Wenn Sie sich fragen, wie gut Ihr Unternehmen auf Krisensituationen vorbereitet ist, kann Ihnen unsere Checkliste zum Krisenmanagement in Unternehmen weiterhelfen. Denn hier finden Sie wichtige Punkte, die Sie überprüfen sollten, um sicherzustellen, dass Ihr Unternehmen in der Lage ist, effektiv auf Vorfälle und Krisen zu reagieren. Dazu beinhaltet unsere „Checkliste Krisenmanagement“ eine freie Zusammenstellung relevanter Hinweise, Inhalte und Anregungen rund um das Thema. Allerdings beinhaltet sie nicht nur Aspekte eines Krisenmanagementsystems im engeren Sinn und ersetzt selbstverständlich keine individuelle Betrachtung Ihres Unternehmens und die Erstellung eines darauf abgestimmten Konzepts – sie ist eben kein „Kochrezept“. Vielmehr soll sie Orientierung geben und dabei unterstützen, die wichtigsten Punkte zu berücksichtigen.
Und bevor Sie mit der Checkliste Krisenmanagement starten hilft Ihnen vielleicht noch ein Blick in unseren Blog: Was ist eigentlich Krisenmanagement?
Checkliste Krise Teil 1: Vor der Krise
Risiken identifizieren und bewerten
- Haben Sie die wesentlichen abzugrenzenden Wertschöpfungsprozesse Ihres Unternehmens identifiziert und festgehalten?
- Haben Sie besonders die umsatzwirksamen Prozesse und Komponenten identifiziert und priorisiert?
- Risikobewertung/Risk Assessment: Welche Risiken gibt es für Ihr Unternehmen und wie bewerten Sie diese im Hinblick auf Ihre Prozesse?
- Haben Sie das Risk Assessment übersichtlich dokumentiert?
- Bewertung der Risiken: Wer bewertet die Risiken und wie werden Bewertungen ggf. zusammengeführt?
- Wird die Risikobewertung regelmäßig aktualisiert? (Klare Verantwortlichkeit + Häufigkeit)
- Haben Sie ggf. relevante Regulatorik identifiziert?
Beispiel:
Datenverlust von sensitiven Kundendaten (z.B. personenbezogene Daten oder Produktionsdaten) in einem Ihrer digitalen Geschäftsprozesse.
Impact Analyse und resultierende Anforderungen
- Impact Analyse: Welche Auswirkungen hätte der Eintritt eines oder mehrerer der Risiken in der kurzen, mittleren und längeren Frist? (Beziehen Sie die Risiken auf Ihre Prozesse)
- Welche Wiederherstellungszeiten leiten Sie daraus als Zielzeiten ab?
- Welche Ressourcen und Organisation benötigen Sie für die Umsetzung?
- Was wollen/müssen/können Sie verhindern? Legen Sie Schutz- und Präventionsumfang fest.
Beispiel:
Kurzfristig: Kurzfristig würde der Verlust von Daten zu einer Unterbrechung des Geschäftsbetriebs führen und könnte aufgrund von Verzögerungen in der Produktion oder beim Kundendienst zu Umsatzeinbußen führen. Außerdem könnte die Kundenzufriedenheit sinken, da die Kunden möglicherweise nicht mehr auf ihre Daten oder Dienste zugreifen können.
Mittelfristig: Mittelfristig könnte der Datenverlust zu einem Rückgang der Kundentreue und des Vertrauens führen, da sich die Kunden nicht darauf verlassen können, dass das Unternehmen ihre Daten schützt. Außerdem könnten die Kosten für die Wiederherstellung oder den Ersatz der verlorenen Daten steigen.
Langfristig: Langfristig könnte der Datenverlust erhebliche Auswirkungen auf den Ruf und das Markenimage des Unternehmens haben. Das Vertrauen der Kunden in das Unternehmen und seine Produkte könnte sinken, was zu Umsatz- und Gewinneinbußen führen würde. Außerdem könnte das Unternehmen von Kunden oder anderen Parteien verklagt werden, wenn ihre Daten missbraucht oder falsch gehandhabt werden. Schließlich könnte das Unternehmen aufgrund der Kosten für die Wiederherstellung verlorener Daten und etwaiger von den Aufsichtsbehörden auferlegter Geldbußen erhebliche finanzielle Verluste erleiden.
Organisation Krisenstab
- Sind Konstellationen für den Krisenstab festgelegt? Gibt es einen oder mehrere Stäbe? Wie sind die Zuständigkeiten ggf. abgegrenzt?
