Wir möchten Sie heute mit weiteren Ableitungen aus den jüngsten Ereignissen dazu ermutigen, vom Reden und Planen ins Tun zu kommen.
„Alles, was mehr von zufälligen Ereignissen und Erschütterungen profitiert als darunter leidet, ist antifragil. Das Umgekehrte ist fragil. Oder anders ausgedrückt: Ist ein antifragiles System keinem Stress ausgesetzt, wird es schwächer.“ Nasim Taleb
Der Stromausfall in Berlin zu Jahresbeginn 2026 verschwindet außerhalb des unmittelbar betroffenen Bereichs bereits wieder aus dem kollektiven Bewusstsein. Ganz nach dem üblichen Muster, wie nach der Pandemie, der Flutkatastrophe an der Ahr und der Erft sowie nach zahlreichen und andauernden Cyberangriffen auf kommunale und andere kritische Infrastrukturen. Man kann auch von einer gelebten Krisendemenz sprechen!
Krisendemenz
Nach einer anfänglich intensiven medialen Aufmerksamkeit, die das tatsächliche Ausmaß der Ereignisse häufig überzeichnet, rücken schon bald neue Aufreger in den Vordergrund. Eine aus Erkenntnissen erwachsende, nachhaltige Veränderungsbereitschaft und Anpassung – insbesondere in bislang nicht direkt betroffenen Bereichen – ist bislang jedoch kaum erkennbar, sieht man von einzelnen aktionistischen Maßnahmen ab.
Stück für Stück werden einzelne Erfahrungssplitter diskutiert – etwa die Rolle der Hausärzte in der Krisenvorsorge (Ärztezeitung), der Ruf nach einer verpflichtenden Notstromversorgung für Pflegeeinrichtungen (Ärzteblatt), oder die Erfahrungen nach dem Wiederkehren des Stroms in Berlin (Ingenieur.de). Das Beseitigen einzelner erkannter Schwachstellen soll bereits in Gesetze gegossen werden (stärkere Geheimhaltung von Infrastrukturdaten).
Wir wollen uns hier nicht jenen anschließen, die aus verstreuten Puzzleteilen vorschnell allgemeine Lehren ziehen – unabhängig davon, welche Interessen sie leiten. Unser Blick von außen („Megasicht“) richtet sich vielmehr darauf, übergreifende Muster zu erkennen, die über den Einzelfall Berlin hinausweisen.
Mediale Muster
Wir sehen ein sich wiederholendes Muster. Die Nachrichtenagenturen heben den Stromausfall durch die Verwendung des Begriffs „Blackout“ auf eine falsche Ebene. Die erste Phase ist die der Empörung; dann kommt die Stunde der Fachleute, die erklären, und der Verantwortlichen, die beschwichtigen. Anschließend setzt eine Beruhigung ein und schließlich kehrt alles zum Status quo zurück. Der Alltag geht weiter. Nur in den Fachkreisen läuft eine systematische Aufarbeitung.
Mit dem Wegbleiben von Strom, Wärme und Kommunikation erleben die Menschen Unsicherheit, leiden unter Informationsmangel. Die Medien verstärken die Reaktionen, indem sie sich auf erkannte Fehler und Einzelfälle konzentrieren und Schlagzeilen wie „Warum unvorbereitet?“, „Keine Hilfe“ und „Kai Wegners ‚Sport statt Mitgefühl‘“ verbreiten. Diese Dynamik ist kein Zufall, sondern Ausdruck eines strukturellen Denkproblems und Selbstbetruges.
„Security by Obscurity“
Eine ehrliche Selbstkritik sowie eine Hinterfragung der Krisenpläne und -vorbereitungen sucht man jedoch noch vergeblich, auch wenn sich mit einer ersten personellen Konsequenz ein Hoffnungsschimmer auftut. Zumindest, solange es sich nicht nur um ein Bauernopfer handelt.
