Geld, Reputation, Kunden – was kostet eigentlich eine Krise?
von Markus Epner, Head of Academy der F24 AG
Zeit und Geld in Krisenmanagement und Vorbereitung investieren – lohnt sich das?
Diese Frage stellt sich für Unternehmen immer häufiger. Auch wenn es darauf keine pauschale Antwort gibt, die Erfahrungen der letzten Jahre und Monate mit Pandemie, extremen Wetterereignissen, Lieferkettenproblemen und der Energiekrise legen nahe: ja, das lohnt sich. Davon sind wir bei F24 mehr als überzeugt. Und dennoch: Konkrete Kosten-Nutzen-Abwägungen fallen oft schwer – auch aufgrund mangelnder Erfahrungswerte und verlässlicher Zahlen. In diesem dreiteiligen Artikel eruiere ich, was es zu berücksichtigen gilt, um zu entscheiden, ob eine Investition sich lohnt. Anhand von Daten aus dem IT-Bereich gehe ich der Frage nach, welche Kosten eine Krise verursacht, wie man durch Krisenmanagement Kosten spart und wie man sich an eine Kosten-Nutzen-Rechnung annähern kann.
Teil 1: Geld, Reputation, Kunden – was kostet eigentlich eine Krise?
Teil 2: Hoffnung ist keine Strategie – so zahlt Krisenmanagement sich aus
Teil 1: Geld, Reputation, Kunden – was kostet eigentlich eine Krise?
Krisen sind laut Definition außergewöhnliche, instabile Situationen, welche die strategischen Ziele, die Reputation oder gar die Existenz eines Unternehmens bedrohen. Solche Ausnahmesituationen sind in jeder Hinsicht schwer berechenbar – erst recht monetär. Aber auch kleinere Vorfälle können hohe Kosten verursachen. Denn was ein Incident oder eine Krise am Ende genau kostet, hängt natürlich auch davon ab, wie gut sie gemanagt wird. Um uns an eine Kostenschätzung heranzutasten, schauen wir zunächst, wo und wodurch die Kosten überhaupt entstehen.
Unterbrechungen der Lieferkette, Tankerunglücke, extreme Wetterereignisse – Unternehmenskrisen kosten viel Zeit, Geld und im schlechtesten Fall die gute Reputation. Vor allem Cybervorfälle stellen eine anhaltende Bedrohung für jedes Unternehmen dar. Gefolgt von Betriebsunterbrechungen und Naturkatastrophen sind sie laut Allianz Risk Barometer 2022 die größte Sorge der Unternehmen. Zurecht, wenn man sich aktuelle Beispiele ansieht. Ganze 2,3 Milliarden USD Lösegeld verlangten Cybererpresser vom Pipeline-Betreiber Colonial im Mai 2021. Kurz zuvor sah sich Acer mit einer Lösegeldforderung (Ransom) von 50 Millionen USD für gekaperte Daten konfrontiert. Rund 1,4 Milliarden USD forderte der Pharmakonzern Merck nach einem Cyberangriff mit dem NotPetya-Computerwurm von seiner Versicherung. Dies zeigt eindrücklich, wie existenzgefährdend Onlinekriminalität für Unternehmen sein kann. Die steigende Anzahl und immer höhere Schadenssummen lassen auch die Kosten für Cyberversicherungen deutlich ansteigen und führen sogar dazu, dass die Policen erster Versicherer Lösegeldzahlungen nicht mehr abdecken.
Aber auch ohne kriminellen Hintergrund können Datenverluste schnell zu erheblichen Krisen führen. Im März 2021 fielen beim größten Cloud-Anbieter Europas, OHVcloud, durch ein Großfeuer vier Rechenzentren aus. Viele Unternehmenskunden mussten mit Erschrecken feststellen, dass sie keine Sicherung ihrer Daten besaßen.
Direkt, indirekt, wenig Verhandlungsspielraum – Kostenpunkte einer Krise
Grundsätzlich geht in jeder Krisensituation – unabhängig von der konkreten Art – durch drei gleichzeitig eintretende Wirkmechanismen Geld verloren.
- Zum einen entstehen „direkte“ Kosten für die Bewältigung der Situation. Diese reichen von der Erkennung bis zur Rückkehr in den „Normalbetrieb“.
