![[Illustration]](05-1-059-1.jpg)
Abbildung 1: Wirkungsbereich von Business Resilience
Außer klassischen Ausfall- und Angriffsszenarien "bedrohen" heute auch unvorhersehbare Nachfrageschwankungen, Firmenübernahmen, neue Technologien, turbulente Kapitalmärkte und die Herausforderungen durch dynamische internationale Märkte das effiziente Arbeiten eines Unternehmens. Neben Ausfallsicherheit benötigen Geschäftsprozesse und Firmen-IT daher auch einen "Überlastschutz" und ausreichende Flexibilität, um auf unvorhersehbare Ereignisse reagieren zu können und den ununterbrochenen Geschäftsbetrieb auch bei externen Störungen zu gewährleisten. Darüber hinaus müssen sie über ein schnelles Reaktionsvermögen verfügen, um Chancen nutzen und damit im Wettbewerb bestehen zu können. Konkret bedeutet das, dass sich die Widerstandsfähigkeit eines Unternehmens neben bekannten Risiken und regulatorischen Anforderungen auch an Chancen und positivem Stress orientieren muss (vgl. Abb. 1).
Denn auch so genannter positiver Stress kann die Infrastruktur eines Unternehmens gefährden oder zeitweise vollständig zum Erliegen bringen. Ein plötzlicher Anstieg der Nachfrage, etwa durch eine hohe Anzahl von Internet-Transaktionen, kann das Antwortverhalten eines IT-Systems bei falscher Kapazitätsplanung stark verlangsamen oder es sogar zum Absturz bringen.
Abbildung 1: Wirkungsbereich von Business Resilience
Zur Umschreibung der Widerstandsfähigkeit eines Unternehmens wird neuerdings vielfach von Resilience gesprochen. Dieser Begriff ist bisher eher in der Psychologie und Soziologie verwendet worden (vgl. Kasten) und steht dabei im Gegensatz zu einer unflexiblen, nichtanpassungsfähigen Resistenz. Business-Resilience-Lösungen greifen die geschilderte Problematik auf und verbinden Themen wie integriertes Risikomanagement, Kontinuität des Geschäftsbetriebs, Regularien und Gesetze, Datenschutz und Datensicherheit, Know-how und Expertise sowie Marktkenntnis zu einem ganzheitlichen Konzept. Ziel ist dabei die stetige Geschäftsfähigkeit der Unternehmen sicherzustellen beziehungsweise die Auswirkungen von negativen und positiven Stresssituationen auf den Geschäftsbetrieb zumindest zu minimieren.
----------Anfang Textkasten----------
Eine direkte Übersetzung des Begriffs "Resilience" ins Deutsche ist schwierig. Am besten lässt sich der Ausdruck mit Flexibilität, Elastizität, Widerstandsfähigkeit oder Anpassungsfähigkeit umschreiben. Anschaulich wird dies an einem Beispiel aus der Natur: Schilf verhält sich elastisch bei Einwirkungen durch Wind, Sturm oder Wasser. Solange der "Stress" nicht zu stark ist, kehren die Schilfrohre immer wieder in ihre Ausgangsposition zurück. Sie sind somit perfekt an Veränderungen angepasst und agieren optimal in ihrer Umwelt – sie sind resilient.
Erstmalig ist Resilience vor über 40 Jahren in wissenschaftlichen Texten aufgetaucht, und zwar in der Psychologie. Als Pionier von Resilience-Studien gilt Norman Garmezy. Zum ersten Mal untersuchte er 1963 das Verhalten von Kindern, die trotz des ständigen Kontaktes zu ihren schizophrenen Eltern selbst nie dieses Krankheitsbild aufwiesen. Die diesem Phänomen zugrunde liegende Fähigkeit, sich mit der Situation zu arrangieren und dadurch in geistig gesundem Zustand zu verbleiben, bezeichnete Garmezy als Resilience.