Bisher gibt es vor allem zahlreiche Forderungen nach dem Motto „Haltet den Dieb!“ – während man kaum Stimmen hört, die fordern, dass nicht nur die Wirtschaft, sondern auch Behörden EU-Richtlinien wie die CER-Richtlinie (Resilienz kritischer Einrichtungen) oder die NIS-2-Richtlinie (Netzwerk- und Informationssicherheit) endlich umsetzen, und nicht wie bisher, davon ausnehmen sollen.
Maximalforderungen und Scheinlösungen, wie der Objektschutz mit Hunderten Polizisten, ohne zu berücksichtigen, dass Polizei und Rettungskräfte bereits im Alltag an ihrer Belastungsgrenze operieren, sind purer Aktionismus.
Die aktionistische Forderung nach mehr Geheimhaltung bei Infrastrukturplänen, die nun kurzfristig in das KRITIS-Dachgesetz aufgenommen wurde, ignoriert, dass einmal veröffentlichte Informationen selten wieder aus dem Netz verschwinden. Zudem werden diejenigen, die wirklich Schaden anrichten wollen, auch so ihre Ziele erreichen. Selbstverständlich geht es auch hier um ein Sowohl-als-auch: Man sollte es potenziellen Angreifern nicht leichter machen, als notwendig ist. Wenn im Gegenzug jedoch, was zu erwarten ist, viel häufiger Schäden durch Unkenntnis von Infrastrukturverläufen etc. auftreten, wurde auch nichts gewonnen. In der IT-Security ist dieses Vorgehen als „Security by Obscurity“ bekannt: Es werden Scheinsicherheitslösungen eingesetzt, die keine echte Sicherheit bieten, aber Aktivität vortäuschen.
Resilienz
„Resilienz“, früher als Fachbegriff für systemische Widerstandsfähigkeit (z. B. BBK/BMI-Strategie) benutzt, steht heute für alles von Home-Office bis zu Krisenplänen, ohne konkrete Maßnahmen und operative Tiefe. Er schließt sich damit an den Begriff „Blackout“ an, der vom Worst-Case-Szenario zum Buzzword wurde.
Wo Begriffe unscharf werden, fehlt Anpassungs- und Lernfähigkeit. Die häufige Übersetzung auf reine „Widerstandsfähigkeit“ greift dabei viel zu kurz, denn Resilienz bezeichnet die dynamische Erholung nach einer Störung und nicht starre Stabilität oder gar „zurück zum Start“. Resilienz bedeutet aber auch, Entwicklungen vorwegzunehmen („antizipieren“) und damit zukünftige Schäden zu verhindern, weil man sich bereits vor einem Ereignis angepasst und vorbereitet hat.
Kritik am Begriff Resilienz
Es gibt durchaus berechtigte Kritik am Begriff der Resilienz. Genau genommen sind wir täglich resilient und passen uns ständig an Veränderungen an – allerdings meist in kleinen Schritten und ohne größere Störungen. Andernfalls wären wir längst ausgestorben.
Antifragilität und „Chaos Monkeys“
Nassim Taleb, der Autor von „Der Schwarze Schwan“, hat daher bereits vor über zehn Jahren den Begriff der Antifragilität eingeführt. Die Kernidee: Durch laufende, kleinere Störungen wird ein System gestärkt und damit weniger zerbrechlich – eben antifragil. Im IT-Bereich kennt man ein ähnliches Konzept unter dem Begriff „Chaos Monkeys“. Dabei werden Systeme bewusst durch zufällige Störungen getestet, um Schwachstellen rechtzeitig zu erkennen, bevor sie durch Kaskadeneffekte eskalieren können. Gleichzeitig bleiben die damit befassten Menschen im Training und können besser mit Störungen umgehen.
Steigende Fragilität
In der Praxis machen wir jedoch häufig das Gegenteil: Wir sichern alles immer stärker ab, überregulieren und versuchen, jede Störung zu verhindern, und sparen überlebenswichtige Reserven und Redundanzen aus betriebswirtschaftlichen Gründen ein. Das führt nicht zu mehr Resilienz und schon gar nicht zu Antifragilität, sondern genau zum Gegenteil – zu Fragilität. Denn wenn dann doch etwas Unerwartetes passiert, fehlen sowohl die Handlungskompetenzen als auch die Vorsorgemaßnahmen.
