Management und Wissen

Krisenmanagement

Vorbeugen ist besser als Untergehen

Von Eugen Steiner, Cham (CH)

Komplexe Unternehmensstrukturen mit vielfältigen Abhängigkeiten erfordern heute mehr denn je eine umfassende Vorbereitung auf Krisenfälle vom IT-Crash bis hin zum Terroranschlag. Dabei muss ein Unternehmen gar nicht einmal selbst primäres Ziel sein, wie spätestens der 11. September 2001 gezeigt hat. Wo die Angriffe unklar bleiben, muss man die Ausfälle kalkulieren – wer Risiken beurteilt, Ausnahmehierarchien vorsieht und geübte Krisenmanager bereithält, hat dann im K-Fall gute Karten.

Versagen des Crisis Managements im Informatikstörfall, untaugliche Krisenbewältigung in der Politik, hilfloser Aktionismus bei der Terrorbekämpfung, überfordertes Management bei Produktkatastrophen, Pannen in der Unternehmenskrise, Versagen der internen und externen Kommunikation. Dort, wo Reaktionen im oder nach einem Krisenfall an die Öffentlichkeit dringen, gibt es allenthalben negative Schlagzeilen. Krisen werden allzu oft nur schlecht bewältigt. Wer ist in der Lage, eine Krise erfolgreich zu meistern? Welche Prioritäten sind zu berücksichtigen und durch wen? Ist es überhaupt möglich unternehmensspezifisch Vorsorge zu treffen und im Falle eines Falles die Probleme schnell und gut zu lösen?

Die Antwort ist ganz eindeutig: Ja. Voraussetzung sind ein gut vorbereitetes Handling und kompetente Mitarbeiter. Erfolgreiches Crisis Management ist nicht das persönliche Geschäft des unvorbereiteten Einzelkämpfers! Woher soll er über das notwendige Know-how und die Erfahrung verfügen, um zeitgerecht aufgrund mehr oder weniger zufällig vorhandener Informationen die richtigen Entscheide fällen zu können? Wie sollte man während Tagen oder gar Wochen rund um die Uhr in einer total veränderten Situation ohne die gewohnte Infrastruktur mit der "normalen" Hierarchie führen und eine Katastrophe meistern können?

----------Anfang Textkasten----------

Erfolgsfaktoren des Crisis Management

Implementierung einer integralen Sicherheitsstruktur
ganzheitliche Risiko- und Security-Policy als Basis eines Business-Continuity-Konzepts
Voraussetzungen für ein wirkungsvolles Frühwarnsystem
kurzfristige Einsatzmöglichkeit eines kompetenten Crisis Mangement Teams, das die Ziele und Prioritäten der Störfallbewältigung basierend auf den gewichteten Geschäftsprozessen kennt

----------Ende Textkasten----------

Eine Krise ist eine außerordentliche Lage, die mit außerordentlichen Mitteln zeitgerecht so abgehandelt werden muss, dass Unternehmensschäden minimiert werden und das "Business as usual" raschmöglichst wiederhergestellt wird. Vielfach entscheiden schon die ersten Minuten über den Ausgang einer Operation.

Erfolgreiches Krisenmanagement ist dann möglich, wenn es einerseits in einer klaren integralen Sicherheitsstruktur eingebettet und anderseits innerhalb der Unternehmung Bestandteil einer implementierten Business-Continuity-Planung ist. Dann sind die Voraussetzungen geschaffen, damit das Topmanagement sofort reagieren kann – und auch so reagieren muss, dass die Angelegenheit zur Chefsache wird.

Integrale Sicherheitsstruktur

Unter der integralen Sicherheitsorganisation einer Unternehmung versteht man die eng koordinierte, abgestimmte und verknüpfte Zusammenarbeit aller Sicherheitsbereiche unter einer einheitlichen Führung. Darunter fallen:

Physische Sicherheit,
Informatiksicherheit,
Personensicherheit (Schutz vor und Schutz der Personen),
Informationssicherheit inklusive Datenschutz,
Notfallplanung,
Crisis Management,
Sonderrisiken (z. B. Wirtschaftsspionage),
Spezialbereiche (z. B. Forensic, Screening, Länderrisiken) sowie die
Sicherheitsausbildung.

