CVE-2024-30314 (Last Update: 16.05.2024 11:36) - Products: Dreamweaver Desktop - Info: Git local configuration leading to Arbitrary Code Execution upon opening .ste file || CVE-2024-29990 (Last Update: 14.05.2024 16:24) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-21334 (Last Update: 08.05.2024 22:04) - Products: System Center Operations Manager (SCOM) 2019, System Center Operations Manager (SCOM) 2022, Open Management Infrastructure - Info: Open Management Infrastructure (OMI) Remote Code Execution Vulnerability || CVE-2024-21400 (Last Update: 08.05.2024 22:04) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-0057 (Last Update: 16.04.2024 17:09) - Products: .NET 8.0, .NET 7.0, .NET 6.0, Microsoft Visual Studio 2022 version 17.2, Microsoft Visual Studio 2019 version 16.11 (includes 16.0 - 16.10), Microsoft Visual Studio 2022 version 17.4, Microsoft Visual Studio 2022 version 17.6, Microsoft Visual Studio 2022 version 17.8, NuGet 5.11.0, NuGet 17.4.0, NUGET 17.6.0, NuGet 17.8.0, PowerShell 7.2, PowerShell 7.3, PowerShell 7.4, Microsoft .NET Framework 4.8, Microsoft .NET Framework 3.5 AND 4.8, Microsoft .NET Framework 3.5 AND 4.7.2, Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2, Microsoft .NET Framework 3.5 AND 4.8.1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2 - Info: NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability || CVE-2024-21326 (Last Update: 16.04.2024 17:09) - Products: Microsoft Edge (Chromium-based) - Info: Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability || CVE-2024-21410 (Last Update: 11.04.2024 19:33) - Products: Microsoft Exchange Server 2016 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 13, Microsoft Exchange Server 2019 Cumulative Update 14 - Info: Microsoft Exchange Server Elevation of Privilege Vulnerability || CVE-2024-21403 (Last Update: 11.04.2024 19:33) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-21376 (Last Update: 11.04.2024 19:33) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability || CVE-2024-21364 (Last Update: 11.04.2024 19:33) - Products: Azure Site Recovery - Info: Microsoft Azure Site Recovery Elevation of Privilege Vulnerability || CVE-2024-21413 (Last Update: 11.04.2024 19:33) - Products: Microsoft Office 2019, Microsoft 365 Apps for Enterprise, Microsoft Office LTSC 2021, Microsoft Office 2016 - Info: Microsoft Outlook Remote Code Execution Vulnerability || CVE-2024-21401 (Last Update: 11.04.2024 19:33) - Products: Entra - Info: Microsoft Entra Jira Single-Sign-On Plugin Elevation of Privilege Vulnerability || CVE-2024-20758 (Last Update: 10.04.2024 11:49) - Products: Adobe Commerce - Info: [Adobe Cloud] RCE through frontend gift registry sharing || CVE-2023-24943 (Last Update: 09.04.2024 16:44) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 10 Version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability || CVE-2023-24941 (Last Update: 09.04.2024 16:44) - Products: Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Network File System Remote Code Execution Vulnerability || CVE-2023-44324 (Last Update: 15.03.2024 16:38) - Products: Adobe Framemaker Publishing Server - Info: ZDI-CAN-21344: Adobe FrameMaker Publishing Server Authentication Bypass Vulnerability || CVE-2024-20738 (Last Update: 15.03.2024 16:32) - Products: Adobe Framemaker Publishing Server - Info: Adobe FrameMaker Publishing Server Authentication Bypass Vulnerability | CVE-2023-44324 bypass || CVE-2023-21709 (Last Update: 12.03.2024 16:51) - Products: Microsoft Exchange Server 2019 Cumulative Update 12, Microsoft Exchange Server 2016 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 13 - Info: Microsoft Exchange Server Elevation of Privilege Vulnerability || CVE-2023-35385 (Last Update: 12.03.2024 16:51) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability || CVE-2023-36911 (Last Update: 12.03.2024 16:51) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability ||

In den Geschäftsführungsstrukturen vieler Unternehmen existiert er: Der Krisenstab. Er soll in Ausnahmesituationen für Struktur, Übersicht und rasche Entscheidungsfindung sorgen. Die Realität sieht jedoch oft anders aus. Viele Krisenstäbe scheinen trotz ihrer guten Absicht auf Probleme schlecht vorbereitet zu sein und funktionieren nicht so, wie sie sollten.

