Gut vorbereitet auf die Krise: Erstellung eines Krisenhandbuchs
Was man bei der Erstellung eines Krisenhandbuchs beherzigen sollte
Montagmorgen halb zehn in Deutschland… während Sie gerade in einer Besprechung sitzen und die Optimierungspotenziale einer Produktionsanlage diskutieren, verliert im Hof ein Tankwagen-Fahrer bei der Anlieferung die Kontrolle über sein Fahrzeug. Er rammt einen Gapelstapler, der gerade Lösungsmittelfässer transportiert. Die Fässer werden beschädigt, Lösungsmittel läuft aus. Aus dem beschädigten Tankwagen treten ebenfalls Chemikalien aus – ein lauter Knall treibt Sie und Ihre Kollegen aus dem Besprechungsraum.
Zugegeben, nicht jedes Krisenszenario muss genau so aussehen – es könnte auch ganz anders sein: Ein Hacker verschafft sich Zutritt zur Kundendatei, Niedrigwasser auf dem Rhein verhindert die Anlieferung eines wichtigen Rohstoffes… die Liste der Szenarien ist nahezu endlos und sehr davon abhängig, in welchem Bereich eine Firma oder Organisation tätig ist. Doch ganz gleich, ob Forschungslabor, produzierender Betrieb oder Ausrüster: Krisen können in jeder Organisation auftreten, und sie können schnell ungeahnte Ausmaße annehmen.
Um so wichtiger ist eine gute Vorbereitung – und die, das ist die gute Nachricht, kann auch jeder treffen.
Was kann passieren?
Für den Krisenfall gibt es eine Reihe von Instrumenten, die man in Ruhe vorbereiten und implementieren sollte, damit sie im Notfall zur Hand sind. Dafür ist es wichtig, sich zunächst darüber klar zu werden, welche Krisen möglicherweise eintreten könnten. Auch, wenn man dabei nicht sicherstellen kann, dass man auch wirklich alle Eventualitäten im Blick hat, kann man anhand möglicher Szenarien seinen „Werkzeugkasten“ entwickeln. Hilfreich kann es dabei sein, neben einem Blick in die Historie der eigenen oder ähnlicher Organisationen auch sicherheitsrelevante nicht meldepflichtige Ereignisse in den Blick zu nehmen. Datenbanken wie die von Dechema bzw. ProcessNet und VCI 1996 ins Leben gerufene „Ereignis-Datenbank“ können dabei helfen, mögliche Krisenquellen zu identifizieren. Neben größeren Unglücken mit Explosionen, Bränden oder Stoffaustritten, die in Deutschland zum Glück sehr selten sind, sollten aber auch andere mögliche Szenarien berücksichtigt werden. Stichworte dafür sind Cybersicherheit – was passiert im Falle eines Hackerangriffs oder eines Serverausfalls – und auch menschliche Faktoren. Auch Produktionsausfälle aufgrund von Force Majeure wie 2018 durch das Niedrigwasser im Rhein gehören zu den Krisenszenarien. Und schließlich kann auch ein Ereignis wie eine Grippewelle dazu führen, dass in einem Unternehmen viele Mitarbeiter gleichzeitig ausfallen und im Krisenmodus gehandelt werden muss.
Der „Werkzeugkasten“ für die Krise
Krisen sind Chefsache. Kein Weg führt daran vorbei, dass im Krisenfall die Geschäftsführung bzw. das obere Management das Heft des Handelns in die Hand nimmt und intern wie extern für den Umgang mit der Krise verantwortlich zeichnet. Aber auch die übrigen Rollen müssen im Vorfeld definiert sein: Wer wird im Krisenfall innerhalb und außerhalb des Unternehmens gebraucht? Welche Behörden sind je nach Ereignis zu involvieren? Die Liste dieser Ansprechpartner muss stets aktuell gehalten und ergänzt werden, inklusive der Zuordnung, wer im Krisenfall welchen Kontakt hält. Sie ist ein wesentlicher Bestandteil des Krisenhandbuchs. Darüber hinaus enthält es Checklisten für verschiedene denkbare Szenarien, Templates etwa für Pressemitteilungen und weitere wichtige Dokumente. Auch Verhaltensregeln sind Bestandteil des Krisenhandbuchs. Ein Krisenhandbuch kann auf Papier oder digital sein – aber es sollte in jedem Fall so gespeichert und gelagert werden, dass es im Ernstfall auch zur Hand ist (und nicht auf dem gehackten Server liegt).
Auch der engere Krisenstab und die Struktur darüber hinaus sind im Krisenhandbuch niedergelegt: Welche Aufgaben und welche Rollen übernehmen die verschiedenen Personen? Wer ist Ansprechpartner für wen, und wie laufen Kommunikations- und Entscheidungsketten? Das sollte im Vorfeld vereinbart sein, einschließlich möglicher Sprachregelungen. Dabei darf man die eigenen Mitarbeiter auf keinen Fall vergessen – sie sollten vom Krisenfall nicht erst erfahren, wenn sie am Werkstor vom Kamerateam angesprochen werden. Deshalb sollte man sicherstellen, dass interne Kommunikationsketten auch dann funktionieren, wenn das IT-Netz zusammengebrochen oder das Werksgelände nicht betretbar ist.
