20 minute read
Fokus Sicherheit
Mit der Digitalisierung nehmen auch Cyberangriffe erheblich zu. Gemäss Schätzungen von Experten gibt es alle 39 Sekunden einen solchen Angriff. Die Corona-Pandemie hat dieses Problem noch verstärkt. Im LEADERInterview erklärt Aikaterini Mitrokotsa, Professorin für Cyber Security an der Universität St.Gallen, wie Cyberkriminelle vorgehen und wie sich Unternehmen schützen können.
Aikaterini Mitrokotsa, wie oft werden Unternehmen weltweit und in der Schweiz Opfer von Cyberangriffen?
Genaue Zahlen sind schwierig zu erhalten, da Firmen aufgrund der Auswirkungen, die diese Angriffe auf ihr Image haben könnten, oft zögern, sie zu melden. Einige repräsentative Statistiken belegen, dass 2019 über 43 Prozent der Opfer von Datenschutzverletzungen kleine Unternehmen waren. Gemäss dem Nationalen Zentrum für Computer- und Netzsicherheit (NCSC) in der Schweiz wurden in der ersten Hälfte des Jahres 2020 bei der Schweizer Kontaktstelle für Computer- und Netzsicherheit 5152 Berichte über Cyberattacken registriert. Die meisten dieser Berichte bezogen sich jedoch auf simple Betrugsversuche (z. B. E-Mails mit Vorauszahlungs- oder Paketabonnementsbetrug), die häufig zum Abfangen von Kreditkartendaten verwendet werden, und seltener auf komplexere Ansinnen.
In der Schweiz wurden in der ersten Jahreshälfte 5 152 Berichte über Cyberattacken registriert.
Immer häufiger kommt auch Schadsoftware zum Einsatz, oder?
Ja, es gab eine beträchtliche Anzahl von Schadensprogramm-Vorfällen (232), wobei einige davon Verschlüsselungssoftware (Ransomware) betrafen. Obwohl die Zahl der Verschlüsselungssoftware-Angriffe im Vergleich zur Zahl der Betrugsversuche gering ist, ist der potenzielle Schaden weitaus grösser. In der Liste der häufigsten Vorfälle im Bereich Cybersicherheit steht Verschlüsselungssoftware inzwischen an erster Stelle, im Vergleich zum Vorjahr haben sie sich weltweit vervierfacht. Mit ein Grund dafür ist, dass Cyber-Angreifer dies zunehmend als die einfachste Möglichkeit betrachten, Geld zu verdienen. Sobald eine Verschlüsselungssoftware erstellt wurde, kann sie zur Infizierung sehr vieler Ziele verwendet werden.
Welchen Schaden kann eine solche Verschlüsselungssoftware anrichten?
Sie können eingesetzt werden, um das gesamte Netzwerk einer Organisation zu sperren und eine Zahlung im Austausch für den Entschlüsselungspass zu verlangen. Diese Verschlüsselungsangriffe fordern in der Regel sechsstellige Summen, und da die Überweisung in Bitcoin erfolgt, ist es für die Angreifer recht einfach, sie ohne Offenlegung zu waschen. Verschlüsselungsangriffe sind oft erfolgreich, weil Organisationen das geforderte Lösegeld zahlen, da sie der Ansicht sind, dass dies der einfachste Weg sei, die Funktionsfähigkeit ihres Netzwerks wiederherzustellen – obwohl die Behörden davor warnen, den Forderungen der Erpresser nachzugeben. In der Schweiz wurden dem NCSC für den Zeitraum Januar bis Juni 2020 42 Fälle von Verschlüsselungsangriffen gemeldet.
Das bekannteste Opfer in der Ostschweiz ist der Rollmaterialhersteller Stadler Rail ...
… der Anfang Mai mit Verschlüsselungssoftware (Ransomware) angegriffen und mit der Drohung erpresst wurde, die während des Angriffs gestohlenen Daten zu veröffentlichen, wenn er nicht 5,8 Millionen Franken Lösegeld zahle, ja. Die bei solchen Lösegeld-Angriffen verlangten Beträge schwanken stark – zwischen Millionen von Franken und kleineren Beträgen, z. B. Tausende oder Hunderte von Franken.
In Zeiten von Corona sind mehr Menschen online unterwegs. Haben sich in dieser Zeit auch die Cyberattacken erhöht?
