An ounce of prevention is worth a pound of cure

Benjamin Franklin hatte vermutlich keine kriminellen Angriffe auf Unternehmen im Sinn, als er diese Worte schrieb. Trotzdem passen sie gut. Gleich, ob solche Angriffe physisch (Einbruch) oder digital (Cyber-Kriminalität) erfolgen: Je unerwarteter sie sind, desto größer ist die Krise, die sie auslösen. Nicht zu reden von dem Schmerz, der mit der nachträglichen Einsicht kommt, auf nichts vorbereitet gewesen zu sein.

In 25 Jahren als Führungskraft bei der Polizei bin ich nicht umhin gekommen, praktische Erfahrungen zu diesem Thema zu sammeln Ein paar Erkenntnisse, die sich daraus gewinnen lassen, teile ich im Folgenden gern mit Ihnen.

Physischen Bedrohungen, wie dem unbefugten Eindringen in das Unternehmen, kann durch entsprechende Sicherungsmaßnahmen und erhöhte Aufmerksamkeit der Belegschaft vorbeugt werden. Gefährlicher, weil viel häufiger und erfolgreicher, sind Angriffe auf IT-Systeme, Datenbestände oder Kommunikationsprozesse. Kriminelle versuchen dadurch Einblicke in technologisches Know-how, oder die Strategie eines Unternehmens zu gewinnen. Manchmal geht es ihnen einfach darum, Kundendaten abzugreifen, manchmal schleusen sie Malware ein, um die IT zu blockieren. Meist handelt es sich dann um den Versuch einer Erpressung.

Bitte, geben Sie sich keiner Illusion hin. Jede Branche hat es schon erwischt. Vom Stahlproduzenten bist zur Hotelkette, vom Logistik-Unternehmen bis zum Bäcker an der Ecke. Denken Sie nicht, Ihr Unternehmen sei zu groß oder zu klein um das Interesse von Hackern zu wecken!

Mit den Folgen solcher Angriffe werden Sie um so besser fertig, je weniger Sie „kalt erwischt“ werden. Wer sich vorbereitet hat und weiß, was zu tun ist, wer also ein funktionierendes Krisenmanagement etabliert hat, wird den Schaden begrenzen und aus jedem Angriff eine Menge lernen.

Dazu gehört vor allem die Bereitschaft, das, was in unserer hochdigitalisierten Welt geschieht, ganz nüchtern zu betrachten und jederzeit mit dem Unerwarteten zu rechnen. Eine gute Vorbereitung für den Krisenfall ist nicht zuletzt eine kulturelle Herausforderung: In wieweit fühlen sich alle im Unternehmen mitverantwortlich für die Sicherheit? Wie aufmerksam registrieren die Mitarbeitenden alles, was auf schädigende Einflüsse hinweist? Schaffen Führungskräfte ein Betriebsklima, in dem man offen sprechen kann?

Ein Krisenmanagement, das diesen Namen verdient, setzt nicht erst ein, wenn der Krisenfall eintritt. Es veranlasst die Menschen im Unternehmen, zu antizipieren, was geschehen könnte, erste Signale wahrzunehmen und den eigenen Umgang mit der Herausforderung abschließend aufzuarbeiten. Man könnte von vier Perspektiven auf das Thema sprechen, oder von vier Phasen. Jede einzelne verdient Aufmerksamkeit.

1. Potenzielle Krise: Schwachstellen identifizieren und kulturelle Voraussetzungen schaffen

Krisen können sich in erster Linie aus vulnerablen Stellen eines Unternehmens ergeben, wie seinem IT-System, oder dem Datenbestand, über den es verfügt. Schwachstellen müssen als Quellen für potenzielle Krisen identifiziert werden, selbst mit Blick auf Entwicklungen, die nicht abgeschlossen sind, oder erst in der Zukunft ihre Wirkung entfalten werden (Beispiel: KI).

Auch das eigene Personal muss als Angriffspunkt begriffen werden, wobei eine hohe Fluktuation das Risiko erhöht. Dem kann durch intensive Fortbildungsmaßnahmen und Awareness-Übungen entgegengewirkt werden. Ebenso gehört die Gebäudesicherheit in den vorbeugenden Fokus, alles in Abhängigkeit zur Art des Geschäftes und den sich daraus abzuleitenden Risiken. In einigen Fällen ist auch der Schutz der nach außen handelnden Personen oder sogar deren Familienmitglieder in die vorsorgliche Prüfung einzubeziehen.