Sicherheit entsteht daher nicht, indem Risiken bagatellisiert und Handeln aufgeschoben wird. Sicherheit ist zudem kein Zustand, sondern ein fortlaufender Anpassungsprozess. Wenn diese Anpassung ausbleibt, wird es auch beim nächsten Ereignis wieder heißen „Das konnte doch nicht vorhergesehen werden.“ Oder „Auf das konnte man sich nicht vorbereiten.“ Solange ein derartiges Verhalten keine Konsequenzen für die Verantwortlichen hat, wird sich wohl auch nichts ändern (Stichwort: „Skin in the Game”).
Besorgniserregende Gassituation
Ein weiteres Symptom desselben Denkfehlers ist die aktuelle Situation der Gasspeicher in Deutschland und Europa. Möglicherweise werden wir in den nächsten Wochen einen größeren Stresstest erleben.
Während offizielle Stellen versuchen, die Lage herunterzuspielen, wird das Thema von anderen Seiten hochgekocht. Wer recht hatte, werden wir in einigen Wochen wissen. Es geht jedoch nicht darum, recht zu haben, sondern darum, dass damit erhebliche Konsequenzen verbunden sind. Offensichtlich hat sich der Glaube durchgesetzt, dass uns das bisherige Glück auch weiterhin hold sein wird.
Noch scheint der Ernst der Lage bei den Entscheidungsträgern auf den unterschiedlichsten Ebenen nicht angekommen zu sein. Bis hin dazu, dass man sich der eigenen unternehmerischen Verantwortung mit Aussagen wie „Darum kümmert sich die Politik“ oder „Der Staat wird schon wieder einspringen“ fahrlässig entzieht. Leider greifen diese Verantwortungsdiffusion und Fahrlässigkeit immer stärker um sich. Der Krug muss offenbar so lange zum Brunnen gehen, bis er bricht.
Das abstrakt-beruhigende Sicherheitsdenken
In Politik, Verwaltung, Wirtschaft und Gesellschaft dominiert ein Sicherheitsverständnis, das Sicherheit beschreibt, reguliert, zertifiziert und akademisiert, aber nicht zu den erforderlichen Handlungen führt. Dafür wäre praktisches Anwenden und Üben nötig, und zwar nicht nur von einzelnen Spezialisten.
Wir erkennen dieses Denken, wenn Sicherheit über das Vorhandensein von Plänen, Konzepten und Zuständigkeiten definiert wird und, sobald diese einmal formuliert sind, als erledigt gesehen wird. Wir erleben, wie Verantwortung verteilt und damit unscharf wird. Wer entscheidet bei Verantwortungsdiffusion zwischen Bund, Länder, Kommunen, Wirtschaft? Und wann? Statt vernetzter Kooperation entstehen Silos, die im Ernstfall versagen (müssen).
Beruhigende Narrative ersetzen unangenehme Vorbereitung. Es werden strukturelle Stärken betont oder Statistiken bemüht, wie die hohe Versorgungssicherheit der Stromversorgung (SAIDI) oder der Gasversorgung. Dies erfolgt mit einem Blick in den Rückspiegel („Truthahn-Illusion“). Übungen, Redundanzen und Zumutungen gelten als verzichtbar oder zu aufwendig. Eigenvorsorge, Systemtests und Zumutungen werden als unbequem etikettiert.
Warum dieses Mindset heute und in Zukunft scheitert
Das bisherige Sicherheitsverständnis ist auf regional begrenzte und zeitlich überschaubare Ausnahmefälle ausgelegt. Es stammt aus einer Zeit, in der Störungen punktuell auftraten, lokal und regional begrenzt waren und durch Rettungs- und Katastrophenschutzeinheiten, die zu einem großen Teil auf Freiwilligkeit beruhten, aufgefangen werden konnten. Diese Einheiten konnten sich stets auf vorhandene externe Unterstützung verlassen.
