Kritis: Krisenmanagement für KMU

Ende 2022 traten mit der NIS2-Richtlinie und der CER-Richtlinie zwei EU-Richtlinien in Kraft, welche die Systematik der Kritischen Infrastrukturen (Kritis) sowie Tiefe und Umfang der für Kritis verbindlichen Auflagen deutlich verändern werden und zunehmend KMU betreffen. Während aktuell von den in Deutschland als Kritis bezeichneten Unternehmen und Organisationen weniger als 2.000 tatsächlich reguliert werden, kann davon ausgegangen werden, dass in der Umsetzung der Richtlinien durch neue Sektoren und eine neue Identifizierungslogik nicht nur die Anzahl der Kritis an sich deutlich ansteigt – einige Schätzungen gehen von bis zu 40.000 neuen Kritis aus -, sondern auch die Verbindlichkeit der umzusetzenden Maßnahmen sich erhöht.

Und auch wenn die konkrete Ausgestaltung in Deutschland noch aussteht, wird die sinnvolle Abkehr von der bisherigen Schwellenwertlogik zur Folge haben, dass viele tendenziell kleinere Unternehmen – KMU - ohne ein etabliertes Sicherheitsmanagement entsprechende Auflagen werden umsetzen müssen. Hierbei werden Investitionen in die Sicherheit von IT-Systemen und in Sicherheitstechnik, vor allem aber ein eine organisatorische Grundlage für die Wahrnehmung der entsprechenden Aufgaben notwendig sein. Die CER-Richtlinie fordert dabei recht allgemein, dass Kritis in der Lage sein müssen „einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.“ Einem Modell organisationaler Resilienz folgend ergibt sich daraus zum einen, dass Kritis sowohl die Widerstands- als auch die Bewältigungsfähigkeit sicherstellen müssen. Zum anderen ergibt sich daraus aber auch unabdingbare Notwendigkeit, ein funktionierendes Krisenmanagement als Scharnier zwischen Widerstands- und Bewältigungsfähigkeit sicherzustellen.

Der Begriff des Krisenmanagements sollte dabei weit gefasst werden. Er beinhaltet nicht nur die Krisenstabsarbeit nach Ausbruch einer Krise, sondern auch die im Vorfeld notwendigen Aktivitäten zur Krisenerkennung sowie zur Ausbildung und In-Übung-Haltung.

In zwei explorativ angelegten Studien unmittelbar vor Ausbruch beziehungsweise zu Beginn der Coronapandemie gaben 2019/2020 etwa 75 Prozent der befragten Unternehmen an, dass sie über ein organisiertes Krisenmanagement verfügten. Und tatsächlich lässt sich nach drei Jahren feststellen, dass viele Unternehmen gut durch die zwischenzeitlich als größte gesellschaftliche Krise nach 1945 bezeichnete Pandemie gekommen sind.

Allerdings lohnt es sich einmal, genauer hinzuschauen, wie es um das Krisenmanagement in deutschen Unternehmen bestellt ist. Zunächst kann festgehalten werden, dass in den Umfragen immerhin jedes vierte Unternehmen angab, keine Vorkehrungen für einen Krisenfall getroffen zu haben. Gerade die Pandemie hat jedoch gezeigt, wie groß die Abhängigkeiten von Unternehmen untereinander sind und wie unzureichend sich diese mit Regulierungen zu „kritischen Dienstleistungen“ absichern lassen. Es kommt mithin auf jede Organisation an, und das Glas wäre mit 75 Prozent eben nicht voll.

Als nächstes stellt sich die Frage, wie gut eigentlich die jeweilige Krisenorganisation in den betreffenden Unternehmen funktioniert. Begleitende Fragestellungen deuteten darauf hin, dass viele Unternehmen Krisenmanagement eben nicht in der skizzierten weiten Auslegung verstehen, sondern kaum Übungen durchführen und auch keine aktive Krisenfrüherkennung betreiben. Daraus folgt, dass auch die Qualität der Entscheidungsfindung in den Krisenstäben hinterfragt werden muss.