Herz und Hirn im Krisenfall: Der Krisenstab
Zum eigentlichen Krisenstab gehört nur eine Kerngruppe von Entscheidungsträgern und Verantwortlichen. Diese brauchen auch eine Anlaufstelle. Deshalb sollte im Vorfeld festgelegt sein, wo sich dieser Krisenstab im Ernstfall treffen kann – sind Räume ggf. auch kurzfristig verfügbar? Welche Ausrüstung und Technik sollte dort vorhanden sein? Wer ist außerhalb des Krisenstabs-Raums Ansprechpartner, gibt Nachrichten weiter oder liefert neue Informationen? Wie wird der Krisenstab abgeschirmt, und wer hält den Kontakt zur Presse? Der Krisenstab sollte nicht zu groß sein, um schnelle Abstimmungen zu ermöglichen. Er muss entscheidungsfähig sein und die wichtigsten Fachkompetenzen umfassen. Die Zuständigkeiten müssen klar formuliert sein und eingehalten werden und auch realistisch umzusetzen sein – ein Geschäftsführer, der im Austausch mit den Behörden steht und Entscheidungen über die Unterbrechung der Produktion treffen muss, kann nicht gleichzeitig als Ansprechpartner für Journalisten fungieren. Freigabeprozesse für Informationen müssen ebenso abgesprochen sein wie die Frage, wer als „Gesicht“ der Krise fungiert. Das sollte eine Führungskraft sein, die Medienerfahrung mitbringt und im Vorfeld gezielte Kamera- und Interviewtrainings absolviert, um etwas Routine zu entwickeln und im Krisenfall nicht auch noch mit der Kamera zu hadern.
Die Krisenstabsübung – Probe für den Ernstfall
Wenn diese Überlegungen getroffen sind, kann es sich lohnen, die Zeit in eine Krisenstabsübung zu investieren. Sie wird schnell zeigen, ob alle Rollen klar genug formuliert sind und welche Schwachstellen gezielt angegangen werden müssten.
Eine solche Krisenstabübung basiert auf einem vorbereiteten Szenario, das die Teilnehmer nicht kennen. Im einfachen Fall erhalten sie einen Zeitplan, der die Ereignisabfolge in „Echtzeit“ widerspiegelt. Die Rollen werden vorab verteilt, der Raum vorbereitet, und dann geht es los: Am Anfang steht das Ereignis bzw. die Informationen, die der Krisenstab im echten Fall anfangs hätte. Im Beispiel vom Eingang also: „9.15 h: Beim Abladen kommt es auf dem Werksgelände zu einer Kollision zwischen einem Tanklaster und einem Gabelstapler. Es gibt eine Explosion, Rauchwolken steigen auf.“ Ab jetzt läuft die Zeit. Der Krisenstab ist einerseits gefordert, aktiv zu handeln – Informationen einholen, Informationen herausgeben, Maßnahmen treffen. Andererseits ändert sich das Szenario mit dem Ablauf des Zeitplans. So können im Verlauf der Übung weitere Explosionen auftreten, es können Mitarbeiter oder Rettungskräfte verletzt werden, es kann zu Nachfragen von außen kommen, und auch die Zusammenarbeit mit den Behörden muss berücksichtigt werden.
Eine solche Übung, die ein realistisches Szenario mit all den vielen Interaktionen und möglichen Entwicklungen umfasst, kann auch einen gut vorbereiteten Krisenstab an seine Grenzen führen. Das ist aber kein Grund zur Frustration, sondern vielmehr die Chance, Lücken zu erkennen und gezielt zu schließen. Und über den Krisenstab in seiner Gesamtheit hinaus hat auch jeder einzelne die Chance, sein Verhalten in einer solchen Spannungssituation einzuschätzen und gezielte Trainingsmaßnahmen einzuleiten.
Damit es gar nicht zur Krise kommt
Neben aller guten Vorbereitung auf die Krise steht die Krisenvermeidung an oberster Stelle. Deshalb ist auch die regelmäßige Prüfung sicherheitsrelevanter Aspekte nicht alleine Aufgabe der Sicherheitsfachkräfte; die Diskussion darüber sollte auch regelmäßig auf der Agenda des Führungsteams stehen. Der Austausch mit anderen Unternehmen, ob über Gremien und Ausschüsse oder bei Veranstaltungen, kann dabei eine große Hilfe sein. Neben Brand- und Explosionsschutz steht dort ein breites Spektrum auf der Agenda, von der Cybersicherheit über die Verhinderung von gewollter oder unwissentlicher Industriespionage durch das „Aushorchen“ von Mitarbeitern bis zu ganz neuen Herausforderungen durch die globale Vernetzung der Produktion. Sicherheitsmanagement und Krisenmanagement sind so zwei Seiten einer Medaille – man sollte beide im Blick haben.