impulse: Herr Blaumoser, Sie arbeiten als Berater für Notfall- und Krisenmanagement. Sind Unternehmen ausreichend auf Notfälle vorbereitet?
Michael Blaumoser: Manche sind in Sachen Krisenprävention sehr sensibilisiert. Sie wissen: Wenn morgen der Strom ausfällt, können sie nicht mehr produzieren. Dann verdienen sie auch kein Geld mehr und können die Mitarbeiter nicht bezahlen. Viele sagen aber auch: „Wird schon nichts passieren“. Sie handeln erst, wenn Druck von außen kommt, ein Großkunde zum Beispiel mehr Krisenresilienz und Präventionsmaßnahmen einfordert und damit droht, andernfalls Aufträge zu streichen.
Wenn wir schon beim Thema Stromausfall sind. Haben Sie panische Anrufe bekommen, als Anfang des Jahres in Berlin der Strom weg war?
Ja, da habe ich Anrufe bekommen. Wir haben zwei, drei Kunden, die davon betroffen waren. Die waren aber gut vorbereitet und hatten Krisenstäbe und entsprechende Pläne dazu, was in einem solchen Fall zu tun ist.
Wie bereiten Sie Unternehmen auf Krisen vor?
Wir erstellen ein Notfall- und Krisenhandbuch. Darin werden relevante Szenarien durchgespielt, zum Beispiel ein Stromausfall, ein Amoklauf oder Cyberangriffe. Das hängt vom Kerngeschäft und den größten Bedrohungen des Unternehmens ab. Dann stellen wir einen Krisenstab aus Beschäftigten der Firma zusammen – ein Personenkreis, der im Ernstfall zusammenkommt und das Vorgehen koordiniert. Jedes Mitglied hat eine Aufgabe: Jemand kümmert sich beispielsweise darum, das Personal zu informieren, jemand um die Betriebsprozesse und eine andere Person um die Kommunikation mit den Kunden. Wir schulen diese Personen. Im letzten Schritt führen wir eine Übung durch, in der wir einen Vorfall möglichst realistisch simulieren.
Michael Blaumoser hat einen Meistertitel in Schutz und Sicherheit. Er ist Geschäftsführer der Firma SIUS-Consulting, die Behörden und Unternehmen international zu Notfall- und Krisenmanagement berät.
Könnten Sie so eine Übung mal beschreiben?
Bleiben wir beim Beispiel Stromausfall. In der Übung nehmen wir an, dass die Stromversorgung vollständig ausfällt und technische Systeme nicht mehr funktionieren. Beleuchtung, Teile der Gebäudetechnik und IT-Systeme funktionieren nicht mehr. Der Krisenstab trifft sich in einem bestimmten Raum, der im Handbuch definiert wird. Er erstellt ein Lagebild: Welche Bereiche sind betroffen, welche Geschäftsprozesse gefährdet? Wann erleiden Maschinen Schäden und wann gehen Daten verloren? Dann priorisiert der Stab die nächsten Schritte, wobei es meistens am wichtigsten ist, die Notstromversorgung herzustellen. Das Ziel der Übung ist nicht, jedes Problem zu lösten, aber die Lage strukturiert zu erfassen und Entscheidungen unter Zeitdruck zu trainieren.
Überraschen Sie die Unternehmen mit dieser Übung?
Den Tag, an dem diese Übung stattfindet, kündigen wir an. Man kann Führungskräfte mit vollem Kalender nicht kurzfristig aus dem Betrieb herausnehmen. Aber das Szenario bleibt bis zum Übungsbeginn unbekannt. Darin liegt der Überraschungseffekt. Wir versuchen, ein Ereignis zu wählen, mit dem man überhaupt nicht rechnet.
Welche Sicherheitslücken entdecken Sie in Unternehmen?
