Definition

Krisenmanagementplan

von

Was ist ein Krisenmanagementplan?

Ein Krisenmanagementplan beschreibt, wie eine Organisation auf eine kritische Situation reagieren sollte, die, wenn sie nicht angegangen wird, ihre Rentabilität, ihren Ruf oder ihre Geschäftsfähigkeit, beeinträchtigen könnte. Ein solcher Plan konzentriert sich auf die unmittelbare Reaktion auf eine Krise und zielt darauf ab, den Schaden zu minimieren, die Beteiligten zu schützen und den normalen Betrieb so schnell wie möglich wiederherzustellen. Er skizziert spezifische Maßnahmen, Kommunikationsstrategien und Protokolle für ein effektives Krisenmanagement.

Warum Organisationen einen Krisenmanagementplan brauchen

Moderne Organisationen können mit vielen Arten von Krisen konfrontiert werden, darunter die folgenden:

  • Naturkatastrophen.
  • Schlechtes Wetter.
  • Biologische Gefahren.
  • Unvorhergesehene Ereignisse.
  • Von Menschen verursachte Ereignisse wie Raubüberfälle oder Brandstiftung.
  • Technologieprobleme wie Ausfälle und Cyberangriffe.

Jede dieser Krisen kann von wenigen Stunden bis zu mehreren Tagen oder länger dauern, und wenn eine Krise eintritt, müssen schnell Entscheidungen getroffen werden, um den Schaden für das Unternehmen, seine wichtigsten Interessengruppen und in einigen Fällen auch für die Öffentlichkeit zu begrenzen. Eine frühzeitige und proaktive Planung des Krisenmanagements ist unerlässlich.

Durch die Bereitstellung einer gut dokumentierten Reihe von Reaktionen auf potenziell kritische Situationen ermöglicht die Krisenmanagementplanung einer betroffenen Organisation, schnell zu handeln, wenn ein ernsthafter Vorfall eintritt. Die Öffentlichkeitsarbeit ist oft ein integraler Aspekt des Krisenmanagementprozesses. Mit einer öffentlichen Krisenkommunikation kann eine Organisation irreführenden oder falschen Informationen entgegenwirken und versuchen, Bedenken zu zerstreuen. Wenn eine Organisation eine Krise schnell genug löst, ist es möglicherweise nicht notwendig, die Öffentlichkeit auf das Ereignis aufmerksam zu machen und unerwünschte Aufmerksamkeit zu erregen.

Abbildung 1: Es gibt drei Hauptphasen einer Krise, die jeweils unterschiedliche kritische Verfahren erfordern.
Abbildung 1: Es gibt drei Hauptphasen einer Krise, die jeweils unterschiedliche kritische Verfahren erfordern.

Wer verwendet Krisenmanagementpläne?

Krisenmanagementpläne werden von Business-Continuity-Teams, Notfallmanagementteams, Krisenmanagementteams und Schadensbeurteilungsteams verwendet, um Schäden zu vermeiden oder zu minimieren und um Anweisungen für Reaktionen, Personal, Ressourcen und Kommunikation zu geben.

Abbildung 2: Das Krisenmanagement ist für die Aufrechterhaltung der Geschäftskontinuität von entscheidender Bedeutung, was regelmäßige Tests und Aktualisierungen von geschäftskritischen Anwendungen erfordert.
Abbildung 2: Das Krisenmanagement ist für die Aufrechterhaltung der Geschäftskontinuität von entscheidender Bedeutung, was regelmäßige Tests und Aktualisierungen von geschäftskritischen Anwendungen erfordert.

Schlüsselelemente eines Krisenmanagementplans

Ein umfassender, aktueller Krisenmanagementplan enthält oft diese Elemente:

  • Einen Überblick über den Zweck, den Umfang und die Ziele des Plans.
  • Einen Evakuierungsplan.
  • Eine Krisenreaktionsstrategie und Verfahren zur Bewältigung der Krise.
  • Liste der Personen, die im Krisenfall tätig werden und welche Maßnahmen sie ergreifen müssen (Aktionsplan).
  • Kontaktinformationen für Mitarbeiter, Notfallpersonal, Lieferanten und Strafverfolgungsbehörden.
  • Strategie für das Medienmanagement.
  • Interne und externe Kommunikationsstrategie.
  • Krisenverfahren, die spezifische Reaktionen auf eine Vielzahl von möglichen Vorfällen festlegen.
  • Verantwortlichkeiten des Managements.
  • Integration mit anderen Notfallplänen, wie den Business Continuity Plan (BCP) und Datenwiederherstellungsplänen.

