit in Awareness- und Schulungsprogramme investieren müssten?
Das scheint im Augenblick der richtige Weg. Denn das Bewusstsein und die Sensibilisierung im Umgang mit den Cybergefahren muss unternehmensweit stetig auf dem Prüfstand stehen und verbessert werden. Dabei dürfen Unternehmen allerdings nicht die technische Seite vergessen. Hier geht es um das Abhärten der eigenen IT-Infrastruktur und der jeweiligen Systeme. Ich nenne hier das Stichwort der Informationssicherheit. Das heißt, mittels einer professionellen Informationssicherheit sind Unternehmen in der Lage, einzuschätzen, wo die wichtigen Unternehmensdaten liegen und wie diese bestmöglich geschützt werden können. Auf diesem Gebiet ist die Entwicklung gewaltig, aber gleichzeitig die Notwendigkeit zum Handeln ebenso groß.
In diesem Zuge möchte ich aber auf eine weitere Herausforderung im Umgang mit Cybergefahren im Unternehmensalltag hinweisen. Dabei geht es um die Abgrenzung der IT vom IT-Notfallstab und dem Unternehmenskrisenstab. So kommt es in der Praxis immer wieder vor, dass die jeweilige Unternehmens-IT sich zu lange mit einem technischen Problem auseinandersetzt und das Ereignis nicht angemessen und zeitnah an den Krisenstab zu melden. Das kann organisationsintern zu erheblichen Schwierigkeiten führen.
Nun haben Sie jüngst einen Leitfaden zum Thema „Krisenmanagement ISO 22361“ im Rahmen der Tätigkeit des RMA-Arbeitskreises Krisenmanagement herausgegeben, dessen Leiter sie auch sind. Darin heißt es, dass bestehende Krisenmanagementsysteme teilweise erhebliche Mängel aufweisen, die nunmehr mit ISO 22361 zur „Sicherheit und Resilienz“ im Kontext des Krisenmanagements verbessert werden sollen. Was ist der Stand hinsichtlich der Norm?
Diese Norm wurde erarbeitet im Rahmen eines Arbeitskreises der ISO. Ich hatte das Privileg an diesen Arbeiten in vielen Sitzungen mitzuwirken. Die Norm basiert auf einem englischen Standard und wurde in dieser Arbeitsgruppe weiterentwickelt. Es ist die erste Normierung zum Krisenmanagement auf internationaler Ebene. Zwar gab es zuvor bereits eine britische Norm sowie in Deutschland einzelne Elemente beim BSI, aber jetzt gibt es diesen internationalen Standard, der weltweit Geltung beansprucht und wohl auch bekommen wird. Diese Norm stellt jetzt eine Grundlage dar für das Krisenmanagement in Gänze. Es hat Elemente dabei, die einen theoretischen Charakter haben und in denen über die Krise generell gesprochen wird, das ist das Kapitel 4. Ansonsten ist das Ganze eine sehr konkrete Handreichung für die Arbeit des Krisenstabs und Krisenmanagements in Unternehmen.
Haben wir mit dieser Norm nunmehr eine Unterstützung für die Vergleichbarkeit des Krisenmanagements vorliegen?
Das ist ein wesentlicher Gesichtspunkt dieser Norm. Die Norm erlaubt es beispielsweise die Krisenstäbe eines weltweit tätigen Unternehmen mit Niederlassungen und regionalen Krisenstäben so auszurichten, wie den Krisenstab in der deutschen Zentrale. Das heißt, man hat eine grundlegende Struktur. Diese grundlegende Struktur hilft dann wiederum im weiteren Verlauf zu beurteilen, ob mir das Krisenmanagement eines Zulieferers ausreicht. Ich kenne Beispiele, bei denen Unternehmen gefragt werden, ob ihr Krisenmanagement zuverlässig funktioniert. Wenn man nun darauf verweisen kann, dass das Krisenmanagement der neuen Norm entspricht, so ist das auch eine gute Verhandlungsgrundlage für mögliche Geschäftstätigkeiten.
Werden mit der Norm auch kulturelle Unterschiede in der Arbeit des Krisenmanagements in unterschiedlichen Ländern und Kulturen berücksichtigt?
Die Norm zeichnet sich dadurch aus, dass sie gerade die Frage nach der Führung in der Krise behandelt. Dort werden auch Anforderungen an die Führung in der Krise thematisiert. Ein wichtiges Element dabei sind die Anforderungen an die Führungspersönlichkeiten im Stab. Die Anforderungen, die dort genannt werden, sind unter anderem das Beherrschen eigener und fremder Emotionen. Das Bild, das man in der Norm zum Thema Führung zeichnet, ist kein autoritäres System, sondern es handelt sich um ein System mit der Fragestellung der optimalen Führung in einer unbekannten Situation. Der Leiter eines Stabes muss mit den sehr diffizilen Gefühlen der Mitglieder des Krisenstabes umgehen können. Das setzt ein bestimmtes Führungsverständnis voraus, was im Rahmen der Norm erstmals thematisiert wird. Auf die Frage nach den kulturellen Aspekten im internationalen Kontext taucht immer wieder ein anderes, sprich patriarchales Führungsverständnis auf. Das heißt einen klaren Führer in der Krise und andere, die diesem Führungsverständnis und dem dahinterliegenden Prozess strikt folgen. Allerdings hat sich in der Praxis herauskristallisiert, dass ein partizipatives Führungssystem besser ist, um die Qualität der Krisenstabsarbeit und dementsprechend des gesamten Krisenmanagements zu optimieren. Dieser partizipative Ansatz des Führungsstils ist auch Gegenstand in der Norm.