Wenn ein Betrieb sagt: „Wir haben gut vorgesorgt“, bin ich erstmal misstrauisch. Am Anfang analysieren wir die Unternehmen und gucken, welche Maßnahmen zur Krisenvorsorge bestehen. Wir müssen selten bei Null anfangen, aber viele Unterlagen sind veraltet. Häufig wurden vor vielen Jahren ein Notfall- und Krisenplan aufgestellt. Wenn Sie dann durch die ersten Seiten blättern, merken Sie, dass Ansprechpartner nicht mehr in der Firma sind und Telefonnummern nicht existieren. Ein Tipp: Gucken Sie sich einmal im Jahr dieses Notfall- und Krisenhandbuch für 10 Minuten an. Da fällt schnell auf, ob Sie etwas aktualisieren müssen, weil sich Ansprechpartner, Zuständigkeiten und Kontaktdaten geändert haben.
In den vergangenen Jahren kamen ein paar Angriffsszenarien dazu. Cyberangriffe in diesem Ausmaß dürften in viele Krisenplänen nicht berücksichtigt sein.
Ja, oft passen Handbücher nicht mehr zu dem, was, da draußen passiert. Ransomware-Attacken, bei denen Systeme verschlüsselt und Lösegeldzahlungen verlangt werden, stehen in keinem 15 Jahre alten Handbuch.
Notfallkoffer für Unternehmen Sind Cyberangriffe nicht die größere Bedrohung?
Ja, statistisch gesehen schon. Für uns als Krisenmanager macht das aber keinen Unterschied, wir müssen Unternehmen sowieso auf unterschiedliche Krisenszenarien vorbereiten. Manchmal sind es Banalitäten: Man denke an einen Familienbetrieb in dritter Generation, in dem der alte Geschäftsführer die Lohnzahlungen noch per Hand unterschreibt. Dann fällt er plötzlich aus und der ganze Betrieb stockt, weil Verantwortlichkeiten und Prozesse nicht klar geregelt sind. Wir haben in Deutschland nunmal viele Familienbetriebe, in denen zentrale Entscheidungen nur von einzelnen Personen getroffen werden. Wenn die ausfallen, kann das eine Krise auslösen.
Der Senior-Chef ist die größte Gefahr…
Absolut (lacht).
Was kostet eine vernünftige Krisenprävention?
Für ein mittelständisches Unternehmen müssen Sie mit Kosten im hohen fünfstelligen Bereich rechnen. Manchen Betrieben erscheint das erstmal zu teuer. Dann hört man von einem Cyberangriff und auf einmal bewerten sie den Preis doch anders. Ich kann Ihnen sagen: Wenn es irgendwo zu einer massiven IT-Attacke kommt, melden sich auf einmal ganz viele Führungskräfte bei mir.
Haben Sie den Eindruck, Unternehmen lernen aus Krisen?
Ich glaube, gute Führungskräfte lernen aus Fehlern, auch, wenn es Fehler anderer sind. Schlechte Führungskräfte werden früher oder später ausgesiebt. Das regelt der Markt. Krisenmanagement heute nicht mehr ernst zu nehmen, ist keine Option mehr. Man denke an die Pandemie. Dass Unternehmen Masken und Desinfektionsspray auf Vorrat haben sollten, war schon Anfang der 2000er klar im Zusammenhang mit BSE und der Schweinegrippe. Einige Jahre später hielten das viele wieder für unnötig und sparten daran. Dann kam die Pandemie und wir hatten das Problem.
Sie haben die Maskenknappheit kommen sehen?
Es war zwangsläufig, dass so etwas kommt. Sie müssen Schutzausrüstung vorrätig haben. Im Ernstfall ist auf dem Markt nichts mehr verfügbar.
Müssen Sie sich manchmal Kritik anhören, weil Sie von Krisen profitieren?
Da bin ich tiefenentspannt. Natürlich verdienen wir Geld damit. Wir unterstützen Unternehmen dabei, sie wirksam auf Krisen vorzubereiten, und diese Leistung muss entsprechend entlohnt werden. Wenn es uns nicht gäbe, würden sich viele Betriebe gar nicht erst sicher aufstellen.
Im besten Fall passiert nichts.
Das hoffe ich auch. Aber irgendwas ist immer (lacht).
