Sicherung der Finanzinfrastrukturen

Aber was genau macht Banken aus Sicht des BCM und des Infrastrukturschutzes so kritisch und vor allem zeitkritisch? Wodurch entstehen die operationellen Interdependenzen zwischen Banken, so dass Unterbrechungen an einer Stelle des Finanzsystems zu Problemen an anderen Stellen werden? Die einhellige Antwort auf diese Frage ist: der Zahlungsverkehr. »Die zentrale Funktion ist der Zahlungsverkehr. Das ist auch der Grund, warum Banken zu den Kritischen Infrastrukturen zählen.« (Interview 4)

Aber was ist dieser Zahlungsverkehr? Die Frage der Zahlungsinfrastrukturen bzw. Zahlungssysteme bildet eine – im Wortsinn – Leerstelle in der sozialwissenschaftlichen Forschung. Der Ort des Zahlungsverkehrs ist, wie Bill Maurer bemerkt, der Strich in Marx’ klassischer Formel: G-W-G. Aber auch die aktuelle Forschung zu den Spektakeln des Finanzsystems »neglects the infrastructures of payment that make finance possible«. Statt der Illusion des einfachen durch Geld vermittelten Austausches zu erliegen, so als wäre die Ökonomie nichts anderes als ein riesiger Tante Emma-Laden, wo man mit ein paar Groschen eine klar bepreiste Ware einkauft, muss der Bezug auf »Infrastruktur« in der Rede vom Zahlungsverkehr ernst genommen werden. Bereits alltägliche Zahlungen mit der Kreditkarte nehmen einen weiten Weg durch eine verzweigte Zahlungsinfrastruktur – und das gilt für die Transaktionen im Finanzsystem umso mehr. Auf diesem Weg, den eine Zahlung zurücklegt, bzw. in der Zeit, in der sie sozio-technisch abgewickelt wird, kann einiges schief gehen. Insofern bildet das Problem der Zahlungssysteme einen weiteren Hintergrund für die wachsende Bedeutung von BCM im Finanzsektor. So betont die BIS in ihren High-Level Principles die »pivotal role that financial intermediation plays in facilitating and promoting national and global economic activity by providing the means for making and receiving payments, for borrowing and lending, for effecting transactions«. Als »intermediäre« Infrastruktur des Finanzsystems sind Zahlungssysteme nämlich nicht nur neutrale Kanäle für Finanztransaktionen, die als Nebenschauplätze bzw. parasites des Finanzkapitalismus abgetan werden könnten. Die Intermediarität macht die Zahlungssysteme vielmehr zu einem Parasiten im Sinne von Michel Serres: Einerseits stellen sie Verbindungen zwischen den Finanzakteuren überhaupt erst her, andererseits sind sie dadurch auch eine potenzielle Störquelle.

Die geheimnisvolle Welt des Zahlungsverkehrs begegnet uns im Alltag, wenn wir Geld vom Automaten abheben, eine Überweisung tätigen oder etwas mit Kredit- bzw. Geldkarte bezahlen. Zwar bleibt das Infrastrukturnetz, das diese Alltagsgeschäfte ermöglicht, genauso verborgen wie die Kanalisation, wenn wir die Toilettenspülung betätigten, nichtsdestotrotz hat diese Zahlungsinfrastruktur eine »vitale« Bedeutung für das Funktionieren von Gesellschaft, Ökonomie und Staat. Tatsächlich ist Geld in kapitalistischen Gesellschaften ein ähnlich lebenswichtiges Gut wie Wasser und deshalb liegt es nahe, dass der Zahlungsverkehr als Kritische Infrastruktur eingestuft wird. Die »liquid modernity« – vermeintlich ebenfalls »no longer bound, not even slowed down by the resistance of space« – würde austrocknen, wenn man ihr den Geldhahn zudrehen würde, und deshalb ist sie auf den intermediären Raum der Zahlungsinfrastruktur angewiesen. Auch wenn man Geld bekanntlich nicht essen kann, kann man ohne Geld gegenwärtig eben auch nichts essen. Gerade mit Verweis auf die Zahlungsinfrastruktur wird immer wieder die lebenswichtige, biopolitische Bedeutung des Finanzwesens hervorgehoben: »Die Unternehmen wollen ja auch im Notfall ihren Mitarbeitern Gehälter zahlen können, die die dann am Geldautomaten abheben. Also dazu muss das Gehalt auf dem Konto sein, damit der Bürger das am Geldautomaten wieder abheben kann und Bargeld hat und damit Lebensmittel kaufen kann. Dieser Zyklus, der muss laufen. Und der macht Banken kritisch.« (Interview 4)