Aus psychologischer Sicht gilt Resilience also als positive menschliche Eigenschaft. Aufgrund der wichtigen Rolle von Resilience bei Menschen wurden die Forschungen über die Disziplin der Psychologie hinweg ausgeweitet. Im Bereich der Betriebswirtschaft entwickelten sich daraus Resilience-Untersuchungen, die in der Psychologie gewonnene Erkenntnisse teilweise auf Organisationen übertragen. Ein Unternehmen kann demnach als "resilient" bezeichnet werden, wenn es:
Resilience bezeichnet somit nicht das Reaktionsvermögen des Unternehmens bei einer einmaligen Krise, sondern beschreibt vielmehr die Fähigkeit, fortlaufend künftige Entwicklungen vorauszusehen und sich auf diese im Vorfeld einzustellen.
----------Ende Textkasten----------
Daher bedarf die strategische Ausrichtung von Unternehmen eines integrierten Betrachtungsansatzes, der sowohl die Geschäfts- als auch die IT-Infrastruktur der Unternehmen untersucht. Während bisher häufig nur die strategische oder die informationstechnische Ebene eines Unternehmens analysiert wurde, verbindet Resilience jetzt diese Untersuchungen zu einer ganzheitlichen Lösung. Hierzu finden Unternehmen bei Bedarf in Resilience-Anbietern Partner, die neben Beratung auch Konzeption und Realisierung erforderlicher Maßnahmen durchführen und eventuell auch den teilweisen oder kompletten Betrieb der Lösung für den Auftraggeber übernehmen.
Resilience-Lösungen umfassen die unternehmensweite Gestaltung der Geschäfts- und IT-Infrastruktur, beginnend bei Themen der Grundsicherung, etwa zur Ermittlung und Beseitigung von Schwachstellen hinsichtlich Datenschutz, Daten-, Gebäude- und Ausfallsicherheit sowie der Untersuchung auf vorhandene Backup- und Notfallstrategien. Dies dient in erster Linie der Sicherstellung der Geschäftsfähigkeit im Falle potenzieller Störungen, dem Schutz des Unternehmensvermögens (z. B. Gebäude, Urheberrechte) sowie dem Schutz und der Geheimhaltung von Kunden- und Mitarbeiterinformationen.
Darüber hinaus zielen Resilience-Lösungen aber ebenso darauf ab, neben "negativen" auch mögliche "positive" Risikoszenarien in Unternehmen aufzudecken. Ein Beispiel für ein positives Risikoszenario ist – wie bereits angedeutet – ein plötzlicher Anstieg der Nachfrage. So könnte für einen Internet-Buchladen das Erscheinen eines neuen Harry-Potter-Bandes nicht zu dem erwarteten Mehrumsatz und zu neuen Kunden führen, sondern schlimmstenfalls durch "überhöhte" Transaktionszahlen und die dadurch verlangsamte Ausführungsgeschwindigkeit sogar Kaufabbrüche und einen Wechsel der Kunden zu anderen Anbietern bewirken. Doch auch andere Bereiche könnte die erhöhte Nachfrage negativ beeinflussen: Die Zulieferung vom Großhändler sowie Verpackung und Auslieferung der Bestellungen an den Endkunden müssen bei einer Risikobetrachtung ebenfalls berücksichtigt werden.
Im Bereich der Business Resilience gilt es daher, die internen Geschäftsprozesse, die Beziehungen zu Kunden und Zulieferern sowie die strategische Ausrichtung des Unternehmens zu analysieren.
Um Resilience-Konzepte und -Lösungen in die Tat umzusetzen, muss die Analyse des zu untersuchenden Unternehmens ganzheitlich und fortlaufend erfolgen, da die Abläufe im Unternehmen ständig den sich ändernden Rahmenbedingungen anzupassen sind. Im Rahmen von Resilience-Lösungen wird hierzu häufig eine dreizügige Methode verwendet, die sich an der Reichweite der Auswirkungen von Stressfaktoren, den Ebenen eines Unternehmens sowie der Strategie der Gegenmaßnahmen orientiert (vgl. Abb. 2).