Immerhin handelt es sich bei der Krisenstabsarbeit um eine per Definition hochgradig für Fehler anfällige Form der Entscheidungsfindung. Komplexität der Aufgabe, äußerer Druck, eine unklare Informationslage – die Reihe der typischen Merkmale einer Krise ließe sich noch lange fortführen und zeigt die mit dem Krisenmanagement verbundenen Herausforderungen auf, die auch in psychologisch bedingten Fehlentscheidungen münden können. In der Literatur werden bis zu 24 fehlerhafte Entscheidungsmuster beschrieben, für die Krisenstäbe aufgrund der besonderen Entscheidungssituation besonders anfällig sind und die zu fehlerhaften Bewertungen und zum Teil problemverstärkendem Verhalten führen.

Neben ausreichender Beübung der Stäbe fehlt es insgesamt jedoch auch an einheitlich angewandten Standards zur Krisenstabsarbeit. In der Diskussion zwischen Wissenschaft und Praxis ergibt sich dabei die Frage, ob die vorhandenen Standards im Einzelnen nicht gut genug für die Praxis sind oder ob umgekehrt, in der Praxis bisher zu wenig getan werde, um diesen Standards zu entsprechen.

Aus Sicht der neuen Kritis, insbesondere der Kritis, die aufgrund ihrer Größe unter die KMU-Definition fallen, ergibt sich zudem noch ein weiteres, praktisches Problem. Egal ob ein Unternehmen dem behördlichen Krisenstabsmodell oder auch den Empfehlungen des ASW-Kompetenzcenters Krisenmanagement folgt: Für einen Krisenstab ist eine Mindestanzahl von (ausgebildeten und beübten) Personen erforderlich. Der Notwendigkeit einer durchhaltefähigen Struktur folgend, sollte der Krisenstab auch schichtfähig sein können, was zu einer Erhöhung des Personalbedarfs führt. Erfahrungsgemäß ist dies für KMU nur sehr schwer organisatorisch abzubilden. Auch mittelständische Kritis sind potenziellen Bedrohungen und Risiken ausgesetzt, die ihre Geschäftsprozesse beeinträchtigen können. Dazu gehören Naturkatastrophen, Cyberangriffe, Stromausfälle, Pandemien, politische Instabilität oder Terrorismus. Alle Kritis – aber generell auch alle KMU – müssen sich bewusst sein, dass diese Bedrohungen jederzeit und in unterschiedlicher Form eintreten können. Eine weitere Herausforderung für KMU besteht darin, dass sie häufig in engen Netzwerken mit anderen Unternehmen und Behörden zusammenarbeiten, was zu einer höheren Komplexität und Verwundbarkeit im Krisenfall führen kann.

Um mit diesen Herausforderungen umzugehen, sollten auch KMU einen umfassenden Krisenmanagementprozess entwickeln, der die Schritte beinhaltet, die im Krisenfall zu ergreifen sind. Dazu gehören die Alarmierung, Evakuierung, Ressourcenallokation, Kommunikation und Wiederherstellung von Geschäftsprozessen. Es ist wichtig, dass dieser Prozess regelmäßig geübt und aktualisiert wird, um sicherzustellen, dass alle Mitarbeiter im Ernstfall wissen, was zu tun ist. Ein effektives Krisenmanagement kann dazu beitragen, dass KMU schneller wieder auf die Beine kommen und langfristige Schäden vermeiden können.

Ein Krisenstab dient der Erfassung, Verdichtung und Auswertung von Informationen, unterstützt eine systematische Entscheidungsfindung, kommuniziert Informationen und kontrolliert den Erfolg beschlossener Maßnahmen. Umfang und Spezialisierungserfordernis der einzelnen Aufgabenschritte bestimmen den organisatorischen Umfang des Krisenstabes.