Aber dieser »Zyklus«, in dem Unternehmen ihren Mitarbeiter_innen Geld überweisen, damit diese sich Lebensmittel kaufen können, ist nur die eine, dem Alltag zugewandte Seite der Zahlungssysteme. Neben diesen Retail Payment Systems gibt es die Large Value Payment Systems, über die vornehmlich Geschäfte zwischen Banken und anderen Akteuren des Finanzmarkts abgewickelt werden. Hier geht es weniger um die finanzielle Flüssigkeit von Bankkund_innen, sondern um die Liquidität des Finanzsystems, die seit der Finanzkrise zum entscheidenden Problem finanzieller Stabilität geworden ist. Analise Riles beschreibt Large Value Payment Systems als die »all-important technology by which funds move from one party to another.« Hinter dieser einfachen Funktion der Zahlungssysteme (die Bewegung und Übertragung von »funds«, also letztlich Geld in der einen oder anderen Form, von einem Finanzakteur zum anderen) verbirgt sich ein komplexes soziotechnisches Arrangement. Im Normalfall wickeln Banken Geschäfte nicht direkt mit anderen Banken ab, sondern vermittelt über eine sogenannte clearing-Stelle bzw. ein Zahlungssystem. Diese werden dann als Intermediäre zwischen die Parteien geschaltet, so dass jede Zahlung einen obligatorischen Passagepunkt durchqueren muss, bevor sie ihren Empfänger erreicht. Schier unglaublich große Summen werden über diese Systeme täglich prozessiert. Riles berichtet, dass durch das Zahlungssystem der Bank of Japan jeden Tag 30.000 Transaktionen mit einem Wert von 120 Billionen Yen (etwa 1.26 Billionen US-Dollar) prozessiert werden. Das wichtigste Zahlungssystem der EU, TARGET2, verarbeitet täglich durchschnittlich 360.000 Transaktionen mit einem Wert von 2 Billionen Euro, ein Drittel davon wird von der Bundesbank prozessiert.

Als Infrastrukturen des Finanzmarkts sind die Zahlungssysteme aber nicht bloß technische oder physische Kanäle, sondern ebenso ein Set von Regeln und Standards. Finanzinfrastrukturen werden von der BIS definiert.

»as a multilateral system among participating institutions, including the operator of the system, used for the purposes of clearing, settling or recording payments, securities, derivatives, or other financial transactions. FMIs [Financial Market Infrastructures] typically establish a set of common rules and procedures for all participants, a technical infrastructure, and a specialised risk-management framework appropriate to the risks they incur.«

Entsprechend gibt es ganz unterschiedliche Systemdesigns, die bestimmte Regeln und technische Arrangements verkörpern, die ihrerseits von bestimmten politischen und ökonomischen Überzeugungen beeinflusst sind. So unterscheiden sich Zahlungssysteme etwa dadurch voneinander, in welcher zeitlichen Taktung und zu welchen Terminen die Zahlungen vollzogen werden. In einigen Zahlungssystemen werden alle Zahlungen am Ende des Handelstages abgewickelt, in anderen mit größerer Zeitverzögerung und in sogenannten Real Time Gross Settlement Systems (RTGS) unmittelbar. Schließlich gibt es sogenannte netting-Systeme, die durch bestimmte Verrechnungsalgorithmen sicherstellen sollen, dass alle Obligationen und offenen Positionen innerhalb des Systems beglichen werden können. Strenggenommen werden die funds dann nicht mehr von einer zur anderen Partei übertragen, sondern auf die beteiligten Parteien ihren Ansprüchen entsprechend aufgeteilt. All diese Systeme sollen – und das ist der letzte Teil der oben zitierten Definition – eine bestimmte Rolle beim Risikomanagement spielen.