Ein Krisenmanagementplan sollte auch eine Liste möglicher zukünftiger Krisen sowie Informationen über die möglichen Auswirkungen dieser Krisen enthalten. Eine Risikobewertung der einzelnen Bedrohungen kann bei der Formulierung der Reaktionsstrategie helfen. Die Bewertung sollte eine Analyse sowohl der Wahrscheinlichkeit der Bedrohung als auch der erwarteten Auswirkungen umfassen – Informationen (in einem Risikoregister), die bei der Krisenreaktionsplanung hilfreich sind.

Darüber hinaus wird eine effektive Krisenmanagementplanung folgendes festlegen:

  • Die Mitglieder des Krisenmanagementteams und ihre spezifischen Rollen.
  • Dokumentation der Kriterien, anhand derer festgestellt wird, ob eine Krise eingetreten ist.
  • Welche Überwachungssysteme und -verfahren einzurichten sind, um potenzielle Krisensituationen so früh wie möglich zu erkennen.
  • Wer in einer Krise als Sprecher des Unternehmens fungiert.
  • Dokumentation darüber, wer im Krisenfall benachrichtigt werden soll und wie.
  • Auflisten von Notfallsammelpunkten, an die sich die Mitarbeiter wenden können, wenn eine Krisensituation eintritt.
  • Skizzieren der spezifischen Krisenszenarien und entsprechende Notfallpläne.

Unterstützende Informationen wie Kontaktlisten, Referenzmaterialien oder Vorlagen für Beteiligte können als Anhänge beigefügt werden.

Mit diesen Schritten erstellen Sie einen Krisenmanagementplan

Im Zeitalter von Pandemien und zunehmenden Cyberangriffen sollten Unternehmen bei der Krisenmanagementplanung proaktiv vorgehen. Darüber hinaus sollten sie eine Mentalität annehmen, bei der sie davon ausgehen, dass ein Vorfall eintreten wird, und entsprechend planen. Bei der Planung sollten sie folgende Schritte befolgen:

  • Identifizieren Sie die Bedrohungen, die zu einer Krise führen könnten.
  • Bewerten Sie jede Bedrohung im Hinblick auf die Wahrscheinlichkeit des Auftretens und die möglichen Auswirkungen.
  • Identifizierung von Reaktionen auf jede identifizierte Bedrohung.
  • Entwicklung von Reaktionsverfahren und Aktionsplänen für jede Bedrohung.
  • Bilden Sie ein Krisenmanagement- und Führungsteam.
  • Legen Sie Kommunikationsabläufe (intern und extern) und -methoden fest, wie z. B. Anruflisten, automatische Benachrichtigungen, Beiträge in sozialen Medien usw.
  • Wählen Sie eine Vorlage aus oder erstellen Sie eine von Grund auf neu; Vorlagen für Krisenmanagementpläne sind inzwischen verfügbar und können leicht an die Bedürfnisse der meisten Organisationen angepasst werden.
  • Dokumentieren Sie den Plan, lassen Sie ihn von der Geschäftsleitung abzeichnen und veröffentlichen Sie ihn für alle wichtigen Interessengruppen, einschließlich der Unternehmensleitung und des Krisenmanagementteams.
Abbildung 3: Unternehmen sollten in ihren Krisenmanagementplänen Verantwortungshierarchien und eine Liste der geschäftskritischen Anwendungen aufführen.
Abbildung 3: Unternehmen sollten in ihren Krisenmanagementplänen Verantwortungshierarchien und eine Liste der geschäftskritischen Anwendungen aufführen.

Nach der Fertigstellung muss der Krisenmanagementplan ein lebendiges Dokument bleiben, das an die Mitarbeiter verteilt, regelmäßig überprüft und aktualisiert wird, wenn sich die Bedrohungs-/Risikolandschaft für das Unternehmen ändert. Es sollte ein Zeitplan für die Pflege und Überprüfung des Plans aufgestellt werden. Nach einem Test oder nach einer Krise ist es wichtig, die Ergebnisse zu überprüfen, zu besprechen, was funktioniert hat und was nicht, und gegebenenfalls Änderungen am Plan vorzunehmen.