Die Merkmale der Integralen Sicherheitsorganisation sind

gesamtheitliche Risikoanalysen unter Einbezug aller relevanten Geschäftsprozesse,

konsistente Maßnahmenstruktur,

Vermeidung von Fehlinvestitionen im gesamten Security-Bereich,

minimale Schnittstellen,

klare Aufgaben, Verantwortung und Entscheidungsbefugnisse sowie

Transparenz und kürzeste Entscheidungswege.

Die Integrale Sicherheitsorganisation gewährleistet dann, dass

sämtliche Risiken laufend erkannt, erfasst, beurteilt und abgehandelt werden,
die Investitionen den Risiken entsprechen,
die Geschäftsprozesse vollumfänglich einbezogen sind,
in Notfall- und Krisensituationen "Business as usual" innert kürzester Zeit ermöglicht wird und
Ihre Sicherheitsorganisation Sie in der Ausübung Ihres Business unterstützt.

Integrale Sicherheitsorganisation muss jedoch in einem Business Continuity Plan (BCP) eingebettet sein. Sie ist somit Bestandteil des firmenweiten Risikomanagements und in der konzernweiten Risk Policy integriert. Damit kann unternehmensbezogen optimale Sicherheit geboten werden. Ist dies der Fall, so wird "Security" – egal in welcher Form – für das Management kein "notwendiges und schwierig zu führendes Soll", sondern eine Voraussetzung zum Erreichen der Unternehmensziele. Dann werden die finanziellen Aufwendungen auch nicht länger als Kosten, sondern als Investitionen verstanden.

Business Continuity Planning

Business Continuity Planning (BCP) basiert auf den unternehmerischen Prozessen. Diese müssen aufrecht erhalten werden; denn es ist der Prozess, der zum Erfolg des Unternehmens führt. Das BCP muss daher die Prozesse erfassen, gewichten und rangieren. Für die Beurteilung sollten unbedingt die Prozessverantwortlichen (Process Owner) beigezogen werden, das Rating grundsätzlich ein Management-Entscheid sein.

Bei der Business Continuity wie auch der Notfallplanung darf der Ansatz nicht über das auslösende Element (z. B. Feuer) erfolgen, sondern ist über den unterbrochenen Prozess (z. B. Unterbruch des Wertschriftenhandels) zu betrachten. Dabei stellen sich folgende Fragen:

Welches sind die wichtigsten Prozesse?
Welches sind die wichtigsten Ergebnisse der zu untersuchenden Prozesse?
Welche Auswirkungen hat es auf andere Prozesse, wenn diese Ergebnisse nicht vorliegen?
Wann ist ein Ausfall nicht mehr akzeptabel?
Welche Auswirkungen hat ein Ausfall für die Mitarbeiter?
Welche Prozesse sind für Business Recovery interessant?
Welche Wiederanlaufklassen pro Prozess sind zu erfüllen?
Welche Notfallszenarien müssen berücksichtigt werden?
Welche Schnittstellen zu anderen Geschäftsbereichen sind zu berücksichtigen?

Die Prozesse sollten zudem in Unterprozesse und Services hinuntergebrochen und so beispielsweise im IT-Bereich bis auf die einzelnen Applikationen aufgesplittet werden.

Eine Business Continuity Planning gliedert sich in vier Phasen: die Risikoanalysen, die Phase der Notfallplanung, das Krisenmanagement und die Wiederanlaufphase (Recovery) der Geschäftsprozesse.

Risikoanalyse

In der Analysephase werden systematisch alle relevanten Geschäftsprozesse, die Informatik und die Infrastruktur untersucht. Folgende zwei Fragen stehen im Zentrum: "Was kann passieren?" und "Was darf passieren?". Im Sinne eines Total Risk Management müssen dabei alle Unternehmensrisiken mit einbezogen werden. Darunter fallen auch Produktkatastrophen.