Auf jeden Fall; die Pandemie hat die Digitalisierung unseres Alltags stark vorangetrieben. Viele Unternehmen haben
Aikaterini Mitrokotsa:
Finanziell lohnenswerte Ziele bevorzugt.
swiss safety center ISO 22301
certified system
Nach und in Krisen im Geschäft bleiben
Am besten bereitet man sich in ruhigen Zeiten auf Notfälle und Störungen vor. Es ist jedoch nie zu spät, besser zu werden. Business Continuity betrifft alle. Methodisches Vorgehen bringt die Organisation systematisch weiter.
ISO 22301:2019 – Business Continuity Management zeigt, woran man denken muss. Es ist gut zu wissen, wo man steht. Wir haben dazu eine Checkliste erarbeitet, die Sie ohne Kosten benutzen können: www.safetycenter.ch/checklisten Nutzen Sie die Checkliste für eine Standortbestimmung. Ihr Gewinn: Sie entdecken Lücken, die Sie mit geeigneten Massnahmen schliessen können und sind damit besser für Störungsfälle gerüstet.
Wer seine Glaubwürdigkeit stärken und Vertrauen gewinnen will, kann sich nach ISO 22301 – BCM zertifizieren lassen.
das Homeoffice-Modell eingeführt, ohne jedoch angemessene Sicherheitsmassnahmen zu implementieren. So haben sie ihre Netzwerke anfällig für Cyber-Angriffe gemacht. Angreifer waren in der Lage, anfällige Fernzugriffslösungen zu identifizieren und vorhandene Schwachstellen oder unzureichend geschützte Implementierungen von RDP-Lösungen (Remote Desktop Protocol) und VPN-Servern zu finden, um in Unternehmensnetzwerke einzudringen.
Viele Anwender benutzten zum ersten Mal Telekonferenz- und Kollaborationssoftware und waren mit den von solchen Plattformen gesendeten Nachrichten nicht vertraut.
Absolut. Darüber hinaus wurden fast alle gängigen Schadensprogramme unter dem Vorwand von Covid-19 verbreitet. So haben Angreifer beispielsweise versucht, heimlich Schadenssoftware auf Computern von Nutzern zu installieren indem sie versprachen, Informationen über das Virus zur Verfügung zu stellen. Oder sie haben versucht, so Nutzer zur Preisgabe persönlicher Informationen zu verleiten. Die häufigste Art sind E-Mails mit einem bösartigen Anhang oder einem Link zu einer infizierten Website.
Und bei solchen Angriffen werden auch immer wieder «prominente» Absende-Adressen verwendet, oder?
Das ist richtig. So gab es beispielsweise im März 2020 viele Schadsoftware-E-Mails, die speziell auf die Schweiz abzielten, wobei die Abkürzung BAG als Absender verwendet wurde. Die E-Mails wurden über die kenianische Botschaft in Paris verschickt, die gehackt worden war, während die angehängte Excel-Datei einen Trojaner enthielt, der Tastatureingaben aufzeichnen und Screenshots erstellen kann. Ein weiteres Beispiel für Covid-19-Opportunismus ist die anfänglich begrenzte Verfügbarkeit von persönlicher Schutzausrüstung wie Gesichtsmasken und Desinfektionsmittel, was den Angreifern die Möglichkeit gab, mit entsprechenden Angeboten auf sich aufmerksam zu machen. Angesichts der zunehmenden Paketzustellung in diesen Zeiten wurden zudem E-Mails, die unter dem Namen von Zustellunternehmen wie DHL, Fed Ex und UPS verschickt wurden, als Mittel für Cyber-Angriffe genutzt. Es wurden sogar Kopien von offiziellen Tracing-Apps entdeckt, die mit Malware infiziert waren. In den meisten Fällen wurden diese Covid-19-Köder zur Verbreitung von Spionage-Software verwendet, die Informationen stehlen konnte.
Gibt es Unternehmen und Branchen, die öfters angegriffen werden als andere?
Angreifer bevorzugen in der Regel finanziell lohnenswerte Ziele. Es ist zudem bekannt, dass Spitäler bereits auf den Ziellisten von Cyberkriminellen standen und besonders von Verschlüsselungssoftware (Ransomware) betroffen waren. Die Pandemie hat zu einer erheblichen Zunahme von Cyberangriffen auf Einrichtungen des Gesundheitswesens und der medizinischen Forschung sowie auf medizinisches Personal und internationale öffentliche Gesundheitsorganisationen geführt.
Was muss ein Unternehmen alles machen, um seine Daten zu schützen?
