Publikation

Krisen erkennen und frühzeitig reagieren

20.05.2020

Konkrete Maßnahmen für Unternehmen in Notsituationen

Für Unternehmen, die bisher keine Notfallpläne etabliert haben, ist die plötzlich auftretende Krise besonders gefährlich. Denn in der aktuellen Situation sind Business-Continuity-Maßnahmen essenziell, um den Betrieb aufrechtzuerhalten. Dabei stiften schon einfache Instrumente einen großen Mehrwert. Ohne das nötige Vertrauen in die Mitarbeiter und eine transparente Kommunikation wird die Fortführung des Business deutlich erschwert. 

Worauf müssen Unternehmen in Krisenfällen achten?

Eine Krise tritt ein, beeinträchtigt das öffentliche Leben und legt die Geschäftsbetriebe lahm. Eine Pandemie, wie wir sie in diesem Jahr erleben, ist dabei nur ein Beispiel neben Naturkatastrophen, Cyber-Angriffen und weiteren Bedrohungen, die den Geschäftsbetrieb und die Wirtschaft nachhaltig gefährden können. Infolgedessen ist die Anpassungsfähigkeit von Unternehmen mehr denn je gefragt. Denn vorhandene Arbeitsabläufe fallen aus oder müssen an die neue Situation adaptiert werden. „Sich anpassen“ ist das Stichwort, um in der Krise überleben zu können. So ist beispielsweise die Remote-Arbeit, die zuvor eine interessante Zusatzoption war, zu einer dringenden Notwendigkeit geworden. Was sich verändert und welche Maßnahmen während und nach einer Krise eingeleitet werden können, haben wir in diesem Artikel zusammengefasst.  

Stabilisierung des Geschäftsbetriebs in fünf Schritten

Was passiert, wenn das eigene Unternehmen von einer Krise betroffen ist? Welche Auswirkungen hat der Notstand? Diese und viele weitere Gedanken begleiten Unternehmer, aber auch Mitarbeiter in einer Krisenzeit. Klar ist, dass auch in einer solch schwierigen Situation das Geschäft weitergehen muss. Auch wenn bis dato kein Business Continuity Management im Unternehmen implementiert ist, können schon einfache Präventionsmaßnahmen einen deutlichen Mehrwert stiften. 

In den folgenden fünf Schritten sind mögliche Veränderungen durch die Krise sowie erste Präventionsmaßnahmen aufgelistet:

Schritt 1: Der Schutz von Mitarbeitern und Kunden

Der Schutz von Mitarbeitern und Kunden steht immer an erster Stelle – je nach Krisensituation (Pandemie, Feuer, Überschwemmung, Erdbeben etc.) sollten individuelle Maßnahmen ergriffen werden. Es gilt, Mitarbeiter und Kunden aktiv aus Gefahrenzonen zu evakuieren und diese somit vor Schäden an Leib und Leben zu schützen. Detaillierte Schutzmaßnahmen für jede Krisenform würden den Umfang dieses Artikels bei weitem sprengen. Vor diesem Hintergrund setzen wir hier den Schwerpunkt auf die Schritte zur Stabilisierung des Geschäftsbetriebes. 

Schritt 2: Lage- und Risikoanalyse durchführen

Nach der Identifikation einer Krisensituation sollte ein geeigneter Personenkreis – eine Taskforce – festgelegt werden. Die wichtigsten Personen aus den geschäftskritischsten Bereichen sollten Teil dieser dynamischen Gruppe sein. Die Taskforce analysiert die aktuelle Lage und das Risikopotenzial – bezogen auf die bezogen auf die am meisten bedrohten Ressourcen und Prozesse.  

Zur Ermittlung des Status quo sollte die Taskforce folgende Inhalte und Fragen analysieren:  

  • Was ist besonders kritisch? Welche Abteilungen, Geschäftsprozesse, Services und Produkte sind für das Unternehmen besonders gefährdet und müssen zwingend am Laufen gehalten werden? Wie hoch ist das Ausfallrisiko?  
  • Was ist weniger kritisch? Welche Geschäftsprozesse, Produkte und Services sind in der aktuellen Krise weniger kritisch und können heruntergefahren oder gar gestoppt werden, um beispielsweise freie Kapazitäten zu erhalten? 
  • Welche Risiken gibt es? Welche Risiken gibt es in Bezug auf Supply Chain und kritische Unternehmensressourcen? Welche Risikominderungsarten und -maßnahmen stehen Ihnen hier ggf. zur Verfügung? 
  • Welche Abhängigkeiten gibt es? Welche akuten Abhängigkeiten bestehen zwischen Geschäfts- und Unterstützungsprozessen? Welche Unterstützungsprozesse müssen demnach konsequent zur Verfügung stehen (z. B. IT)?   
  • Gibt es genügend finanzielle Mittel? Welche finanziellen Mittel müssen für eine Risikominderung bereitstehen? Welche finanziellen Risiken bestehen aktuell? Welche Kosten können gesenkt werden? 