Zu bedenken ist ferner, dass die Internationalisierung für Unternehmen bei ungenügender Kenntnis ausländischer Rechtssysteme zusätzliche, schwer kalkulierbare Risiken birgt. Vor allem in den USA, wo die Möglichkeit milliardenschwerer Sammelklagen besteht, droht selbst Großunternehmen dadurch der Ruin. Auch solche Szenarien müssen behandelt werden.

Bezüglich des Vorgehens gibt es verschiedene Methoden. Sehr bekannt ist die Zurich Hazard Analysis (ZHA), eine Methodik, die vom Finanzdienstleister und Versicherer Zurich Financial Services entwickelt worden ist. Sie hat den Vorteil, dass man sie in den verschiedensten Sicherheits- und Risikobereichen einsetzen kann.

Schematischer Ablauf der "Zürich"-Gefahren-Analyse (ZHA – Zurich Hazard Analysis)

Bei der "Zürich"-Gefahren-Analyse handelt es sich grundsätzlich um eine induktive Methode, die vom Einzelnen zum Ganzen geht. Sie beginnt mit dem Erkennen von Gefahren, sucht die entsprechenden Auslösemechanismen (Trigger) und hält ihre Auswirkung fest. Die Gefahrenbewertung erfolgt durch die Risiko-bestimmende Eintrittswahrscheinlichkeit der Ursache wie auch durch die Tragweite der Auswirkung. Aus Mangel an zuverlässigen Zahlen wird die Gefahrenbewertung meistens einer relativen Quantifizierung unterzogen. Ein Gefahrenkatalog dient zum Festhalten aller Erkenntnisse.

Im Risikoprofil werden die gewünschten oder verlangten Schutzziele bezeichnet und dann die im Gefahrenkatalog fortlaufend nummerierten Gefahren eingetragen. Dadurch werden die Risiken relativ zueinander sichtbar. Risikovermindernde Maßnahmen für die über dem Schutzziel liegenden Gefahren lassen sich mithilfe des Risikoprofils klar priorisiert treffen. Zudem sind rechtliche Gesichtspunkte zu beachten.

Schutzziele in der ZHA: Die einzelnen Gefahren werden im Gefahrenkatalog nummeriert und unter Berücksichtigung ihrer Wahrscheinlichkeit (Probability) und des möglichen Schadenausmaßes (Severity) mit der gleichen Nummer in der Risikoklasse einer Grafik positioniert. Die Risiko-Akzeptanz (unternehmensspezifischer Managemententscheid) ist anhand der blauen Linie ersichtlich. Bei Risiken, die außerhalb des akzeptablen Bereiches liegen (2,3,4) sind Maßnahmen notwendig, um die Eintrittswahrscheinlichkeit zu senken oder/und die mögliche Auswirkung einer Gefahr zu begrenzen.

Die Buchführung über die getroffenen Maßnahmen sowie die jeweils erreichte Risikoverminderung werden im Maßnahmenkatalog nachvollziehbar festgehalten. Die "Zürich"-Gefahren-Analyse eignet sich für Produkte, Systeme sowie Verfahren und kann als Einzelanalyse wie auch als fortlaufende Analyse Anwendung finden.

Im Zentrum stehen immer ein Auslösemoment (Trigger) sowie seine Folgen. Welche einzelnen Risiken des Risikoprofils akzeptabel sind und welche nicht, ist ein Management-Entscheid. Bei der Erarbeitung des Profils müssen die Wahrscheinlichkeit und das Schadenausmaß mit berücksichtigt werden. Mittels des Maßnahmenkataloges werden Risiken dann reduziert, minimalisiert oder beseitigt. Es ist aber auch möglich, dass keine wirkungsvollen Maßnahmen getroffen werden können. Was bleibt, sind die Restrisiken. Diese müssen dem verantwortlichen Process Owner bekannt gegeben werden, denn auf ihnen basiert der Notfallplan.

