Krisenplan statt Krisen-PR: vier Entscheidungen für KMU
7 Min. Lesezeit
Die meisten Mittelständler haben einen Krisen-PR-Plan im Ordner und keinen Krisenplan im Kopf. Das fällt auf, sobald ein Datenleck, ein Liefer-Ausfall oder ein abrupter Geschäftsführer-Wechsel eintritt. Der Unterschied zwischen einem Haus, das eine Krise übersteht, und einem, das sie verliert, sitzt selten im Kommunikationsteam.
Das Wichtigste in Kürze
- Krisenpläne sind operativ, nicht kommunikativ: Wer zuerst PR-Sprache abstimmt, bevor das operative Bild steht, verschiebt das Problem nach hinten. Die ersten 48 Stunden entscheiden über Reputation, nicht der Pressetext.
- Verantwortung muss am Tag X eindeutig sein: In zu vielen Mittelständlern existiert kein klarer Krisenstab. Stattdessen entscheiden Verfügbarkeiten und Hierarchien spontan, was im Ernstfall den Schaden vergrößert.
- Übungen kosten weniger als ein Vorfall: Ein halbtägiges Tabletop-Szenario pro Quartal liefert mehr Sicherheit als jedes 50-seitige Konzept. Wer nicht übt, hat keinen Plan, sondern eine Anlage zum Versicherungsantrag.
Verwandt:Die Partnerschaft, die mehr trägt als jede Übernahme / Produktivität statt Sparprogramm
Was ein Krisenplan ist, was er nicht ist
Ein Krisenplan ist kein Dokument. Ein Krisenplan ist eine Reihe von Entscheidungen, die im Voraus getroffen wurden, weil im Ernstfall keine Zeit dafür bleibt. Wer entscheidet was, wann, mit welchen Befugnissen, mit welchem Budget. Wenn diese vier Fragen schriftlich beantwortet sind und das Team sie kennt, hat ein Unternehmen einen Plan. Wenn ein 80-seitiges PDF im Intranet liegt und niemand weiß, wo, hat es Compliance abgehakt.
Das klingt banal. Es ist es nicht. Ich habe in den letzten Jahren mit Mittelständlern gearbeitet, die nach einem Cyber-Vorfall mehrere Stunden damit verbracht haben, intern zu klären, wer die externe Forensik beauftragen darf. Mehrere Stunden in einer Phase, in der jede Stunde Daten weiter abfließen kann. Der Vorgang hätte am Vortag, am Vorjahr oder vor fünf Jahren entschieden werden können. Wurde er aber nicht.
Krisen-PR kommt zwingend ins Spiel, aber später. Ein Pressestatement ohne operatives Bild ist eine Behauptung, die die nächste Pressefrage einbrennt. Wer früh kommuniziert, ohne zu wissen, was wirklich passiert ist, schreibt seinen eigenen Skandal mit.
Die vier Entscheidungen, die vorher fallen müssen
Es gibt keine Universalformel. Es gibt aber vier Punkte, die in jeder mittelständischen Krisenvorbereitung beantwortet sein müssen. Wenn einer fehlt, ist die Vorbereitung lückenhaft.
- Wer ruft den Krisenstab zusammen? Eine Person mit Namen, eine Stellvertretung, eine zweite Stellvertretung. Nicht „die Geschäftsführung“, denn die kann reisen, krank sein oder in einem Aufsichtsratsmeeting sitzen. Das ist die einzige Entscheidung, die nicht delegiert werden darf.
- Wer darf was beauftragen? Forensik, Anwälte, Cloud-Forensik, Kommunikationsagentur, IT-Dienstleister. Mit Höchstgrenzen, mit Vorab-Vertragsentwürfen wo möglich. Wer in der Krise erst einen Anwalt vergleichen muss, hat schon verloren.
- Welche Daten sind kritisch? Nicht alle Daten sind gleich. In den meisten Mittelständlern reichen drei Klassen: Kundendaten, Personaldaten, technische Betriebsdaten. Jede mit einer Ausfall-Toleranz in Stunden, einer Wiederherstellungszeit und einem Plan B.
- Wer spricht extern? Eine Stimme nach außen, mit einer Vertretung. Pressefragen, Behördenanfragen, Kundenanrufe. Wer mehrere Stimmen sprechen lässt, produziert Widersprüche, die später korrigiert werden müssen. Das ist die zweite Welle der Krise.
Diese vier Punkte passen auf eine Seite. Mehr braucht es nicht. Mehr stört eher.
Was im Ernstfall fehlt
- 62 Prozent der mittelständischen Cyber-Vorfälle in DACH werden laut Allianz-Auswertung 2024 ohne klar definierten Krisenstab gehandhabt.
- 2 bis 4 Stunden verlieren betroffene Unternehmen im Schnitt, bevor externe Forensik beauftragt wird, weil die Befugnis intern unklar ist.
- 11 Tage beträgt die durchschnittliche Verlängerung der Ausfallzeit, wenn ein vorbereitetes Tabletop-Szenario fehlt. Quelle: BSI-Lagebericht 2025.
Warum das Tabletop wichtiger ist als das Dokument
Ein Tabletop-Szenario ist eine zwei- bis vierstündige Übung, in der ein realistischer Vorfall simuliert wird. Es gibt keine echte IT-Aktivität, keine Pressemitteilung, kein externes Eingreifen. Es gibt nur Menschen am Tisch, die auf Eskalations-Karten reagieren müssen. Wer dabei eine Stunde damit verbringt, das richtige Ansprechpartner-Verzeichnis zu finden, hat einen produktiven halben Tag gehabt, ohne dass ein einziges Daten-Byte verloren ging.