Heimarbeit erhöht das Risiko von Cyberattacken, da häufig private IT-Infrastrukturen, z. B. private Computer, genutzt werden, die oft weniger gut geschützt sind als die Unternehmensinfrastrukturen. Eine der wichtigsten Aufgaben eines Unternehmens ist die Durchführung von Sicher-
heitskampagnen zur Information der Mitarbeiter sowie die Einrichtung von Berichtskanälen zu den IT-Sicherheitsbeauftragten des Unternehmens. Darüber hinaus müssen alle Fernzugriffe (z. B. RDP, VPN) durch Zwei-Faktor-Authentifizierung geschützt werden, während es die Verwendung von Nicht-Standard-Ports für die Verbindung den Angreifern erschwert, diese zu finden. Zudem ist es wichtig, eine Passwortpolitik einzuführen, welche die Auswahl einfacher Passwörter verhindert und nur bestimmte IP-Adressen zulässt. Darüber hinaus sollten Software-Updates installiert werden, sobald sie veröffentlicht werden, und die Sicherheitsrichtlinien sollten auf dem neuesten Stand sein. Ebenfalls ist es wichtig, die Log-Dateien auf fehlgeschlagene und erfolgreiche Anmeldungen zu überwachen.
Gibt es einen hundertprozentigen Schutz?
Fast kein Unternehmen ist in der Lage, jede Cyberattacke abzuwehren. Daher ist es wichtig, Reaktions- und Wiederherstellungsmechanismen aufzubauen, um die Auswirkungen eines Angriffs zu mildern. Unternehmen sollten über vollständige Datensicherungspraktiken verfügen und den Datenwiederherstellungsprozess testen. Es müssen konkrete Verfahren für das Risikomanagement, die Kommunikation und die Aufrechterhaltung des Geschäftsbetriebs sowie die Bestimmung der Wirksamkeit dieser Konzepte durch regelmässige Tests eingeführt werden.
Es gibt Schweizer Unternehmen, die ihre Daten im Ausland sichern, weil es oft etwas günstiger ist als in der Schweiz. Ist das eine gute Idee?
Im kürzlich veröffentlichten Bericht «Data Danger Zones» wurden über 170 Nationen nach ihren Fähigkeiten bewertet, digitale Informationen sicher, privat und geschützt aufzubewahren. Dieser internationale Benchmark untersucht ein breites Spektrum wichtiger Sicherheitsfaktoren, die von der Qualität der digitalen Infrastruktur über politische Instabilität bis hin zum potenziellen Risiko von Naturkatastrophen reichen. Sie hat die Schweiz als die am wenigsten risikobehaftete Nation für die Datenspeicherung mit einem potenziellen Risikowert von 1,6% identifiziert, gefolgt von Singapur (mit einem Risikowert von 1,9%) und Island (2,3%). Die risikoreichste Nation für die Datenspeicherung ist Somalia mit einem Risikowert von 92,9%. In jedem Fall müssen wir uns der Datenschutzbestimmungen bewusst sein, wenn sich jemand entscheidet, Daten in einem anderen Land zu speichern.
Text: Patrick Stämpfli Bild: Marlies Thurnheer
Entwicklungspotenziale für die Praxis
Nach zwei Ausbildungen – Hotellerie und Banking – führte Gaby B. Müller (*1965) die beiden Komponenten zusammen und arbeitet seit 2003 als Eventmanagerin bei der St.Galler Kantonalbank. Seit 2015 führt Müller zudem zusammen mit ihrem Mann Martin die Ausbildungsstätte «Savvy Ranch Education» in Uttwil, die pferdegestütztes Coaching für Teams und Individuen anbietet.
Gaby B. Müller, was reizt Sie an Ihrer unternehmerischen Tätigkeit?
Mit und für Menschen zu arbeiten, ist unendlich vielfältig und jeden Tag absolut spannend. Die Zusammenarbeit zwischen Mensch und Tier in der Erwachsenenbildung fördert ungeahnte Schätze zutage. Zusammen mit den Pferden arbeiten wir an Themen wie Führungs- und Sozialkompetenz, Kommunikation und Konfliktmanagement. Die Schwerpunkte vereinbare ich individuell mit den Firmen und begleite dann an den Seminartagen die Teilnehmer als Coach. In unseren Angeboten verbinden wir Theorie, Praxis, Coaching und Reflexion. Damit stellen wir sicher, dass sich Entwicklungspotenziale in die Praxis übertragen können.
Auf welchen Meilenstein in Ihrer beruflichen Laufbahn sind Sie besonders stolz?
«Pferdegestütztes Coaching» hat sich in der Ostschweiz leider noch nicht etabliert; die Gewinnung von Neukunden ist Knochenarbeit. Auch Covid-19 hat unserer Unternehmung stark zugesetzt – aber wir sind stolz, dass es die Savvy Ranch Education dank schlanker Strukturen immer noch gibt. Stolz bin ich auch auf meine innere Stärke, die ich dank dem pferdegestützten Coaching erlangt habe. Ich lebe ein selbstbestimmtes, erfülltes Leben als Eventmanagerin bei der SGKB sowie als Mitinhaberin der Savvy Ranch Education.