Notfallplanung

Über das Ergreifen der richtigen Maßnahmen darf nicht erst beim Eintritt von Störfällen in langatmigen Entscheidungsprozessen befunden werden. Die Notfall-Planung stellt sicher, dass bei außerordentlichen Ereignissen mit entsprechenden Maßnahmen und besonderen Kompetenzen Schaden minimiert und die Geschäftsprozesse entsprechend ihrer Priorität zeitgerecht wieder etabliert werden können. Zu diesem Zwecke sind die notwendigen vernetzten Alarm-, Eskalations- und Recovery-Pläne zu erarbeiten und zu unterhalten. Dabei haben sich die Notfallpläne der Informationstechnik den Prozessprioritäten anzupassen. Die Abläufe der Notfallpläne (Notfallplan "Crisis Management" und Notfallplan "Business Recovery") sind genau zu definieren. Sie sollten mit einem Software-Tool unterstützt werden. Es empfiehlt sich dringendst, die Aktionspläne zu testen. Ihre Erstellung sollte in Zusammenarbeit mit den verantwortlichen Prozessmanagern ablaufen.

Das Notfall-Management sorgt im Ereignisfall für die situationsgerechte Umsetzung der Notfallpläne und forciert, dass notfall- und zeitgerecht mit entsprechender Priorität geführt und gehandelt wird.

Crisis Management

Krisenmanagement ist nur möglich mit entsprechend eingeübten Strukturen auf allen Ebenen – unter Einbezug der entsprechenden Business Manager. Eingespielte Strukturen müssen je nach Entwicklung der Lage außerordentlichen Maßnahmen weichen, bewährte Hierarchien werden vorübergehend ausgeschaltet.

Bei der gesamten Bewältigung haben die interne und die externe Information und Kommunikation eine hohe Bedeutung. Auch sie müssen professionell im Notfallstab abgehandelt werden. Dieser leitet den Einsatz und ist Bindeglied zwischen der Geschäftsleitung und der "Front".

Die Bewältigung einer Katastrophe sollte tool-unterstützt abgehandelt werden. Voraussetzung für einen effizienten Führungsstab – nebst entsprechenden Kompetenzen – ist zunächst lagegerechtes, gesamtheitliches Handeln, basierend auf entsprechenden Analysen. Zudem notwendig: das Erfassen der Prioritäten in einem möglicherweise total veränderten Umfeld sowie das zeitgerechte, vorausschauende Umsetzen geeigneter Maßnahmen für die Schadensbegrenzung und für ein effizientes Recovery innert kürzester Zeit.

Schlüsselereignisse einer Krise sind:

Domino Effekt: Ein Ereignis löst im Sinne einer Kettenreaktion eine ganze Anzahl weiterer Störfälle aus.
Unterbruch des Netzes der internen und externen Abhängigkeiten (zum Beispiel wenn ein wichtiger Unterlieferant nicht mehr liefern kann oder durch den Unterbruch des öffentlichen Übermittlungsnetzes und wegen der Überlastung des Handynetzes keine Kommunikation mehr möglich ist)
Beschränkte interne und externe Resourcen: Öffentliche Dienste haben beispielsweise basierend auf ihrem Grundauftrag andere Prioritäten wie die Versorgung öffentlicher Spitäler und Anstalten, Supportfirmen müssen gleichzeig andere – für sie noch wichtigere – Kunden bedienen. Hierzu zählen auch der Ausfall von Schlüsselpersonen und Experten in der eigenen Unternehmung sowie begrenzte Möglichkeiten aufgrund eines tage- oder gar wochenlangen 24-Stunden-Betriebs.
Hohe Bedeutung des "Vendor Managements": Wichtige Lieferanten und Supportfirmen müssen so gut etabliert und so fest gebunden sein (z. B. durch Verträge oder Abhängigkeiten), dass sie auch im Notfall ihre Leistung an das Unternehmen erbringen können.
"Being prepared increases added value in the long run" (vorbereitet zu sein, macht sich langfristig bezahlt): Vorbeugen ist nicht nur ein Kostenaufwand, sondern eine Investition im Interesse des eigenen Business.
Unterschiedlichste Zeit- und Sachdrucke mit unterschiedlichstem Veständnis: In der Krise sollten die vielfältigsten internen und externen Erwartungen innert kurzer Zeit laufend abgedeckt werden. Diese Begehren aus allen Interessenkreisen – berechtigt und unberechtigt – decken sich vielfach nicht mit den sachlichen und zeitlichen Prioritäten der Unternehmung. Verschiedenste Begehren werden sich nicht zufriedenstellend abhandeln lassen. Die Gründe sind zeitlicher, technischer, organisatorischer Art, der Mangel an Resssourcen oder auch unterschiedliche Interessenlage.
Zeitgerechte, ehrliche und professionelle Abdeckung der berechtigten internen und externen Informationsbedürfnisse: Die Kommunikation in der Krise hat einen sehr hohen Stellenwert (Reputation Risk).
Fokussierung auf die unternehmensweite Business-Continuity-Planung.