![[drei Achsen von Resilience: Reichweite - Ebenen - Gegenmaßnahmen]](05-1-059-3.jpg)
Abbildung 2: Dreizügige Resilience-Methodik
Ein Unternehmen muss dafür zunächst die Einzigartigkeit seines Geschäfts beziehungsweise Geschäftserfolgs identifizieren. Dazu gilt es all jene Faktoren und vitalen Prozesse zu ermitteln, die für das Bestehen des Unternehmens von essenzieller Bedeutung sind. Anschließend wird untersucht, wo die größten Risiken, aber auch die größten Potenziale liegen; das kann sowohl im Bereich der IT-Infrastruktur (z. B. Virenschutz), der Prozesse (z. B. Geschäftskontrolle) oder der Strategie der Firma (z. B. anstehender Verkaufsstart eines Produktes) sein. Schließlich betrachtet man, welche Reichweite Nachfrageschwankungen, Unterbrechungen oder Bedrohungen im Unternehmen und seinem Umfeld haben. Die Auswirkungen können sich dabei auf einzelne Systeme oder Geschäftsprozesse beschränken oder sich auf ganze Abteilungen, den Betrieb oder gar auf Zulieferer, Kunden und Partner erstrecken.
In einem weiteren Schritt wird das Unternehmen in sechs so genannte Resilience-Ebenen untergliedert, um potenzielle Risiken und Schwachstellen innerhalb und zwischen den Ebenen zu erkennen. Die Betrachtung in jeder Ebene erfolgt dabei anhand der "Fachthemen" von Resilience, nämlich Betriebskontinuität, Verfügbarkeit, Sicherheit, Wiederherstellungsfähigkeit und Skalierbarkeit. Die Ebenen im Einzelnen:
Nachdem die Unternehmenschancen und -risiken identifiziert sind, wird (ggf. gemeinsam mit dem Resilience-Dienstleister) im dritten und letzten Schritt eine Strategie für die Gegenmaßnahmen bestimmt, die auch den Entwurf einer firmenspezifischen Resilience-Lösung umfasst. Ihre "Breite" kann dabei von einfachen Stand-alone-Lösungen bis hin zur vollständigen Neuorganisation der Unternehmensinfrastruktur variieren. So sind Änderungen der Hard- und Softwareausstattung eines Unternehmens ebenso denkbar wie Prozessverbesserungen oder sogar große Folgeprojekte, beispielsweise ein Outsourcing-Projekt der IT-Abteilung.
Die wenigsten Unternehmen beginnen hier bei Null. Betrachtet man die einzelnen Ebenen isoliert voneinander, so zeigen sich bereits fast überall Aktivitäten. Was aber meist fehlt ist ihre Koordination, ausgerichtet an einem gemeinsamen Ziel: Erreichen oder Erhöhung der Widerstandsfähigkeit. Genau das ist das Neue an Resilience: bereits vorhandene Aktivitäten und Maßnahmen zu koordinieren und an ihrer Gesamtwirkung zu messen und dann mit neuen und notwendigen Aktivitäten zu ergänzen.
Neben "Messen und Bewerten" gibt es einen weiteren Weg, das Thema Resilience greifbar zu machen, nämlich über die Betrachtung bestimmter Schlüsseltechniken, von denen anzunehmen ist, dass sie in einem (zukünftigen) Unternehmen mit optimaler Resilience vorhanden sind. Von besonderer Bedeutung dabei sind die so genannten Brückentechniken, die Bereiche verbinden, die bisher relativ unabhängig voneinander gesteuert wurden.