Welchen Vorteil bietet für Sie das Netzwerk «Leaderinnen Ostschweiz»?
Sich mit Frauen über Hürden, aber auch über Erfolge auszutauschen, ist für mich eine wichtige Ergänzung zu den gemischten Netzwerken. Mein eigenes Unternehmen bei den Leaderinnen Ostschweiz sichtbar zu machen, hat mir zudem schon Aufträge eingebracht. Ich geniesse die Treffen aber auch einfach für den privaten und persönlichen Austausch unter Frauen.
Unternehmenssoftware: Make Or Buy
Geht es um die Einführung neuer Unternehmenssoftware, wird oft reflexartig zu den bekannten Standardlösungen gegriffen. Dabei kann es durchaus sinnvoll sein, die Aufgabenstellung mit etwas lösungsoffenerem Blick zu untersuchen.
Standardsoftware versus Individualsoftware
Zu Beginn sollen hier die beiden Begriffe «Standardsoftware» und «Individualsoftware» definiert werden. Wikipedia definiert Standardsoftware wie folgt: «Als Standardsoftware werden Softwaresysteme verstanden, die einen klar definierten Anwendungsbereich abdecken und als vorgefertigte Produkte erworben werden können. » Individualsoftware hingegen wird folgendermassen definiert: «Individualsoftware (auch Individuallösung) ist ein Begriff der Informationstechnik, welcher eine individuell, d. h. für einen bestimmten Anwender angefertigte Anwendungssoftware bezeichnet. » Auf den ersten Blick entsprechen die Vorteile der Standardsoftware genau den Nachteilen der Individualsoftware und umgekehrt.
Standardsoftware
Als Hauptvorteil von Standardsoftware gegenüber Individualsoftware werden oft die geringeren Anschaffungskosten für eine Standardsoftware angeführt. Standardsoftware steht im allgemeinen auch rascher betriebsbereit zur Verfügung als Individualsoftware.
Weitere Vorteile von Standardsoftware können in den folgenden Bereichen liegen:
• Ausführliche Dokumentation ist vorhanden • Programme sind vielfach erprobt
Standardprogramme haben aber auch einige gewichtige Nachteile, die die Hauptvorteile oft stark relativieren.
• Die jährlichen Lizenz- und Update-Kosten überschreiten die reinen Beschaffungskosten bereits nach kurzer Zeit • Die Kosten und Zeitaufwendungen für Anpassungen sind oft beträchtlich • Individuelle Anpassungen sind nicht updatefähig • Standardprogramme beinhalten meist mehr unnötige
Funktionalität als benötigte. Oft würde für die eigenen
Aufgaben ein Kleinwagen genügen. Von den Verkäufern der Standardsoftware bekommt man eine Limousine versprochen. In Wirklichkeit muss man dann aber täglich mit einem Reisebus mit Anhänger zum Einkaufen fahren. Die langfristigen Folgen (Kosten, Bearbeitungszeit) dieser Überkomplexität werden oft unterschätzt. Man muss den Updatezyklen des Herstellers folgen, auch wenn diese nicht zum eigenen Geschäftsgang passen. Grosse Standardprogramme verwenden oft veraltete Technologien. Oft müssen Daten eingepflegt werden, die die Programme zum Funktionieren benötigen, die in den eigenen Prozessen gar nicht benötigt würden. Eigene Prozesse müssen an die Programme angepasst werden.
