Risikomanagement und Resilienz: wie Unternehmen sicher und erfolgreich durch Polykrisen steuern

Es war ein aufsehenerregender IT-Kollaps der Superlative: Kürzlich sorgte ein fehlerhaftes Update eines Software-Dienstleisters für Chaos in Unternehmen weltweit. Vom Stillstand bei Fluggesellschaften über geschlossene Supermärkte bis hin zu abgesagten Operationen in Krankenhäusern – die Folgen waren gravierend. Schätzungsweise 8,5 Millionen Windows-Systeme wurden durch den Software-Fehler lahmgelegt, und die ökonomischen Auswirkungen dieses digitalen Dominoeffekts dürften sich nach Einschätzung von Expert*innen auf Milliardenhöhe belaufen.

Dieses Ereignis verdeutlicht die immense Anfälligkeit moderner Unternehmen gegenüber unvorhergesehenen Risiken und deren rasanter Eskalationsfähigkeit. Für Führungskräfte ist es ein unmissverständlicher Weckruf, die eigenen Möglichkeiten zur Risikofrüherkennung und -bewältigung kritisch zu hinterfragen. Gerade Unternehmen, die in diesem Bereich noch unzureichend aufgestellt sind, sollten jetzt handeln, um im Ernstfall handlungsfähig zu bleiben und existenzbedrohende Schäden abzuwenden.

Fachleute warnen, dass die Wahrscheinlichkeit für schwerwiegende, von außen ausgelöste Ausnahmesituationen stetig zunimmt. Vor allem infolge wachsender geopolitischer Konflikte, der anhaltenden Ressourcenknappheit, der ungelösten Klimaherausforderungen, fragiler Liefer- und Wertschöpfungsketten, aufgrund der hartnäckigen Inflation sowie von Angriffen auf die IT-Infrastruktur intensiviert sich das Risiko für Krisensituationen, die sich gegenseitig sogar verstärken können. Der Wirtschaftshistoriker Professor Adam Tooze von der Columbia Universität in den USA prägte hierfür den Begriff der „Polykrisen“.

Mit deren Auswirkungen zu kämpfen haben mittlerweile Unternehmen rund um den Globus, wie aus der jüngst veröffentlichten globalen Branchenanalyse „Spotlight Zukunft 2024“ hervorgeht. Ob in den USA, Japan oder Europa: 80 Prozent der befragten Entscheider*innen berichten von erheblichen Beeinträchtigungen durch die derzeitigen komplexen, miteinander verflochtenen politischen, ökologischen und wirtschaftlichen Umbrüche weltweit.

Steigendes Insolvenzrisiko in Deutschland

Auch hierzulande ist durch die derzeitigen Polykrisen die Geschäfts- und Zukunftsfähigkeit der Unternehmen so bedroht wie selten zuvor. Ein Indiz hierfür sind die steigenden Insolvenzzahlen. Laut dem Leibniz-Institut für Wirtschaftsforschung Halle (IWH) erreichte die Zahl der Firmenpleiten jüngst einen historischen Höchststand seit Beginn der Erhebungen im Januar 2016.

Fatal: Zahlreiche Unternehmen erkennen die Bedrohungen, sind aber dennoch oft schlecht gewappnet. „Die IT-Sicherheit, insbesondere in der Cyber-Security, zählt derzeit zweifellos zu den größten Herausforderungen“, erläutert Stefan Schmal, Partner und Head of Consulting bei Forvis Mazars. „Viele Unternehmen sind trotz einer wachsenden Sicherheitsindustrie immer noch unzureichend gegen Cyber-Angriffe gerüstet – auch, weil sie zusätzlich anderen existenzbedrohenden Risiken gegenüberstehen.“

Das unterstreichen aktuelle Erhebungen: Laut einer Studie des deutschen IT-Branchenverbands Bitkom sind derzeit 80 Prozent der Unternehmen in Deutschland von Angriffen wie Datendiebstahl, Spionage oder Sabotage betroffen. Der „Cisco Cybersecurity Readiness Index 2024“ zeigt zugleich, wie schlecht die Industrie auf solche Attacken vorbereitet ist. „Das sind erschreckende Daten“, urteilt Christian Korff, Mitglied der Geschäftsführung bei Cisco in Deutschland.