Heute und in Zukunft sind Störungen fast immer vernetzt und gehen über Systemgrenzen hinaus:
- systemisch
- kaskadierend
- gleichzeitig
- oft ohne Vorwarnung
- und die Hilfskräfte in doppelter Weise betreffend, privat und in ihrer Rolle als Helfer.
Das alte Denken ist mit einer Absicherungsmentalität verbunden, die operatives Handeln blockiert, da sie von Risikoscheu und Perfektionismus geprägt ist. Hinzu kommt die Angst, Risiken klar zu benennen und die Bürger mit unbequemen Wahrheiten zu konfrontieren.
Ein Mindset, das nur auf seltene Abweichungen vorbereitet ist, wird scheitern, wenn Störungen und vernetzte Krisen zum Normalzustand werden. Es verwechselt Wissen mit Können sowie Planung mit Handlungskompetenz.
Planung ersetzt keine Praxis
Selbstverständlich können wir auf Pläne nicht verzichten. Sie helfen, Ziele zu klären, Optionen zu durchdenken und Entscheidungen vorzubereiten. Sie sind aber immer nur eine momentane Annahme über eine ungewisse Zukunft. Bekanntlich überlebt „kein Operationsplan den ersten Feindkontakt.“ Das hat auch in der zivilen Welt Gültigkeit und beschreibt, dass diese gedankliche Vorwegnahme mit der komplexen, dynamischen Realität kollidiert und dabei zwangsläufig korrigiert, relativiert oder verworfen werden muss.
Pläne sind nicht als Endziel abzuheften, Pläne sind Arbeitshypothesen und Trainingsgrundlagen. Gute Planung bedeutet daher nicht, einen perfekten Ablauf niederzuschreiben, sondern Orientierungspunkte, Prioritäten und Entscheidungslogiken zu definieren, die helfen, sich unter Unsicherheit schneller anpassen zu können. Daher geht es auch um die Schulung der Abstraktions- und Reaktionsfähigkeit, Aspekte, die häufig zu kurz kommen.
Entscheidend ist die Kombination aus klarer Strategie und hoher Anpassungsfähigkeit. Wer starr am ursprünglichen Plan festhält, scheitert mit ziemlicher Sicherheit, während resiliente Akteure den Plan als Ausgangspunkt nutzen und ihn bei neuen Erkenntnissen konsequent immer wieder anpassen.
Krisenpläne
Ein 500-Seiten-Krisenhandbuch ist eine Sammlung von Informationen, aber kein Leitfaden für den Ernstfall. Wie Auswertungen vergangener Katastrophen immer wieder zeigen, sagt ein solches Handbuch nichts über die tatsächliche Handlungsfähigkeit aus.
Das abstrakte Sicherheitsdenken geht davon aus, dass wir Krisen nur durch Verstehen und Planen bewältigen können. Doch komplexe Systeme lassen sich nie vollständig durchschauen, da ihre Dynamik für Unerwartetes sorgt. Es muss geübt werden, mit dem Chaos umzugehen und Überraschungen zu bewältigen. Zudem sind Strategien ohne Budgets lediglich Simulationen und Pläne ohne Übungen Ausdruck einer Absicherungs- statt einer Handlungskultur.
Persönliche Involvierung unverzichtbar
Wir müssen verhindern, dass Risikoanalysen ohne klare Konsequenzen bleiben. Krisen- und Notfallpläne sollten nicht bloß erstellt, aber nie realistisch geübt werden. Wir dürfen nicht zulassen, dass sie von einem externen Berater erstellt werden, ohne dass sie selbst genau durchdacht sind. Verantwortung kann nicht delegiert werden. Auch hier nicht.
Die eigene Komplexität
Um die Komplexität vernetzter Krisen erfolgreich bewältigen zu können, ist eine mindestens ebenso hohe Komplexität erforderlich, wie im zu steuernden System (Krise) vorhanden ist. Dafür sind ein hoher Vernetzungsgrad und vernetztes Denken unverzichtbar. Dies kann nur durch eine Vernetzung mit den erforderlichen Akteuren für die Krisenbewältigung sowie durch regelmäßig und realistisch durchgeführte Übungen erreicht werden, die die Organisation(en) und die beteiligten Personen tatsächlich fordern und deren Handlungskompetenzen trainieren und stärken.