Schritt 3: Maßnahmenplanung und Reduzierung von Primär- und Sekundärschäden

Nach Identifizierung und Priorisierung der aktuellen Lage und Risiken müssen umsetzbare Risikominderungsmaßnahmen ermittelt werden, die sowohl auf Primär- als auch auf Sekundärschäden abzielen.  

Beispiele für Primärschäden und mögliche Risikobehandlungsmaßnahmen 

Primärrisiko: Ausfall von Mitarbeitern

Risiko: Ausfall von Mitarbeitern durch Erkrankung (Pandemie) oder Verletzung (Feuer, Naturschäden). 

Risikominderung-/Risikovermeidung: Konkrete Hygienevorschriften, Gebäuderäumungen sowie die Anordnung der Homeoffice-Arbeit sind nur ein paar Beispiele, um schnellstmöglich auftretende Gefahren für Leib und Leben zu vermindern oder ganz zu vermeiden.  

Primärrisiko: Längerer Ausfall von Lieferanten

Risiko: Längerer Ausfall von Lieferanten, die für kritische Geschäftsprozesse (Produktion etc.) relevant sind. 

Mögliche Risikobehandlung: In der Krise ist neben der Risikoanalyse eine enge Zusammenarbeit mit Ihren Lieferanten wichtig. Klärung mit den Lieferanten, ob diese ein Business Continuity Management etabliert haben und wie die aktuelle Notfallplanung aussieht. Frühzeitige Sondierung des Marktes, um ggf. auf andere Lieferanten ausweichen zu können.  

Primärrisiko: Wegfall/Einbruch von Absatzmärkten

Risiko: Wegfall/Einbruch von Absatzmärkten (z. B. Reise-/Tourismusbranche, Gastronomie etc.) durch behördliche Anordnung (Ein- und Ausreisebeschränkungen, Beschränkung der Bewegungsfreiheit etc.) oder durch eine einsetzende Rezession. 

Mögliche Risikobehandlung: Im Rahmen der Krise sollte eine Re-Priorisierung des Produkt-/Service- als auch des Projekt-Portfolios vorgenommen werden, um sich auf geänderte Marktbedingungen einzustellen. Gibt es keine Aussicht den Betrieb kurzfristig umzustellen (Beispiel: Gastronomie stellt auf Lieferservice um), so bleibt meist nur die Möglichkeit die laufenden Kosten zu senken (Kurzarbeit, herunterfahren der Produktion, Dienstleistungsangebot streichen etc.) und ggf. Maßnahmen wie Überbrückungskredite einzuleiten. 

Beispiele für Sekundärschäden und mögliche Risikobehandlungsmaßnahmen

Aus der Risikominderung/-vermeidung eines Primärschadens können neue Risiken für Sekundärschäden entstehen. So könnten z. B. aus der oben genannten Risikovermeidungsstrategie (Räumung von Gebäuden und Anordnung von Homeoffice) folgende Sekundärschäden hervorgehen, die entsprechend zu behandeln sind: 

Sekundärrisiko: Kapazitäts-Probleme der IT

Risiko: Kapazitäts-Probleme der IT durch vermehrten Remote-Zugriff. 

Mögliche Risikobehandlung: Um auf die höheren IT-Kapazitätsanforderungen durch vermehrte Homeoffice-Zugriffe reagieren zu können, sollten die zusätzlich benötigten Kapazitäten ermittelt werden. Auf dieser Basis können Maßnahmen, wie die Erhöhung der Bandbreite des Internetzugangs, die Aufrüstung physikalischer oder virtuelle Server, oder die kurzfristige Umstellung auf Cloud-Services (Microsoft Office 365, Virtual Desktop-Lösungen) ergriffen werden. 

Sekundärrisiko: Unzureichender Datenschutz/Compliance

Risiko: Unzureichender Datenschutz/Compliance bei Remote-Arbeitsplätzen. 

