PlanB
Kostenlos starten
Ratgeber Stand: 11.06.2026

Krisenmanagement im Mittelstand: Phasen, Rollen und Werkzeuge

Der Leitfaden für Unternehmen ohne eigene Stabsstelle.

Krisenmanagement ist keine Frage der Unternehmensgröße, sondern der Vorbereitung. Dieser Leitfaden erklärt die vier Phasen des Krisenmanagements, die Rollen im Krisenstab und die Werkzeuge, mit denen auch mittelständische Unternehmen im Ernstfall handlungsfähig bleiben.

Was ist Krisenmanagement?

Krisenmanagement umfasst alle Strukturen, Prozesse und Maßnahmen, mit denen ein Unternehmen außergewöhnliche Lagen bewältigt, die den normalen Geschäftsbetrieb bedrohen – vom Cyberangriff über den Standortausfall bis zur Reputationskrise. Es beantwortet im Kern drei Fragen: Wer entscheidet? Was passiert zuerst? Wie wird kommuniziert?

Krisenmanagement ist eng verzahnt mit dem Business Continuity Management (BCM) nach BSI-Standard 200-4: Während BCM die Fortführung kritischer Geschäftsprozesse sicherstellt, steuert das Krisenmanagement die Lage selbst – mit Krisenstab, Lagebild und Kommunikation. Das Notfallhandbuch ist das verbindende Werkzeug beider Disziplinen.

Die vier Phasen des Krisenmanagements

Professionelles Krisenmanagement beginnt lange vor der Krise und endet erst nach ihrer Auswertung:

  • 1. Prävention: Risiken systematisch erfassen und bewerten: Welche Szenarien sind wahrscheinlich, welche existenzbedrohend? Ein Risiko-Register schafft die Grundlage für gezielte Vorsorge.
  • 2. Vorbereitung: Notfallhandbuch aufbauen, Krisenstab benennen, Wiederanlaufpläne und Kommunikationsvorlagen erstellen – und regelmäßig üben.
  • 3. Bewältigung: Im Ernstfall: Krisenstab aktivieren, Lage dokumentieren, Entscheidungen nach vorbereiteten Checklisten treffen, Stakeholder informieren.
  • 4. Nachbereitung: Den Vorfall strukturiert auswerten: Was hat funktioniert, was nicht? Lessons Learned fließen zurück in Handbuch und Vorsorge.

Der Krisenstab: Rollen und Verantwortung

Auch ohne eigene Stabsstelle braucht jedes Unternehmen einen handlungsfähigen Krisenstab. Im Mittelstand sind das oft drei bis sechs Personen, die im Ernstfall klar definierte Rollen übernehmen:

  • Krisenstabsleitung: Trifft die finalen Entscheidungen und priorisiert – typischerweise Geschäftsführung oder eine von ihr benannte Person.
  • IT-Verantwortung: Bewertet die technische Lage, steuert Eindämmung und Wiederanlauf, koordiniert externe IT-Dienstleister.
  • Kommunikation: Informiert Mitarbeitende, Kunden, Partner und gegebenenfalls Presse – nach vorbereiteten Vorlagen und abgestimmter Sprachregelung.
  • Recht und Datenschutz: Prüft Meldepflichten (etwa DSGVO-Meldung binnen 72 Stunden, NIS2-Meldewege) und rechtliche Folgen von Entscheidungen.
  • Dokumentation: Führt das Lageprotokoll: Wer hat wann was entschieden? Diese Nachvollziehbarkeit ist für Versicherung, Behörden und die eigene Auswertung entscheidend.

Krisenkommunikation: intern zuerst

In der Krise entsteht der größte Schaden oft nicht durch den Vorfall selbst, sondern durch schlechte Kommunikation. Die Reihenfolge ist entscheidend: erst die eigenen Mitarbeitenden, dann Kunden und Partner, dann die Öffentlichkeit. Wer seine Belegschaft aus der Presse informiert werden lässt, verliert Vertrauen und Kontrolle über die Lage.