Hierzu zwei Beispiele: Im Schatten der Ereignisse des 11. September 2001 wurde lange über die in vielen Unternehmen getrennte Betrachtung von physischer und logischer Sicherheit diskutiert. Typischerweise ist die Verantwortung für diese Bereiche zwischen dem klassischen Unternehmensschutz und einer IT-Sicherheitsfunktion aufgeteilt, die der IT-Leitung zugeordnet ist. Eine Koordination der Aktivitäten und Konzepte findet oft nicht statt. Eine Technik, die hier eine Brücke schlägt, ist beispielsweise der Mitarbeiterausweis mit Smartcard. Er gewährleistet auf der einen Seite die physische Zutrittskontrolle zu geschützten Bereichen, auf der anderen Seite aber auch den Zugang zu Daten, Systemen, Netzen und Anwendungen – und nebenbei vielfältige Mehrwertdienste (z. B. als Geldkarte für das Betriebsrestaurant). Neben der Kontrolle von Zutritt und Zugang lassen sich sicherheitsrelevante Ereignisse im Zusammenhang mit der Karte erfassen und korrelieren und entsprechende Maßnahmen einleiten.
Ein zweites Beispiel ist die digitale Videoüberwachung. Begrenzender Faktor bei analoger Videoüberwachung ist der Mensch – sowohl hinsichtlich der Qualität als auch der Kosten. Bei digitaler Videoüberwachung können sicherheitsrelevante Ereignisse jedoch digital ausgewertet und gepeichert werden. Die Brücke zur logischen Sicherheit wird geschlagen, indem man sicherheitsrelevante Ereignisse aus beiden Welten miteinander korreliert und die Ergebnisse zur Grundlage einer gegenseitigen Optimierung der Maßnahmen verwendet.
Weitere Beispiele für Schlüsseltechnologien sind:
----------Anfang Textkasten----------
Business Resilience ist die Fähigkeit eines Unternehmens, sich auf Ereignisse, die den Geschäftsablauf beeinflussen können, bereits im Vorfeld bestmöglich vorzubereiten. Die Auslöser von Veränderungen können dabei sowohl positiver wie negativer, interner wie externer Natur sein. Generell hat Resilience zum Ziel, die Geschäftsfähigkeit der Organisation auch bei unerwarteten Vorfällen ohne signifikante Unterbrechungen zu gewährleisten.
![[Business Resilience = Integriertes Risikomanagement + Kontinuität des Geschäftsbetriebs + Einhaltung von Gesetzen und Regularien + Datenschutz und -sicherheit + Know-how und Expertise + Kenntnis des Marktes]](05-1-059-2.jpg)
Business Resilience verbindet verschiedene Elemente zu einem ganzheitlichen Konzept.
Um resilient zu sein, muss ein Unternehmen erfolgreich die folgenden sechs Elemente managen:
----------Ende Textkasten----------
Mit der Ausrichtung auf proaktive Lösungen adressiert Resilience die gestiegenen Anforderungen moderner Unternehmen in einem dynamischen Marktumfeld. Dies gewährt den Vorteil, die gleichen Lösungen sowohl für den Schutz der Unternehmenswerte, den ununterbrochenen Geschäftsbetrieb als auch für die Wahrnehmung aufkommender Marktchancen zu nutzen. Ziel ist es, die finanzielle Stabilität, Kundenzufriedenheit und Produktivität auf einem hohen Niveau sicherzustellen – selbst bei Ausfällen, Unterbrechungen im Geschäftsbetrieb oder Schwankungen der Nachfrage.
Ist ein Unternehmen derart gegen Risiken geschützt, so kann die Firma dies dank des durch Resilience erzielten Gewinns an operativer Zuverlässigkeit und Sicherheit als Wettbewerbsvorteil nutzen. Somit steigert die Umsetzung von Resilience-Lösungen beispielsweise die Attraktivität eines Unternehmens als Kooperationspartner, was in Zeiten internationaler Märkte ein entscheidendes Kriterium für die Expansion ins Ausland darstellen kann.
Sven Müßig ist Resilience Solution Manager bei der IBM Deutschland GmbH (![[externer Link]](../../../../images/link.gif)
www.ibm.com/services/de/resilience/).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#1, Seite 59
| 