Mögliche Risikobehandlung: Die EU-Datenschutz-Grundverordnung (DSGVO) enthält einige Maßnahmen, welche für den Datenschutz umgesetzt werden sollten (z. B. Pseudonymisierung oder Verschlüsselung). Diese Auflistung ist nicht abschließend und es kommt immer darauf an, dass die jeweils tatsächlich getroffenen Maßnahmen „ein dem Risiko entsprechendes Schutzniveau“ gewährleisten. Bei der Verwendung von Microsoft-Produkten (z. B. O365) bietet Microsoft selbst DSGVO-konforme Einstellungsmöglichkeiten und Handlungsempfehlungen.  

Sekundärrisiko: Die Informationssicherheit leidet

Risiko: Die Informationssicherheit leidet unter Homeoffice-Regelungen. 

Mögliche Risikobehandlung: Wenn Mitarbeiter keine Hardware vom Unternehmen zur Verfügung gestellt bekommen und den privaten Computer nutzen, müssen die Firmendaten besonders gesichert werden. Zur Sicherung der Firmendaten auf dem privaten Computer gibt es mehrere Ansätze:  

  • Sollten die Mitarbeiter einen Windows-Rechner privat nutzen, so kann der „Build-In“-Virenschutz (Microsoft Defender) in Windows ein Mindestmaß an Sicherheit bieten. Wichtig ist, dass dieser nicht nur aktiviert, sondern auch regelmäßig aktualisiert wird. Alternativ können auch Testversionen anderer Anti-Virus-Hersteller kurzfristig Abhilfe schaffen.  
  • Eine weitere Maßnahme zur Sicherung der Datenübertragung ist die Bereitstellung eines VPN/IPSEC-Zugangs zum Firmennetzwerk. Auf diese Weise können Mitarbeiter eine sichere Verbindung zu ihrer Firma herstellen und Daten geschützt übertragen.   
  • Aktivierung der Multi-Faktor-Authentifizierung (MFA) – Zugangsbeschränkung durch mehrere Passwörter/Merkmale – für die Anmeldung an Ihren Cloud-Diensten (z. B: Office 365). So ist sichergestellt, dass ein nicht erwünschter Zugriff durch eine dritte Person unterbunden wird.
Sekundärrisiko: Keine zielgerichtete Kommunikation

Risiko: Keine zielgerichtete Kommunikation durch die ungewohnte Remote-Kommunikation. 

Mögliche Risikobehandlung: Auch wenn Gestik und Mimik wichtige Komponenten in der Kommunikation sind, müssen sich alle Beteiligten an reine „Sprach-Meetings“ gewöhnen. Virtuelle Meetings dauern oft länger und enden ohne Ergebnis, da z. B. die Übertragung nicht einwandfrei und das Unterbrechen durch fehlende Gestik und Mimik vorprogrammiert ist. Es ist daher empfehlenswert, diese Herausforderungen bei den Mitarbeitern anzusprechen und gemeinsam ein virtuelles Meeting-Regelwerk zu erstellen. 

Sekundärrisiko: Geringe bis keine zwischenmenschlichen Beziehungen

Risiko: Geringe bis keine zwischenmenschlichen Beziehungen führen zu weniger Motivation bei den Mitarbeitern/Vereinsamung der Mitarbeiter. 

Mögliche Risikobehandlung: Gespräche über fachliche Themen sind genauso wichtig wie der Small-Talk oder der soziale Kontakt in der Kaffeeküche. Daher ist es in einer solchen Krisenzeit umso wichtiger, den Kontakt mit den Kolleginnen und Kollegen zu suchen und die Bedürfnisse zu verstehen. Zur Sicherung des sozialen Kontakts kann beispielsweise „virtueller Kaffee-Klatsch“ eine erste Lösung sein. Ermutigung der Mitarbeiter sich gegenseitig solche Termine einzustellen.  

Sekundärrisiko: Schwierigkeiten mit der Remote-Arbeitsweise

Risiko: Mitarbeiter kommen mit der Remote-Arbeitsweise nicht zurecht. 

Mögliche Risikobehandlung: Trotz neuer Tools sowie Flexibilität durch Remote-Arbeit sollte Ihnen bewusst sein, dass nicht jeder Mitarbeiter mit der neuen Arbeitsweise zurechtkommt. Die Remote-Arbeitsweise ist anders – täglich die eigenen vier Wände sehen, wenig soziale Kontakte und das Verschwimmen von Arbeit und Freizeit stellt für viele Mitarbeiter eine Belastung dar. Es ist daher wichtig, mit den Mitarbeitern ins Gespräch zu kommen, die Herausforderungen zu reflektieren und Lösungen zu finden. Selbst der Gedanke „Spätestens um 18 Uhr den Laptop zuklappen“ könnte ein Lösungsvorschlag sein. Weitere Tipps, um die Kultur für Remote-Arbeit und virtuelle Teams zu fördern, bietet unser Webinar

Sekundärrisiko: Führungskräfte leben die virtuelle Arbeitsweise nicht vor

Risiko: Führungskräfte leben die virtuelle Arbeitsweise nicht vor, was zu einer geringen Akzeptanz bei den Mitarbeitern führt. 

