Jessica A.,
09.02.2026
TLDR;
In einer Krise ist eine 80%-richtige Entscheidung in 15 Minuten wertvoller als eine 100%-richtige Entscheidung in 4 Stunden. Doch die meisten Unternehmen haben keine klaren Entscheidungsstrukturen für den Ernstfall. Wir zeigen dir, wie du mit einer RACI-Matrix, klaren Zeitlimits und Vertretungsregelungen das Chaos eliminierst – bevor es entsteht. Es ist 3 Uhr morgens. Dein Monitoring meldet Anomalien. Wer ruft jetzt wen an? Wer darf entscheiden, ob ihr den Notfall-Modus aktiviert? Wer kommuniziert mit Kunden? Und was, wenn der CEO gerade im Flieger sitzt und nicht erreichbar ist? Wenn du bei diesen Fragen zögern musst, hast du ein Problem. Nicht weil der Vorfall schlimm ist – sondern weil du kostbare Zeit verlierst, während alle herausfinden müssen, wer eigentlich was entscheiden darf.
Das Chaos-Muster
Wir haben dutzende Incident-Response-Einsätze begleitet. Das Muster bei unvorbereiteten Unternehmen ist immer dasselbe:
Phase 1: Schockstarre Jemand bemerkt das Problem. Aber wer informiert wen? Ist es schlimm genug für den CEO? Besser erstmal abwarten...
Phase 2: Zu viele Köche Irgendwann sind alle informiert. Jetzt will jeder mitreden. Meetings werden einberufen. Entscheidungen werden diskutiert. Und wieder diskutiert.
Phase 3: Verantwortungsdiffusion Niemand will die Entscheidung treffen. "Das muss der CEO absegnen." – "Der ist nicht erreichbar." – "Dann warten wir."
Phase 4: Hektische Improvisation Irgendwann handelt jemand – aber ohne Koordination. Aktion A widerspricht Aktion B. Kommunikation an Kunden ist inkonsistent.
Das Ergebnis: Ein Vorfall, der mit klaren Strukturen in 2 Stunden gelöst wäre, zieht sich über Tage.
Warum Geschwindigkeit wichtiger ist als Perfektion
Hier ist eine unbequeme Wahrheit:
In einer Krise ist eine 80%-richtige Entscheidung in 15 Minuten wertvoller als eine 100%-richtige Entscheidung in 4 Stunden.
Warum? Weil die Zeit gegen dich arbeitet.
Jede Stunde Ausfall kostet Umsatz
Jede Stunde ohne Kommunikation verunsichert Kunden
Jede Stunde Chaos demotiviert dein Team
Jede Stunde ohne Klarheit macht das Problem grösser
Eine schnelle, imperfekte Entscheidung gibt dir die Möglichkeit, zu korrigieren. Keine Entscheidung lähmt alles.
Das RACI-Framework für Krisen
RACI steht für:
Responsible – Wer führt die Aktion aus?
Accountable – Wer entscheidet und trägt die Verantwortung?
Consulted – Wer wird vor der Entscheidung gefragt?
Informed – Wer wird nach der Entscheidung informiert?
Für Krisen brauchst du eine klare RACI-Matrix. Nicht für jeden denkbaren Fall – aber für die kritischen Entscheidungen.
Beispiel RACI-Matrix für Krisenentscheidungen:
Entscheidung / Aktion | Responsible | Accountable | Consulted | Informed | Max. Entscheidungszeit |
|---|---|---|---|---|---|
Aktivierung Fallback-Systeme | IT-Operations Lead | CTO | - | CEO, CFO | 15 Minuten |
Wechsel auf alternativen Lieferanten | Procurement Manager | COO | Production Lead, Finance | CEO, Board | 4 Stunden |
Externe Kommunikation bei Vorfall | Marketing Lead | CEO | Legal, CISO | Board, alle MA | 30 Minuten |
Aktivierung Notfall-Budget | CFO | CEO | - | Board | 2 Stunden |
Entscheidung: Ransomware-Zahlung | - | CEO + Board | Legal, CISO, Versicherung | - | - |
Das Entscheidende: Die Spalte "Max. Entscheidungszeit". Ohne Zeitlimit wird diskutiert, bis jemand aufgibt.
