Resilienz ist heute mehr denn je eine Frage der zukünftigen Existenz. Gefragt sind Organisationsstrukturen, die sich kontinuierlich auf sich verändernde Umweltbedingungen einzustellen vermögen. Entsprechend bedarf es ganzheitlichen Schutzniveaus für Resilienz – technisch wie organisatorisch. Zusammengefasst werden diese Maßnahmen und Prozesse im Business Continuity Management (BCM) orchestriert.
Der Lehman-Brothers-Kollaps wird von manchen als Startpunkt einer Zeit der ausgewachsenen Krisen bezeichnet. Diese globale Finanzkrise, dann 2015 die sogenannte Flüchtlingskrise und kurz darauf der berechtigte Ausruf der Klimakrise. Die Hoffnung, die Unordnung und das Chaos würden sich auf eine Dekade beschränken, zerschlugen sich aber mit der Covid-19-Pandemie. Gerade als es schien, als würde sich die Lage entspannen, beginnt mitten in Europa ein Krieg. Die Krisen überlagern sich. Wir alle sind gezwungen, die Realitäten wahrzunehmen und zu reagieren.
Die Wucht der Veränderungen, die die Krisen, die Zerstörung und die Disruption der vergangenen Jahre ausgelöst haben, wird sich wohl erst in den kommenden Jahren voll entfalten. Das gilt für unseren Planeten, unsere Gesellschaft und unsere Wirtschaft. Denn Krisen passieren weder im luftleeren Raum, noch erledigen sie sich von selbst. Sie alle gehen zurück auf die Interaktion der verschiedenen Akteure der Weltgemeinschaft.
Manche Akteure und Unternehmen wissen mit Disruption und Krisen besser umzugehen als andere. Sie werden gemeinhin als resilienter bezeichnet. Ein Begriff, der aufgrund seiner inflationären Nutzung kaum mehr für Aufmerksamkeit sorgt. Dabei liegt dahinter eine Eigenschaft, die in Anbetracht der auf uns zukommenden Entwicklungen ohne Bedenken als die wichtigste von allen bezeichnet werden kann.
Wie reagieren Systeme auf Schocks?
Der Begriff der Resilienz geht zurück auf das lateinische Verb resilire und bedeutet so viel wie „zurückspringen“ oder „abprallen“. Resilienz wird ursprünglich als Maß in der Physik verwendet, um die Widerstandsfähigkeit von Materialien zu bewerten. Der Begriff beschreibt die Eigenschaft eines Stoffes, nach einer Verformung durch Druck oder Belastung wieder in seine ursprüngliche Form zurückzukehren. So weist beispielsweise ein Schwamm eine wesentlich höhere Resilienz auf als ein Stück Holz.
Auf Basis dieses einfachen Prinzips werden heute in der Resilienzforschung komplexe Systeme und ihr Verhalten bei Schocks und Störungen analysiert. Vereinfacht gesagt: Wie widerstandsfähig reagiert ein System auf eine Krise? Dabei kann es sich sowohl um Staaten als auch um Organisationen jeglicher Größe und Zwecke handeln und – nicht zuletzt – jeder Mensch einzeln.
In Anlehnung an das physische Konzept, taucht häufig die Bezeichnung „bounce back“ auf. Diese bezieht sich auf die Fähigkeit, nach einer Störung in die Ausgangslage zurückzukehren. Auf aktuelle Krisen übertragen, bedeutet dies, dass nach Abklingen des entsprechenden Ereignisses der Zustand vor dem auslösenden Momentum angestrebt wird. Dabei wird jedoch außer Acht gelassen, dass jede Krise auch Veränderungen mit sich bringt. Es ist also unmöglich, wieder in die Ausgangslage zurückzukehren.
Der erweiterte Resilienzbegriff
Die Forschung bedient sich daher eines erweiterten Resilienzbegriffs. Dieser geht zurück auf den Ökologen C.S. Holling und seinen 1973 erschienen Aufsatz „Resilience and Stability of Ecological Systems“. Dort schreibt er: „Wenn wir es […] mit einem System zu tun haben, das von externen Veränderungen stark beeinflusst wird und ständig mit Unerwartetem konfrontiert ist, wird die Konstanz des Verhaltens weniger wichtig als die Beständigkeit der Beziehungen. Die Aufmerksamkeit verlagert sich daher auf das Qualitative und auf die Frage der Existenz […].“
Florian Roth vom Fraunhofer-Institut für System- und Innovationsforschung ISI plädiert in Anlehnung an dieses erweiterte Verständnis von Resilienz für die Verwendung des Terms „bounce forward“. Darunter ist die Fähigkeit zu verstehen, nicht in den Systemzustand vor einem Schockereignis zurückzukehren, sondern das System kontinuierlich auf sich verändernde Umweltbedingungen einzustellen und so langfristig zu reifen. Auch Nassim Taleb plädiert in seinem Buch für „zufallsaffine“ Systeme mit einer Art Hyper-Robustheit, die er „Anti-Fragilität“ nennt.
Was simpel klingt, ist in der Praxis häufig mit Herausforderungen verbunden. Zielgenau Resilienz aufzubauen ist nahezu unmöglich. Denn in komplexen Systemzusammenhängen lassen sich nie alle denkbaren Krisenszenarien vorhersehen. Und da das nicht möglich ist, geht es im Kern um die Kompetenz, sich permanent anzupassen sowie zentrale Fähigkeiten und kritische Ressourcen vorzuhalten.