Doch warum ist das so? Diese Frage hat sich unser Geschäftsführer Jens Decker auch gestellt und geht hier auf einige der Hauptgründe näher ein.

Krise ist ein produktiver Zustand. Man muss ihr nur den Beigeschmack der Katastrophe nehmen.

Max Frisch (1911 – 1991)

Der theoretische Krisenstab.

Erschreckenderweise existieren viele Krisenstäbe lediglich auf dem Papier, oft sind sie nicht mehr als formale Protokolle mit einer dazugehörigen Namensliste. Diese Listen stellen zwar theoretisch verantwortliche Personen und ihre jeweiligen Rollen dar, sind jedoch häufig ohne substantielle Bedeutung für ein Unternehmen in einer Krisenlage. In der Praxis fehlt das operative Training, die diese Namen in ein funktionierendes und koordiniertes Team umwandelt. Besonders wenn kritische Situationen eintreten sind, welche rasche und effiziente Entscheidungen sowie Reaktionen erfordern, stellt sich häufig heraus, dass ein Krisenstab nicht eingespielt ist.

Die Besetzung: Reputation vs. Qualifikation.

In vielen Fällen ist die Zusammensetzung eines Krisenstabs das Ergebnis der Auslese von Individuen, die aufgrund ihrer vermeintlichen „Wichtigkeit“ oder hierarchischen Stellung innerhalb eines Unternehmens ausgewählt wurden. Oft sind es Geschäftsführer, Inhaber oder Mitglieder der Führungsebene, die diese Auslese durchführen, wobei sie in erster Linie auf die Position und den Status der Einzelpersonen innerhalb des Unternehmens achten. Dies kann jedoch problematisch sein, denn solche Selektionsprozesse tendieren dazu, die praktischen Anforderungen und Fähigkeiten, die für die effektive Bewältigung von Krisensituationen erforderlich sind, zu vernachlässigen.

Ein wesentliches Problem besteht darin, dass die ausgewählten Personen in Krisensituationen oftmals emotional getriebene Entscheidungen treffen. Sie sind möglicherweise zu stark in die betrieblichen Abläufe und die emotionalen Auswirkungen einer Krise involviert, was ihre Entscheidungsfähigkeit beeinträchtigen kann. Das Ergebnis sind ineffektive Krisenreaktionen, die mehr Schaden anrichten als verhindern und die die Bewältigung der Krisensituation unnötig erschweren.

Ein effektiver Krisenstab sollte jedoch nicht nur aufgrund von Positionen und Rangfolge innerhalb eines Unternehmens zusammengestellt werden. Vielmehr sollte er aus qualifizierten Personen bestehen, die sowohl die notwendigen Kenntnisse als auch die Fähigkeit zur rationalem Urteilsvermögen mitbringen, um in Krisenzeiten effektive Entscheidungen zu treffen. Es ist von entscheidender Bedeutung, dass die Mitglieder eines Krisenstabs die Fähigkeit haben, die emotionalen und persönlichen Aspekte einer Krisensituation zu erkennen und zu berücksichtigen, ohne dass diese ihre Entscheidungsprozesse übermäßig beeinflussen.

Es ist wichtig, dass die Auswahl eines Krisenstabes nicht nur auf der Grundlage von Hierarchie und Status erfolgt, sondern auch unter Berücksichtigung von Fachwissen, Erfahrung und der Fähigkeit zur rationalen Entscheidungsfindung. Nur dann kann ein Krisenstab effektiv agieren und den Anforderungen gerecht werden. So können die Mitglieder eines solchen Teams sowohl individuell als auch kollektiv auf die Herausforderungen reagieren, die Krisensituationen mit sich bringen, und Lösungen erarbeiten, die dazu beitragen, die negativen Auswirkungen auf das Unternehmen zu minimieren.

Mangel an Vorbereitung.