Damit ist das Design der Finanzinfrastruktur und der Zahlungssysteme, die häufig von Zentralbanken (zum Beispiel FEDWIRE von der US-amerikanischen Federal Reserve, BOJ von der Bank of Japan, TARGET2 von den Zentralbanken der Eurozone) betrieben werden, zu einem Regulierungsinstrument geworden. So wurde, wie bereits erwähnt, durch die European Market Infrastructure Regulation (EMIR) der Handel mit OTC-Derivaten reguliert. Fortan sollen diese Geschäfte nicht mehr direkt zwischen den Finanzakteuren (over the counter für OTC) stattfinden, sondern über eine central counterparty bzw. ein clearing house abgewickelt werden, das als Intermediär zwischen die Parteien tritt. So sollen zum einen Ausfallrisiken verkleinert und zum anderen die Transparenz dieser Geschäfte erhöht werden. Mit dieser heilenden Wirkung gehen aber auch Risiken einher. Als Risikoregulationsinstrument hat die Finanzmarktinfrastruktur einen pharmakologischen Charakter. Denn durch die Abwicklung über zentrale clearing-Stellen werden zugleich obligatorische Passagepunkte geschaffen, deren fortgesetztes Operieren systemwichtig ist. So wird in den High-Level Principles for Business Continuity der BIS die »concentration of clearing and settlement processes in most financial systems« als entscheidender Hintergrund für die Notwendigkeit von Schutzvorkehrungen für die finanzielle Infrastruktur durch Business Continuity-Maßnahmen betont. Disruptions of these processes can have material adverse consequences for a financial system and prevent significant market participants from completing transactions and meeting their obligations.«

Im Brennpunkt der Sorge um die Integrität der Zahlungsinfrastrukturen des Finanzmarktes stehen dabei insbesondere die Systemically Important Payment Systems (SIPS). Bereits im Jahr 2001 veröffentlichte die Bank for International Settlements die Core Principles for SIPS, die einheitliche, inter-nationale Standards für diese systemwichtigen Systeme etablieren sollten. SIPS werden definiert als »systems which could trigger or transmit systemic disruptions in the financial area because of the size or nature of individual payments which they handle or because of the aggregate value of the payments processed«. Die EZB weist mittlerweile vier Zahlungssystemen in ihrem Regulationsbereich systemwichtige Bedeutung zu: TARGET2, EURO1, STEP2-T und CORE(FR). »[S]ystemic disruptions«, die von diesen systemwichtigen Zahlungssystemen ausgehen können, stellen eine distinkte Quelle von systemic risks dar.

»[I]n the context of payment systems this [systemic risk, A.F.] is the risk that the inability of one of the participants to meet its obligations, or a disruption in the system itself, could result in the inability of other system participants or of financial institutions in other parts of the financial system to meet their obligations as they become due. Such a failure could cause widespread liquidity or credit problems and, as a result, could threaten the stability of the system or of financial markets.«

Auf den ersten Blick enthält diese Definition von systemischen Risiken keine Neuigkeit: Fortgesetzte Zahlungsausfälle führen zu Liquiditätsengpässen, zu einer gefährlichen Stockung des Zahlungsflusses. Bemerkenswert sind aber kleine Details der Definition. Zum einen werden als mögliche Ursache für ein Risiko nicht nur der Ausfall eines »participants« wie etwa einer Bank, sondern auch die »disruptions« des Systems selbst genannt, also der intermediären Infrastruktur der Zahlungsprozession. Zudem signalisiert das kleine Wort »due« die zeitkritische Komponente systemischer Gefährdungen in Zahlungssystemen. Systemische Risiken entstehen also auch durch die Imperative der Taktung und die mehr oder weniger willkürlich vorgegebenen Termine der Betreiber der Systeme. Im Grunde handelt es sich bei all dem um eine bestimmte Form von settlement-Risiken, die sich zu systemischen Risiken ausweiten können. Settlement-Risiken, wie beim Fall der Bank Herstatt, können durch die Unterbrechungen in Zahlungssystemen entstehen und sich schnell fortsetzen: »disruptions spread quickly and widely«. Letztlich könnte es dadurch – auch in einer ansonsten stabilen Marktsituation – zu einem kaskadierenden Zahlungsausfall kommen.