Eine Krise lässt sich nur erfolgreich bewältigen, wenn die vorausgegangenen Risikoanalysen und Notfallplanungen basierend auf einer vom obersten Management erlassenen allgemeinen Security Policy umgesetzt wurden, somit die Restrisiken bekannt sind und ein kompetentes, geübtes Crisis-Management-Team rechtzeitig zur Verfügung steht.

Im Krisenfall treten die traditionellen Hierarchien in den Hintergrund, die gewichteten Prozesse mit den vorgegebenen Recoveryzeiten in den Vordergrund. Es ist dann Aufgabe des Crisis Managements, die Geschäftsprozesse gemäß vorgegebener Prioritäten wieder in Gang zu setzen. Der Ansatz zur Bewältigung der Krise erfolgt auch hier nicht über das physische Ereignis (z. B. den Brandfall), sondern über den gestörten Geschäftsprozess.

Für international tätige Unternehmen ist gruppenweit eine dreistufige Gliederung des Crisis Managements empfehlenswert (vgl. Abb.). Dies erleichtert Führung und Kommunikation.

Level 1 oder Gold Level: vertreten durch das oberste Management (Ultimate Decision Makers).
Level 2 oder Silber Level: mit dem Crisis Management Team, welches die Krise operationell führt sowie
Level 3 oder Bronze Level: mit dem Incident Management Team, das die Aktion vor Ort abhandelt.

Das Crisis Management beurteilt die Lage, fasst Entschlüsse und veranlasst ihre Umsetzung. Eine mögliche grundsätzliche Gliederung – die sich auch bewährt hat – geht aus der Abbildung zur Crisis Management Structure hervor.

Crisis Management Structure: Für große Unternehmen hat sich die dargestellte dreistufige Struktur bewährt, bei der ein Krisenmanagement-Team mit verschiedenen Untereinheiten die operationelle Führung übernimmt.

Informationspolitik

Nur wenige Dinge schaden einem Unternehmen so sehr wie unbedachte Äußerungen im Moment der Konfrontation mit dem Sachverhalt einer Krise oder gar eine Vertuschungs- und Dementipolitik. Es zählen einzig Offenheit und der Mut, Fehler einzugestehen oder zumindest als möglich zu erachten. Firmen ebenso wie Produkte haben neben dem materiellen Wert auch einen nicht zu unterschätzenden Imagewert. Reputation bedeutet eine Erwartungshaltung und Wertschätzung ebenso wie ein Vertrauensmaß.

Leider lassen (Krisen-)Manager diese Grundsätze viel zu oft außer Acht. Der erlittene Imageschaden kann sich im schlimmsten Fall so negativ auf den Börsenkurs auswirken, dass ein Unternehmen Opfer einer feindlichen Übernahme wird. Darum bedarf die interne Unternehmensinformation in der Krise vor allem der Offenheit und klarer Richtlinien (integriert im Solution Team als Untereinheit des Crisis Management Teams).

Lehren vom 11. September

Es ist beeindruckend, wie verschiedenste Unternehmen in New York am 11. September 2001 dank eines vorgängig wohl durchdachten Krisenmanagements Menschen gerettet und auch sich selbst als Unternehmen vor katastrophalem Schaden bewahrt haben.

