Registrieren Anmelden
RegistrierenAnmelden
Breadcrumb-Navigation
Mit <kes>+ lesen

Was kostet die Krise? : Wo sich die Investition in gute Vorbereitung lohnt

Unternehmen stehen oft vor der Frage, ob es sinnvoll ist, Zeit und Geld in das Krisenmanagement zu investieren. Obwohl es keine eindeutige Antwort darauf gibt, legen die Erfahrungen der letzten Jahre und Monate mit Ereignissen wie Pandemien, extremen Wetterbedingungen, Lieferkettenproblemen und Energiekrisen nahe, dass sich diese Investitionen lohnen. Dennoch sind die konkreten wirtschaftlichen Abwägungen oft schwierig. Unser Autor untersucht, welche Ausgaben eine Krise verursachen kann, wie sich durch gutes Krisenmanagement Kosten einsparen lassen und wie man sich einer realistischen Kosten-Nutzen-Rechnung annähern kann.

Markus EpnerAllgemein
Lesezeit 6 Min.

Krisen sind außergewöhnliche und instabile Situationen, die die strategischen Ziele, die Reputation und sogar den Fortbestand eines Unternehmens gefährden können. Die finanziellen Auswirkungen solcher Ausnahmesituationen sind schwer vorhersehbar. Selbst kleinere Ereignisse können hohe Summen verschlingen, und der tatsächliche Kostenaufwand hängt stark davon ab, wie gut die Krise bewältigt wird. Um sich den potenziellen Kosten anzunähern, ist es wichtig zu verstehen, wo und wodurch sie entstehen.

Zu Unternehmenskrisen kann es durch eine Vielzahl von Faktoren kommen, beispielsweise durch Unterbrechungen der Lieferkette, Tankerunglücke oder extreme Wetterereignisse. Besonders Cybervorfälle stellen eine ständige Bedrohung dar und sind laut Allianz Risk Barometer 2022 die größte Sorge der Unternehmen.

Unabhängig von der Art der Krise gibt es immer drei Mechanismen, die zu finanziellen Verlusten führen. Das sind die direkten Kosten für die Bewältigung der Situation, die indirekten Kosten durch entgangene Einnahmen während eventueller Betriebsunterbrechungen oder durch ein geringeres Auftragsvolumen aufgrund des Reputationsverlustes und schließlich die zusätzlichen Kosten für die Beschaffung externer Expertise oder Materialien unter Zeitdruck und oft zu teureren Konditionen. In Krisensituationen müssen die Verantwortlich oft kurzfristige Entscheidungen treffen und hinterfragen zusätzliche Investitionen möglicherweise weniger sorgfältig. Ein extremes Beispiel ist die Beschaffung von Masken zu Beginn der Corona-Pandemie, die teilweise zu stark überhöhten Preisen eingekauft werden mussten.

Beispiel: Kosten eines Cybervorfalls

Neben diesen drei Mechanismen gibt es weitere Kostenfaktoren in einer Krise. Im Fall eines Cyberangriffs zum Beispiel reichen diese von der Identifizierung des Problems bis zu seiner Behebung. Die konkreten Kosten lassen sich wie folgt aufschlüsseln:

  • Problemerkennung und Eskalation: Dieser Bereich umfasst forensische und investigative Tätigkeiten, Bewertungs- und Audit-Dienstleistungen, Krisenmanagement und interne Krisenkommunikation. Diese Aktivitäten machen etwa 33,1 Prozent der Gesamtkosten aus.
  • Geschäftsverluste: Dazu gehören Verluste durch Betriebsunterbrechungen und Umsatzeinbußen aufgrund von Systemausfällen durch Onlinekriminalität. Hinzu kommen Kosten für verlorene und die Gewinnung neuer Kunden sowie Reputationsverluste oder eine mögliche Minderung des Unternehmenswertes. Dieser Bereich trägt mit rund 32,64 Prozent zu den Gesamtkosten bei.
  • Krisenkommunikation: Die Kommunikation mit den Betroffenen über verschiedene Kanäle, der Austausch mit den Aufsichtsbehörden sowie die Beauftragung externer Experten verursachen Kosten in Höhe von etwa 7,13 Prozent.
  • Wiedergutmachungskosten: Hierunter fallen Kosten für Maßnahmen wie die Einrichtung eines Helpdesks, die Überwachung von betroffenen Konten oder Identitäten, die Ausstellung neuer Konten oder Kreditkarten, juristische Aufwendungen, Produktrabatte oder regulatorische Bußgelder. Sie machen circa 27,13 Prozent der Gesamtkosten aus.

Sparpotenzial durch Krisenmanagement?

Um auf eine Krise vorbereitet zu sein und damit die Kosten, die im Krisenfall entstehen, zu reduzieren, können und sollten Unternehmen in ein Krisenmanagement investieren. Es ist jedoch schwierig, den tatsächlichen Wert der Krisenprävention zu erfassen. Im Gegenteil, das sogenannte Präventionsparadoxon führt dazu, dass eine gute Prävention bewirken kann, dass die Gefahr zukünftiger Krisen unterschätzt wird, da (fast) nichts passiert ist. Dabei kann sie tatsächlich viel Geld sparen.