Individualsoftware
Mitunter steht man vor der Situation, dass nur eine Individualsoftware eine bestimmte Aufgabenstellung lösen kann. Das ist immer dann der Fall, wenn keine Standardsoftware dafür existiert. Ein häufiger und typischer Fall ist Software, die ein bestimmtes Produkt bemisst, steuert, berechnet oder konfiguriert. In diesem Fall führt kein Weg an einer Individualentwicklung vorbei. Soll eine Software für eine Aufgabenstellung beschafft werden, die eigentlich eine Standardaufgabe in vielen Unternehmen ist, so kann eine Individualentwicklung durchaus ebenfalls Sinn ergeben. Hier sollen nicht die Projektrisiken einer Individualentwicklung betrachtet werden, da sich diese nicht wesentlich von den Risiken eines Projekts zur Einführung einer Standardsoftware unterscheiden. Das Ganze soll aus Sicht der Potentiale betrachtet werden, die Individualentwicklungen für Unternehmen bereithalten. Immer wenn eine Firma einen Wettbewerbsvorteil aus einer Differenzierung vom Standard erreichen will oder wenn dynamische Geschäftsbereiche mit Software unterstützt werden sollen, ist eine Individualentwicklung oft ein kluger Weg. Wenn auch noch das Wertschöpfungspotenzial mit berücksichtig wird, so kann eine Quadranten-Analyse helfen, die richtige Vorgehensweise zu finden:
Geschäftsbereiche die einen Wettbewerbsvorteil durch eine Differenzierung vom Standard ermöglichen und dadurch gleichzeitig eine hohe Wertschöpfung oder Wertschöpfungsverbesserung erlauben, sind die klassischen Kandidaten für den Einsatz von Individualsoftware. Standardprogramme führen zu Standardunternehmen. Andererseits sind Geschäftsbereiche, die keine Differenzierung erlauben (z.B. wegen gesetzlicher Vorgaben) und auch keine grosse Wertschöpfung haben, gut mit Standardprogrammen bedient. Ein klassisches Beispiel hierfür ist eine Finanzbuchhaltung.
Individualsoftware hat noch weitere Vorteile:
• Der Kunde bestimmt den Funktionsumfang • Die Kosten im Betrieb sind meist niedriger als bei Standardpaketen, da die Lizenzgebühren wegfallen. Das kann die meist höheren Initialkosten rasch relativieren. • Der Zeitpunkt von Updates wird vom Kunden bestimmt. • Flexibles und rasches Reagieren auf sich ändernde
Anforderungen des Geschäfts ist möglich. • Eigene Ideen sind geschützt und werden nicht an alle
Mitbewerber weitergetragen • Modernste Technologien könne eingesetzt werden
Best Of Breed
Es hat sich heute der Begriff «Best of Breed» dafür eingebürgert, wenn für einzelne Unternehmensbereiche die jeweils am besten geeigneten Programme unterschiedlicher Hersteller sowie Individualentwicklungen eingesetzt werden. Dies steht im Kontrast zum Ansatz, das riesige und überkomplexe Gesamtpaket eines einzigen Herstellers einzusetzen. Als Herausforderungen dieses heterogenen Ansatzes sind insbesondere die Schnittstellen zwischen den verschiedenen Systemen zu sehen. Durch eine geschickte Wahl der Systemgrenzen kann das aber gut gesteuert und im Griff behalten werden. Ein bewährter Ansatz ist hier, auf Standardprogramme nur eines oder weniger untereinander kompatibler Anbieter zu setzen und die Bereiche mit hohem Differenzierungsbedarf mit Individualsoftware abzudecken.
Schlussfolgerung
Bei jedem Projekt, das die Unterstützung eines Unternehmensbereichs mit Software vorsieht, ist es gute Praxis, sich die Frage «Make or Buy» zu stellen. Dies zu unterlassen, ist fahrlässig. Individualsoftware ist nicht nur mit Projektrisiken behaftet, sondern ist oft der richtige und einzige Weg um die Potenziale des eigenen Unternehmens voll zu nutzen und sich den entscheidenden Vorteil gegenüber dem Wettbewerb zu verschaffen. Die grosse Falle beim Einsatz Standardprogrammen besteht darin, das Schlechteste der beiden Welten zu bekommen: Eine stark an die eigenen Bedürfnisse angepasste Standardsoftware, die sowohl bei der Einführung als auch bei jedem Update enorme Kosten nach sich zieht.
Creasoft AG
Weiherring 115, FL 9493 Mauren T +423 375 8200, F +423 375 8201 www.creasoft.li
«Hinschauen, entscheiden und führen»
Bettina Zimmermann ist Expertin für Krisenmanagement. Die CEO der Wiler GU Sicherheit & Partner AG hat verschiedene Firmen durch die Corona-Krise begleitet und tut es noch. Sie weiss, womit Firmen zu kämpfen haben, welche Auswirkungen die Pandemie auf Unternehmen hat, welches die grössten Herausforderungen sind und wie mit gezieltem Krisenmanagement die richtigen Entscheide und Massnahmen getroffen werden.
Bettina Zimmermann, wie haben sich die Ostschweizer Unternehmen auf Corona vorbereitet?
Als im Januar die ersten Meldungen über ein neuartiges Virus in den Medien kamen, haben wir mit einem regelmässigen Monitoring angefangen. Anfang Februar haben wir dann unsere Kunden darauf hingewiesen, ihre Pandemiepläne zu überprüfen – und wer keine hatte, umgehend Pandemiepläne zu erstellen. Uns war klar, dass da etwas auf uns zukommt, das wir noch nicht einzuschätzen konnten. Es gab Firmen, die fanden das übertrieben, andere nahmen es frühzeitig ernst, haben hingeschaut und Vorbereitungen getroffen. Das heisst, sie haben im Unternehmen u. a. Verzichtsplanungen durchgeführt, den Minimalbetrieb definiert, Teams gesplittet oder ins Homeoffice geschickt, der internen Kommunikation das nötige Gewicht verliehen, Schutzkonzepte angepasst oder Produktionsabläufe umgestellt. Als der Bundesrat am 13. März dann den Lockdown verkündete, hat das natürlich Unsicherheiten ausgelöst. Es hatte ja kaum jemand Erfahrung mit Schutzkonzepten.
Sie haben schon über hundert Firmen in Krisensituationen begleitet. Was war an Corona so besonders?
Es ist eine Krise, die uns alle und in allen Bereichen trifft: jung, alt, angestellt und selbstständig, beruflich und privat. Und Corona funktioniert wie eine Lupe: Alles, was bis anhin in Geschäftsleitungen und Verwaltungsräten gut lief, läuft jetzt noch besser. Alles, was bis jetzt schlecht lief – unliebsame Themen, die man nicht angehen wollte, Konflikte und Grabenkämpfe oder ungeklärte Zuständigkeiten und Kompetenzgerangel –, das kam nun gnadenlos an die Oberfläche. Die Corona-Krise bringt Führungsdefizite genauso ans Licht wie Management-Glanzleistungen. Leuchttürme und Nieten kristallisieren sich ziemlich rasch heraus. An und für sich ist das in Krisen nichts Neues. Dieses Phänomen begegnet mir als Krisenmanagerin immer wieder, aber so schonungslos wie jetzt habe ich das noch nicht erlebt.
Haben die Unternehmen eigentlich aus der «ersten Welle» im Frühjahr gelernt?
Viele haben unterdessen ihre Hausaufgaben gemacht. Das heisst, sie haben sich mit den Erkenntnissen auseinandergesetzt und ihre firmeninternen Abläufe entsprechen angepasst und optimiert. Eine der grossen Gefahren für die zweite Welle besteht aus einem «Massenausfall» von Mitarbeitern, weil alle in Quarantäne müssen. So kann es zu kritischen Betriebsunterbrüchen kommen.
Was bedeutet das für mich als CEO, was sollte ich unternehmen, damit es meiner Firma nicht so geht?
Hinschauen, entscheiden und führen. Die Pandemie hat vielen Betrieben in aller Deutlichkeit aufgezeigt, wo sie verletzlich sind. Gerade auch deshalb sollte man sich mit den Firmenrisiken auseinandersetzen und sich entsprechend auf Krisen vorbereiten. Diejenigen, die das getan haben, waren eindeutig besser dran. Und zu einem umsichtigen Krisenmanagement gehört auch, dass man sich mit dem Worst Case auseinandersetzt. Denn was uns in nächster Zeit erwartet, ist eine «Stop & Go»-Zeit: Je nach Verlauf der Covid-Neuansteckungen werden die Massnahmen verschärft oder gelockert. Das hat Auswirkungen auf die Unternehmensführung. Sich mit dem schlimmstmöglichen Ereignis auseinanderzusetzen, macht Sie bereit für jede Situation. Sie sind dann wirklich vorbereitet, haben Optionen durchdacht und die richtigen Vorarbeiten getroffen.
Und was erwarten Sie von einem Verwaltungsrat?
Es braucht vielerorts ein neues, erweitertes Bewusstsein in Verwaltungsräten. Betriebswirtschaftliches und rechtliches Wissen allein wird nicht mehr reichen. Die Welt und alles, was sich darin bewegt, wird komplexer – in sachlicher und
Bettina Zimmermann:
Das Zepter in der Hand behalten.
emotionaler Hinsicht. Es braucht Verwaltungsräte mit einer ernsthaften Affinität zu Risiken, einem ausgeprägten Krisensensorium, der Fähigkeit, sich mit möglichen Szenarien und den dazugehörigen Eventualplanungen auseinanderzusetzen und anspruchsvolle Themen kommunikativ adäquat umzusetzen. Es braucht Verwaltungsräte, die in der Lage sind, Ratio und Emotion zu verbinden. Nötig ist eine neue Diversität in Verwaltungsräten. Es braucht definitiv keine Mandatesammler und -jäger mehr, die sich in Krisen nicht voll und ganz für das Unternehmen einsetzen.
Was empfehlen Sie den Unternehmen bezüglich Krisenmanagement?
Der erste Schritt ist die Auseinandersetzung mit möglichen Risiken und Szenarien, die auf das Unternehmen zukommen könnten. Hinschauen, nicht wegschauen, lautet die Devise. Die Kunst in Krisen ist, mögliche Probleme zu erkennen, richtig zu bewerten, Prioritäten zu setzen und nicht zuletzt den Mut aufzubringen, diese zu benennen und Entscheidungen zu treffen. Eine Krise muss stets aus verschiedenen Blickwinkeln und ganzheitlich betrachtet werden. Zu einem wirksamen Krisenmanagement gehören drei Hauptkomponenten: Organisation (Krisenstab), Infrastruktur (Führungsraum) und Kenntnisse der Führungsprozesse. Und es braucht eine interne und externe Krisenkommunikation, die auf das Krisenmanagement abgestützt ist. Mit dieser Vorbereitung ist man im Krisenfall kein Spielball der Ereignisse, sondern behält das Zepter in der Hand.
Wann lohnt sich der Beizug eines externen Spezialisten?
Wenn das Unternehmen vor einem Reputationsverlust steht oder einen finanziellen Schaden erleiden könnte, dann lohnt sich der Beizug eines einsatzerfahrenen Krisenmanagers. Dieser Profi weiss, wie vorgegangen werden muss, damit die Firma möglichst keine Einbusse erleidet. Der Profi ist auch in der Lage, die Krisenkommunikation auf das Krisenmanagement abzustimmen – und ein erfahrener Krisenmanager weiss auch, dass eine Krise nicht mit Kommunikation alleine zu bewältigen ist.
Und wie können wir ein «persönliches» Krisenmanagement durchführen, sprich uns selbst gegen psychische Folgen von Corona wappnen?
Den Blick für all das Gute, das wir immer noch haben, nicht verlieren! Sich auch an kleinen Dingen freuen und für Menschen da sein, die es jetzt besonders nötig haben.
Text: Stephan Ziegler Bild: Marlies Thurnheer
Das EichhörnchenPrinzip
Sie waren wieder fleissig: Die Eichhörnchen haben ihren Wintervorrat gesammelt und die Nüsse und Samen an unterschiedlichen Orten im Wald verscharrt. In guten Zeiten sammeln und sich für magere Tage rüsten: Das gilt auch bei der Vorsorge.
Was die kleinen Nager machen, ist nichts anderes als vorausschauendes Sparen und Risikostreuung. Auf diesem Prinzip gründet auch unser Vorsorgesystem mit den drei Säulen. So gilt es für die Berufstätigen frühzeitig zu sparen und vorzusorgen, um danach in der Pension ein finanziell gesichertes Leben zu geniessen. Oft reichen aber die AHV und das Pensionskassenobligatorium nicht aus, um den gewohnten Lebensstandard zu decken. Deshalb braucht es weitere «Vorratsorte». Optionen gibt es vor allem in der 2. und 3. Säule.
Der Gestaltungsspielraum für Firmen und Versicherte ist in der 2. Säule weitaus am grössten. Finanzierung und Leistung lassen sich mittels Reglementen und Plänen gestalten. Nicht vorgängig regeln lassen sich hingegen die Renditen an den Kapitalmärkten. Die Pensionskasse hat bei der Wahl des Rendite-Risiko-Profils die Bedürfnisse ihrer Rentner und ihrer Versicherten – ob jung oder alt – zu berücksichtigen. Dieses Kollektivsparen basiert auf Solidarität und Sicherheit für die Gesamtheit und macht in einer Basislösung durchaus Sinn.
Für innovative und dynamische Unternehmungen bieten jedoch überobligatorische Lösungen grosse Freiheiten bezüglich Beiträgen, Leistungen und Anlagestrategien. Der Versicherte kann beispielsweise die Anlagestrategie für sein Vorsorgevermögen mit seinen persönlichen Präferenzen und seinem Privatvermögen in Einklang bringen. Mit freiwilligen Einkäufen lässt sich das Altersguthaben erhöhen, die Pensionierung allenfalls vorziehen und die Steuerbelastung optimieren. Die auf dem Vermögen erzielte Rendite kommt vollumfänglich dem Versicherten zu.