Weitere wichtige Maßnahmen, die während der Krisenmanagementplanung zu ergreifen sind, sind unter anderem:

  • Einrichtung von Mechanismen zur Überwachung potenzieller Bedrohungen und Warnzeichen für eine Krise.
  • Einrichtung von Schulungsprogrammen und Übungen (zum Beispiel Tabletop-Übungen) und Drills, um Notfallszenarien zu simulieren und die Wirksamkeit der festgelegten Reaktionsverfahren zu testen.
  • Testen Sie den Krisenkommunikationsplan regelmäßig, um sicherzustellen, dass er auch im Falle eines tatsächlichen Vorfalls Bestand haben wird.

Wie man einen Krisenmanagementplan anlegt

Die Erstellung eines Krisenmanagementplans erfordert sorgfältige Überlegungen und viel Fokus auf Details. Die meisten erfolgreichen Pläne folgen diesem Informationsfluss:

  1. Einleitung und Ziele. Es sollte ein Überblick über den Krisenmanagementplan gegeben werden, in dem der Zweck, die Ziele und der Umfang des Plans klar umrissen werden, sowie die Übereinstimmung mit dem Auftrag und den Werten der Organisation.
  2. Risikobewertung und -identifizierung. Der Prozess der Risikobewertung sollte detailliert beschrieben sein, und potenzielle Risiken sollten identifiziert und mit einer Bewertung ihrer Wahrscheinlichkeit in eine Rangfolge gebracht werden.
  3. Krisenreaktionsteam und Rollen. Die wichtigsten Mitarbeiter des Krisenmanagements sowie ihre Aufgaben und Zuständigkeiten sollten mit klaren Befehlsketten, Kommunikationskanälen und Entscheidungsprozessen definiert werden.
  4. Krisenszenarien und Notfallpläne. Spezifische Krisenszenarien und entsprechende Notfallpläne sollten skizziert werden, mit detaillierten Anleitungen für die Kommunikationsstrategien, Ressourcenzuweisung und Eskalationsverfahren.
  5. Kommunikation und Medienarbeit. Interne und externe Kommunikationsstrategien während einer Krise sollten detailliert dargelegt werden, einschließlich Richtlinien für die Kommunikation mit Mitarbeitern, Kunden, Medien und Aufsichtsbehörden. Die Kommunikation sollte transparent und zeitnah sein.
  6. Schulungen und Übungen. Es sollten Schulungsprogramme und Übungen beschrieben und regelmäßig durchgeführt werden, um die Wirksamkeit der Notfallszenarien des Plans zu simulieren und zu testen.
  7. Überwachung und Bewertung. Es sollten Mechanismen zur Überwachung potenzieller Bedrohungen und Warnzeichen einer Krise eingerichtet werden. Die Krisenmanagementplanung sollte regelmäßig evaluiert werden, um die Risiken zu adressieren.
  8. Integration der Geschäftskontinuität. Es sollte eine Abstimmung mit den Plänen zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity Plan) sichergestellt werden. Die Koordinierung zwischen Krisenmanagement- und Business-Continuity-Teams sollte sinnvoll und detailliert sein, um einen nahtlosen Reaktions- und Wiederherstellungsprozess zu gewährleisten.
  9. Pflege und Überprüfung des Plans. Es sollte ein Zeitplan für die Pflege und Überprüfung des Krisenmanagementplans aufgestellt werden. Dieser sollte regelmäßige Aktualisierungen des Plans vorsehen, um organisatorische Änderungen, neu auftretende Risiken und Lehren aus vergangenen Krisen zu berücksichtigen.
  10. Anhang. Unterstützende Dokumente wie Kontaktlisten, Referenzmaterialien oder Vorlagen, die die Beteiligten möglicherweise benötigen, sollten hier aufgenommen werden.

Vorlage für den Krisenmanagementplan

Zur Unterstützung der Krisenmanagementplanung sollten Organisationen Vorlagen verwenden, wie zum Beispiel hier verfügbare Vorlage für einen Krisenmanagementplan. Diese Vorlage enthält wichtige Elemente für Strategie, Kommunikation, Medienmanagement, Verfahren und Wartung. In dem Dokument wird dargelegt, was eine Organisation benötigt, um eine Krise effektiv zu bewältigen.

Abbildung 4: Disaster Recovery und Vorfallsplanung sind häufig Teil von Krisenmanagementplänen und werden parallel dazu eingesetzt.
Abbildung 4: Disaster Recovery und Vorfallsplanung sind häufig Teil von Krisenmanagementplänen und werden parallel dazu eingesetzt.

