Krisenmanagement für IT-Entscheider


Ohne IT kann heute so gut wie kein Unternehmen seine Geschäftsprozesse aufrechterhalten. IT-Verantwortliche müssen sich daher auf Notfälle genauso gut vorbereiten wie der Katastrophenschutz.

Artikel von Harmen Forbeen & Denis Standhardt

Der «Ernstfall» kann viele Gesichter haben: Der Ausfall der Middleware durch einen logischen Fehler bei einer Bank, der Totalausfall des Rechenzentrums einer Versicherung durch Elementarschaden, Spionage bei einem Hochtechnologieunternehmen oder schlicht und einfach Datendiebstahl. Mit der steigenden Abhängigkeit von der IT nimmt auch die Intensität IT-induzierter Schadensfälle und deren Auswirkungen auf das Geschäft zu. Eine fatalistische Shit-happens-Mentalität bei den Beteiligten hat so schnell spürbare Folgen für die eigene Beschäftigung, insbesondere, wenn das Unternehmen durch den Schaden bis ins Mark getroffen wurde. 

Sonderfall Krise

Krisensituationen zeichnen sich gerade dadurch aus, dass sie durch die Normalorganisation nicht mehr bewältigt werden können. Das blosse Abarbeiten von Checklisten und Massnahmenplänen wie bei einfachen Betriebsstörungen reicht nicht mehr aus, um das Ereignis und seine Auswirkungen meistern zu können. Hier ist kreative, aber auch weitsichtige Lösungsfindungskapazität in einer bislang unbekannten Situation gefragt.

Krisen entstehen oft durch die Verkettung einer Vielzahl von Faktoren, zum Beispiel unautorisierte Veränderungen, unzureichende Sicherheitsorganisation oder mangelndes ganzheitliches Denken. In einer Krise akkumulieren sich zudem mehrere Stressfaktoren: Zeitdruck, Entscheidungsdruck, Handlungsdruck. Dazu kommen persönliche Empfindungen wie Schock, Mangel an Informationen, Eskalation der Ereignisse oder wahrgenommener Kontrollverlust. Deshalb gewinnt in einer solchen Situation eine strukturierte Herangehensweise eine noch stärkere Bedeutung.

Das zentrale Führungsgremium der Krisenbewältigung ist der Krisenstab. Er stellt eine temporäre Aufbauorganisation dar, die jenseits der normalen Strukturen an der Überwindung einer Krise arbeitet und übergreifende Kompetenzen bündelt. Auf einer hierarchielosen Entscheidungsebene plant, koordiniert, veranlasst und überwacht der Stab alle Aktivitäten der Krisenbewältigung. Zudem steuert er die Bereitstellung aller relevanten Informationen und Ressourcen zur Bewältigung der Krise.

Krisenstab und Führungsrhythmus

Der Krisenstab setzt sich aus einem Leiter, einem Kernteam und einem erweiterten Team zusammen. Während der Krisenstabsarbeit werden Entscheidungen im Team auf Basis der vorhandenen Informationen beschlossen. Der Krisenstabsleiter moderiert die Arbeit und zieht dabei die Problemlösungskompetenz aller Mitglieder ein. Diese steuern ihr fachliches Knowhow bei, das für die Beurteilung der Situation aus der übergreifenden Perspektive des Gesamtunternehmens wichtig ist. Entscheidungen und die weiteren Planungen für zukünftige Handlungen werden detailliert protokolliert. Aufträge sollten nur in schriftlicher Form gegeben werden. Das zentrale Arbeitsinstrument der Krisenstabsarbeit ist der sog. Führungsrhythmus, der aus folgenden Elementen besteht:

Im Lagebericht werden alle vorhandenen relevanten Informationen vorgestellt. Dazu werden Krisenstabsmitglieder benötigt, die möglichst alle aktuellen Informationen kennen und sie kurz und präzise darstellen können. Visualisierungmittel sind im Lagevortrag unerlässlich. Der Lagebericht sollte in regelmässigen Abständen wiederholt werden, damit allen Mitgliedern die vorhandenen und relevanten Informationen bekannt sind.