Die Angriffspunkte der IT haben durch technische Kombinationen (voice over ip) zugenommen, wobei auch das illegale physische Eindringen vom Firmengelände im Blick behalten werden sollte. Eine Beratung durch Fachleute mit den erforderlichen technischen Anpassungen (Pentests, Übungen und die Schulung des Personals) sollten zum Standard jedes Unternehmens gehören. 

Auch selbst inszenierte Scheinangriffe sind eine Option, um Schwachstellen aufzuzeigen. Diese Option sollte natürlich mit dem Betriebsrat und den Beschäftigten grundsätzlich vor deren Einsatz erörtert werden. Allein das Wissen um die Möglichkeit solcher Übungen wird eine Vorbeugungswirkung erzeugen. 

Unternehmen, in denen ein angstfreies Klima gefördert und offene Kommunikation von der Führung vorgelebt (und auch von den Beschäftigten eingefordert) wird, sind nicht nur im Krisenfall im Vorteil, sondern bereits dann, wenn es um Vorbeugung geht. Die Fähigkeit und die Bereitschaft, Prozesse und Regularien kritisch in Frage stellen zu können, macht das Unternehmen stark, gerade wenn immer wieder dazu aufgefordert wird, sich kritisch einzubringen.

Alles, was Transparenz herstellt, Beteiligung respektive Einbeziehung der Beschäftigten ermöglicht, ist sinnvoll und zielführend. Demokratische Teilhabe vermittelt allen im Betrieb das Gefühl, ein bedeutender Teil des Ganzen zu sein. Das dadurch bewirkte Zugehörigkeitsgefühl kann für die bessere Bewältigung einer Krise von essenzieller Bedeutung sein. Wenn ich immer wieder um meine Meinung gebeten wurde, werde ich mich in einer Krise schnell an diejenigen wenden, die meine Meinung auch sonst interessiert hat. 

Ich plädiere dafür, dass auch kleinere Unternehmen ein „kleines“ Risikomanagement praktizieren - möglicherweise sind auch dort Compliance-Verantwortliche sinnvoll. Das Risikomanagement muss sich mit denkbaren Szenarien auseinandersetzen und präventiv Maßnahmen entwickeln. Gerade in jüngster Zeit gibt es mehr Angriffe gegen mittlere und kleinere Unternehmen, weil Großunternehmen inzwischen besser geschützt sind. Angreifer suchen nach neuen Wegen und wenn sich Lücken auftun, schlagen sie zu.

2. Latente Krise: Szenarien durchspielen und Warnsignale ernst nehmen

Der Krisenfall ist leichter zu bewältigen, wenn es zuvor die konkrete gedankliche Auseinandersetzung mit möglichen Krisenszenarien gegeben hat. Das kann durch eine Beurteilung der Risiken geschehen und natürlich durch Folgenabwägung. 

Theoretische Szenarien müssen von Zeit zu Zeit neu gedacht und durchgespielt werden. Neue Entwicklungen sind zu berücksichtigen. Alles, was auf dem kriminellen Markt passiert, könnte für das eigene Unternehmen wichtig werden und sollte in die Überlegungen einbezogen werden. Die Beratungsstellen der Landeskriminalämter in den Bundesländern sind dafür die richtigen Ansprechpartner. 

Unbedingt sollte ein Plan erstellt werden, in welchem festgelegt ist, wer im Krisenfall welche Aufgabe wahrnimmt? Es empfiehlt sich, eine entsprechende Aufbauorganisation in einem Organigramm zu veranschaulichen: Wer sind die Verantwortlichen? Welche Zuständigkeiten haben sie? Wie sind sie per Mail, Handy und Festnetz zu erreichen? Auch regelmäßige Informationsprozesse können darin abgebildet werden.

Anhand von Schulungen und Trainings sollten die Verantwortlichen auf den notwendigen Stand gebracht werden und in Übungen wiederholt trainiert werden, damit im Ernstfall nicht erst über die notwendigen Schritte nachgedacht werden muss. 

Eine wichtige Fragestellung ist, ob man es bereits mit einer akuten Krise zu tun hat, oder es sich noch um die Vorstufe einer latenten Krise handelt - und ob es eine Krise ist, die das eigene Unternehmen wirklich betrifft. Bei einer möglichen nächsten Pandemie wird man, unabhängig vom Ausbruchsort, sofort in den Modus der akuten Krise schalten. Aber bereits beim Status einer noch „latenten Krise“ empfiehlt es sich, möglichst schnell geeignete Vorbereitungsmaßnahmen zu treffen.

3. Akute Krise: Maßnahmen ergreifen und Kommunikation steuern

In einer akuten Krise sollte man – abgesehen von wenigen außergewöhnlichen Sicherheitsbelangen – schnell auf den vom Unternehmen üblicherweise genutzten Kommunikationskanälen reagieren, das Thema adressieren, Empathie zeigen und Verantwortung übernehmen: Wir kümmern uns! 

Das verschafft etwas Zeit für eine gründlichere Aufarbeitung! Dazu sollte ein Projekt oder eine Arbeitsgruppe aus verschiedenen Bereichen gebildet werden und die Krise hinsichtlich ihrer Ursache, des Umfangs, der Auswirkungen und Folgen untersucht werden. Dem Vorstand bzw. der Geschäftsführung ist zeitnah zu berichten.

Die Bildung einer Projektgruppe verbunden mit der Aussage, sich an die Spitze der Bewegung zu setzen, um eine gründliche Untersuchung zu realisieren, ist die erste wichtige Botschaft, mit der man Klarheit schafft und Zeit für eine sorgfältigere Untersuchung gewinnt. Auch wenn fast jeder Krise eine gewisse Dringlichkeit immanent ist, muss Genauigkeit vor Schnelligkeit gehen. Es ist Aufgabe der Verantwortlichen in der Führung, zwischen wichtigen und dringlichen Fragen zu unterscheiden und entsprechende Prioritäten zu setzen. 

Exkurs: In der Phase der Untersuchung lauert übrigens ein Risiko! Viele glauben, am Ziel zu sein, sobald sie eine Fehlerquelle ausfindig gemacht haben, die sie für entscheidend halten. Menschen neigen dazu, die erste funktionierende Idee für die Lösung des Problems zu halten. Auch Kriminelle wissen das und nutzen es. Wenn sie ein System manipulieren, bauen sie an verschiedenen Stellen gern Schadprogramme ein, die leicht zu entdecken sind - während sie andere tiefer im System verstecken. 

Schon der Erpresser mit dem Decknamen „Dagobert“ nutzte diese Taktik, als er im August 1992 in einer Geldtasche mit Abwurftechnik zwei (!) Zeitschaltuhren installierte. Die erste konnten die Techniker des LKA schnell finden. Sie bereiteten daraufhin ein Zugriffskonzept vor - passend zu der voreingestellten Uhrzeit. Ich befand mich gerade beim Auftanken unseres Hubschraubers als die Tasche plötzlich eineinhalb Stunden vor der durch die Techniker berechneten Zeit vom fahrenden Zug abgelöst wurde. Die LKA- Experten hatten nach dem Fund der Zeitschaltuhr nicht weitergesucht - und die zweite Schaltvorrichtung einfach nicht entdeckt. Ein simpler Reflex: Ich habe, was ich suche! Und schon fokussiere ich mich auf diesen (leider falschen) Fund.

Weiter zur Projektgruppe: Sie kann für die Informationssammlung kleine Gruppen von Interviewern bilden, um sicherzustellen, dass wichtige Informationen aus verschiedenen Richtungen gecheckt sind, bevor sie als gesichert gelten. 

Das intensive Hinterfragen von Informationen sollte die Regel sein! Gehen Sie jeder Quelle auf den Grund!

Die erste inhaltliche Frage muss lauten „Was ist passiert?“ und auf das konkrete Problem im Kontext der Krise bezogen sein. „Wo stehen wir jetzt?“ ist die zweite wichtige Frage. Der Ist-Stand muss erfasst, analysiert und fortlaufend dokumentiert werden. Die Polizei spricht hier von der „Beurteilung der Lage“. Häufig muss zunächst ein erhebliches Informationsdefizit aufgearbeitet werden. Diesbezüglich stellen sich sieben simple Grundfragen: Was ist wo passiert, durch wen, wann, wie, womit und warum? 

Sollte hier mit schriftlichen Berichten gearbeitet werden, besteht die Gefahr, dass einzelne Informationen nicht der Realität entsprechen. „Papier erträgt geduldig, was gedruckt wird!“ Sie brauchen aber präzise und vollständige Informationen, die sie am ehesten dann bekommen, wenn sie intensiv nachhaken können. Informationen vom Hörensagen, die die nächsthöhere Führungsebene erhoben hat, ein „ich meine“ oder ein „das müsste so sein“ helfen Ihnen nicht weiter. 

Nur der Klarheit halber: Sie werden mit solchen Formulierungen in der Regel nicht hintergangen, sondern die Absender halten das, was sie Ihnen sagen für sachlich richtig. Zumindest sind sie von ihrer Wahrnehmung überzeugt, bis ihre Aussagen als fehlerhaft qualifiziert werden können.