Krisensimulation »Neustart«
Die Krisensimulation »Neustart« der Gesellschaft für Krisenvorsorge demonstriert exemplarisch, wie Infrastrukturausfälle und vernetzte Krisen in einer Kleinstadt realitätsnah geübt werden können. Dabei müssen die Teilnehmenden mit limitierten Ressourcen, komplexen Regeln sowie Herausforderungen wie Zeitdruck, Entscheidungen unter Unsicherheit, Abstimmung mit anderen Akteuren, Priorisierung und Akzeptanz von Verlusten zurechtkommen. Das fordert die Teilnehmer – wie eine echte Krise. Wir freuen uns über die wachsende Verbreitung von »Neustart« und unseren neuen Serious-Game-Masterkurs am Institut für vernetzte Sicherheit für Trainer.
Auswirkungen auf die Resilienz/Antifragilität
Das bisherige Mindset erzeugt in Unternehmen, Kliniken und der Gesellschaft eine gefährliche Ruhe vor disruptiven Ereignissen wie Blackouts, Cyberangriffen oder einer möglichen Gasmangellage. Die Kosten dafür tragen Patienten und Bürger. Beruhigung ersetzt Vorbereitung, bis die Realität die Illusion zerstört.
Dabei handelt es sich nicht um individuelles Versagen, sondern um ein gesellschaftliches sowie organisationseigenes Denkmodell, das zwar lange Zeit funktional war, heute und in Zukunft jedoch nicht mehr tragfähig ist.
Die immer wieder zu hörenden Glaubenssätze „So schlimm wird es schon nicht kommen“, „Wir erfüllen doch die Vorgaben“, „Dafür haben wir Pläne und im Ernstfall reagieren wir flexibel“ zeigen, dass das System nicht wirklich verstanden wurde. Die immer zahlreicheren Regelungen führen zu Minimalanpassungen, um Fehler zu vermeiden und sich nicht angreifbar zu machen. Das ist zwar nachvollziehbar, aber realitätsfern. Vorgaben sollen die Resilienz stärken, führen aber oft zu Micromanagement. Das ist grundsätzlich nachvollziehbar, verkennt aber die Realität. Das Ziel sollte darin bestehen, „vor die Lage zu kommen“, um mit Überraschungen jeglicher Art besser umgehen zu können, statt lediglich Vorgaben zu erfüllen.
Überraschungen drohen auch im beruflichen Alltag. Eine resiliente Denkkultur schafft auch hier Wettbewerbsvorteile. Der Fokus sollte auf Erhalt der Handlungsfähigkeit, statt Bürokratie liegen. Ziel ist das Bestehen (Überlebensfähigkeit). Diese Mehrwerte sollten in der Organisation vermittelt werden, statt sich an die Erfüllung lähmender Vorgaben zu klammern.
Dazu gehört auch die Exnovation, Altes loslassen, um Ressourcen für Neues freizumachen. Gerade hier hapert es – allgemein wie im Speziellen. Doch auch das lässt sich lernen und bewusst sowie strukturiert einsetzen.
Das Gegenmodell: operative Resilienz
Operative Resilienz entsteht nicht auf dem Papier, sondern im echten Leben. Sie zeigt sich in Entscheidungen, im Zusammenspiel sowie im Verhalten von Menschen und Organisationen. Sie wächst in realistischen Übungen, in denen wir lernen, mit Störungen umzugehen, Verantwortung zu übernehmen und unser Handeln immer wieder zu optimieren und proaktiv handeln. Dabei sollten Einfachheit und das Pareto-Prinzip (20 % Aufwand für 80 % Erfolg) stets im Vordergrund stehen. Wir sollten ein „Gut genug“ akzeptieren, anstatt uns einer Illusion von Perfektion hinzugeben.