- Sind Verantwortlichkeiten für den Krisenstab redundant besetzt? (Leiter, Moderator, Protokoll, Lage, etc.?) An welcher Organisation orientieren Sie sich?
- Wie arbeitet der Krisenstab zusammen (Methodik)? (Tipp: FORDEC-Methode)
- Sind den Verantwortlichen Rolle und Aufgaben bewusst?
- Welche Schnittstellen gibt es aus und in den Krisenstab? Wie sind diese organisiert?
- Wie kann der Krisenstab zuverlässig und schnell in Kommunikation untereinander treten?
„Krise“ abgrenzen
- Was konstatiert eigentlich eine „Krise“ und startet damit das Krisenmanagement für Ihr Unternehmen?
- Wer stellt die Krise für Ihr Unternehmen fest und wie?
- Ist definiert wer den Krisenstab einberuft? Wie?
- Gibt es klare Absprachen wie der Krisenstab die Zusammenarbeit beginnt? (Z.B.: Ort, Reaktionszeiten, etc.)
Beispiel:
Eine Krise für ein Unternehmen kann als ein Ereignis oder eine Situation definiert werden, die das Potenzial hat, der Organisation, ihrem Ruf oder ihren Interessengruppen erheblichen Schaden zuzufügen. Dies kann z.B. eine Naturkatastrophe, finanzielle Verluste, Datenschutzverletzungen, rechtliche Probleme, Katastrophen in der Öffentlichkeitsarbeit und andere unerwartete Ereignisse umfassen. Krisen sind regelmäßig von hoher Unsicherheit und großem Handlungsdruck (Zeitdruck) geprägt.
Inhaltliche Vorbereitung
- Gibt es ein regelmäßiges Training für Notfall- und Krisenmanagement im Unternehmen? (z.B.: jedes halbe Jahr)
- Haben Sie Vorbereitungen hinsichtlich der Kommunikation in Krisenfällen getroffen? Können Sie alle zuverlässig erreichen – und das in den äußersten Situationen?
- Wie stellen Sie sicher, dass Sie immer auf alle relevanten Inhalte (Dokumentationen, Kontakte, Prozesse, Daten, etc.) zugreifen können?
- Gibt es für bestimmte Szenarien weitere inhaltliche Dinge, die Sie vorbereiten können?
- Gibt es Übersichten oder Checklisten mit Stakeholdern/Stellen, die in bestimmten Fällen informiert oder konsultiert werden müssen?
Sie möchten ein Krisenmanagementsystem in Ihrem Unternehmen aufbauen oder weiterentwickeln?
Sie wünschen sich einen kompetenten Ansprechpartner, der Sie unterstützt? Wir helfen Ihnen gerne!
Vereinbaren Sie einfach Ihr kostenloses Erstgespräch:
Checkliste Krise Teil 2: In der Krise
- Werden zu Beginn einer Krise/der Krisenstabsarbeit Ziele definiert?
- Ist der Ablauf bzw. die Zusammenarbeit im Krisenstab klar organisiert? (Methode/-n, indiv. abgestimmte Abläufe, …)
Ziel: Handlungsoptionen erarbeiten, bewerten und entscheiden - Wie wird für regelmäßige aber koordinierte Lageupdates gesorgt?
- Ist klar, wie entschieden wird? (Entscheidungsprozess)
- Ist festgelegt wer Protokoll führt und wie?
- Wie wird die Umsetzung beschlossener Maßnahmen getrackt und zurück gemeldet?
- Wie sorgen Sie für eine kontrollierte, konsistente Kommunikation?
Übrigens: Mit unserer Plattform PREVISEC bieten wir eine einfache und effektive Lösung für die Bewältigung von Krisen.
PREVISEC entdeckenCheckliste Krise Teil 3: Nach der Krise
- Wann ist die Krise beendet?
- Wer beendet sie?
- Wie werden laufende Themen in die Normalorganisation zurück überführt?
- Gibt es einen Prozess zur Analyse und Aufarbeitung? (Implementierung von „Lessons Learned“)
- Gibt es eine Rückkopplung von Krisenmanagement auf Risk Assessment?
- Welche Bedeutung haben durchgestandene Notfälle und Krisen für die Prävention? Welche für Trainings?