Für Unternehmen bedeutet das, dass die ergriffenen Maßnahmen nicht lediglich auf eine möglichst schnelle Wiederherstellung des status ex ante abzielen, sondern eine weitsichtige und nachhaltige Weiterentwicklung des Geschäfts betrieben wird. Was Holling auf das Klima und die Gesellschaft bezog, ist auch im Business-Kontext wie für jeden von uns relevant: Resilienz ist heute mehr denn je eine Frage der zukünftigen Existenz.
Wir kennen die Diskussion aus dem „Fail Fast“, der Fehlerkultur als Teil des Start-Up-Gens mit hoher Akzeptanz (für Pleiten und Neuanfänge) in den USA, aber geringerer Fehlertoleranz in der EU oder gar in autokratischen Systemen. Bei sich überlagernden Krisen wird es direkter und unmittelbarer: Überleben bedeutet: im Sinne der Verfügbarkeit in der Lieferkette, Finanzen, der Talente und Skills der Mitarbeitenden, der Daten und Prozesse, der Ressourcen, des Klimas, etc.
Business Continuity Management als Antwort auf Krisen
Potenziell kann jedes Schadensereignis die Existenz eines Unternehmens gefährden. Dies kann sowohl eine globale Finanz- oder Gesundheitskrise sein, kriegerische Auseinandersetzungen oder auch ein vergleichsweise simpler Angriff auf die eigene IT-Infrastruktur. Ist mein Unternehmen als Marktteilnehmer dann für andere (Kunde, Lieferant, Partner, Arbeitgeber, Finanzierer) noch verlässlich? Im Accounting wird beispielsweise das Prinzip des „Going Concern“ als Vorausschau auf die nächsten 12 Monate angewendet: Könnten fällige Zahlungen geleitet werden? Dies ist in einer von „Black Swan“-Schadensereignissen determinierten Welt iterativ neu zu bewerten.
Entsprechend bedarf es eines ganzheitlichen, angemessenen und aktuellen Schutzniveaus für Resilienz – technisch wie organisatorisch. Zusammengefasst werden diese Maßnahmen und Prozesse unter dem Begriff des Business Continuity Managements (BCM). Dessen Ziel ist die Überlebenssicherung durch zwei Komponenten: Zum einen Präventivmaßnahmen, um Auswirkungen aus einem Schadensereignis zu vermeiden oder abzumildern, d.h. die Ausfallsicherheit der Geschäftsprozesse erhöhen. Zum anderen die konkrete Vorbereitung von Maßnahmen nach Eintritt eines Ereignisses. Dies umfasst abgestufte Pläne für Notfälle, Krisen und Katastrophen.
Ein erster Schritt für das Management muss es sein, im Risikomanagement einen konkreten Überblick über die Werte („Assets at Risk“) für Schadensereignisse sowie daraus folgende Kausalketten zu verschaffen, z.B. in Szenarien. Für die Cyber-Resilienz bedeutet dies, alle denkbaren Sicherheitslücken strukturiert abzuarbeiten: Was wäre die Auswirkung auf Assets bei welchen Angriffsarten über welche Angriffswege („Vektoren“)? Die eigenen IT-Systeme sollten nach Stand der Technik bzw. „mindestens marktüblich“ gesichert werden, Compliance-Vorgaben auf ihre Umsetzung gecheckt und Notfall- und Recoverypläne aufgesetzt werden. Lieferketten müssen überprüft und gerüstet werden, Preisschocks, Konjunktur- und Nachfrageschwankungen beziehungsweise -ausfälle, sowie weitere Notfall und Krisenszenarien durchgespielt werden. Aufgrund der so entstehenden Gesamtsicht lassen sich Strategien entwickeln, die aus der Risiko-Gesamtsicht abgeleitet sind, auf das BCM (bzw. IT SCM) sowie die Cyber-Sicherheit einzahlen und die die Robustheit der bestehenden Systeme – und der Organisation insgesamt fördern.
Um dorthin zu kommen, müssen Unternehmen die traditionelle Sicht auf einzelne (IT-) Systeme ablegen. Die BCM-Umsetzung beinhaltet neben technischen Aspekten u.a. auch eine eigene Ablauforganisation, eigene Gremien, Meldeketten und Kommunikationspläne. Objekte sind dabei die kritischen Ressourcen für das Unternehmen. Ein Weg zur Resilienz ist die Fähigkeit, vorhandene Ressourcen jeder Art flexibel umzuwidmen. Die Anpassungsfähigkeit und im Schadensfall agile Reaktionsfähigkeit ist essentiell. Dies zeigt, dass auch Fragen der Sicherheit keinesfalls auf ein reines IT-Thema zu verkürzen sind. Die Organisation muss ganzheitlich betrachtet werden.
Eine Einsicht, die wir uns aus der Resilienzforschung abschauen können, ist die Fähigkeit, gezielt vorhandene, wertvolle Ressourcen zur Krisenbewältigung zu heben. Unternehmen, die dort nicht aufhören, sondern sich um die Weiterentwicklung ihres Geschäfts in Anbetracht sich verändernder Umweltbedingungen kümmern, können Krisen nicht nur überleben, sondern gestärkt aus ihnen hervorgehen. Sie sind es, denen das Vertrauen und damit die Zukunft gehört.