Natürlich entstehen die größten Einsparungen, wenn man eine Krise von vornherein vermeidet. Es ist jedoch eine sehr schlechte Strategie, einfach zu hoffen, dass das eigene Unternehmen nicht betroffen sein wird. Experten sind sich einig, und die Zahlen sprechen hier für sich: Vor allem die Wahrscheinlichkeit von Vorfällen wie extreme Wetterereignisse oder die von uns betrachteten Cyberangriffe steigt von Jahr zu Jahr. Laut dem „Cyber Resilience Report“ des Business Continuity Institute waren 2021 61 Prozent der Unternehmen mindestens einmal von einer Cybetroffen. Zudem steigt das Risiko, dass Unternehmen in Zukunft von unerwarteten Krisen überrascht werden und mehrere Ereignisse gleichzeitig bewältigen müssen.

In vielen Firmen herrscht allerdings immer noch ein „Versicherungsdenken“ vor. Sie bereiten sich nur auf wahrscheinliche Risiken vor und scheuen die Kosten für die Absicherung unwahrscheinlicher Risiken. Das Unerwartete wird aber in Zukunft immer häufiger eintreten.

Kostensenkende Maßnahmen

Unternehmen sind daher gut beraten, mögliche Krisenkosten durch Risikominderung zu reduzieren. Das kann vor allem in folgenden Bereichen geschehen:

  • Prävention: Überwachung sich verändernder Risikofaktoren, Mitarbeiterschulungen, Impact-Analysen, regelmäßige Software-Updates und die Einrichtung einer festen Krisenorganisation– Präventionsmaßnahmen variieren je nach Unternehmen. Es ist jedoch wichtig zu betonen, dass es nicht ausreicht, Präventionsmöglichkeiten zu identifizieren. Es kommt darauf an, Risiken zu erkennen und kontinuierlich zu beobachten, Business-Continuity-Pläne sorgfältig und regelmäßig zu überprüfen, zu aktualisieren und aufrechtzuerhalten sowie eine Notfall- und Krisenorganisation aufzubauen und zu pflegen. Bei Cyberzwischenfällen gehören Geschäftskontinuitätsplanung, Einbindung des Managements, Schulung der Mitarbeiter sowie die Etablierung von Incident- und Krisenmanagement-Teams zu den wichtigsten Methoden zur Kostensenkung.
  • Prozesse etablierten: Wenn im Krisenfall klar ist, was zu tun ist, wer für welche Aufgaben verantwortlich ist und wie man erreichbar ist, lassen sich die beiden entscheidenden Faktoren für Krisenkosten besser kontrollieren: Zeit und Reputation. Die Zeitersparnis wirkt sich gleich dreifach positiv aus: zu Beginn einer Krise, besonders bei der Alarmierung von Mitarbeitern und der Mobilisierung von Teams, während der Krise und auch in der Nachbereitung – zum Beispiel bei der Erstellung von Berichten für Behörden.
  • Training: Unternehmen, die mögliche Krisenszenarien unter realistischen Bedingungen durchgespielt haben, Strukturen und Kommunikationswege etabliert haben und über die erforderlichen Tools und Materialien verfügen und diese effektiv nutzen können, sind besser gerüstet und sparen wertvolle Zeit.
  • Schnelles Handeln: das entscheidende Element in jeder Krise. Je schneller man reagiert und die Krise begrenzt oder beendet, desto geringer sind die Kosten. Ein kurzer Krisen-Lebenszyklus (die Zeitspanne von der Entdeckung bis zur vollständigen Behebung eines Angriffs) führt zu reduzierten Ausgaben. Eine schnelle und zielgerichtete Kommunikation sowie enge Zusammenarbeit über Standort- und Bereichsgrenzen hinweg sind dabei grundlegend.

Lohnt sich das alles?

Die Frage, ob sich die Investitionen in das Krisenmanagement lohnen, lässt sich nicht einfach mit einem klaren Return on Investment (ROI) berechnen, da Krisen per Definition dynamisch, komplex und von vielen Faktoren abhängig sind. Somit variieren auch die Kosten. Was man aber beziffern kann, sind die Ausgaben die durch Datenlecks entstehen. Laut dem aktuellen „Cost of a Data Breach Report“ von IBM kostet ein Vorfall durchschnittlich 4,5 Millionen Dollar. Im Jahr 2020 lag dieser Wert noch bei 3,9 Millionen Dollar – das ist ein Anstieg um 15 Prozent.

Eine gute Vorbereitung führt aber bereits bei kleineren Vorfällen zu erheblichen finanziellen Einsparungen. Bei einer großen Datenkrise, die durchschnittlich 401 Millionen US-Dollar kostet, kann ein effizientes Krisenmanagement sogar mehrere Hundert Millionen US-Dollar einsparen.

Zudem steigt das Risiko, von unerwarteten Krisen überrascht zu werden und mit mehreren gleichzeitig konfrontiert zu sein. Das liegt zum einen an der zunehmenden Komplexität des Umfelds und zum anderen an systemischen Krisen wie Pandemien, Angriffen auf kritische Infrastrukturen oder Unterbrechungen globaler Lieferketten, die sich über längere Zeiträume erstrecken und weitreichende Auswirkungen haben können. Es ist daher davon auszugehen, dass der Return on Investment für ein professionelles Krisenmanagement mit einem gut ausgebildeten Team deutlich schneller eintritt, besonders bei Mehrfachkrisen.

Unternehmen können dabei Kosten in Millionenhöhe bei jedem Notfall einsparen, sei es bei wahrscheinlichen oder unwahrscheinlichen Krisensituationen, sei es bei Brandfällen, Naturkatastrophen, Geschäftsunterbrechungen oder Cyberangriffen. Doch der größte Gewinn liegt vielleicht nicht einmal in messbaren Zahlen, sondern in dem beruhigenden Gefühl, in jeder Situation handlungsfähig zu sein.

Markus Epner ist Leiter der F24 Academy bei der F24 AG

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.