Kaum jemand kennt sich mit Krisenmanagement besser aus als Gerhard Saumwald. Vor 40 Jahren startete er bei A1 Telekom Austria, wo er von 2017 bis 2020 als BCM- (Business Continuity Management/Betriebliches Kontinuitätsmanagement) und Krisenmanager tätig war. Heute ist er selbständiger Berater und Lead-Auditor bei CIS (Certification Information Security). LEADERSNET sprach mit ihm über Krisenmanagement in Österreich, die größten Fehler der Unternehmen und die Vorteile professioneller Krisenmanagementsysteme.
LEADERSNET: Herr Saumwald, Sie sind Berater, Auditor, Krisenmanager – und Leiter einer Flugschule. Wie passt das zusammen?
Saumwald: Ja, das werde ich oft gefragt (lacht). Aber für mich ist es sehr schlüssig. Im Krisenmanagement und beim Fliegen ist eines entscheidend: gute Vorbereitung. Es braucht immer einen Plan B und am besten noch einen Plan C und D. In beiden Situationen muss man sich in Notfällen auf durchdachte Checklisten und solides Training verlassen können, um die Ruhe zu bewahren und Schaden bestmöglich abzuwenden.
LEADERSNET: Sie kommen als Berater mit vielen Unternehmen in Kontakt. Wie gut ist man in den österreichischen Chef-Etagen beim Thema Alarmierung und Krisenmanagement aufgestellt?
Saumwald: Man sieht hier einen klaren Unterschied zwischen Betreibern kritischer Infrastrukturen und anderen Unternehmen. Während erstere – inklusive Behörden wie Bezirkshauptmannschaften und Blaulichtorganisationen – in der Regel auf die bereichstypischen Szenarien gut vorbereitet und organisatorisch klar aufgestellt sind, findet man in den meisten anderen Unternehmen nur vereinzelt eine klar definierte Vorgabe für den Umgang mit Notfällen. Von einer Krisenorganisation mit entsprechenden Tools, die regelmäßig Übungen durchführen, ist man oft sehr weit entfernt.
LEADERSNET: Was sind aus Ihrer Sicht die drei wichtigsten Krisenszenarien, auf die sich jedes Unternehmen vorbereiten sollte?
Saumwald: Da ist schwer zu pauschalisieren. Keine Branche und kein Unternehmen sind identisch. Daher ist eine solide Impact-Analyse der erste Schritt. Aber ich denke, Cyberangriffe oder Blackouts aber auch die Abhängigkeiten von Lieferanten für digitale Services oder analoge Güter sollte jedes Unternehmen auf dem Schirm haben.
Das wichtigste Krisenszenario ist jedoch das mit dem man nicht rechnet, wie etwa eine Pandemie. In vielen Unternehmen herrscht noch ein, wie ich es nenne, Versicherungsdenken vor. Man bereitet sich nur auf wahrscheinliche Risiken vor und scheut die Kosten für die Absicherung unwahrscheinlicher Risiken. Aber das völlig Unerwartete wird künftig öfter eintreten. Es ist daher wichtig, dass sich Unternehmen nicht nur auf einzelne Szenarien vorbereiten, sondern eine Krisenorganisation aufbauen, die unterschiedlichste Szenarien bewältigen kann.
LEADERSNET: Was könnten Anbieter und der Markt tun, um das Bewusstsein der Unternehmen zu schärfen? Was wünschen Sie sich von den Playern im Krisenmanagement?
Saumwald: Verglichen mit den Themen Informationssicherheit, Qualität oder IT-Prozesse (ITIL) ist die Krisenmanagement-Community recht klein – noch. Denn wir sehen, dass der Bedarf an Wissen und Austausch in der aktuellen Situation rasant steigt. Jetzt wäre ein guter Zeitpunkt, um Event-Plattformen zu schaffen damit Unternehmen ihr Wissen erweitern können. In Deutschland zum Beispiel sind solche Veranstaltungen meist rasch ausgebucht.
Vereinzelt finden in Österreich zwar bereits Treffen oder Informationsveranstaltungen des staatlichen Krisen- und Katastrophenmanagement im Bereich der kritischen Infrastruktur satt, aber es sollten sich alle Unternehmen damit befassen.
LEADERSNET: Da Sie gerade Deutschland ansprechen: Hinken österreichische Unternehmen im europäischen Vergleich nach?
Saumwald: Wenn man nur in Österreich agierende Unternehmen betrachtet vermutlich ja. Multinational oder global aufgestellte Unternehmen sind aber aufgrund der steigenden Komplexität bzw. der erhöhten Bedrohungslage nahezu gezwungen, sich besser vorzubereiten. Global Player fragen bei ihren Leistungspartnern bereits gezielt und detailliert nach, wie sie sich auf diese Notfälle vorbereiten.