- Hinzukommen „indirekte Kosten“, denn beispielsweise fallen geplante Einnahmen durch Geschäftsunterbrechungen aus oder das Auftragsvolumen geht vorübergehend bedingt durch Reputationsverlust zurück.
- Ein dritter Aspekt ist zudem, dass die Beschaffung von z. B. externer Expertise oder Material für die Krisenbewältigung auch unter Zeitdruck und damit oft teureren Bedingungen erfolgt. Im Druck der Krise, müssen kurzfristige Entscheidungen getroffen werden und zusätzliche Investitionen werden weniger stark hinterfragt. So müssen zusätzliche Kosten über den üblichen Marktkonditionen einkalkuliert werden. Ein extremes Beispiel hierfür ist beispielsweise die Beschaffung von Masken zu Beginn der Corona-Pandemie, die teilweise zum zig-fachen des marktüblichen Preises eingekauft werden mussten.
Von Entdeckung bis Wiedergutmachung – die Kostenfaktoren eines Cybervorfalls
- Problemerkennung und Eskalation: Im Fall eines Cyberangriffs gehören dazu forensische und investigative Aktivitäten, die Bewertung und Audit-Dienstleistungen, Krisenmanagement und interne Krisenkommunikation.
=> verursachen 33,1 Prozent der Kosten
- Geschäftsverluste: Hierzu zählen bei Onlinekriminalität Verluste durch Geschäftsunterbrechungen und Umsatzeinbußen durch Systemausfallzeiten, aber auch Kosten für verlorene Kunden und die Gewinnung neuer Kunden sowie Reputationsverluste oder ein verminderter Firmenwert.
=> verursachen 32,64 Prozent der Kosten
- Krisenkommunikation: Die Benachrichtigung von Betroffenen über verschiedene Kanäle, der Austausch mit Aufsichtsbehörden oder auch die Beauftragung externer Experten verursachen hier Kosten.
=> verursacht 7,13 Prozent der Kosten
- Wiedergutmachungskosten: Dazu gehören by Cybercrime-Vorfällen z. B. die Einrichtung eines Helpdesks, Überwachung von betroffenen Konten oder Identitäten, das Ausstellen neuer Konten oder Kreditkarten, juristische Kosten, Produktrabatte oder regulatorische Bußgelder.
=> verursachen 27,13 Prozent der Kosten
Teil 2: Hoffnung ist keine Strategie – so zahlt Krisenmanagement sich aus
“There is no glory in prevention”
Krisenmanager kannten diese Weisheit bereits lange bevor sie auch für Virologen und Epidemiologen in der Covid-19-Krise zur medialen Erfahrung wurde. Denn Anerkennung erhalten auch Krisenmanager nur selten dafür, dass nichts oder wenig passiert. Es ist einfach schwer greifbar, was durch das Verhindern oder Abmildern einer Krise gewonnen wurde. Im Gegenteil: Das Präventionsparadox führt sogar dazu, dass durch gute Prävention künftig die Gefahr unterschätzt wird. Es ist ja (fast) nichts passiert. Aber gute Prävention spart Kosten. Wie, wo und wann Vorsorge sich lohnt, behandeln wir in diesem Teil unserer Serie.
Die höchste Kostenersparnis entsteht natürlich, wenn eine Krise gar nicht erst eintritt. Schlicht zu hoffen, dass das eigene Unternehmen nicht betroffen sein wird, ist jedoch eine äußerst schlechte Strategie. Die Experten sind sich einig und die Zahlen sprechen für sich. Zumal in vielen Bereichen, wie etwa den extremen Wetterereignissen oder den hier betrachteten Cyberangriffen, die Wahrscheinlichkeit für eine Krise mit jedem Jahr steigt. Allein die Gefahr, Opfer eines erpresserischen Angriffes (Ransomware-Attacke) zu werden wuchs laut Threat-Intelligence Experte Digital Shadows in Q2 2021 um 47 Prozent. Das FBI beobachtet nach eigenen Angaben 100 gefährliche Erpresserringe. Der Anteil der mindestens einmal von einer Cyberattacke betroffenen Unternehmen lag 2021 laut Cyber Resilience Report des Business Continuity Institute bei 61 Prozent. Genauso steigt das Risiko, dass Unternehmen künftig von unerwarteten Krisen überrascht werden und zeitweise mehrere Ereignisse gleichzeitig bewältigen müssen. “Das wichtigste Krisenszenario ist das, mit dem man nicht rechnet.”, weiß auch Gerhard Saumwald, ein bekannter österreichischer Krisenexperte.