Hier setzt die Idee an, mit Machine-Learning-Tools informationsbasierte Aufgabenschritte des Krisenstabes zu unterstützen und damit diesem sowohl Arbeit abzunehmen, aber auch eine Möglichkeit der Qualitätskontrolle zu schaffen. Als Machine-Learning können dabei IT-Lösungen bezeichnet werden, die in der Lage sind, automatisch aus Erfahrungen zu lernen, ohne explizit programmiert zu werden. Die Grundlage dafür ist das Erkennen von Mustern in Daten und das Ableiten von Schlussfolgerungen auf Basis dieser Muster.

Das im Rahmen des BMWi-geförderten Forschungsprojektes „Safe-Coach“ entwickelte Machine-Learning-Tool hilft dabei, Prioritäten zu setzen und Entscheidungen im Krisenmanagement zu treffen. Es basiert auf Daten und Erkenntnissen aus vergangenen Krisensituationen und kann mithilfe von Machine-Learning-Algorithmen die bestmöglichen Entscheidungen in Echtzeit treffen.

Safe-Coach analysiert automatisch die verschiedenen Datenquellen, die während einer Krise zur Verfügung stehen. Dazu können beispielsweise Wetterberichte, Verkehrsdaten, Social-Media-Beiträge, Informationen von Einsatzkräften vor Ort und vieles mehr gehören. Auf Basis dieser Daten kann das Tool notwendige Aufgaben identifizieren und priorisieren, um den Akteuren des Krisenmanagements zu helfen, schnelle und fundierte Entscheidungen zu treffen.

Um die Effektivität von Safe-Coach zu maximieren, ist es wichtig, den Algorithmus des Tools regelmäßig zu trainieren. Das kann durch gezielte Übungen und Simulationen von Krisenszenarien geschehen. Dabei kann das Tool lernen, wie sich bestimmte Situationen im Laufe der Zeit entwickeln und wie sich Entscheidungen auswirken. Durch das Training des Algorithmus kann Safe-Coach immer besser werden und schließlich auch auf neue Krisensituationen angewandt werden.

Damit ist es besonders für kleine und mittelständische Kritis-Unternehmen wertvoll, da es dabei hilft, in Krisensituationen schnell und effektiv, aber vor allem ressourcenschonend zu handeln. Das Tool kann dabei helfen, auch ohne große Krisenstäbe Entscheidungsrisiken zu minimieren, Prioritäten zu setzen und fundierte Entscheidungen zu treffen, die auf Daten und Fakten basieren.

Durch den Einsatz eines solchen Machine-Learning-Tools können Entscheidungen schneller und präziser getroffen werden, wodurch sich die Reaktionszeit im Krisenfall deutlich verkürzt und die Effektivität des Krisenmanagements gesteigert werden kann. Es ist jedoch wichtig zu betonen, dass diese Tools das menschliche Urteilsvermögen und die Erfahrung nicht ersetzen können, sondern vielmehr ergänzen und unterstützen sollen.

Insgesamt kann der Einsatz von Machine-Learning-Tools einen erheblichen Beitrag zur Verbesserung des Krisenmanagements leisten. Durch die Kombination von menschlichem Urteilsvermögen und Erfahrung mit der Präzision und Geschwindigkeit von Algorithmen können KMU der Kritischen Infrastruktur effektiver auf Krisensituationen reagieren und die Auswirkungen von Krisen auf das Geschäft minimieren.

Erforderlich dafür ist allerdings ein regelmäßiges Üben. Damit wird nicht nur die Mensch-Maschine-Schnittstelle verbessert, es liegen dann auch erst die notwendigen Datenmengen für die Analyse vor. Safe-Coach kann Unternehmen dabei unterstützen, die verschiedenen Aufgaben im Krisenmanagement optimal zu priorisieren, bleibt aber trotzdem ein Werkzeug.

Prof. Dr. Achim Wortmann, Professor für Wirtschaftspsychologie und Projektverantwortlicher „Safe-Coach“ an der NBS Northern Business School Hamburg und im Institut für Human Resource Management und Organisationspsychologie (IHRO)  / Prof. Dr. André Röhl, Leiter des Studiengangs Sicherheitsmanagement an der NBS Northern Business School Hamburg und wissenschaftlicher Leiter des Deutschen Instituts für Sicherheit und Krisenvorsorge (DISK)