Kommen wir konkret auf den RMA-Leitfaden zum Krisenmanagement zu sprechen. Für welche Unternehmensgrößen wurde er entwickelt und welche Eckpunkte und Hilfestellungen zum Krisenmanagement bietet er für Unternehmen?
Der Leitfaden richtet sich an Unternehmen aller Branchen und Größen. Im Grunde haben wir den Leitfaden sowohl für kleine Firmen, als auch große Unternehmen konzipiert. Ein weiterer Aspekt des Leitfadens ist, dass wir Praxisbeispiele aus der Beratungs- und Unternehmenspraxis der beteiligten Autoren bereitstellen und das Ganze so für mögliche Anwender stärker zugänglich machen.
Zudem geht es um den Lerneffekt aus Krisen. Hierzu gehört sicher auch eine bessere Aus- und Weiterbildung sowie Sensibilisierung. Was benötigt es hier aus Ihrer Sicht, um an den richtigen Stellschrauben zu drehen, damit sich Unternehmen resilienter gegenüber möglichen Krisenszenarien aufstellen können und welche Rolle kann ein Verband, wie die RMA mit dem Arbeitskreis Krisenmanagement, hierbei spielen?
Krisenmanagement ist nicht eine Aktion, die man einmal macht, um sie danach wieder zu vergessen. Es geht vielmehr um einen kontinuierlichen Krisenmanagementprozess des Lernens und der Weiterbildung. Sei es in puncto der Abläufe in einem Stab, der Methoden, aber auch hinsichtlich der Rolle innerhalb des Krisenmanagements. Dies alles gilt es regelmäßig zu überdenken und zu trainieren. Ich spreche hier von einer kontinuierlichen Fortentwicklung die verlangt, dass die Mitglieder im Krisenstab eine gewisse Grundschulung haben und diese auch ernst nehmen. Darüber hinaus muss es in einem weiteren Modul für die Krisenstabsmitglieder um einen hohen Kenntnisstand über die Prozesse, Strukturen und Abläufe innerhalb der Organisation gehen. Nicht zu vergessen Führung beleuchten. Das Thema der Führung in der Krise. Das gilt es zu trainieren. Denn viele Menschen haben kein Bewusstsein dafür, wie sie in einer hoch eskalierten Krisensituation beispielsweise auf andere Menschen wirken. Das gilt es systematisch in einem dritten Modul zu lernen. Zusammengefasst heißt das: Es braucht ein durchgängig strukturiertes Programm zum Krisenmanagement, was die RMA mit ihrem Arbeitskreis zum Krisenmanagement und mittels Workshops und Seminare anbietet.
Wenn wir abschließend auf die Methodenseite des Leitfadens schauen, was würden Sie hier besonders hervorheben wollen?
Hier möchte ich auf die konkreten Arbeitsabläufe innerhalb des Stabs bei der Stabssitzung eingehen. Die dann vorzunehmende Vorgehensweise findet sich in der Norm in einer Abbildung wieder, die von der Situation über Ausrichtung bis zu den Optionen und Maßnahmen sowie der Überprüfung in den einzelnen Prozessschritten reicht.
Das klingt sehr abstrakt, aber es ist der Kern des Ablaufes, wie unter anderem eine Krisenstabssitzung durchführt werden kann. Diese Grundvorgehensweise ist nichts Neues im Krisenmanagement, aber diese Schritte gilt es unbedingt einzuhalten. Im Leitfaden selbst haben wir die einzelnen Stufen näher beschrieben und näher erläutert. Warum ist das so wichtig? Die Antwort liegt in der Situation des Krisenstabsleiters. Er hat keine Lösung, muss aber die Lösungsfindungskompetenz seines Stabes mit methodischer Sicherheit anregen. Dazu gehört zwingend zu Beginn des Zyklus, dass ein Bild zur Lage braucht. Das ist wichtig, weil nur auf dieser Grundlage die weiteren Schritte eingeleitet werden können. Wenn dem nicht so ist, sprich die Mitglieder unterschiedliche Lagebilder vorfinden, lösen sie im Zweifel in unterschiedliche Richtungen. Deshalb ist ein gemeinsames Lagebild so wichtig, um den kompletten Krisenmanagementablauf professionell und mit einem klaren und gemeinsamen Ziel durchzuführen. Das ist ein entscheidender Punkt, die in der Norm beschrieben wird. Das heißt auch, dass die Grundstruktur stehen muss, weil sonst die Arbeit in einem Krisenstab mit der Hoffnung auf eine gute Lösung kaum möglich erscheint.
RMA-Leitfaden zum Krisenmanagement ISO 22361
Wie Unternehmen ein Krisenmanagement nach der neuen DIN ISO 22361 zielgerichtet planen, aufbauen, einführen, betreiben, prüfen und weiterentwickeln können, zeigt der neueste Band der RMA Risk Management & Rating Association e.V. entlang typischer Krisenszenarien und dabei wichtiger Entscheidungsfragen. Der neue Leitfaden richtet sich an Organisationen jeder Größen, der Unternehmen und Verwaltungen mit vielen Umsetzungstipps zum Krisenmanagement unterstützt. Weitere Informationen zum Leitfaden finden Interessenten hier
Podcast zum Krisenmanagement
Einen ausführlichen Podcast mit Dr. Klaus Bockslaff (Folge #8) zum Thema des Krisenmanagements und des neuen Leitfadens „Krisenmanagement ISO 22361“ finden Interessierte auf den Seiten der RMA
Dr. Klaus Bockslaff ist Geschäftsführer der Verismo GmbH, einem Unternehmen rund um die Themen Sicherheits-, Risiko-, Notfall-, Kontinuitäts- und Krisenmanagement. Zudem ist Klaus Bockslaff Leiter des Arbeitskreises Krisenmanagement der RMA Risk Management & Rating Association e.V. |