Um das alles zu verhindern, akzeptieren Sie Informationen nicht einfach als zutreffend, sondern prüfen Sie sie – wenn möglich persönlich. Es ist wichtig alles, was Ihr weiteres Vorgehen bestimmen wird, sorgfältig abzusichern.

Gründlichkeit geht vor Schnelligkeit! Dafür bilden ‘Interviewgruppen’ eines Projektes eine geeignete Basis. Zudem kann Ihre persönliche Wahrnehmung eine wichtige Ergänzung sein, z.B. durch den Blick ins Gelände, um die örtlichen Gegebenheiten besser einschätzen zu können, den O-Ton einer Aussage, die Beobachtung eines Prozesses oder eines Schadens. Ich rate Ihnen dringend dazu, sich, wo immer möglich, ein eigenes Bild zu machen!

Die Presseabteilung sollte ein Medien-Monitoring über die Berichterstattung im Kontext der Krise durchführen. Sie müssen wissen, worin genau die Vorwürfe bestehen, die man dem Unternehmen machen kann. Wann spitzt sich etwas zu? Wo liegen Herausforderungen im Umgang mit den Vorwürfen? Wo schlummern weitere Risiken?

Lassen Sie mich an dieser Stelle noch etwas zum Thema Kommunikation ergänzen. Zur der Frage „Wann kommuniziere ich?“ habe ich die Schritte benannt: Es geht um eine schnelle Erstreaktion, die das Erkennen des Problems, ein empathisches Ernstnehmen und das Signal „Wir kümmern uns!“ umfasst. Alle weiteren Schritte folgen wieder der Maßgabe „Gründlichkeit geht vor Schnelligkeit“.

Krisenmanager müssen sich darüber klar sein, dass es auch andere Player gibt,
die mehr über ihre Krise erfahren wollen. Medien stellen Nachforschungen zu denselben Fragen an, wie sie. Sorgen sie also dafür, dass ihre Beschäftigten, Quellen von aussen und Experten bei Ihnen ausreichend Gehör finden. Alle müssen von ihrem Projektteam gründlich befragt und ggf. auch betreut werden. Allen wichtigen Quellen müssen Sie das Gefühl vermitteln, dass sie bei Ihnen am besten an der Aufklärung und Behebung des „Schadens“ mitwirken können.

Vorzeitig festlegen sollte man auch, wer in der Öffentlichkeit für das Unternehmen sprechen wird. Diese Person benötigt neben den sprachlichen Qualifikationen viel Ruhe und Gelassenheit, sowie eine hohe Glaubwürdigkeit. Sie muss offen, transparent und konsistent kommunizieren können. Gut ist, wenn der Sprecher oder die Sprecherin schon über einschlägige Erfahrungen verfügt. Eine Eskalationsstufe für einen kritischen Verlauf - in Persona eines nächsthöheren Verantwortlichen - sollte ebenso mitgedacht werden wie eine Vertreterin oder ein Vertreter.

In Ihrer Kommunikation ist es wichtig, alle für Ihren Geschäftsbereich üblichen Kanäle zu bedienen. Genauso wesentlich ist es, sich zu keiner Zeit im Prozess abzuducken, sondern sich von Anfang an an die Spitze der Bewegung zu setzen und dort zu bleiben. 

Bleiben Sie aktiv, treffen Sie Maßnahmen, wo es klar und geboten ist, verkünden Sie den Maßnahmenkatalog selbst oder lassen sie es in Ihrem Namen tun. Und besonders wichtig: Verfallen Sie nicht ins Schweigen, wenn eine Krise sich unerwartet zuspitzt.

Ein unheilvolles Beispiel ist das eines Berliner Politikers, der wegen sexueller Vorwürfe und ohne gründliche Untersuchung eilig seines Postens enthoben wurde. Kurz nach seiner Entlassung stellte sich heraus, dass die Hauptbelastungszeugin gar nicht existierte. Als verantwortliche Partei in solch einer Situation tagelang zu schweigen, während alle Medien fortwährend berichten und unangenehme Fragen stellen, ist katastrophal. Man muss das Thema mit Blick auf die neuen Informationen wieder aufnehmen und sofort reagieren! Besonders ernst wird die Angelegenheit, wenn der Verdacht entsteht, dass die übereilte Reaktion politisch begründet sein könnte.

Noch ein wichtiges Detail, das auf den ersten Blick banal klingt: Das, was kommuniziert wird, muss wahr sein! Nichts ist in einer Krise schlimmer, als die Notwendigkeit, eine Information korrigieren zu müssen. Ein erheblicher Vertrauensverlust ist die Folge!