Er bildet die Grundlage für die gemeinsame Situationsanalyse. Diese hat zum Ziel, dass alle Mitglieder des Krisenstabs ein gemein sames Bild des vor ihnen liegenden Problems haben. Die im Lagebericht dargestellten Informationen werden analysiert und bewertet. Fehler in der Situationsanalyse können zu schwerwiegenden Folgen in der Krisenbewältigung führen.

Nach dem Erarbeiten des gemeinsamen Bildes der Lage sammelt der Leiter des Krisenstabs zunächst von allen Mitgliedern Vorschläge für die Sofortmassnahmen. Anschliessend werden diese im Einzelnen kurz diskutiert, beschlossen und beauftragt. Sie haben das Ziel, kurzfristig die weitere Ausbreitung des Schadens zu begrenzen oder Auflagen einzuhalten (z.B. Versicherungsbedingungen, behördliche Vorgaben) und sollten im Krisenmanagement eine Ausnahme sein. Zu viele Sofortmassnahmen sind eher ein Zeichen dafür, dass der Krisenstab nicht Herr der Lage ist.

Ziel der nächsten Phase Handlungsoptionen ist es, «vor die Lage zu kommen», d.h., drohende Entwicklungen vorherzusehen und so zu handeln, dass die negativen Entwicklungen eingegrenzt werden. Oder, um es mit der Fussballlegende Pelé zu sagen: «Laufe nicht dorthin, wo der Ball ist, sondern dahin, wo er sein wird.»

Bei der folgenden Auftragserteilung muss der Beauftragte klare und verständliche Anweisungen zur Umsetzung und Zeitplanung erhalten, damit er den Auftrag sinngemäss ausführen kann. Die Lösungsfindungskompetenz des Beauftragten sollte dabei mit einbezogen werden.

Handbuch für den Ernstfall

Für eine effiziente Arbeit des Krisenstabs ist ein massgeschneidertes Krisenmanagement-Handbuch nötig. Dieses sollte in zielgruppengerechten Dokumentenebenen aufgebaut sein und ausgearbeitete Krisenszenarien beinhalten, die sich am Führungsrhythmus orientieren. Daneben sollte auch eine allgemeine Vorgehensweise für nicht planbare Szenarien enthalten sein. Die typische Struktur eines Best-Practice-Krisenmanagement-Handbuchs sieht beispielsweise so aus:

  • Start Krisenbewältigung
  • Erste Checklisten
  • Massnahmenpläne
  • Checklisten Krisenstab
  • Checklisten Geschäftsfortführung
  • Checklisten Wiederanlaufplanung
  • Checklisten Kommunikation
  • Checklisten Kriminalitätsrisiken
  • Checklisten nachträgliche Arbeiten
  • Allgemeiner Teil

Der Krisenstab muss unter Umständen auch über längere Zeit möglichst störungsfrei und konzentriert arbeiten können. Ein abgeschlossener Bereich mit sanitären Einrichtungen, Pausenraum etc., der idealerweise von aussen nicht einsehbar und möglichst abhörsicher ist, sorgt für angemessene Arbeitsbedingungen.

Gut vorbereitet auf Krisen

IT-Krisenmanagement benötigt ein Arsenal besonderer Managementinstrumente, die während der betrieblichen Schönwetterphasen nicht notwendig sind. Erfolgskritisch für die wirksame Vorbereitung auf Krisen sind insbesondere:

  • Aufbau einer schlagkräftigen IT-Krisen und IT-Notfallorganisation
  • Entwicklung von Anweisungen und Checklisten für Krisenszenarien
  • Üben von Notfallsituationen
  • Trainieren der Krisenstabsarbeit
  • Eine enge Verzahnung mit den Business-Continuity-Management-Funktionen

Die Stressfaktoren einer Krise erfordern handwerkliches Können sowie eine umfangreiche organisatorische, aber auch mentale Vorbereitung. Entsprechendes Erlernen und Trainieren – etwa in Krisenstabsübungen oder Krisenkommunikationstrainings – verschafft in Not- und Krisensituationen maximalen Handlungsspielraum und hilft so dabei, die Ereignisse zielgerichtet zu bewältigen.

Artikel als PDF Download