Die Bedeutung einer Krisenkommunikationsstrategie

Kommunikation ist der Schlüssel zur Bewältigung einer Krise, da sie alle notwendigen Akteure – von einem einzelnen Büro bis hin zu einem globalen Publikum – auf dem Laufenden hält. Je nachdem, wie sich die Krise entwickelt, sollte das Unternehmen seine Kommunikation aktualisieren.

Während einer Krise erwarten die Mitarbeiter von der Unternehmensleitung Führung und Orientierung. Ohne die richtige Kommunikation könnten die Mitarbeiter Informationen falsch wiedergeben oder generell inkorrekt handeln. Ein Mangel an Kommunikation könnte auch ein Sicherheitsproblem verursachen.

Eine Organisation sollte ein Krisenkommunikationsteam benennen. Die gesamte Kommunikation sollte klar, prägnant und wahrheitsgemäß sein. Im Interesse der Schnelligkeit könnte eine Organisation proaktiv eine Vorlage mit möglichen Szenarien erstellen, die entsprechenden Kommunikationskanäle festlegen und dann die erforderlichen Informationen einfügen, wenn der tatsächliche Vorfall eintritt.

Zu den Kommunikationsmethoden gehören die folgenden:

  • Ein Anrufbaum, bei dem ein Teammitglied einen oder mehrere bestimmte Mitarbeiter anruft, um die Nachricht zu übermitteln.
  • Automatisierte Benachrichtigung, zum Beispiel eine aufgezeichnete Sprachnachricht, die an die Mitarbeiter gesendet wird.
  • Postings in sozialen Medien wie X (ehemals Twitter) und Facebook.
Abbildung 5: Anrufbäume stellen sicher, dass die Beteiligten schnell kontaktiert werden können und andere relevante DR-Prozesse sofort beginnen können.
Abbildung 5: Anrufbäume stellen sicher, dass die Beteiligten schnell kontaktiert werden können und andere relevante DR-Prozesse sofort beginnen können.

Es ist von entscheidender Bedeutung, den Krisenkommunikationsplan regelmäßig zu testen, um sicherzustellen, dass er im Falle eines tatsächlichen Vorfalls Bestand haben wird. Zum Beispiel könnte ein Unternehmen seinen Anrufbaum durchgehen oder die Geschäftsleitung könnte einen Test mit automatisierten Nachrichten versenden.

Möglicherweise muss die Krisenkommunikation an verschiedene Personen gesendet werden. Zu den potenziellen Zielgruppen, die informiert werden sollten, gehören unter anderem Kunden, vom Vorfall betroffene Überlebende und ihre Familien, Mitarbeiter und ihre Familien, Medien, die Gemeinde, die Unternehmensleitung und Investoren, gewählte Vertreter und andere Behörden sowie Lieferanten. Die Kontaktinformationen für all diese Zielgruppen sollten regelmäßig aktualisiert werden. Während eines Vorfalls sollte die Botschaft für die verschiedenen Zielgruppen konsistent bleiben.

Testen und Aktualisieren des Plans

Sobald der Krisenmanagementplan fertiggestellt ist, muss er ein lebendiges Dokument bleiben. Das bedeutet, dass er an die Mitarbeiter verteilt wird, Schulungen und Tests durchgeführt werden und der Plan regelmäßig aktualisiert wird.

Es sollten Schulungen abgehalten werden, damit alle Beteiligten ihre Rolle kennen. Die Tests reichen von Tabletop-Übungen bis hin zu vollständigen Simulationen.

Nach einem Test oder nach einer Krise ist es wichtig, die Ergebnisse zu überprüfen, zu besprechen, was funktioniert hat und was nicht, und alle notwendigen Änderungen am Plan vorzunehmen.

Standards für das Krisenmanagement

Standards sind ein gutes Hilfsmittel für Organisationen, um ihre Krisenmanagementplanung zu verbessern. Sie helfen Organisationen bei der Bewältigung von Unterbrechungen des Geschäftsbetriebs und ermöglichen eine höhere Widerstandsfähigkeit.

Die British Standards Institution bietet die Krisenmanagementnorm BS EN ISO 22361:2022 an. Die Norm bietet einen Leitfaden für die Erstellung, Verwaltung, den Betrieb, die Pflege und die Verbesserung eines Krisenmanagementplans für jede Art und Größe von Organisation. Sie deckt Kernkonzepte und -prinzipien, Krisenmanagement, Entscheidungsfindung in Krisenfällen und Krisenkommunikation ab.

