Transparenz statt Russisches Roulette

Dieter Kuhn, Mitglied der Geschäftsführung eines mittelständischen Autozulieferers in Baden-Württemberg, erinnert sich an ganz andere Zeiten: „Mein Vater sagte immer: ‚Wenn‘s finster wird, ist Schluss, die Nacht ist zum Schlafen da.‘ Das war einmal. Heute gehen bei uns die Lichter nie aus.“

Nichts könnte den Wandel zur neuen Welt der globalisierten Wirtschaft besser beschreiben als der Kontrast zwischen den Business-Philosophien von Vater und Sohn Kuhn. In der Aufbauphase der 1950er und 1960er Jahre war mit Sicherheit auch Vater Georg Kuhn nicht in der Situation, nach Belieben die Beine hochzulegen und den lieben Gott einen guten Mann sein zu lassen. Mit der „Always-On- Wirtschaft“ des 21. Jahrhunderts allerdings hatte der damalige Geschäftsalltag kaum etwas gemeinsam.

Wie sich die heutige Situation darstellt, umreißt Dieter Kuhn mit wenigen Sätzen: „Wir sind trotz überschaubarer Betriebsgröße mit weltweit verteilten Auftraggebern und Partnern sehr eng verflochten. Daher laufen wichtige Prozesse rund um die Uhr, und jede Unterbrechung der Abläufe ist nicht mehr nur unser Problem, sondern würde im Produktionsverbund katastrophale Probleme verursachen. Das wiederum würde uns erst so richtig Probleme machen: Unser Überleben als potenter Partner der Autoindustrie hängt von absoluter Zuverlässigkeit und Vertragstreue ab.“

Krisenfest oder todgeweiht
Dass unerwartet einbrechende Krisen durch Unterbrechung kritischer Geschäftsprozesse die Existenz gefährden, ist nicht mehr nur ein Thema, das Weltkonzerne betrifft. Im Gegenteil, oft sind es gerade kleinere Betriebe, die durch eine hoch spezialisierte Produktoder Servicepalette besonders empfindlich gegenüber Prozessstörungen sind. Generell macht es für jedes Unternehmen unabhängig von Größe und Branche Sinn, sich mit den Folgen von Krisen oder Katastrophen auseinanderzusetzen. Der Fachausdruck für eine systematische Krisenstrategie lautet Business Continuity Management (BCM) - zu Deutsch: Geschäftskontinuitätsmanagement oder Betriebliches Kontinuitätsmanagement - und umfasst die ganze Palette organisatorischer Maßnahmen bis zum Einsatz von unterstützenden Softwarepaketen, die den unterbrechungsfreien Ablauf der Geschäftsprozesse garantieren.

Dabei stellt man sich in der Regel unter „Krisen“ katastrophale Ereignisse vor wie Brände, Erdbeben oder Überschwemmungen. Aber auch ganz alltägliche Ereignisse können Krisensituationen heraufbeschwören und den Geschäftsbetrieb nachhaltig behindern – etwa ganz trivial ein defekter Drucker, mit dem Liefer- und Frachtpapiere gedruckt werden. Das kann mit gravierenden Auswirkungen verbunden sein, beispielsweise dann, wenn ohne die Papiere eine „Just-in-Time“- Auslieferung von Werkzeugteilen zur unmittelbaren Weiterverarbeitung nicht möglich wäre – denkbare Konsequenz: hohe Vertragsstrafen. Häufig sind den Verantwortlichen solche Zusammenhänge nicht bewusst, denn diese zeigen sich ja eben erst in Krisensituationen. Daher fehlt es meist auch an entsprechenden Handlungsanweisungen, so dass unter Druck Entscheidungen getroffen werden müssen, um den Betrieb aufrecht zu erhalten.

Überlebensstrategie für den Krisenfall
Das Hauptziel, das mit einem wirksamen Krisenmanagement (letztendlich ist BCM genau dies) erreicht werden soll, ist also die Aufrechterhaltung des Geschäftsbetriebs. Dieser BCM-Prozess besteht zunächst aus der Ermittlung der kritischen Geschäftsprozesse, einer Analyse und Bewertung der Gefährdungen und deren Folgen, umfasst dann Handlungsanweisungen und oft auch die Entscheidung für eine entsprechende BCM-Software, wie sie zahlreiche Hersteller anbieten (große wie IBM, Paradigm, Secaron oder Siemens, aber auch zahlreiche mittelständische Firmen).