Die 3 kritischen Elemente
1. Klare Eskalationswege mit Zeitlimits
Für jede kritische Entscheidung definierst du:
Wer darf entscheiden?
Wie lange hat diese Person Zeit?
An wen geht die Entscheidung, wenn die Zeit abläuft?
Beispiel:
Aktivierung Fallback-Shop: CTO entscheidet in 15 Minuten
Wenn CTO nicht erreichbar: IT-Operations Lead entscheidet
Wenn beide nicht erreichbar: CEO muss informiert werden
Die automatische Eskalation verhindert, dass jemand auf der Leitung wartet, während die Minuten ticken.
2. Vertretungsregelungen
Was passiert, wenn der Entscheider nicht erreichbar ist?
Im Urlaub?
Im Krankenhaus?
Im Flugzeug?
Selbst betroffen vom Vorfall?
Für jede kritische Rolle brauchst du einen klar definierten Vertreter – der weiss, dass er Vertreter ist und die Befugnisse hat.
(Klingt offensichtlich. Aber wir erleben regelmässig, dass Vertretungen existieren, aber die Vertreter nicht wissen, was sie entscheiden dürfen.)
3. Vorab-Autorisierung für kritische Entscheidungen
Manche Entscheidungen können nicht warten, bis ein Meeting einberufen wird.
Definiere vorab:
Welche Entscheidungen darf der CTO sofort treffen, ohne CEO-Freigabe?
Welches Budget ist für Notfall-Massnahmen freigegeben?
Welche Aktionen sind im Voraus autorisiert?
Beispiel Notfall-Budget: "Der CTO ist autorisiert, bis CHF 50K für Notfall-Massnahmen auszugeben, ohne weitere Freigabe. Dokumentation erfolgt nachträglich."
Das klingt riskant – ist aber weniger riskant als stundenlange Abstimmungsschleifen in einer Krise.
Wer kommuniziert mit wem?
Kommunikation in Krisen ist mindestens so wichtig wie die technische Problemlösung.
Kommunikations-RACI:
Zielgruppe | Responsible | Message Owner | Timing |
|---|---|---|---|
Kunden (öffentlich) | Marketing Lead | CEO approves | Innerhalb 30 Min nach Entscheidung |
Mitarbeitende | HR / Internal Comms | CEO drafts | Innerhalb 15 Min nach Entscheidung |
Presse | PR / Comms | CEO approves | Reaktiv (auf Anfrage) |
Behörden (bei Meldepflicht) | CISO / Legal | CEO approves | Gemäss regulatorischen Fristen |
Lieferanten / Partner | Procurement | COO approves | Nach Bedarf |
Wichtige Fragen:
Wer darf extern kommunizieren? (Nicht jeder!)
Welche Botschaften sind vorab genehmigt?
Wer spricht mit der Presse?
Wie informieren wir Mitarbeitende, damit sie konsistent kommunizieren?
Training: Drills statt PowerPoint
Eine RACI-Matrix auf dem Papier ist wertlos, wenn niemand sie unter Stress anwenden kann.
Trainings-Formate:
Training-Typ | Zielgruppe | Frequenz | Dauer | Inhalt |
|---|---|---|---|---|
Tabletop-Übung | Leadership (CEO, C-Level) | Quartalsweise | 2 Std | Szenario durchsprechen: AWS-Ausfall, Ransomware, Lieferkettenausfall |
Hands-on Failover | IT-Operations | Quartalsweise | 3 Std | Tatsächlicher Failover auf Backup-Systeme |
Kommunikations-Drill | Marketing, HR, Support | Halbjährlich | 1 Std | Welche Messages? Welcher Ton? Welche Kanäle? |
Full-Scale-Übung | Alle relevanten Teams | Jährlich | 4-8 Std | Realistisches Szenario mit Zeitdruck |
Wichtig: Training ist keine PowerPoint-Präsentation. Es ist Hands-on, mit realistischen Szenarien und echtem Zeitdruck.