Vorbereitete Kommunikationsvorlagen für die wahrscheinlichsten Szenarien sparen im Ernstfall Stunden und verhindern Fehler unter Stress. Dazu gehören auch geklärte Meldewege: Datenschutzbehörde, Cyber-Versicherer, gegebenenfalls BSI beziehungsweise zuständige NIS2-Meldestelle.

Typische Krisenszenarien im Mittelstand

Die Erfahrung zeigt: Wenige Szenarien decken die meisten Ernstfälle ab. Wer diese vorbereitet, ist für den Großteil aller Lagen gerüstet – Ransomware und Cyberangriffe mit Verschlüsselung oder Datenabfluss, der Ausfall zentraler IT-Systeme oder des Rechenzentrums, Stromausfall und Gebäudeschäden am Standort, der plötzliche Ausfall von Schlüsselpersonen sowie Störungen bei kritischen Dienstleistern und Lieferanten.

Für jedes dieser Szenarien gehören ins Notfallhandbuch: Auslöser und Eskalationskriterien, eine Schritt-für-Schritt-Checkliste, Verantwortliche und die passenden Kommunikationsvorlagen.

Werkzeuge: vom Plan zur gelebten Praxis

Papier ist geduldig – Krisen sind es nicht. Software-gestütztes Krisenmanagement macht den Unterschied zwischen einem Ordner im Regal und gelebter Handlungsfähigkeit: Ein Vorfallmodus führt den Krisenstab durch die vorbereiteten Checklisten, der War Room dokumentiert Entscheidungen in Echtzeit, und das Aktivitätsprotokoll macht im Nachgang lückenlos nachvollziehbar, wer wann was getan hat.

PlanB verbindet beides: das strukturierte Notfallhandbuch für die Vorbereitung und die operativen Werkzeuge für die Bewältigung – inklusive Lessons Learned für die Nachbereitung und Compliance-Nachweisen für NIS2 und BSI 200-4.

Häufige Fragen

Brauchen kleine Unternehmen wirklich einen Krisenstab?

Ja – nur kleiner. Schon drei klar benannte Rollen (Leitung, IT, Kommunikation) mit Vertretungen machen den Unterschied zwischen koordiniertem Handeln und Chaos. Entscheidend ist nicht die Größe des Stabs, sondern dass Zuständigkeiten vor der Krise geklärt sind.

Was ist der Unterschied zwischen Krisenmanagement und Business Continuity Management?

BCM stellt sicher, dass kritische Geschäftsprozesse weiterlaufen oder schnell wiederanlaufen. Krisenmanagement steuert die außergewöhnliche Lage selbst: Lagebild, Entscheidungen, Kommunikation. In der Praxis greifen beide ineinander – das Notfallhandbuch ist das gemeinsame Fundament.

Welche Normen und Gesetze sind für Krisenmanagement relevant?

Für viele Unternehmen die NIS2-Richtlinie (Risikomanagement, Incident-Meldungen, Business Continuity), der BSI-Standard 200-4 für Business Continuity Management sowie die DSGVO mit der 72-Stunden-Meldepflicht bei Datenpannen. Branchenabhängig kommen weitere Anforderungen hinzu, etwa ISO 22301.

Wie oft sollte der Ernstfall geübt werden?

Mindestens einmal jährlich eine Planübung zu einem realistischen Szenario, ergänzt um kleinere Tests einzelner Bausteine wie Erreichbarkeiten oder Wiederanlaufpläne. Jede Übung liefert Lessons Learned, die das Krisenmanagement messbar verbessern.

Weiterlesen
Notfallhandbuch für Unternehmen: Inhalte, Aufbau und Pflege
IT-Notfallplan erstellen: Aufbau, Inhalte und typische Fehler
BSI-Standard 200-4 umsetzen: Business Continuity Schritt für Schritt
NIS2-Checkliste: Anforderungen und Umsetzung für Unternehmen

Vom Ratgeber zum eigenen Notfallhandbuch.

PlanB führt Schritt für Schritt durch alle Bausteine – von Rollen und Wiederanlaufplänen bis zu Szenario-Checklisten und Compliance-Nachweisen.

Kostenlos starten Funktionen ansehen info@arento.ai