Es scheint paradox, doch die Realität zeigt, dass eine erstaunliche Anzahl von Krisenstäben sich nie gründlich mit ihrer tatsächlichen Rolle und Verantwortung in Krisenzeiten auseinandergesetzt hat. Anstatt sich mit der Entwicklung effektiver Strategien und Handlungspläne für den Krisenfall zu befassen, haben sie sich auf die alltäglichen Betriebsabläufe konzentriert und die Notwendigkeit der Krisenvorbereitung vernachlässigt. Diese Lücke in der Vorbereitung führt dazu, dass sie, wenn eine Krise tatsächlich eintritt, oftmals unvorbereitet und ratlos sind, ohne klare Richtlinien oder Pläne, an denen sie sich orientieren könnten.

Viele sind vertraut mit den Ablaufplänen, die Rauten und Vierecke enthalten und anzeigen, wer in bestimmten Notfallsituationen – wie einem Feuer oder einer Bombendrohung – kontaktiert werden soll. Doch solche Ablaufpläne sind oft sehr spezifisch und bieten keine umfassende Strategie für den Umgang mit Krisen. Sie liefern keine klare Beschreibung davon, wie es nach dem ersten Notfallkontakt weitergeht. Was passiert, wenn das Diagramm zu Ende ist? Wie geht es in den folgenden Stunden weiter? Wie hält man das Geschäft am Laufen, während man gleichzeitig auf die Krise reagiert?

Dies sind Fragen, auf die ein Krisenstab vorbereitet sein muss. Es reicht nicht aus, lediglich zu wissen, wer in einem Notfall zu kontaktieren ist. Es ist ebenso wichtig, einen klaren und detaillierten Plan zu haben, der nicht nur die unmittelbare Reaktion auf eine Krise, sondern auch die mittel- und langfristigen Maßnahmen, die ergriffen werden müssen, umfasst. Dieser Plan sollte klar definieren, welche Schritte zu unternehmen sind, um die Auswirkungen der Krise auf das Unternehmen zu minimieren und den Geschäftsbetrieb aufrechtzuerhalten.

Dazu gehört, dass ein Krisenstab im Voraus Strategien und Protokolle entwickelt, die auf verschiedene Arten von Krisen angewendet werden können. Dies bedeutet nicht nur die Identifizierung der einzelnen Rollen und Verantwortlichkeiten innerhalb des Stabs, sondern auch das Durchführen von Übungen und Simulationen, um die Wirksamkeit der Strategien zu überprüfen und zu verbessern. Eine gründliche und kontinuierliche Vorbereitung ist der Schlüssel zur Bewältigung von Krisen und zur Sicherstellung des anhaltenden Erfolgs des Unternehmens.

Nicht auf alle Krisen vorbereitet.

Ein wesentlicher Aspekt, der in der Vorbereitung vieler Krisenstäbe häufig vernachlässigt wird, ist die Auseinandersetzung mit modernen Gefahrenszenarien, wie beispielsweise Cyberangriffen. Historisch gesehen waren Krisenstäbe traditionell auf den Umgang mit klassischen, eher physischen Katastrophen ausgerichtet, wie Brände, Überschwemmungen oder Stromausfällen. Diese Art von Krisen, obwohl immer noch relevant und potenziell verheerend, spiegeln jedoch nicht das gesamte Spektrum der Herausforderungen wider, mit denen Unternehmen in der heutigen zunehmend digitalisierten Welt konfrontiert sind. Mit der raschen Digitalisierung und Vernetzung unserer Welt sind auch die potenziellen Krisenszenarien komplexer, vielfältiger und oft schwerer zu erkennen und zu handhaben geworden.

In einer Studie aus dem Jahr 2021 hat das Institut für Krisenforschung bereits gezeigt, dass schon damals die Mehrzahl der Krisen in Unternehmen auf die Technik und besonders Cyberangriffe zurückzuführen ist. Aktuellere Studien zeigen, dass diese Zahl sich in den letzen Jahren noch deutlich erhöht hat.

Die Langfassung der Krisenpräventionsumfrage 2021 (22 Seiten) ist in der Reihe „Arbeitspapier Krisennavigator“ (ISSN 1610-1855) erschienen. Eine Kurzfassung kann unter www.krisenstatistik.de abgerufen werden.