Die erstaunliche Logistik, die hinter den Anschlägen in den USA stand, zeigt, über welches Know-how der Terrorismus heute verfügt. Es zeigt aber auch, dass der Aufwand für die Notfallplanung und das Crisis Management unerlässliche und sinnvolle Investitionen zum Schutz von Mensch und Unternehmen bedeutet. Zusammenfassend sind folgende Lehren zu ziehen:

Trotz der Tragödie war der Zeitpunkt der Ereignisse relativ glückhaft: Ein großer Teil der Büros war noch nicht bezogen, viele Leute befanden sich noch auf dem Weg zur Arbeit, Notfalldienste konnten rasch anlaufen usw.
Keine oder ungenügende Business Continuity Planung hat sich für einige Unternehmen bitter gerächt.
Notfallpläne müssen einen von außen beeinflussenden Dominoeffekt berücksichtigen.
Notfallpläne müssen dauernd überwacht, unterhalten und getestet werden.
Ohne Informatik steht das Geschäft still.
Je weniger zentralisiert die Technik einer Unternehmung war, desto robuster gingen solche Firmen aus dem Angriff hervor.
Der bisherige bautechnische Schutz – selbst von Kernkraftwerken – genügt bei Terrorangriffen wie in New York nicht mehr den heutigen Anforderungen.
"Unmögliche" Szenarien werden Tatsache: z. B. muss mit dem Einsatz von biologischen und chemischen Waffen gegen die Zivilbevölkerung gerechnet werden.
Terroristische Angriffe sind als mögliche Szenarien einzubeziehen, auch unter der Berücksichtigung, dass ein Unternehmen nicht als direktes Ziel zu gelten hat.
Die Notfallkommunikation muss im Sinne des Krisenmanagements mit Redundanzen sichergestellt und unterhalten werden. Stunden- oder tageweiser Ausfall kann tödlich wirken.
Ausweichlokationen müssen bestimmt werden und kurzfristig zu beziehen sein.
Die externe Lagerung von Backups und wichtigen Dokumenten sowie genügende Redundanzen im Bereiche der IT, Telekommunikation und weiterer Schlüsseltechnik müssen gewährleistet sein.
Stufengerechte, eingespielte Crisis Management Teams haben sich auf Konzernebene bewährt – Schwachstellen wurden augenfällig präsentiert.
Frühwarnsysteme sind unerlässlich.

Wo Groß- und Kleinunternehmen für die New Yorker Katastrophe nicht im Sinne des Integralen Risiko-Managements und einer Business-Continuity-Planung vorbereitet waren, wirkte sich das Ereignis für diese Firmen auch entsprechend katastrophal aus.

Einige wichtige Zeitpunkte während der Geschehnisse am 11. September 2001 zeigen, dass heute Katastrophen kaum Reaktionszeit erlauben und lokal gehandelt werden muss. Wer dann nicht im Voraus geplant hat, wird das kaum nachholen können.

Recovery

Die Phase des Crisis Managements geht vielfach fließend in die Recovery-Phase über (so auch während der New Yorker Ereignisse). Das Recovery fällt grundsätzlich wieder in die Verantwortlichkeit der ordentlichen Hierarchie. Sie hat dafür zu sorgen, dass die Geschäftsprozesse möglichen neuen Verhältnissen angepasst und wieder ordentlich betrieben werden. Die Vorgaben, wie sie aus der Security Policy der Unternehmung gegeben und in den verschiedenen Schritten des BCP abgehandelt worden sind, legen Rahmen und Prioritäten fest. Nur so kann man sicherstellen, dass alle Instanzen den wichtigsten Prozessen die ihnen gebührende Aufmerksamkeit aller schenken.

Ziel des Business-Recovery-Konzeptes ist es, im Störfall mit personeller und materieller Mindestausstattung den Geschäftsbetrieb aufrecht zu erhalten und so schnell wie möglich zum Normalbetrieb zurückzuführen. Ein Infrastruktur-Recovery-Konzept gewährleistet die dazu notwendige Basis. Voraussetzung hierfür ist wiederum ein funktionierendes Vendor-Management.