Die Arbeits- bzw. Projektgruppe zur Aufarbeitung der Krise sollte vielfältig bestückt sein, erforderlichenfalls auch mit Experten. Je breiter die Erfahrung desto besser können Berichtslage, Recherchen und Interviews ausgewertet werden. Ziel ist es, präzise Informationen bzw. Fakten zu sammeln und von bloßen ‘Meinungen’ und Gerüchten zu trennen. Auch die Projektgruppe hat den Auftrag, sich zu den entscheidenden (kritischen) Aspekten die originären Quellen an den Tisch zu holen. Der O-Ton macht den entscheidenden Unterschied!

Verantwortung zu tragen, heißt ein kritisches Bewusstsein zu zeigen, sowie gleichzeitig Betroffene und die eigenen Leute zu schützen. Erst wenn genau feststeht, was falsch und richtig gelaufen ist, sollten dazu Aussagen getroffen werden. Bis dahin gilt die Unschuldsvermutung! Vermeiden sie Vorverurteilungen mit etwaigen Folgemaßnahmen. Stellen Sie sich mit dieser Haltung vor die eigene Mannschaft. Machen Sie klar, dass Sie die Vorwürfe ernst nehmen, der Sache bis zur endgültigen Klärung gründlich nachgehen und machen Sie deutlich, dass Sie einen Plan haben.  

Wenn Fehler feststehen, sollten diese entsprechend eingeräumt werden! Vermeiden sie dabei den Eindruck, dass die Wahrheit nur scheibchenweise ans Licht kommt. Der Eindruck, dass Sie einer so genannten Salami-Taktik folgen, ist fatal!

Manchmal braucht es in einer Krise Experten. Experten hinzuzuziehen kann ein hilfreicher Schritt sein. In vielen Fällen ist es unverzichtbar, sich fachkundige Unterstützung zu sichern. 

Ich erinnere mich an das Beispiel des abscheulichen Amoklaufs gegen eine Hamburger Gemeinde von Jehovas Zeugen. Der Täter hatte ein Buch veröffentlicht, in dem er auf mehreren hundert Seiten teils krude Thesen über seinen Glauben ausbreitete. War das, was er dort schrieb, ernst zu nehmen? In welchen Zusammenhang stand es zu seiner Tat? Wir haben zu dieser Frage frühzeitig den weltweit anerkannten Experten Prof. Peter Rudolf Neumann vom Kings College in London mit einem Gutachten beauftragt. Mit seiner Expertise - auch persönlich im Innenausschuss der Hamburger Bürgerschaft vorgetragen - konnten die unterschiedlichsten Meinungen und Interpretationen eingefangen und eine fundierte Deutung gewonnen werden, die bei der Einschätzung und Einordnung des Falles half.

4. Nachbereitung: Den Prozess dokumentieren und auswerten

Es hat sich als nützlich erwiesen, den Verlauf von Maßnahmen und Entwicklungen schriftlich zu dokumentieren. Anhand der Dokumentation lässt sich nach der Krisenbewältigung eine Auswertung vornehmen.

Im Polizeilichen Sprachgebrauch hat sich dazu der Begriff „Nachbereitung“ etabliert, woanders wird vom Debriefing gesprochen.

Sinnvoll sind ein oder mehrere Meetings als Auftakt und Abschluss der Nachbereitung. Ziel ist es, die „lessons learned“ aus dem Prozess zu sichern, um aus jeder gemachten Erfahrung für zukünftige Situationen zu profitieren.

Der Zeitpunkt einer Nachbereitung sollte klug gewählt werden, bestenfalls deutlich nach dem Ereignis - was durchaus mehrere Monate bedeuten kann.

Nach der Krise neigen Betroffene dazu, durchzuatmen. Man ist erstmal froh, alles überstanden zu haben. Dabei bleibt man aber häufig noch im Fokus der Öffentlichkeit. Gerade wenn Sie gelitten haben und Ihr Vertrauen angeknackst ist: Von jetzt an gilt es, aufmerksam zu bleiben! Greifen die Maßnahmen? Was sollten wir aus all dem lernen? Was würden wir im gleichen Fall anders machen?

Ich empfehle Verantwortlichen in der Unternehmensleitung für die Phase danach, sich weiter berichten zu lassen oder sich mit einigem Abstand erneut ein eigenes Bild zu machen: Wie läuft es jetzt?

Nach der Krise ist vor der Krise. Klingt banal, aber es ist gut, sich das zwischendurch ins Bewusstsein zu rufen.

Ralf M. Meyer, Polizeipräsident a.D.