Doch nicht nur beim Schutz gegen Angriffe auf die IT-Infrastruktur bestehen besorgniserregende Lücken. Laut einer Untersuchung des Softwareanbieters SAS („SAS Resiliency Rules Report“) glaubt weniger als die Hälfte der weltweit befragten Führungskräfte aus mittleren und großen Unternehmen, dass ihre Organisation gut auf unerwartete Ereignisse vorbereitet ist. Dies steht in scharfem Kontrast zu der nahezu einhelligen Überzeugung (97 Prozent), dass Resilienz eine geschäftskritische Kompetenz darstellt.

Die Fähigkeit, auf die derzeitigen Herausforderungen dynamisch und effektiv zu reagieren, ist entscheidend für die Stabilität und Zukunftsfähigkeit eines Unternehmens. Resiliente Organisationen erkennen potenzielle Störungen frühzeitig und sind nicht nur umfassend vorbereitet, sondern auch in der Lage, sich schnell und methodisch an veränderte Bedingungen anzupassen. Im Extremfall können die Firmen aus Krisen sogar gestärkt hervorgehen, indem sie weniger resilienten Wettbewerbern nachhaltig Kund*innen und Marktanteile abnehmen.

In Deutschland ist das Bewusstsein für die Bedeutung von Resilienz in den Führungsetagen gemäß der SAS-Erhebung zwar in der Regel vorhanden – doch nur 40 Prozent der hiesigen Unternehmen attestieren ihrer Organisation eine robuste Widerstandsfähigkeit. Mehr als die Hälfte der Befragten gibt an, dass ihre Firma nicht adäquat auf potenzielle Störungen eingestellt ist.

Diese Ergebnisse verdeutlichen den Handlungsbedarf: „Unternehmen müssen jetzt Ressourcen und Expertenwissen systematisch nutzen, um sich auf künftige Krisen und unvorhersehbare Ereignisse vorzubereiten, damit sie in der Lage sind, diese zu bewältigen“, sagt Experte Stefan Schmal von Forvis Mazars. Maßgebliche Aufgabe des Risikomanagements in der heutigen Zeit ist die Steigerung der Resilienz, um die eigene Zukunftsfähigkeit durch eingespielte Reaktionen zu sichern und es so zu ermöglichen, Chancen in der Krise zu ergreifen.

Wie Steuerungssysteme und Risikomanagement den Unterschied machen

Entscheider*innen sollten sich dringend mit der neuen Realität auseinandersetzen: einer Geschäftswelt, in der multiple, ineinandergreifende Krisen bestehende Bedrohungen exponentiell verstärken können. „Ziel ist ein robustes Risikomanagement, das dazu befähigt, potenzielle Bedrohungen zu erkennen sowie Rückschlüsse und abgeleitete Szenarien zu bewerten. Im Krisenfall muss es in der Lage sein, sofort wirksame Maßnahmen zu ergreifen, um die Widerstandsfähigkeit des Unternehmens zu gewährleisten. Nur so können Firmen sicher durch Krisenzeiten navigieren“, ergänzt Schmal.

Das Risikomanagement müsse dazu die bestehende Komplexität durchdringen, kritische Verflechtungen identifizieren und so entscheidend dazu beitragen, die Organisation zu schützen und Unternehmensziele zuverlässig zu erreichen. Ein umfassendes Risikomanagement und eine noch weitergreifendere Resilienz avancieren damit zu zentralen Elementen einer agilen und erfolgreichen Führung.

Die praktische Umsetzung dieses Konzepts ist jedoch vor zahlreichen Hürden nicht gefeit: Zu den wesentlichen Herausforderungen gehören unter anderem Informationssilos und fragmentierte Risikomanagementprozesse, die nicht ausreichend mit den strategischen Unternehmenszielen abgestimmt sind. Erschwerend kommt hinzu, dass technologische Neuerungen innerhalb von Organisationen oftmals unzureichend integriert werden, wodurch Potenziale ungenutzt bleiben.

Die Unternehmenslandschaft ist hier zunehmend von einer Zweiteilung geprägt: Trotz einer übereinstimmenden Risikowahrnehmung vergrößert sich der Abstand zwischen großen und kleinen Unternehmen hinsichtlich ihrer Resilienz. So rüstet sich nur etwa ein Viertel der deutschen Mittelständler aktiv gegen mögliche Krisen. Das zeigt eine aktuelle Umfrage der R+V Versicherung, die im April 2024 veröffentlicht wurde.