In vielen Unternehmen herrscht noch ein, wie ich es nenne, Versicherungsdenken vor. Man bereitet sich nur auf wahrscheinliche Risiken vor und scheut die Kosten für die Absicherung unwahrscheinlicher Risiken. Aber das völlig Unerwartete wird künftig öfter eintreten.
Beispielhafte Krisen verschiedener Branchen und deren finanzielle Auswirkungen
| Branche | Beispielkrise | Kosten | Quelle |
|---|---|---|---|
| IT/Telekommunikation | Cyberangriff bei Telekom Deutschland | Schäden in Millionenhöhe (mehr als 1,2 Millionen Telekom-Kunden waren betroffen) | Frankfurter Allgemeine |
| Tourismus | Pandemie bei TUI | Unternehmen mit Umsatzeinbußen um bis zu 98,5 Prozent | Tagesschau |
| Logistik und Transport | Unterbrechung von Frachtverbindungen | Mehrere hundert Millionen Euro Schäden | Focus |
| Gesundheit und Pharma | Hochwasser/ Stromausfall/Schäden am gesamten Gebäude/ Geräten | 100.000 Euro Sachschaden am Klinikum Leverkusen | PR Online |
| Luftfahrt | Umweltkatastrophen | Einbußen von bis zu 200 Millionen Euro bei 5 Tagen Luftraumsperrung | aeroTELEGRAPH |
Umgang mit Risiken: Gut vorbereitet in vier Kernbereichen
Ansatzpunkte für die Reduktion von Krisenkosten gibt es im Wesentlichen in vier Bereichen:
Prävention: Monitoring von sich verändernden Risikofaktoren, Mitarbeiterschulungen, Impact-Analysen, regelmäßige Software-Updates oder die Einrichtung einer festen Krisenorganisation – Präventionsmaßnahmen sind so vielfältig wie die Unternehmen. Wichtig ist: Es reicht nicht, Präventionsmöglichkeiten zu identifizieren. Es kommt darauf an Risiken zu identifizieren und regelmäßig zu beobachten, die erstellten Business Continuity Pläne sorgfältig und regelmäßig nachzuverfolgen, zu aktualisieren und aufrechtzuerhalten sowie eine Notfall- und Krisenorganisation aufzubauen und zu unterhalten.
- Bei Cybervorfällen gehören zu den Top 10 der kostensenkenden Faktoren: Business Continuity Planning, Einbindung des Managements, Mitarbeitertraining, der Aufbau von Incident- und Krisenmanagement Teams
Etablierte Prozesse: Wer im Krisenfall weiß, was zu tun, wer wofür zuständig und wie erreichbar ist, hat zwei erhebliche Krisenkostenfaktoren wesentlich besser im Griff: Zeit und Reputation. Die Zeitersparnis zahlt sich gleich dreifach aus: zu Beginn, vor allem während der Alarmierung der Mitarbeiter und Mobilisierung von Teams, während einer Krise und auch in der Nachbereitung – beispielsweise in der Erstellung von Berichten für Behörden.
- Oft unterschätzt in diesem Zusammenhang: der Wert der Reputation. Meist erschüttert nicht die Krise an sich das Vertrauen von Kunden, Geschäftspartnern und Behörden, sondern ein schlechtes Handling der Situation. Denn zwischen den Zeilen bleibt die Frage: Funktionieren auch andere Bereiche im Unternehmen so schlecht wie das Krisenmanagement?
Fundiertes Training: Wer mögliche Krisenszenarien unter realistischen Rahmenbedingungen durchgespielt hat, Strukturen und Kommunikationswege etabliert und die nötigen Tools und Materialien zur Hand hat und zu nutzen weiß, ist schlagkräftiger und spart wiederum wertvolle Zeit.