Grundlage zur Bewertung der zu treffenden Maßnahmen sind die wirtschaftlichen Folgen für das Unternehmen während und nach einem Krisenfall. Es muss geklärt werden, welche Geschäfts- und Fertigungsprozesse für die Wertschöpfung entscheidend sind. Zu fragen ist: Mit welchen Prozessen verdiene ich Geld, und was bedeutet es, wenn diese Prozesse ausfallen? Und weiter: Ab welchem Zeitpunkt kann ein Ausfall dieser Prozesse nur noch mit Mehrkosten, wenn überhaupt, kompensiert werden? Ab wann werden eventuell Konventionalstrafen wegen verspäteter Erfüllung der Aufträge fällig? Kann dadurch ein Imageproblem für das Unternehmen entstehen? Nicht alle Prozesse sind ja für den Geschäftserfolg gleich bedeutend. Um Fehlinvestitionen in die IT zu vermeiden, sollten diese Fragen daher sorgfältig erhoben und beantwortet werden. Unabhängig vom Risiko ergibt sich daraus als Gewinn ein hohes Maß an Transparenz bezüglich aller Vorgänge im Betrieb.

Im nächsten Schritt geht es dann um die Überprüfung der Geschäftsprozesse hinsichtlich der Frage, über welche Komponenten – IT-Anwendungen oder Informationen – sie abgebildet werden; erst dann müssen die darunter liegende IT-Infrastruktur sowie die sie begleitenden Betriebsprozesse beleuchtet werden. Auf der Basis dieser Analysen lassen sich dann Angaben zur maximal tolerierbaren Ausfallzeit der Prozesse erarbeiten. Was etwas sperrig klingt, ist nichts Geheimnisvolles: Jeder Mittelständler ist sehr schnell in der Lage, die entscheidenden Vorgänge in seinem Betrieb aufzuzeigen, festzustellen, wie kritisch sie sind, welche Schwachstellen es gibt und welche Gefährdungen welche Folgen haben. Betrachtet man die Risiken für die einzelnen Prozesse, so kann das Gesamtrisiko bezüglich eines Ausfalls eines jeden Geschäftsprozesses ermittelt werden.

Muss ein Unternehmen alle Elemente des Geschäftsbetriebs um jeden Preis aufrecht erhalten? Wolfgang Straßer, Geschäftsführer der @-yet GmbH (add-yet.de), eines Beratungsunternehmens für IT-Sicherheit und Risikomanagement, rät zur Vorsicht: „Um die richtige Strategie zur Behandlung der Risiken zu finden, bedarf es einer Bewertung aus Kosten-/Nutzensicht. Dabei gilt es, verschiedene Fragen zu beantworten, zum Beispiel ob es sinnvoll ist, bestimmte Risiken in Kauf zu nehmen, weil die Wahrscheinlichkeit des Eintritts als gering einzustufen ist, oder ob es doch günstiger ist Alternativmaßnahmen zu entwerfen.“

IT-Betrieb als entscheidende Business-Stütze
Auch kleine Unternehmen sind ohne den Einsatz von IT nicht mehr geschäftsfähig. Produktentwicklung, Verkauf, Einkauf, Belieferung der Kunden, Buchhaltung, Personalabrechung – ohne den Einsatz von IT geht hier nichts mehr. Daher hat inzwischen auch der Gesetzgeber eine diesbezügliche Organisationsverpflichtung erlassen. Was aber gehört hinsichtlich eines BCM zu den Anforderungen an die IT-Sicherheit? Wolfgang Strasser: „Obligatorisch im Rahmen von BCM sind: nicht für jedermann zugängliche Rechnerräume, der Einsatz von RAIDPlatten und regelmäßigen Backups, wobei die Bänder tunlichst ausgelagert werden sollten, zumindest aber unternehmensintern in einen anderen Brandabschnitt gehören. Notfallpläne gehören ebenfalls mit in den Gesamtkontext von BCM.“

Wichtig ist auch die Planung der Wiederanlaufszenarien. So könnten besonders kritische Anwendungen beispielsweise die gezielte Nutzung eines Stand-by-Rechenzentrums erforderlich machen. Auch organisatorische Aspekte dürfen nicht vernachlässigt werden, etwa wie der Betrieb der IT-Abteilung aufrechtzuerhalten ist, wenn alle Mitarbeiter gleichzeitig an einem Grippevirus erkrankt sind. Entscheidend ist in jedem Fall, dass ein wirksames Risikomanagement ein ganzheitliches Betrachten des Unternehmensbetriebs erfordert. Entsprechende BCM-Maßnahmen werden dann in organisatorischer, IT-technischer, infrastruktureller als auch personeller Form umzusetzen sein.

Fazit

• Auch für kleine Betriebe ist ein wirksames Risikomanagement in der heutigen Wettbewerbssituation überlebenswichtig.

• Ein Risikomanagementprozess beginnt mit einer Analyse der kritischen Geschäftsprozesse und der Ermittlung des Gefährdungspotenzials.

• Nur dort, wo wirklich geschäftskritische Prozesse im Spiel sind, gibt es Handlungsbedarf bezüglich eines betrieblichen Kontinuitätsmanagements (BCM).

• Zu den Maßnahmen im Rahmen des Risikomanagements gehören solche organisatorischer, IT-technischer, infrastruktureller und personeller Natur.

zurück zur Übersicht