Hilfreiche Verweise zur unserer Checkliste Krisenmanagement
Managementsystem & Struktur
- Hinweise/Hilfen zum BSI 200-4: Thema Krisenmanagement inkl. Führungszyklus, etc. PDF beim BSI
- Eine kurze Übersicht/Heranführung an das Thema Risikobewertung auf einem KMU-Portal
- Inhalte der Feuerwehr in NRW (Lernkompass) (Strukturierung gut erkennbar): https://lernkompass.idf.nrw/goto.php?target=cat_11681
- Notfallhandbuch der IHK: Online
- Der ASW hat mit einer Fachgruppe ein „Leitblatt Krisenmanagement“ zusammengestellt. Gibt’s online: Leitblatt Krisenmanagement-Organisation-Rollen-Krisenstab
- Nochmal ASW, spezielles Beispiel Kommunikation, Terroranschläge: Leitfaden Krisenmanagement und -kommunikation Terroranschlag
KRITIS
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
- Übersicht für KRITIS: Orientierungshilfen & CO beim BSI
- Super übersichtliche Seite zum Thema: openkritis.de
- EU-Direktive Schutz & Resilienz kritischer Infrastrukturen
- verabschiedeter Referentenentwurf zur Umsetzung der CER in Deutschland (Achtung, Gesetz muss neu eingebracht werden): Link
- „Kompendium“ beim BSI
- Zusammenstellung Schutzkonzepte KRITIS beim BBK
IT & Cyber
- BBK & BSI: Kommunale IT-Krisen: Handlungsfähigkeit sichern
- Best Practices für Cyberkrisen von der ENISA: https://www.enisa.europa.eu/publications/best-practices-for-cyber-crisis-management
- Informationen zur Eintrittshäufigkeit von Ausfallrisiken
- Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen
- Cyber-Risiko-Check nach DIN Spec 2707: Seite des BSI
- Die IT Sicherheitsgesetze: Seite des BSI
- Sicherheitsanforderungen IT-Sicherheit an Unternehmen: NIS-2 Richtlinie (EU)
- BKA: Tipps zu Cyberattacken
- Sicherheitscheck von „Deutschland sicher im Netz“: Link
- BVSW: „Leitfaden Cyberangriffe“ im Netz: Link
- Anschaulich zu IT-Risk auf Techtarget
- Ein Beispiel für Cyber-/IT-Risk Assessments (nettes Tool vom TÜV )
- Verschiedenes, u.a. Safety Fokus auf risikomanagement-wissen.de
Anderes
- Aus dem „Ländle“: Krisenhandbuch für Stromausfall
- Schwieriger zu finden, recht formalisiert ein Guide für physische Risiken der Zurich (Site Assessment)
- Offizielle Quelle, Zusammenfassung ISO 22361: Slides
Normen & Standards
- Digital Operational Resilience Act der EU: Link
- EU-Direktive NIS-2: eur-lex.europa.eu
- Bundesamt für Verfassungsschutz und BSI: Standard 2000-3: Aufbau und Betrieb eines Notfall- und Krisenmanagementsystems: Standard 2000-3 Notfall- und Krisenmanagementsystem
- DIN CEN/TS 17091: Krisenmanagement – Strategische Grundsätze
- ISO 22361: Krisenmanagement – Leitlinien für die Entwicklung einer Strategie
- DIN ISO 31000: Risikomanagement
- DIN EN ISO 22301: Business Continuity Management System
- BSI-Standard 100-4: Notfallmanagement / BSI-Standard 200-4: Business Continuity Management
- Wirtschaftsgrundschutz Standard 2000-3: Notfall- und Krisenmanagement
- Wirtschaftsgrundschutz Standard ÜA3: Notfallmanagement
- Wirtschaftsgrundschutz Standard ÜA4: Krisenmanagement
- Wirtschaftsgrundschutz Standard ÜA6: Krisenkommunikation
- Übersicht zu Normen und Standards vom BBK
Dazu gibt es weitere branchenspezifische Standards, die teils regulatorische Verpflichtungen beinhalten.
Disclaimer
Die Checkliste Krisenmanagement hat keinen Anspruch auf Vollständigkeit und deckt nicht alle Aspekte eines Krisenmanagement-Systems ab. Vielmehr zielt sie darauf ab, Denkanstöße zu geben, die den Aufbau einer Struktur für das Krisenmanagement unterstützen.
Jedes Unternehmen muss individuell betrachtet und das Krisenmanagement angepasst gestaltet werden. Für weitergehende Informationen verweisen wir am Ende der Seite auf hilfreiche Angebote. Wenn Sie eine umfassende Prüfung und individuelle Handlungsempfehlungen wünschen, empfehlen wir eine individuelle Beratung.