- Unternehmen mit getesteten Incident Response Manuals und einem gut trainierten Incident Response Team (IRT) kostete ein Datenschutzverstoß rund 50 Prozent weniger als Unternehmen ohne ein geschultes Team.
Schnelles Handeln: Das A und O in jeder Krise. Je schneller man reagieren und die Krise begrenzen oder beenden kann, desto weniger Kosten entstehen. Je kürzer der Krisen-Lebenszyklus (die Zeit, die verstreicht, bis ein Angriff entdeckt und vollständig behoben ist), desto geringer die Kosten. Grundvoraussetzung für schnelles Handeln ist wiederum eine schnelle, gezielte Kommunikation und eine enge Zusammenarbeit über Standort- und Bereichsgrenzen hinweg. Dabei unterstützen vor allem professionelle SaaS-Lösungen, wie der BCI Emergency Communications Report 2021 erneut bestätigt. 52 Prozent der Unternehmen, die solche Lösungen nutzen, schaffen es, ihre Notfallpläne innerhalb von fünf Minuten zu aktivieren. Bei Firmen, die ohne Tool arbeiten, sind es lediglich 21 Prozent. Gleichzeitig ermöglichen die Systeme eine schlagkräftigere Zusammenarbeit durch Tools für die virtuelle Kollaboration über Bereichs- und Standortgrenzen hinweg.
- Nach Berechnung des Ponemon Institute steigen die Kosten für Datenangriffe im Durschnitt um rund 29,7 Prozent, wenn der Krisen-Lebenszyklus länger als 200 Tage dauert.
Teil 3: Der kluge Ausweg – investieren, um zu sparen
Professionelle Incident- und Krisenmanagementlösungen adressieren alle in Teil 2 erörterten Faktoren: Prävention, Prozesse, Training, Schnelligkeit. Sie schaffen so die beste Voraussetzung dafür, dass Krisen – auch wenn sie eintreten – weniger Schaden anrichten. Denn sie helfen, Krisen-Lebenszyklen zu verkürzen, die Schadenhöhe und Intensität einer Krisensituation zu verringern, Vorfälle professionell zu bewältigen und die Reputation und Kundenbindung durch gute und schnelle Kommunikation zu stärken.
Aber lohnt sich die Investition in Krisenmanagement? Eine genaue Berechnung des ROI lässt sich hier natürlich nicht ohne Weiteres anstellen, denn Krisen sind per Definition dynamisch, komplex und von vielen Faktoren abhängig. So auch die Kosten. Nehmen wir aber die Daten der Ponemon-Studie, die sich mit den Kosten von „normalen“ Datenschutzverletzungen befasst, als Grundlage, können wir uns genauer ansehen, welchen positiven finanziellen Effekt Incident- und Krisenmanagement haben können.
Im „Bericht über die Kosten einer Datenschutzverletzung 2022“ errechnete das Ponemon Institut, dass eine einzige Datenschutzverletzung – also ein typischer Cybervorfall, der jederzeit eintreten kann und nicht unbedingt eine echte Krise sein muss – große Unternehmen im Jahr 2022 durchschnittlich 4,35 Millionen USD kostet – ein Allzeithoch (2,6 % Anstieg gegenüber dem Vorjahr).
Und die Tendenz ist steigend. Mega-Datenverletzungen, d. h. “echte” Datenkrisen mit mehr als 50 Millionen kompromittierten Datensätzen, kosten sogar durchschnittlich 401 Millionen USD. Damit sind sie fast 100 Mal teurer als kleinere Datenschutzverletzungen mit weniger als 100.000 betroffenen Datensätzen.
Return on Investment: Ab wann lohnt sich die Investition in professionelles Krisenmanagement?
Die für unsere Fragestellung interessante Zahl in der Studie: In Unternehmen mit professioneller Incident Response reduzierten sich die Kosten pro Vorfall durchschnittlich um rund 50 Prozent.