Datenquelle: Krisennavigator – Institut für Krisenforschung – Ein Spin-Off der Universität Kiel

Infolgedessen sind Krisenstäbe, die nicht auf diese neuen Gefahren vorbereitet sind, oftmals überfordert, wenn diese eintreten. Die Konfrontation mit Cyberangriffen oder anderen digitalen Bedrohungen erfordert spezielle Kenntnisse und Fähigkeiten, die über die traditionellen Krisenmanagementtechniken hinausgehen. Ohne eine angemessene Vorbereitung und Schulung in diesen Bereichen sind Krisenstäbe oft nicht in der Lage, richtig auf solche Szenarien zu reagieren, was die Unternehmen, die sie schützen sollen, anfälliger macht.

Darüber hinaus ist es nicht nur wichtig, dass Krisenstäbe auf die neuen, digitalen Gefahren vorbereitet sind, sondern auch, dass sie in der Lage sind, flexibel und schnell auf sich verändernde Bedingungen zu reagieren. Die digitale Welt verändert sich rasend schnell, und die Gefahren, die heute relevant sind, können morgen durch neue, unvorhergesehene Bedrohungen ersetzt werden. Daher ist es für einen Krisenstab unerlässlich, kontinuierlich auf dem neuesten Stand der Technik zu bleiben und regelmäßig seine Strategien und Protokolle zu überprüfen und anzupassen.

Insgesamt erfordert die effektive Vorbereitung und Leitung eines Krisenstabs in der heutigen Welt nicht nur ein Verständnis für klassische Krisenszenarien, sondern auch ein tiefgreifendes Wissen über die komplexen, digitalen Bedrohungen, denen Unternehmen heute gegenüberstehen. Nur so können Krisenstäbe ihrer Verantwortung gerecht werden, das Unternehmen zu schützen und zu leiten, wenn es am dringendsten benötigt wird.

Wann haben Sie zuletzt einen Krisenfall trainiert?

Eine grundlegende Maxime für jeden Krisenstab ist, regelmäßig zu trainieren und zu üben – eine Regel, die in vielen Fällen vernachlässigt wird. Ohne eine ständige Übung und Auffrischung ihrer Fähigkeiten und Kenntnisse, können die Mitglieder eines Krisenstabs ihre Aufgaben und Rollen nicht effizient ausführen. Bei fehlender Praxis besteht die Gefahr, dass im Ernstfall Prozesse nicht flüssig ablaufen, Entscheidungen verzögert werden und kostbare Zeit verloren geht.

In meiner beruflichen Laufbahn bin ich auf nur wenige Krisenstäbe gestoßen, die wirklich gut vorbereitet und effektiv in ihrer Arbeit waren. Ein Beispiel, das hervorsticht, ist der Krisenstab einer Fluggesellschaft. Airlines sind per Gesetz dazu verpflichtet, regelmäßige Krisentrainings durchzuführen und somit ist es nicht verwunderlich, dass sie oft besser auf Notfälle vorbereitet sind als Organisationen in anderen Branchen. Dieses Engagement für kontinuierliche Schulungen und Übungen hat sicherlich dazu beigetragen, ihre Reaktionsfähigkeit und Effizienz im Krisenmanagement zu verbessern. Allerdings fiel auch auf, dass dieser Krisenstab, so gut er auch auf klassische Katastrophen im Luftfahrtbereich vorbereitet war, nur wenig Vorbereitung auf moderne Gefahren wie Cyberangriffe zeigte.

Diese Beobachtung unterstreicht die Notwendigkeit, dass Krisenstäbe ihre Schulungen und Übungen an die sich ständig verändernde Bedrohungslage anpassen.

Fazit

Zusammenfassend lässt sich sagen, dass Krisenstäbe nur dann effektiv arbeiten können, wenn sie real existieren, richtig besetzt sind, gut vorbereitet sind, auf alle Arten von Krisen eingestellt sind und regelmäßig trainieren. Es ist Zeit, dass wir diese Punkte ernst nehmen und unsere Krisenstäbe entsprechend aufstellen und trainieren. Nur so können sie ihrer Aufgabe gerecht werden und im Ernstfall effektiv handeln.