Tabletop-Übungen sind unbequem. Sie zeigen, dass der Pressesprecher im Urlaub erreichbar ist, der IT-Leiter aber nicht. Dass die Anwaltskanzlei am Wochenende einen anderen Bereitschaftsdienst hat als gedacht. Dass die zweite Stellvertretung des Krisenstabsleiters seit zwei Jahren in einer anderen Abteilung sitzt. Genau diese Erkenntnisse sind das Ergebnis, das man sucht.
Die meisten Mittelständler, die ich gesehen habe, machen zwei Übungen pro Jahr. Eine vor dem Sommer, eine im Herbst. Mehr ist möglich, aber zwei sind ein realistisches Minimum für ein Haus, das ernst meint, was im Krisenkonzept steht.
Drei Fehler, die in fast jedem Konzept stecken
- Versteckte Annahmen über Verfügbarkeit: „Wir benachrichtigen die Geschäftsführung sofort“ funktioniert nicht, wenn die Geschäftsführung auf einem Flug ohne Empfang sitzt. Erreichbarkeitsmatrizen mit Zeitfenstern und Eskalations-Hops fehlen oft komplett.
- Vermischung von Reputations- und Sachverhalt-Klärung: Wenn das Kommunikationsteam in der ersten Stunde Texte schreiben muss, anstatt erst zu hören, was die Forensik weiß, entstehen Aussagen, die zwei Stunden später revidiert werden müssen. Das beschädigt schwerer als Schweigen.
- Übergebackenheit der Pläne: 80 Seiten, die niemand kennt, sind schwächer als zwei Seiten, die jeder Krisenstabsteilnehmer im Kopf hat. Compliance liebt das dicke Dokument. In der Krise ist es nutzlos.
Was nach einer Krise bleibt, wenn man vorbereitet war
Vorbereitete Unternehmen erkennt man daran, dass sie nach einem Vorfall keine grundsätzliche Reform anstoßen müssen. Sie korrigieren Details. Sie ergänzen den Plan um Beobachtungen aus dem realen Fall. Sie üben das nächste Szenario mit dem aktualisierten Material. Unvorbereitete Unternehmen erkennt man daran, dass ein interner Bericht beauftragt wird, externe Beratung einsteigt und sechs Monate später ein neues Konzept präsentiert wird, das genauso unangewendet in der Schublade liegt wie das vorherige.
Die Wahrheit ist unbequem: Krisenmanagement ist nicht teurer als andere Disziplinen im Mittelstand. Es ist nur weniger sichtbar. Niemand bekommt eine Auszeichnung dafür, dass eine Krise gut verlaufen ist, die nie öffentlich wurde. Wer in Krisenvorbereitung investiert, investiert in ein Gut, das im Alltag unsichtbar bleibt. Das macht es leicht, es zu unterlassen.
Wenn ich Mittelständlern eines mit auf den Weg geben dürfte: Reduziert den Plan auf zwei Seiten, übt zweimal im Jahr, klärt die vier Entscheidungen vorher. Der Rest ist Kosmetik.
Häufige Fragen
Wer gehört in einen mittelständischen Krisenstab?
Geschäftsführung mit Vertretung, IT-Leitung, Rechtsabteilung oder externer Anwalt, Kommunikationsleitung und je nach Vorfall ein operativer Verantwortlicher, etwa aus Produktion oder Logistik. Mehr als sechs Personen werden in der Praxis selten arbeitsfähig.
Wie oft sollten Tabletop-Übungen stattfinden?
Zweimal pro Jahr ist ein realistisches Minimum, eine im Frühjahr und eine im Herbst. Wer im regulierten Umfeld arbeitet, sollte auf vier Übungen jährlich gehen und unterschiedliche Szenarien testen, von Cyber-Vorfall bis Schlüssel-Person-Ausfall.
Lohnt sich eine externe Krisenmanagement-Beratung?
Für den initialen Aufbau eines Krisenstabs und das erste Tabletop ist externe Begleitung sinnvoll, weil sie Routinen einbringt und blinde Flecken aufdeckt. Danach sollte das Wissen im Haus bleiben. Wer dauerhaft auf Externe angewiesen ist, hat kein Krisenmanagement, sondern einen Rahmenvertrag.
Wie unterscheidet sich Krisenmanagement von Business Continuity?
Business Continuity adressiert die Wiederherstellung von Prozessen. Krisenmanagement adressiert die Steuerung des Vorfalls selbst, einschließlich Kommunikation und Entscheidung unter Unsicherheit. Beides gehört zusammen, ist aber nicht dasselbe und sollte in unterschiedlichen Plänen geregelt sein.
Was kostet ein vernünftiges Krisenmanagement im Mittelstand?
Der initiale Aufbau mit externer Begleitung liegt typisch bei 15.000 bis 40.000 Euro für einen mittelständischen Standort, je nach Komplexität. Laufend kommen zwei bis vier Übungstage pro Jahr hinzu, plus Bereitschaftshonorare von Forensik und Anwaltskanzlei, die meist als Optionsverträge gestaltet werden.
Lesetipps der Redaktion
- Kundenbindung beginnt vor dem Angebot
- Wenn die KI mitarbeitet statt zuarbeitet
- Berliner Stadtschloss günstiger als die Elbphilharmonie?
Mehr aus dem MBF Media Netzwerk
cloudmagazin.comWie ein Logistiker 31 Prozent Multi-Cloud-Kosten einsparte
digital-chiefs.deTech-Mandate im Aufsichtsrat: NIS2, EU AI Act und der Skill-Gap
securitytoday.deKI-getriebene Bedrohungsanalyse: Was deutsche SOCs jetzt brauchen
Bildquelle: KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt