Nicht jeder kriminelle Angriff lässt sich verhindern. Umso wichtiger ist ein funktionierendes Notfallmanagement, gewissermaßen eine Lebensversicherung für den Betrieb. Bei vielen Unternehmen ist diese Police allerdings ungedeckt.
Am 20. Mai 2025 legte Ransomware beim Serviettenhersteller Fasana (Euskirchen, rund 240 Beschäftigte) Netzwerk und Rechner lahm. Binnen weniger Tage brach der Cashflow weg. „Man konnte noch nicht einmal einen Lieferschein ausdrucken“, berichtet Dr. Dirk Wegener, Rechtsanwalt und Senior-Partner der Wirtschaftsprüfungs- und Beratungsgesellschaft dphg. Seit Juni 2025 verwaltet er die Insolvenz des Unternehmens. Zahlungsunfähigkeit binnen weniger Wochen? Viele Mittelständler sind auf Kante finanziert – das Working Capital ist knapp, Kreditlinien sind bereits genutzt, die Liquiditätsreserven gering. Wer nicht schnell genug reagiert, gerät in die Abwärtsspirale.
Planlos schutzlos
„In den allermeisten Fällen ist nicht der Angriff an sich der Killer, sondern die fehlende Fähigkeit, binnen Stunden auf ein Krisenmanagement umzuschalten: Ersatzprozesse für Auftragserfassung, Lieferscheine und Rechnungen, klare Entscheidungsregeln, Kommunikations- und Eskalationswege. Und mithilfe eines Backup-Systems das Unternehmen so schnell wie möglich wieder arbeitsfähig zu machen“, sagt Michael Blaumoser, Geschäftsführer von SIUS Consulting, einer Beratungsgesellschaft für Unternehmenssicherheit und Krisenmanagement. Genau diese Lücke macht aus einem Notfall ein existenzbedrohendes Ereignis, unabhängig davon, ob Kriminalität oder Naturgewalten der Auslöser sind.
Laut der Wirtschaftsprüfungs- und Unternehmensberatung PwC ist Business Continuity Management (BCM) nur in 19 % der deutschen Unternehmen Teil von Resilienzprogrammen. Im Auftrag des eco-Verbands ermittelten die Marktforscher von Civey, dass lediglich 12,1 % der deutschen Unternehmen überhaupt ein Notfall- und Krisenmanagement implementiert haben. Dass zugleich 40,6 % die Frage nach dem Umsetzungsstand mit „weiß nicht“ beantworten, sei sozusagen die Vorstufe einer absehbaren, selbst verschuldeten Eskalation. Mit anderen Worten: Es ist der Tanz mit dem Risiko.
Sicherheit ganzheitlich denken
„Es ist nicht so, dass nicht über das Thema gesprochen wird – die Sensibilisierung ist sogar hoch, nicht zuletzt aufgrund steigender Fallzahlen und immer häufigerer Medienberichte“, sagt Sicherheitsexperte Blaumoser. Beispielsweise forderten Geschäftsführungen einzelne Unternehmensbereiche auf, ihre Risiken zu identifizieren. Damit werde Sicherheit allerdings fragmentiert betrachtet, auf Momentaufnahmen und auf technische Einzelmaßnahmen reduziert. Weil die Prozesse aber abteilungsübergreifend miteinander verzahnt seien, müssten auch Worst-Case-Szenarien vernetzt betrachtet werden. Drei, etwa von der IT, der Produktion und dem Werkschutz parallel zueinander erstellte Listen erzeugten aber noch kein umfassendes Risiko-Bild ein daraus ableitbares Handlungsschema.
Ein Beispiel: Täter haben sich, getarnt als externe Dienstleister, Zugang zum Werk verschafft. Sie lösen im Schaltraum einen Stromausfall aus. Die Produktion steht still, gleichzeitig funktionieren die Zutrittssysteme, die Schrankensteuerung oder die Telefonanlage nicht mehr. Der Werkschutz kann einzelne Bereiche nicht mehr sperren und die IT erreicht Serverräume nicht. Wenn erst in diesem Stadium eine Suche nach Zuständigkeiten beginnt, verrinnt wertvolle Zeit. Kühlketten reißen, halbfertige Chargen müssen verschrottet werden, Liefertermine werden gerissen – und der Einkauf kann nicht umsteuern, weil ERP und Lieferantenportale nicht erreichbar sind.
Wer macht was?
Blaumoser: „Zu einem effektiven Notfallplan gehört, dass vorab festgelegt ist, wer unter Ausfallbedingungen welche Aufgaben übernimmt und in welcher Reihenfolge vorzugehen ist. Wer etwa Lageführung vor Ort organisiert, wer Perimeter und Zutritt im Notbetrieb regelt, wer sicherheitskritische Anlagen bewertet und gegebenenfalls ein kontrolliertes Herunterfahren veranlasst und wer die Wiederherstellung von Energie, Kommunikation, Zutritt und IT priorisiert – parallel und zugleich koordiniert.“
Bei einem Sabotageakt oder einem Feuer gehören dazu Absperrung und Zutrittsregime, die Koordination mit Polizei oder Feuerwehr sowie die Sicherung von Spuren, Aufzeichnungen und Aussagen dazu, damit Ermittlungen und Versicherungsregulierung nicht an vermeidbaren Dokumentationslücken scheitern. Bei einem plötzlichen Stromausfall und fehlender Notstromversorgung müssen Maschinen und Anlagen binnen weniger Minuten heruntergefahren werden, um Schäden an Werkzeugen zu vermeiden. Das bedeutet: Spannungsabfall-Detektion möglichst in Echtzeit und trainierte Abläufe, bei denen jeder Handgriff sitzt. Bei einem Feuer beinhaltet das Notfallregime die provisorische Betriebsfortführung auf Ausweichflächen, durch Notlogistik und eine definierte Kundenabwicklung.
Ebenso unverzichtbar: Schnittstellen zu externen Partnern wie Rechtsberatung oder Versicherung und – naheliegend – Hausbanken und Finanzierern. Blaumoser rät außerdem zu strikter Kommunikationsdisziplin. Es gelte, unkoordinierte Außenkommunikation zu unterbinden, Informationen an einer zentralen Stelle zusammenfließen zu lassen, und einheitliche Sprachregelungen zu treffen, um Kunden, Lieferanten, Banken und weitere Stakeholder zu beruhigen.
Vorteile beim Rating
Im Mittelstand ist eine strukturelle Fehleinschätzung verbreitet. Unternehmen halten sich für zu klein oder zu unbedeutend, um gezielt angegriffen zu werden. Tatsächlich sind sie aus Tätersicht oft ideal: geringer Schutz, hohe Prozessabhängigkeit, wenig Redundanz. „Der Mittelstand ist nicht zu klein für Angriffe, sondern oft zu schlecht vorbereitet“, betont Blaumoser. „Erst das macht ihn zu einem attraktiven Angriffsziel.“ Wasser, Sturm oder Feuer unterscheiden dagegen nicht nach Unternehmensgröße.
Liquiditätswirksam wird Business-Continuity-Management schon weit vor dem eigentlichen Worst Case. Die Hausbank bewerte einen geregelten Notfallplan als vorteilhaft im Hinblick auf das Rating, was sich „positiv auf die Konditionen“ auswirke. Denn ein solcher minimiere das Ausfallrisiko für die Bank, betont die IHK Nürnberg für Mittelfranken. Die Commerzbank warnt, ohne Vorsorge drohe ein Unternehmen „durch Führungslosigkeit und unklare Verantwortlichkeiten manövrierunfähig zu werden“. Dennoch setzten sich nur wenige Führungskräfte mit diesem Thema auseinander.