LEADERSNET: Was wird beim Krisenmanagement am häufigsten falsch gemacht?
Saumwald: Der grundlegendste Fehler ist, das Krisenmanagement wie ein Projekt zu behandeln. Viele Unternehmen setzen Richtlinien, Prozesse und eine Organisation auf – und gehen dann wieder zum Tagesgeschäft über. Das Aha-Erlebnis kommt, wenn tatsächlich eine Krise eintritt und Kontaktinformationen veraltet, der Umgang mit Tools nicht trainiert und Prozesse nicht an veränderte Rahmenbedingungen angepasst sind. Wie im Fall eines Unternehmens, bei dem der Alarmierungsprozess nur über einen Weg designt wurde, welcher aber bei einem realen Notfall nicht zur Verfügung stand. Dadurch funktionierte die gesamte Alarmierungskette nicht und man musste mitten in der akuten Notsituation eine Ersatzlösung erarbeiten und hat wertvolle Zeit verloren. Krisenmanagement ist eine kontinuierliche Aufgabe. Regelmäßige Trainings, Übungen und Audits sind erfolgskritisch.
Auch organisatorisch ist das Krisenmanagement oft falsch verankert. In vielen Unternehmen liegt die Verantwortung in der Technik oder der IT. Bei einer Pandemie ist die IT aber nur ein Aspekt von vielen. Besser ist es, das Krisenmanagement im Bereich Risikomanagement, Strategie oder auch in der Kommunikationsabteilung anzusiedeln. Je näher an der Geschäftsführung, desto besser.
LEADERSNET: Apropos Pandemie: Hat die COVID-19 Krise die Awareness für Krisenmanagement in Österreich verändert?
Saumwald: Ja, davon bin ich überzeugt. Die COVID-19-Krise hat jedem CEO gezeigt, dass man sich auch auf unerwartete Krisen vorbereiten muss. Und Unternehmen, die seit längerem ein Krisenmanagement betreiben, haben die Vorteile erkannt. Sie konnten schneller mit geeigneten Maßnahmen reagieren und besser mit den Mitarbeitern kommunizieren.
LEADERSNET: Kommunikation ist ein zentraler Faktor im Krisenmanagement. Welche Erfahrungen haben Sie mit digitalen Alarmierungs- und Krisenmanagementlösungen gemacht?
Saumwald: Zeit ist einer der Faktoren, die man in einer Krise nicht beeinflussen kann, und sie ist in der Regel knapp. Gute Tools helfen, die Arbeit zu beschleunigen und besser zu strukturieren. Zwar scheuen sich viele noch, ein Tool zu etablieren, das – hoffentlich – nicht oft gebraucht wird. Aber die wenigsten kennen solche Systeme und ihre Vorteile. Auch hier wäre mehr Aufklärung wichtig.
Vor allem bei komplexeren Krisen geraten herkömmliche Wege an ihre Grenzen. Zum Beispiel wenn es um die zeitnahe und automatisierte Alarmierung und rasche Informationsverteilung an relevante Gruppen geht – und zwar über verschiedene Kommunikationswege und auch in Randzeiten. Auch wird es schwierig, in einer laufenden Krisensituation den Überblick zu behalten oder später hinzugezogenen Gruppen einen Überblick zu geben, wenn man kein zentrales Tool hat, in dem alle Informationen zusammenlaufen. Spätestens die revisionssichere Dokumentation eines Vorfalls wird ohne Krisenmanagementtool zu einer echten Herausforderung. Ich gehe davon aus, dass sich der Einsatz von Tools erhöhen wird, zumal auch die Kosten kein großer Faktor mehr sind.
LEADERSNET: Wem empfehlen Sie den Einsatz einer Krisenmanagementlösung?
Saumwald: Ich denke, Unternehmen ab 100 Mitarbeitern sollten sich mit der Thematik auseinandersetzen und nach einer Business Impact Analyse entscheiden, ob eine Krisenmanagementlösung Vorteile schafft.
Unternehmen im Bereich der kritischen Infrastruktur sowie Betreiber von wesentlichen Diensten sollten ihre Alarmierungsprozesse auf Schwachstellen analysieren. Hier werden solche Lösungen bald als Standard bei vielen zu finden sein, um die Anforderungen an die Verfügbarkeit der Prozesse auch bei Notfällen gewährleisten zu können.
www.cis-cert.com
Übrigens dieses Projektdenken (statt die Aufgabe als einen kontinuierlichen Prozess zu sehen) ist auch bei Themen wie Datenschutz und Cybersecurity üblich. Auch in diesem Bereichen glauben viele, dass man mit einmaliger Aktion das Thema aus der Welt schaffen kann.
Kommentar schreiben