Mögliche Risikobehandlung: Um kurzfristig auf die Bedürfnisse der Mitarbeiter reagieren zu können, sollte die Führungsebene entsprechend sensibilisiert sein. Wie bei vielen anderen Dingen gilt: Wenn das Management die neue Arbeitsweise akzeptiert und vorlebt, steigt auch die Akzeptanz bei den Mitarbeitern. Darüber hinaus ist es wichtig, dass Führungskräfte ihren Führungsstil an die neue digitale und vertrauensbasierte Arbeitssituation anpassen. 

Die gewählten Risikominderungsmaßnahmen können über ein Krisenmanagement-Office gesteuert und mittels Projektmanagementmethoden umgesetzt werden. Nähere Informationen zu Projektmanagement in der Krise sind hier zu finden. 

Schritt 4: Kommunikation

Kommunikation ist in der Krise essenziell! Sie übermittelt die wichtigsten Informationen und stellt einen Dialog zwischen Unternehmen, Mitarbeitern und Dritten her. Sie ist eine flankierende Maßnahme, schafft und fördert Verständnis, erläutert Sinnzusammenhänge und antizipiert Bedürfnisse und Erwartungen von Mitarbeitern und Dritten. Die Kommunikation in der Krise sagt viel über das Unternehmen aus und sollte nicht missbräuchlich verwendet (z. B. Informationen zurückhalten oder verschleiern) werden. Transparenz heißt das Stichwort, um weiterhin Mitarbeiter und Dritte an das Unternehmen zu binden.  

Speziell die Mitarbeiterkommunikation nimmt einen hohen Stellenwert in der Krisenkommunikation ein. Denn je nach Art und Ausmaß der Krise bringt die Ausnahmesituation ein hohes Maß an Betroffenheit mit sich, zum Beispiel wenn der Arbeitsplatz gefährdet ist. Trotz aller Unsicherheit ist es in diesem Fall wichtig, auf die individuellen Sorgen und Ängste der Mitarbeiter einzugehen und gemeinsam Lösungen für entstandene Herausforderungen zu finden.   

Bei der Mitarbeiterkommunikation ist es im ersten Schritt wesentlich, über die Krisensituation zu informieren und Verhaltensinstruktionen zu geben.  

Eine „Krisen-Webseite“ im Intranet, ein „schwarzes Brett“ auf der Kollaborationsplattform, Krisen-Teammeetings oder Informationsveranstaltungen sind gute Beispiele für geeignete Kommunikationsinstrumente in einer Krise. 

Schritt 5: Übergang vom Krisenbetrieb in den Normalbetrieb

Eine Exitstrategie hilft, schrittweise den Normalbetrieb wiederherzustellen, ohne erneut höhere Risiken einzugehen. Welche „Lessons Learned“ sich aus der Krise gewinnen lassen, sollte ebenfalls Teil einer Exitstrategie sein. Vom unternehmerischen Denken über den Aufbau der Organisation bis hin zu einzelnen (Kern-)Prozessen, die positiven, aber auch die negativen Einflüsse der Krise sollten betrachtet werden. Wichtig ist jedoch, dass nicht nur die Prozesse, sondern auch die Mitarbeiter, der Mensch, in den Fokus der Analyse gerückt werden. Die Krisensituation muss gemeinsam mit der Belegschaft evaluiert und die positiven und negativen Veränderungen, Bedürfnisse und Erkenntnisse müssen festgehalten werden. Maßnahmen sollten zusammen abgeleitet und erste Initiativen in die Tat umgesetzt werden.  

Fazit

Fazit

Krisen erfordern Anpassungsfähigkeit von Unternehmen, denn vorhandene Arbeitsabläufe fallen aus oder müssen an die neue Situation adaptiert werden. Zur Stabilisierung des Geschäftsbetriebs hilft dieser Leitfaden mit fünf Schritten. Dabei wird häufig der letzte Schritt – der Übergang in den Normalbetrieb – vernachlässigt. Nur mit den richtigen Maßnahmen lassen sich Krisensituationen meistern und die Auswirkungen auf den Geschäftsbetrieb minimieren.