Funktionale Anforderungen an eine Software für Krisenmanagement

Planung und Vorbereitung

Die Bewältigung von plötzlich auftretenden Krisen gelingt deutlich besser, wenn man sich bereits im Vorfeld darüber Gedanken gemacht hat und daraus Pläne abgeleitet hat. Zwar werden sich später solche Pläne nicht exakt auf den konkreten Fall anwenden lassen, da die tatsächliche Situation immer anders ist. Jedoch wird es Handlungen geben, die immer gelten und somit auch vorgedacht werden können. Diese Informationen sollten in Form von Alarmierungsplänen, Grundsätzen, Handlungsanweisungen und Checklisten im System abgelegt werden können.

Zur Strukturierung sollten sich verschiedene Typen von Krisen definieren lassen (z.B. Großbrand, Datenschutzverstoß usw.), denen die Pläne zugeordnet werden können. Diese Typen lassen sich teilweise aus dem Risikomanagement des Unternehmens ableiten, müssen jedoch oft konkretisiert werden. Wenn beispielsweise im Risikomanagement „Störfall in der Produktion“ aufgeführt ist, so wird man in der Regel unterteilen müssen in „Brand“, „Austritt von giftigen Gasen“ usw., sofern unterschiedliche Maßnahmen erforderlich sind.

Außerdem sollte es ein Kontaktverzeichnis zu Personen und Unternehmen geben, die im Falle einer Krise wichtiges Wissen oder Ressourcen besteuern können. Das können Spezialisten zu bestimmten Themen sein, IT-Dienstleister, externe Produktionskapazitäten, PR-Agenturen u.ä.

Eine wichtige Aufgabe des Krisenmanagements ist die bewusste Krisenkommunikation. Dabei sollen Betroffene, Kunden, Mitarbeiter, Lieferanten und andere Interessensvertreter (Stakeholder) so informiert werden, dass sich in einem späteren Rückblick die Gesamtheit der Kommunikation für das Unternehmen als positiv erweist. Hierbei gibt es eine Vielzahl von Aspekten und Fallstricken zu beachten wie beispielsweise kurzfristige vs. langfristige Überlegungen, Informationspflichten gegenüber Behörden, Haftungsfragen, Vermeidung von schädlichen Schuldeingeständnissen usw. Auch dieser Punkt muss in die Vorbereitung einfließen und sollte im System abrufbar gemacht werden können, z.B. durch Richtlinien und Textbausteine.

Für die erfolgreiche Bewältigung einer Krise kann es nützlich sein, wenn Beispiele für gutes und schlechtes Krisenmanagement abrufbar sind. Die Beispiele sollten erklären, wie und warum sich Handlungen des Unternehmens langfristig positiv oder negativ ausgewirkt hatten.

Da sich das interne und externe Umfeld eines Unternehmens permanent wandelt, müssen auch die Krisenpläne regelmäßig angepasst werden. Dafür sollte ein Prozess definiert werden, der sich im Idealfall auch im Krisenmanagement-System abbilden und verfolgen lässt. Das kann zum Beispiel die Möglichkeit sein, für alle Informationen im Planungsbereich ein Wiedervorlagedatum zu setzen. Ist dieses erreicht, so erhält der Bearbeiter eine Mail mit der Aufforderung zur Überprüfung und Anpassung.

Zusammenfassung:

  • Definition von verschiedenen Krisentypen
  • Zuordnung von Alarmierungslisten, Plänen, Handlungsanleitungen und unterstützenden Informationen
  • Kontakte zu Wissensträgern und Ressourcen
  • Vorbereitung von Krisenkommunikation, u.a. Hinterlegung von Textbausteinen
  • Vorbereitung von Textbausteinen für unterschiedliche Situationen
  • Möglichkeit zur Hinterlegung von Beispielen zu positiver und negativer Krisenbewältigung
  • Wiedervorlage-Prozess

Alarmierung

Bei einer einsetzenden Krise ist es wichtig, dass die verantwortlichen Personen so schnell wie möglich informiert werden. Denn je früher geeignete Maßnahmen zum Umgang mit und zur Bewältigung der Krise beginnen, umso geringer wird der Schaden für das Unternehmen sein.

Neben einem Kontaktverzeichnis bieten sich hier vor allem technische Lösungen an, insbesondere wenn abhängig von der Art der Krise ein größerer Personenkreis informiert werden muss. Dabei sollte man sich nicht nur auf moderne Technologien wie internet-basierte Apps oder Messenger-Dienste verlassen, denn gerade in Krisensituationen kann die dafür notwendige Infrastruktur gestört sein. Außerdem ist nicht überall Internet-Zugang gegeben. Selbst in der D/A/CH-Region gibt es noch viele Gebiete ohne ausreichende Abdeckung mit mobilen Daten, so dass Telefon und die gute alte SMS hier weiterhin eine wichtige Rolle spielen. Wer auf Nummer sicher gehen will oder muss, sollte eine parallele Benachrichtigung auf unterschiedlichen technischen Kanälen in Erwägung ziehen, z.B. per Telefon, SMS, Mail und App.

Hilfreich ist auch die Möglichkeit, wenn der Empfang der Benachrichtigung bestätigt werden kann oder muss, um zu wissen, dass kein weiterer Aufwand mehr in die Alarmierung der betreffenden Person investiert werden muss. Diese Rückmeldung kann auch technischem Weg erfolgen. Es kann aber auch einfach ein Statusfeld in der Anwendung sein, dass bei telefonischer Bestätigung der benachrichtigten Person manuell gesetzt und vom System mit Zeitstempel protokolliert wird.

In bestimmten Fällen kann es wünschenswert oder gefordert sein, dass Alarmierungen von außen oder automatisiert von Drittsystemen ausgelöst werden können, z.B. von Brandmeldern oder von Intrusion Detection-Systemen. Dafür sollen entsprechende Schnittstellen vorhanden sein. Das betrifft meistens Vorstufen einer Krise, also Situationen, aus denen potenziell eine Krise erwachsen kann. Hier kann die im Rahmen des Krisenmanagements aufgebaute Alarmierungsinfrastruktur mitgenutzt werden. Gleichzeitig laufen damit wichtige Meldungen aus verschiedenen Systemen an einer Stelle zusammen, wo sie im Zusammenhang bewertet werden können. Denn nicht jede Krise ist durch ein einziges deutlich sichtbares Ereignis wie einem Großbrand gekennzeichnet. Manche Krisen wie gezielte Hackerangriffe entwickeln sich stattdessen latent und sind nur anhand einer Gesamtheit von schwachen Signale zu erkennen, die an ganz verschiedenen Stellen auftreten, z.B. Aufbruch eines Firmenwagens und Social-Engineering-Versuch am Telefon.

Zusammenfassung:

  • Hinterlegen von Alarmierungsplänen, abhängig vom Krisentyp
  • Definition der Kommunikationswege
  • Möglichkeit zur Nutzung von robusten technischen Kanälen wie SMS
  • Parallele Alarmierung auf mehreren technischen Kanälen
  • Möglichkeit/Pflicht zur Bestätigung des Empfang
  • Schnittstellen zu Drittsystemen
  • Protokollierung aller Vorgänge