Darüber hinaus bietet die Internationale Organisation für Normung in ihrer ISO 223XX-Reihe mehrere Normen für das Notfallmanagement an, darunter ISO 22320:2018, Security and Resilience -- Emergency Management -- Guidelines for Incident Management.

Planung von Notfallmaßnahmen

Ein Notfallplan (Emergency Response) beschreibt die Maßnahmen, die eine Organisation unmittelbar nach einem Vorfall ergreifen muss, und enthält potenzielle Interaktionen mit externen Helfern, einschließlich der öffentlichen Sicherheitskräfte. Während eines Notfalls zählt jede Sekunde, daher ist es für das Katastrophenmanagement wichtig, einen gut definierten Notfallplan zu haben.

Im Rahmen der Notfallvorbereitung führt eine Organisation eine Risikobewertung durch, um potenzielle Bedrohungen zu ermitteln. Anschließend entwickelt die Organisation einen Notfallplan, um ihre Mitarbeiter und andere Betroffene im Falle eines Vorfalls zu schützen. Sicherheit und Stabilisierung sind in einem Notfall von zentraler Bedeutung.

Diese 10 Schritte sollten für die Entwicklung eines Notfallplans durchgeführt werden:

  1. Überprüfen Sie die Leistungsziele für das Programm.
  2. Überprüfen Sie die bei der Risikobewertung ermittelten Bedrohungsszenarien.
  3. Beurteilen Sie die Verfügbarkeit und die Fähigkeiten von Ressourcen – einschließlich Personal und Ausrüstung – für die Stabilisierung des Vorfalls.
  4. Sprechen Sie mit den öffentlichen Sicherheitsdiensten, um deren Reaktionszeit, Kenntnisse über die Einrichtung der Organisation und deren Gefahren sowie die Fähigkeiten zur Stabilisierung eines Notfalls zu ermitteln.
  5. Ermitteln Sie, ob es in der Einrichtung Vorschriften für die Notfallplanung gibt, und sprechen Sie diese an.
  6. Entwickeln Sie Schutzmaßnahmen für die Lebenssicherheit, wie Evakuierung, Schutzraum, Schutz an Ort und Stelle und Abriegelung.
  7. Erstellen Sie gefahren- und bedrohungsspezifische Notfallverfahren.
  8. Koordinieren Sie die Notfallplanung mit den öffentlichen Sicherheitsdiensten.
  9. Schulen Sie ihr Personal.
  10. Testen Sie den Plan.

Sobald die Notfallmaßnahmen abgeschlossen sind, geht die Organisation zur Wiederherstellung des Betriebs über, um den Betrieb so umfassend wie möglich wiederherzustellen.

Das Bundesamt für Sicherheit und Informationstechnik gibt auf seiner Webseite wichtige Tipps für den IT-Grundschutz sowie Anleitungen und einen Maßnahmenkatalog für das Notfallmanagement. Die Norm BSI-Standard 100-4 für das Notfallmanagement erklärt zusätzlich und detailliert, wie sich die Notfallmanagementplanung umsetzen lässt.

Krisenmanagementplan vs. Geschäftskontinuitätsplan

Ein Krisenmanagementplan kann auch als Geschäftskontinuitätsplan bezeichnet werden. Beide Pläne zielen darauf ab, die Widerstandsfähigkeit einer Organisation zu gewährleisten, dienen jedoch unterschiedlichen Zwecken. Während ein Krisenmanagementplan beschreibt, wie auf eine kritische Situation zu reagieren ist, ist ein Business Continuity Plan ein umfassenderer Plan, der die Aufrechterhaltung kritischer Geschäftsfunktionen während und nach einer Krise gewährleistet.

Ein Plan für die Geschäftskontinuität befasst sich auch mit der langfristigen Wiederherstellung, einschließlich Backup-Systemen, alternativen Einrichtungen und Lieferkettenmanagement, um die Auswirkungen einer Krise auf den Geschäftsbetrieb zu minimieren – Aspekte, die in der Regel nicht in einem Krisenmanagementplan enthalten sind. Aus diesen Gründen ist es wichtig, separate und umfassende Pläne für beide Segmente zu entwickeln.

Diese Definition wurde zuletzt im März 2025 aktualisiert

Erfahren Sie mehr über Disaster Recovery