Krisenbewältigungsmechanismen aus einzelnen und teilweise voneinander getrennten Managementsystemen für Notfall- und Krisenmanagement, Business Continuity Management, Disaster Recovery, IT Service Continuity Management oder das Krisenmanagement einzelner Standorte reichen im Rahmen der COVID-19 Pandemielage in manchen Unternehmen und Organisationen nicht aus; es fehlt die Verbindung und übergreifende Steuerung. Gefragt ist ein bündelnder Ansatz zur Herstellung von „Enterprise Resilience“, der die Widerstandsfähigkeit in Krisensituationen auch kulturell in allen Teilen einer Organisation verankert.

Enterprise Resilience

Die anhaltende COVID-19 Pandemielage führt zum gegenwärtigen Zeitpunkt zu teils empfindlichen wirtschaftlichen, politischen und gesellschaftlichen Auswirkungen, unter anderem auf internationale Lieferketten sowie auf Produktions- und Fertigungsprozesse. Das vorliegende Pandemie-Szenario zeigt sehr deutlich, dass vielfach bestehende Präventionsmaßnahmen zum Krisen- und Kontinuitätsmanagement in derartigen Großlagen teils nicht für eine koordinierte Bewältigung ausreichen; gefragt ist ein übergreifender Ansatz zur Herstellung von „Enterprise Resilience“, also der Schaffung ganzheitlicher Unternehmens-Resilienz. Innerhalb einer Organisation vorhandene Krisenmanagement-Ressourcen aus Fachbereichen wie IT-Security, Legal & Compliance, Unternehmenssicherheit, Forensik, Safety, Gesundheitsmanagement oder Unternehmenskommunikation sowie vor allem in Konzerngesellschaften und operativen Einheiten müssen gebündelt und ein Grundstein für eine organisationsweite „Resilience Culture“ gelegt werden.

Physische Sicherheit und IT-Sicherheit

Auch die COVID-19 Lage zeigt deutlich, dass sich Krisenszenarien nicht mehr eindeutig bestimmten Domänen oder Fachbereichen zuordnen lassen. Bereits niedrigschwellige Sicherheitsvorfälle haben vielfache gegenseitige Wechselwirkungen; ein physischer Sicherheitsvorfall kann einen IT-Security Vorfall nach sich ziehen, z.B. bei einem extremistischen Angriff auf einen Kommunikationsknoten. Ebenso kann ein IT-Angriff erhebliche Konsequenzen im Bereich der physischen Sicherheit nach sich ziehen, beispielsweise bei einem Angriff auf kritische IT-Systeme eines Krankenhauses, der Energieversorgung oder eines selbstfahrenden Autos. Eine einfache Fachbereichszuordnung der Zuständigkeit für ein bestimmtes Schadens- oder Krisenszenarios ist insgesamt kaum noch möglich.

Vernetztes Handeln

Von wesentlicher Bedeutung ist daher die ganzheitliche Betrachtung von Krisenszenarien; weg vom Silo-Denken der Ressorts und Fachbereiche hin zu einem ganzheitlichen Krisenverständnis mit einem am Schutz der Organisation insgesamt ausgerichteten Zielbild. Die Verantwortung für die ganzheitliche, übergreifende Steuerung des unternehmensweiten Krisenmanagements kann beispielsweise durch eine Resilience-Stabsstelle mit Vorstandsanbindung wahrgenommen oder an einen existieren Fachbereich mit bereits bestehender Krisen-Expertise, z.B. IT-Security oder Konzernsicherheit, angegliedert werden. Diese Stabsstelle steuert gruppenweit notwendige Präventions- und Reaktionsmaßnahmen, das Frühwarnsystem, sowie vor allem auch bestehende Managementsysteme für Notfall- und Krisenmanagement, Business Continuity Management, Disaster Recovery, IT Service Continuity Management oder das Krisenmanagement einzelner Standorte.

In der Praxis kann diese Funktion beispielweise als Stabsabteilung mit gruppenweiter Richtlinien- und Prüfkompetenz im Sinne des 2nd Line of Defence Modells mandatiert sein. Die Einbindung in die operative Krisenbewältigung und die Krisenstabsarbeit lassen sich, abhängig des genauen Kontextes der Organisation, individuell ausrichten; eine Resilience-Funktion muss nicht zwangsläufig die Führung des Krisenstabs oder der Krisenstäbe selbst übernehmen. Häufig ist es zielführend, die Führung des Krisenstabs bzw. der Krisenstäbe sowie die Entscheidungsbefugnis bei der bislang als verantwortlich definierten Funktion zu belassen. Je nach individuellem Kontext der Organisation kann dies z.B. die Geschäftsführung oder ein Vorstand sein. Während der Krisenstabsarbeit selbst wirkt das Resilience-Team dann beispielsweise als übergreifender oder lokaler "Crisis Management Coordinator" mit. Dieser begleitet die Krisenstabsarbeit als verantwortliche Stelle für z.B. Aktivierung und Alarmierung, Informationsgewinnung, Lageaufbereitung, die Bereitstellung funktionierender Infrastruktur und/oder die Einhaltung und Umsetzung der Vorgaben zur Krisenstabsarbeit.

Grafik: Althammer & Kill GmbH & Co. KG

Herausforderungen für IT-Security & OT-Security

Hyperkonnektivität, Smart Cities, vernetzte Systeme und Smart Factories verstärken die Verschmelzung von physischer Sicherheit und IT-Sicherheit sowie einer Reihe weiterer Disziplinen zusätzlich; umso wichtiger ist weiterhin der Perspektivwechsel auch für Verantwortliche im IT-Security und OT-Security Umfeld. Sicherheit muss immer auch technisch, gleichzeitig aber vor allem auch organisatorisch und prozessual im Kontext der gesamten Organisation verantwortet und auch entsprechend gegenüber dem Vorstand als Teil eines ganzheitlichen Schutzschirms dargestellt und kommuniziert werden. Sicherheit und Resilienz gelingen nur mit angemessener Vorstandsunterstützung und wirksamen Allianzen mit internen Verbündeten.

Resilience Culture

Auch eine Organisation kann sich, ähnlich wie ein Organismus, durch ein intaktes Immunsystem und Gesundheitsprävention vor Gefährdungen und auch vor „Strategic Shocks“ schützen. Ein Instrument hierfür ist die Stärkung der Abwehrkräfte durch Schaffung einer auf Widerstandsfähigkeit ausgelegten „Resilience Culture“ in der gesamten Organisation. Ziel ist die bestmögliche Befähigung jeglicher einzelnen Einheiten und vor allem auch aller Mitarbeitenden zum Umgang mit Krisensituationen.

Wie in den militärischen Operationen der vergangenen Jahrzehnte gilt auch für Unternehmen in einer Phase der „Unknown Unknowns“; den derzeitigen Veränderungen und Risiken kann nur durch einen „Comprehensive Approach“ und die Schaffung eines „Team of Teams“ begegnet werden.

Kristof Riecke, Althammer & Kill GmbH & Co. KG