Für den Wiederanlauf müssen entsprechend der vorausgegangenen Bewertung die einzelnen Prozesse in Wiederanlaufklassen definiert werden. Ihre Eingliederung hängt von der Bedeutung, den Kosten, der Priorität und der Verfügbarkeit ab. Danach hat sich die Verfügbarkeit im gesamten IT Bereich zu richten. Diese Grundsätze müssen bereits in die Notfallplanung einfließen.

Frühwarnsysteme

Unternehmensspezifische Frühwarnsysteme sind heute mehr denn je unerlässlich, um drohende Ereignisse zeitig zu erkennen, wenn möglich abzuwehren oder zumindest risikogerecht darauf reagieren zu können. Ziel: Risiken und ihre Komplexität sollen so frühzeitig erkannt und ganzheitlich abgehandelt werden, dass beim Auslösen des Triggers entscheidende Gegenmaßnamen bereits wirksam sind. Dies gilt heute auch für den chemisch-biologischen und vor allem den Cyberwarfare-Bereich.

----------Anfang Textkasten----------

Bestandteile eines unternehmensweiten Frühwarnsystems

In einem zentralen Informationszentrum werden die relevanten Daten gesammelt, gesichtet, bewertet und professionell verbreitet.
Präventive Maßnahmen werden gruppenweit umgesetzt und laufend den Verhältnissen angepasst.
Markt- und Produktentwicklungen werden im Umfeld von Politik und Wirtschaft auch unter sicherheitspolitischen Aspekten verfolgt.
Risiken aller Art werden gruppenweit dauernd verfolgt, beobachtet und abgehandelt.

----------Ende Textkasten----------

Ein erhöhtes Risiko für terroristische Angriffe mit der Möglichkeit eines erfolgreichen Anschlages besteht besonders in den Sektoren

Telekommunikation,
Energie,
Finanzwesen,
Transport & Verkehr,
Regierungen und öffentlichen Verwaltung,
Medien und
Gesundheitswesen.

Mindestens dort sollten Risikokataster mit entsprechenden Szenarien erstellt werden (inkl. biologischem Angriff, Anschläge auf Fabriken mit gefährlichen chemischen Rohstoffen etc.). Weiterhin gilt es zu bedenken:

Staaten müssen in diesem Bereich weltweit vermehrt mit der Wirtschaft zusammenarbeiten.
Die Problematik muss bis zu den einzelnen Unternehmen heruntergebrochen werden.
Informationen und Erfahrungen müssen international unter Experten ausgetauscht werden. Dies gilt sowohl innerhalb der Wirtschaft wie auch zwischen Wirtschaft und staatlichen Organen. Das Totschweigen von Erkenntnissen, akuten Bedürfnissen und neuen Problemkreisen lässt gleich- oder auch andersartigen Attacken andernorts mehr Erfolgschancen.

Zu diesen Zwecken gilt es, die Zusammenarbeit auf nationaler und internationaler Ebene zu fördern. Informationsbeschaffung sowie Informationsaustausch innerhalb der Politik und Wirtschaft sind zu optimieren. Es müssen aktuelle Lagezentren auf Behörden- und Unternehmensebenen aufgebaut werden, die tool-unterstützt systematisch Informationen sammeln, sichten, auswerten und verbreiten. Dabei sind die Erkenntnisse und Erfahrungen von Wissenschaft und Forschung mit einzubeziehen. Nur so ist es möglich, gesamtheitliche, den Informationsbedürfnissen entsprechende Risikobeurteilungen durchzuführen.

Schließlich muss auch eine Anpassung und Koordination in der Informationspolitik erreicht werden. Es kann nicht sein, dass eine Behörde eine Bedrohung bagatellisiert während die Informationen einer anderen Instanz Menschen unnötig in Angst und Schrecken versetzen – oder dass bloße Warnungen ausgestrahlt werden, die keine konkreten Anhaltspunkte für wirkungsvolle Maßnahmen liefern.

Eugen Steiner ist Direktor und Verwaltungsratspräsident der Lessing & Partner AG Schweiz, vormals war er Head of Corporate Security der Zurich Financial Services.