Während sich Sicherheit 1.0 auf Pläne und Analysen beschränkt, übt Sicherheit 2.0 das Chaos, passt sich dynamisch an und entwickelt sich weiter.
Fehlerkultur und die Suche nach Sündenböcken als Sicherheitsrisiko
Ohne eine starke, ehrliche und transparente Fehlerkultur bleibt Sicherheit nur eine Farce. Die Jagd nach Sündenböcken mag sich gut anfühlen, sie blockiert jedoch echtes Lernen. Dadurch verbessern sich Organisationen und Menschen nicht, sie werden nur leiser und verwundbarer.
Was wir brauchen, ist eine gelebte Fehler- und vor allem Lernkultur, die kritische Mitarbeiter:innen nicht kaltstellt, sondern ernst nimmt. Ermuntern wir alle Schwachstellen frühzeitig zu erkennen und zu benennen, bevor sie eskalieren. Lernen wir systematische aus Beinahe- und Realereignissen.
Eine schwache Fehlerkultur führt dazu, dass Probleme kleingeredet, Warnsignale ignoriert und Risiken schöngeredet werden. So täuscht man sich selbst, bis die Realität eintritt und das gesamte Luftschloss in sich zusammenbricht. Krisen sind systemisch – kein „Event“, sondern Kettenreaktion. Sie werden verstärkt durch unklare Zuständigkeiten, kollidierende Ziele, fehlende Backup-Systeme, ungetestete Annahmen sowie schlechte und unvorbereitete Krisenkommunikation.
Wir haben es in der Hand!
Es reicht nicht mehr aus, die Frage „Was könnte schiefgehen?“ zu stellen. Wir müssen stattdessen fragen:
- „Was machen wir in der ersten Stunde?“
- „In Stunde 6? In Stunde 24?“
- „Bei Szenario X? Bei Szenario Y?“
Es reicht nicht mehr aus, ein festes Team eingeteilt zu haben, das in dieser Zusammensetzung aus unterschiedlichen Gründen wahrscheinlich nicht zur Verfügung stehen wird. Diejenigen, die anwesend sind, müssen zumindest die ersten Schritte selbstständig umsetzen können, um das potenzielle Chaos zu reduzieren und Handlungsfähigkeit herzustellen. Das erfordert daher auch eine breitere Einbindung der Mitarbeiter:innen in die Krisenvorbereitung.
Dadurch entsteht Resilienz – nicht auf dem Papier, sondern durch vernetztes Denken und Training. Die Übungen müssen realistisch und schonungslos sein. Aber nicht, um jemanden bloßzustellen, sondern um besser zu werden. Und Übungen müssen nicht immer eine monatelange Vorlaufzeit benötigen. Sie können auch mit einfachen Werkzeugen, wie der Krisensimulation »Neustart«, oder Tabletop-Übungen durchgeführt werden. Bei diesen Übungen werden einzelne Aspekte durchgespielt und trainiert, etwa die Alarmierung und Betriebsaufnahme eines Krisenstabes mit den gerade anwesenden Personen, die Ausarbeitung einer ersten Information an die Mitarbeiter und die Öffentlichkeit oder die ersten Schritte bei einem IT-Sicherheitsvorfall. Weniger ist mehr.
In der Krise braucht es schnelle Entscheidungen. Das muss, wie die Krisenkommunikation geübt werden. Und es braucht einen Prozess für eine kontinuierliche Verbesserung. Wie sieht das dazu bei Ihnen in Ihrer Organisation aus? Ist das bereits implementiert und gelebte Praxis? Oder wann werden Sie das ansprechen und angehen?
Berlin hat es gezeigt: Das nächste Ereignis wird dasselbe System noch brutaler treffen.
Hören wir auf, das „Ob“ zu diskutieren. Bereiten wir das „Wann“ vor. Jetzt. Denn die nächste Krise könnte uns schneller treffen, als es uns lieb ist.
Zuletzt aktualisiert am 31. Januar 2026 um 22:10