Resilienz als Imperativ: So rüsten sich Unternehmen für die Zukunft

Welche konkreten Maßnahmen können Firmen umsetzen, um effektiv widerstandsfähiger zu werden? Vier zentrale Handlungsfelder, die teils eng ineinandergreifen, bilden die Grundlage für eine resilientere Unternehmensstruktur.

1. Risikomanagement als Fundament: Ein vorausschauendes und robustes Risikomanagement ist unerlässlich, um potenzielle Bedrohungen frühzeitig zu identifizieren und zu bewerten. „Entscheidend ist die Entwicklung einer nachhaltigen Risikostrategie und eines passgenauen Governance-Frameworks“, betont Stefan Schmal. Dieses Framework definiert die Organisationsstruktur, die relevanten Prozesse sowie die Rollen und Verantwortlichkeiten und stellt sicher, dass Risiken sowohl bei strategischen Entscheidungen als auch im operativen Geschäft systematisch berücksichtigt werden. „Die Integration des Risikomanagements in die Steuerungsmechanismen des Unternehmens ist dabei essenziell“, sagt Schmal.
2. Transparenter Austausch als Katalysator: Offene und nachvollziehbare Kommunikation und Teilhabe sind Schlüsselelemente einer erfolgreichen Risikokultur. Es ist entscheidend, allen Mitarbeiter*innen zu vermitteln, dass sich das Unternehmen künftig systematischer mit Risiken auseinandersetzen wird und dass die gesamte Belegschaft dafür benötigt wird. Nur durch die frühzeitige intelligente Einbindung möglichst aller Mitarbeiter*innen können auch ungewöhnliche Bedrohungen erkannt werden.
3. Datenbasierte Planung als Agilitätsförderer: Die Fähigkeit, sich schnell an volatile Markt- und Wettbewerbsbedingungen anzupassen, ist ein entscheidender Faktor für Resilienz in Krisenzeiten. Unternehmen sollten daher ihre Planungsprozesse optimieren und auf eine solide Datenbasis stellen, um flexibel auf Veränderungen reagieren zu können. „Firmen mit unzureichender Resilienz haben häufig Schwierigkeiten, Projekte und Aufgaben objektiv zu priorisieren“, warnt Schmal. Dies kann in herausfordernden Zeiten schwerwiegende Folgen haben.
4. Digitalisierung als Beschleuniger: Investitionen in die Digitalisierung und Automatisierung sind unverzichtbar, um die Anpassungsfähigkeit und Effizienz von Organisationen zu steigern. „Diese Themen müssen Unternehmen aktiv angehen, um wettbewerbsfähig zu bleiben“, sagt Schmal. Die Vorteile dieser Transformation werden zunehmend erkannt: Die aktuelle Studie „Spotlight Zukunft 2024“ von Aras, einem Anbieter von Product Lifecycle Management (PLM)-Lösungen, zeigt, dass über die Hälfte der deutschen Firmen ihre Digitalisierungsaktivitäten in den vergangenen zwei Jahren intensiviert hat, um im Wettbewerb zu bestehen. „92 Prozent der Befragten geben an, dass die digitale Transformation ihrem Unternehmen hilft, besser mit den wachsenden Unsicherheiten umzugehen“, erläutert Jens Rollenmüller, Regional Vice President bei Aras, dem Auftraggeber der Studie.

Fazit: Insbesondere viele mittelständische Unternehmen haben es bisher versäumt, sich durch erhöhte Resilienz auf die Zeit der Polykrisen vorzubereiten. Entscheider*innen sind nun mehr denn je gefordert, das Risikomanagement zu einem strategischen Kernstück der Unternehmensführung weiterzuentwickeln. Dies erfordert neben dem Einsatz moderner Methoden und Technologien vor allem, eine umfassende Risikokultur zu etablieren, die von der Führungsebene vorgelebt und in alle Ebenen des Unternehmens getragen wird.

Firmen, die dies erfolgreich umsetzen, werden nicht nur in der Lage sein, Krisen zu überstehen, sondern auch neue Chancen in der sich ständig wandelnden Wirtschaftslandschaft zu nutzen – und als Profiteure daraus hervorzugehen.