Nach jeder Übung: Was hat funktioniert? Was nicht? Was müssen wir ändern?
Ein Praxis-Beispiel
Ein Handelsunternehmen (180 Mitarbeiter) wird von Ransomware getroffen.
Vorher (ohne Struktur):
03:00: EDR meldet Verschlüsselung
03:30: IT-Admin ruft IT-Leiter an. "Was sollen wir tun?"
04:00: IT-Leiter versucht, CEO zu erreichen. Nicht erreichbar.
04:30: Diskussion, ob man den CEO wirklich wecken soll
05:00: CEO erreichbar. Will Situation verstehen. Meeting wird einberufen.
06:30: Erstes Meeting. Diskussion über Vorgehensweise.
08:00: Erste Entscheidungen werden getroffen.
Ergebnis: 5 Stunden vergangen, bevor gehandelt wird
Nachher (mit Struktur):
03:00: EDR meldet Verschlüsselung. Automatischer Alert aktiviert On-Call-Team.
03:15: IT-Operations Lead klassifiziert als P1 (kritisch). Gemäss RACI: Sofortige Isolation autorisiert.
03:30: Infizierte Server isoliert. Crisis-Team aktiviert per SMS.
03:45: CTO entscheidet: Degraded Operations aktivieren. Keine CEO-Freigabe nötig (vorab autorisiert).
04:00: Fallback-Prozesse laufen. Kundenhotline informiert. Erste externe Kommunikation vorbereitet.
08:00: Systeme werden aus Offline-Backup wiederhergestellt.
Ergebnis: Geschäftsbetrieb nach 45 Minuten wiederaufgenommen (reduzierte Kapazität)
Der Unterschied: 38 Stunden weniger Produktionsstillstand. Minimaler Umsatzverlust statt CHF 500K+.
Häufige Einwände
"Wir können nicht alles vorab definieren."
Stimmt. Aber du kannst die 10 kritischsten Entscheidungen definieren. Und Grundprinzipien ("Im Zweifel: Systeme isolieren, später analysieren"). Das deckt 90% der Fälle ab.
"Das schränkt Flexibilität ein."
Nein, es schafft Flexibilität. Wer weiss, wer entscheiden darf, kann schneller handeln. Unklarheit ist der Feind der Geschwindigkeit.
"Wir sind zu klein für sowas."
Gerade kleinere Unternehmen profitieren von klaren Strukturen. Ihr habt keine grossen Teams, die Chaos auffangen. Eine Person mit klarer Befugnis ist wertvoller als fünf Personen, die diskutieren.
Die kurze Version
Chaos ist der Normalfall ohne vorbereitete Strukturen
80% in 15 Minuten > 100% in 4 Stunden – Geschwindigkeit schlägt Perfektion
RACI-Matrix definieren für die kritischsten Entscheidungen
Zeitlimits setzen – ohne Frist wird endlos diskutiert
Vertretungen klären – auch für den CEO
Vorab-Autorisierung für Notfall-Massnahmen und -Budgets
Trainieren, trainieren, trainieren – keine PowerPoints, echte Drills
Was jetzt?
Nimm dir 30 Minuten und beantworte diese Fragen:
Wer darf bei einem kritischen IT-Ausfall um 3 Uhr morgens entscheiden, auf Fallback-Systeme umzuschalten?
Ist diese Person erreichbar? Auch am Wochenende?
Wer ist der Vertreter, wenn die Person nicht erreichbar ist?
Hat der Vertreter die gleichen Befugnisse?
Wenn du bei einer dieser Fragen unsicher bist, hast du gerade dein erstes To-Do identifiziert.
(Und falls ihr merkt, dass ihr Unterstützung braucht, um eine vollständige Krisenorganisation aufzubauen – dafür machen wir das.)
Weiterlesen
Die 5 Dimensionen operativer Resilienz – Das vollständige Framework
Minimum Viable Operations – Weiterarbeiten mit reduzierter Kapazität
Warum die meisten Risikoanalysen scheitern – Ein pragmatischer Ansatz zur Risikobewertung