Umgerechnet bedeutet dies: Professionelle Incident Response hat einem Unternehmen im Jahr 2022 bereits durchschnittlich 2,66 Millionen US-Dollar bei der Bewältigung kleiner bis mittlerer Datenvorfälle gespart. Dem Trend der letzten Jahre folgend, steigen die Einsparungen für Unternehmen mit einem IR-Team oder -Plan in diesem Jahr weiter an. Selbst wenn wir zum Vergleich davon ausgehen, dass die Reaktion auf Vorfälle nur die Hälfte des Effekts ausmacht – 25 Prozent Kosteneinsparungen anstelle der in der Studie berechneten rund 50 Prozent -, ergeben sich für gut vorbereitete Unternehmen aller Größenordnungen Einsparungen von mindestens 1 Million US-Dollar – pro Vorfall, wohlgemerkt. Was wir also sicher festhalten können: Gute Vorbereitung zahlt sich bereits bei kleineren Vorfällen in Form deutlicher monetärer Einsparungen aus. Bei einer großen Datenkrise, die durchschnittlich 401 Millionen USD – also fast das 100-fache – an Kosten verursacht, kann der Effekt von gutem Krisenmanagement dann mehrere hundert Millionen Dollar Einsparpotential betragen.
Das Risiko, von unerwarteten Krisen überrascht zu werden und zeitweise mit mehreren Krisen gleichzeitig kämpfen zu müssen, steigt. Das liegt zum einen an einem komplexer werdenden Umfeld und zum anderen daran, dass systemische Krisen, wie eine Pandemie, Angriffe auf kritische Infrastrukturen oder die Unterbrechung weltweiter Lieferketten, sich über eine längere Zeit erstrecken und weitreichende Dominoeffekte haben können. Die Auswirkungen der Schließung des chinesischen Handelshafens Yantian zu Beginn der Corona-Krise oder die wochenlange Blockade des Suez-Kanals durch die Querlage der Ever Given sind noch Monate später zu spüren.
Man kann also davon ausgehen, dass der Return on Investment für gutes Krisenmanagement mit einem professionellen System und einem gut trainierten Team deutlich schneller eintritt. Erst recht bei multiplen Krisen. Hier können Unternehmen Kosten in Millionenhöhe sparen – bei jeder Art von Notfall, in wahrscheinlichen und unwahrscheinlichen Krisen, ob Brand, Naturkatastrophe, Geschäftsunterbrechung oder Cyberangriff. Aber der größte Gewinn lässt sich vielleicht gar nicht in Zahlen ausdrücken: Das gute Gefühl, in jeder Situation handlungsfähig zu sein – schnell, schlagfertig, kundenorientiert.
** Ponemon Studie 2022
*** Eine Szenarioschätzung mit nur der Hälfte des Einsparungsanteils ergibt Einsparungen von über 1 Million USD
Erfahren Sie mehr darüber, wie unsere Lösungen Ihre Krisenreaktion unterstützen – bauen Sie mit Hilfe der Softwarelösungen von F24 effektive Incident Response Verfahren auf. Das Alarmierungssystem von F24 liefert Echtzeitdaten, damit Sie den Ablauf der Krisenreaktion überwachen und entsprechend handeln können. Erfahren Sie mehr darüber, wie wir Sie bei Ihrer Krisenreaktionsplanung unterstützen können.
Markus Epner – Head of Academy der F24 AG
Markus ist seit 2022 bei der F24 AG beschäftigt. Er arbeitete in verschiedenen Positionen in unterschiedlichen Sicherheits- und Krisenstäben und war auch einer der ersten Offiziere im Kommando Spezialkräfte. Durch seine Erfahrungen aus dem Bosnien- und Kosovokrieg sowie seiner langjähriger Führungserfahrung in der Industrie kann er sicher mit kritischen Ereignissen umgehen.
Markus hat Sicherheits- und Krisenmanagement in Kiel studiert und verfügt über mehr als 20 Jahre Erfahrung im Bereich des Sicherheits- und Krisenmanagements bei Lufthansa und Boehringer Ingelheim. Während seiner Zeit in der Luftfahrtbranche managte er, neben anderen Krisensituationen, die Evakuierung von zwei Flugzeugbesatzungen aus Mumbai während der Terroranschläge und die Covid-19-Krise während seiner Zeit in der Pharmaindustrie.
Investitionen in das Krisen- und Incidentmanagement können für Unternehmen nicht nur wertvoll sein, sondern auch eine Menge Geld sparen. Erfahren Sie, wie Sie von digitalem Krisenmanagement profitieren können.