Erwiesenermassen findet das Eichhörnchen nicht alle versteckten Nüsse wieder. Das droht bei der Vorsorge zum Glück nicht. Ich empfehle lediglich, das Vorsorgevermögen in einen obligatorischen und einen überobligatorischen Teil zu splitten. Diese beiden Teile sollen an verschiedenen Orten «gelagert» werden. Die Bewirtschaftung des obligatorischen Vermögens hat in engen gesetzlichen Bandbreiten zu erfolgen. Hingegen bleibt für den überobligatorischen Teil viel Spielraum für den Versicherten und die Unternehmung wird zu einem attraktiven Arbeitgeber.
Mit Sicherheit erfolgreich
Die GU Sicherheit & Partner AG aus Wil ist ein neutrales Beratungsunternehmen für Krisen-, Risiko- und Bedrohungsmanagement, für Krisenkommunikation und -bewältigung, für BCM und Sicherheitskonzepte. Ihr «Kompetenzzentrum Krisenmanagement» in Ermatingen bietet zudem praxisbezogene Krisenmanagementseminare für oberste Führungskräfte und Entscheider an.
Bettina Zimmermann ist CEO und Mitinhaberin der GU Sicherheit & Partner AG. Sie berät seit über zwölf Jahren Firmen und Blaulichtorganisationen.
Schäden vermeiden oder eindämmen
Als praxiserfahrene Spezialisten unterstützen wir Unternehmen, Entscheider und Führungskräfte im Krisenfall – rund um die Uhr. Gemeinsam finden wir vor Ort konkrete Lösungen und nachhaltige Strategien und helfen dabei, Schäden zu vermeiden oder einzudämmen. Damit eine Krise erst gar nicht entsteht oder optimal aufgefangen werden kann, bauen wir bedarfsgerechte firmeninterne Krisenorganisationen auf. Mit einer individuellen Schulung trainieren wir Ihren Krisenstab und überprüfen mit einer Übung und reellen Krisenszenarien den Ausbildungsstand. Ausserdem begleiten und beraten wir Unternehmen, Organisationen und die öffentliche Hand bei Risikobeurteilung und in sämtlichen Sicherheitsfragen.
Unterstützung in der Krise, wenn nötig rund um die Uhr
In einer Krise sind Sie plötzlich an allen Ecken und Enden gefordert: Betriebsunterbrechung, Produktrückruf, Unfälle mit Todesfolge, Datenmissbrauch, Cyberangriff, Umweltschäden, Fehlleistungen von Führungskräften etc. verlangen nach einer raschen Beurteilung, nach Entscheidungen und Massnahmen. Auch Medien, Öffentlichkeit, Mitarbeiter und andere Ansprechpartner erwarten rasche Antworten. In solchen Situationen sind wir innert kürzester Zeit telefonisch oder vor Ort mit einem Profi oder wenn nötig mit einem Profi-Team – bei Bedarf auch rund um die Uhr – für Sie da und unterstützen Sie bei der Krisenbewältigung.
GU Sicherheit & Partner AG
Florastrasse 1, CH-9500 Wil +41 71 913 27 66 info@gu-sicherheit.ch www.gu-sicherheit.ch
Krisenmanagementseminare für Führungskräfte
Welche Massnahmen sollen getroffen werden, um ein Unternehmen möglichst unbeschadet aus einer Krise zu führen? Dafür braucht es Managemententscheide, die entsprechend kommuniziert werden – es braucht also Krisenmanagement und Krisenkommunikation. Unternehmen und ihre Kader sollten sich mit dem Thema Krisenmanagement frühzeitig auseinandersetzen – zum Beispiel mit den diesbezüglichen Seminaren des Kompetenzzentrums Krisenmanagement im Lilienberg-Unternehmerforum in Ermatingen.
LEADER-Leser erhalten Rabatt
Unsere Ausbildungen richten sich an Verwaltungsräte, CEO, Geschäftsleitungsmitglieder und Kader. Unser Führungsteam setzt sich aus ausgewiesenen Experten mit jahrzehntelanger Kriseneinsatzerfahrung zusammen. Das nächste Seminar «Führen und Entschieden in Krisen» findet am 8./9. April 2021 statt. Mehr Informationen finden Sie unter krisen-kompetenz.ch. LEADER-Leser erhalten bei Anmeldung bis zum 31.12. 2020 mit dem Stichwort «Leader» 15 Prozent Rabatt.
Seit Beginn der Coronakrise bedienen wir KMU mit unserem «Covid-19-Lagebulletin für Unternehmen». Sie finden es auf gu-sicherheit.ch/covid-19 oder können es
unter info@gu-sicherheit.ch abonnieren.
Kompetenzzentrum Krisenmanagement
Arenenbergstrasse 15, CH-8272 Ermatingen +41 71 913 27 66 info@krisen-kompetenz.ch www.krisen-kompetenz.ch