Im heutigen Beitrag von KRISENSICHER, dem Blog rund um Organisationale Resilienz in der Polykrise, geht Christian F. Hirsch der Frage nach, warum es gefährlich sein kann, beim Krisenmanagement aktuellen Krisenmoden zu folgen.

„Eine Mode bezeichnet die in einem bestimmten Zeitraum geltende Regel, Dinge zu tun, zu gestalten, zu tragen oder zu konsumieren, die sich mit den Ansprüchen der Menschen im Laufe der Zeit geändert haben. Moden sind Momentaufnahmen eines Prozesses kontinuierlichen Wandels. Mit Moden werden also in der Regel eher kurzfristige Äußerungen des Zeitgeistes assoziiert.“ Das sagt Wikipedia über Mode.

Mode ist also eine kurzfristige Äußerung des Zeitgeistes. Moden gibt es nicht nur bei Kleidung oder anderen Lifestylebereichen. Moden gibt es auch in der Wirtschaft. So seziert der Bielefelder Organisationssoziologe Stefan Kühl beispielsweise in seinen Werken auf eindrucksvolle Weise, welche Moden es im Bereich Management gibt. Derzeit sei alles rund um Agilität eine große Managementmode.

So verwundert es auch nicht, dass sich ebenso im Krisenmanagement gewisse Moden herausbilden, die einem Zeitgeist folgen. Derzeit sind es vor allem Cyberattacken, die nicht nur großen Konzernen oder staatlichen Einrichtungen zu schaffen machen. Auch mittelständische Unternehmen, Universitäten, Krankenhäuser oder Medien werden von Hackern und Cyberkriminellen angegriffen.

Jeder will heute nur Cyberattacken üben

Wenn man heute das Wort Krise hört, denken deshalb die meisten fast nur noch an Cyberkrisen. Cyberistik ist gerade die große Mode im Krisenmanagement. Allerorten in den sozialen Medien preisen Krisenmanager an, Unternehmen dabei zu helfen, eine Cyberkrise zu lösen. Und auch an den Anfragen nach Krisenmanagementübungen merken wir es: Jeder will jetzt nur noch Cyberattacken üben

Doch die aktuelle Fokussierung auf Cyberangriffe birgt auch Gefahren, so verständlich sie auch ist. Sie führt dazu, dass jetzt bei vielen Unternehmen Geld in die Aufstockung der IT-Sicherheit fließt und die Mitarbeiter für Gefahren sensibilisiert werden, die beispielsweise von Social Engineering ausgehen. Doch damit scheinen sich viele Unternehmenslenker auch von anderen Krisenarten freizukaufen. Nicht selten hören wir, wenn wir mit Führungskräften über mögliche Krisen sprechen: „Dafür haben wir unsere IT-Abteilung.“

Sich in Sicherheit zu wiegen, weil man das Thema Krise schön an die IT outgesourct hat, ist der falsche Ansatz. Es ist auch eine hochgefährliche Herangehensweise. Denn: Cyberangriffe sind nicht die einzige Krisenursache, die es gibt, auch wenn sie gerade sehr vermehrt auftreten. Gerade die vergangenen Tage haben gezeigt, dass es noch viele andere gibt.

Wirtschaftsspionage ist eine wichtige Quelle für Unternehmenskrisen

 Beispiel I:  Auch in den Cyber-Zeiten bleiben physische Angriffe auf Infrastruktur ein großes Krisenrisiko für Unternehmen. Am Dienstag gab es einen mutmaßlichen Brandanschlag auf einen Strommast in Brandenburg. Das habe, so berichtet beispielsweise Tagesschau online, verheerende Konsequenzen für das nahe Tesla-Werk. Wegen des dadurch verursachten Stromausfalls rechnet das Unternehmen mit einem Schaden von mehreren hundert Millionen Euro. Die Polizei geht von Brandstiftung aus und prüft ein Bekennerschreiben einer linksextremistischen Gruppierung, die sich gegen Tesla richtet.

Beispiel II: Der Vorfall um die abgehörte Webex-Konferenz von vier Offizieren über die Einsatzmöglichkeiten von Taurus-Raketen hat, so denke ich, uns allen wieder vor Augen geführt, dass die klassische Spionage nicht aus der Welt ist. Im Gegenteil. Wenn auch beim jetzigen Fall hohe Offiziere des Verteidigungsministeriums im Mittelpunkt stehen, so ist doch bekannt, dass sich Wirtschaftsspionage in Deutschland besonders auch gegen die hochinnovativen mittelständischen Unternehmen richtet. Genau wie physische Angriffe auf Infrastruktur zu schweren Unternehmenskrisen führen können, gilt, dass Wirtschafsspionage auch immer noch eine große, nicht zu vernachlässigende mögliche Krisenquelle für Unternehmen ist.

Die Cyberistik-Mode birgt aber noch eine andere Gefahr. Krisen sind selten nur Monokrisen. Das meint: Krisen beziehen sich nur selten auf einen Unternehmensbereich. Jede Krise kann sich sehr schnell in eine andere Krisenart verwandeln. So kann beispielsweise etwas, was als leichter Cyberangriff auf ein Unternehmen startet, schnell zu einer Mitarbeiterkrise führen, wenn die interne Kommunikation nicht klappt. Unruhe unter der Belegschaft kann die Krise dann ganz schnell in eine andere Richtung bringen und möglicherweise viel schlimmere Auswirkungen als der Cyberangriff haben.

Schnell steht die Reputation des Unternehmens auf dem Spiel

Es können aber auch die Medien von einer relativ unbedeutenden internen Krise Wind bekommen und einen Skandal wittern. Wenn dann die Krisenkommunikation nicht stimmt oder die Kommunikationslage auch nur falsch eingeschätzt wird, kann aus einem kleinen internen Feuer sehr schnell ein medialer Flächenbrand entstehen. Dann kann es auch sehr schnell um die Reputation des gesamten Unternehmens oder sogar um dessen Social Licence to Operate gehen.

In Krisenmanagementübungen üben wir genau solche unerwarteten Entwicklungen, bei denen aus einer kleinen Monokrise ein Krisenflächenbrand werden kann. Viele Unternehmen bitten uns derzeit, dass wir mit ihnen Cyberangriff üben. Dann sitzen sie da, haben alles vorbereitet, die IT ist präpariert. Führungskräfte und IT-Abteilung sind mächtig stolz, weil sie denken zu wissen, was kommt. Sie wähnen sich oft ziemlich sicher, alles im Griff zu haben.

Doch dann starten wir: Nach kurzer Zeit haben wir durch Einspielung von immer neuen Herausforderungen die ursprünglich angedachte Krise soweit in eine ganz andere Richtung geschoben, sie diversifiziert und auch generalisiert, dass auch andere Bereiche des Unternehmens betroffen sind: HR, Kommunikation, Supply Chain, Compliance etc. Und dabei sind unsere Übungen oft mitnichten so hart, wie die Realität es sein kann

Dann ist das Erstaunen immer groß und die Erkenntnis noch größer: Eine Krise ist nur selten eine Monokrise und ganz selten bleibt eine Cyberkrise nur eine Cyberkrise. Deshalb unser Tipp: Statt jetzt auf die Mode Cyberkrise zu setzen, sollten Krisen gerade jetzt generalistisch gesehen und geübt werden. Deshalb unser grundsätzlicher Ansatz in Übungen und der tatsächlichen Krisenbewältigung: Generalistik statt Cyberistik.

Christian F. Hirsch ist Chief of Staff der KR Krisensicher Risikoberatung GmbH. Im Blog KRISENSICHER schreibt er unter anderem über Krisenkommunikation, Kommunikative Resilienz, Akzeptanzkommunikation oder die Social License to Operate.