Vor diesem Hintergrund wird verständlich, warum die Gewährleistung kontinuierlicher Operationsfähigkeit der Zahlungssysteme von entscheidender Bedeutung für die Vermeidung systemischer Risiken ist. Denn schon eine kurze, temporäre Stockung der Operationen einer Zahlungsinfrastruktur kann verheerende Folgen haben, wenn dadurch wichtige Trans-aktionen nicht oder nicht rechtzeitig beglichen werden können. Entsprechend lautet ein Prinzip der insgesamt zehn »core principles«: »The system should ensure a high degree of security and operational reliability and should have contingency arrangements for timely completion of daily processing.« Aufbauend auf diesem Prinzip hat die EZB im Jahr 2006 die Business Continuity Oversight Expectations for Systemically Important Payment Systems (SIPS) herausgegeben. Diese strengen BCM-Vorgaben unterstreichen vor allem die Zeitkritikalität der systemwichtigen Zahlungs-systeme. So heißt es: »Business continuity objectives for SIPS should aim at the recovery and resumption of critical functions within the same settlement day.« Und, noch anspruchsvoller: »Under the emerging and more demanding ›good practice‹, it is recommended that SIPS should aim to recover and resume critical functions or services (including critical services outsourced to third party providers) no later than two hours after the occurrence of a disruption.« Diese zwei Stunden-Regel ist mittlerweile zur benchmark für BCM von Zahlungssystemen geworden. In den 2012 von der BIS (mit)herausgegeben Prinzipien für Financial Market Infrastructures (FMIs) wird das bestätigt und zudem eine unmittelbare Fortsetzung der Tätigkeit der Infrastruktur durch Backup-Systeme empfohlen. »An FMI should aim to be able to resume operations within two hours following disruptive events; however, backup systems ideally should commence processing immediately.«

Neben diesen systemwichtigen Zahlungssystemen gibt es aber auch eine Reihe von »critical services«, die ihrerseits für die Zahlungsinfrastruktur des Finanzsystems systemwichtige Bedeutung haben. Hierbei sticht der Telekommunikationsdienst SWIFT heraus. SWIFT steht für Society for Worldwide Interbank Financial Telecommunications, besteht seit 1973, hat seinen Sitz in Belgien und operiert weltweit. SWIFT ist nicht selbst ein Zahlungssystem, sondern stellt die Telekommunikationsinfrastruktur für die Übermittlung von Transaktionen zwischen Banken bereit und ist hier nahezu konkurrenzlos. Die Zahlen sind beeindruckend: 2013 übermittelte SWIFT täglich 20 Millionen Nachrichten mit einem Gesamtwertvolumen von 7,5 Billionen Euro. Der seltsame Status von SWIFT – kein Zahlungssystem, aber doch ein entscheidender Service für Zahlungssysteme – gestaltet seine Regulation sehr schwierig. »SWIFT is not itself a payment system, but a messaging services provider to such systems, so that many of the Core Principles (for the regulation of systemically important payment systems) do not apply to SWIFT or have only partial relevance.«

Aber nicht nur sind die existierenden Regeln schwer auf SWIFT zu übertragen, sie sind vor allem auch nicht bindend. Entsprechend bemerkt die Belgische Nationalbank: »The major instrument for the oversight of SWIFT is moral suasion.« Regulationsinstanzen können also SWIFT nur gut zureden, obwohl die Gefährdungen, die gerade von der operationellen Verwundbarkeit von SWIFT ausgehen (also Unterbrechungen im Betrieb des sozio-technischen messaging services) durchaus systemwichtige Relevanz haben können. »Overseers recognized that their main focus when overseeing SWIFT should be on operational risk, as this is believed to be the primary risk category through which SWIFT could pose systemic risk to the global financial system.« Dementsprechend messen die fünf High Level Expectations for the Oversight of SWIFT der »reliability und resilience« einen hohen Stellenwert bei und fordern Maßnahmen zu »disaster recovery« und »business continuity management«.

Das Beispiel von SWIFT unterstreicht, wie schwierig die Regulierung und Sicherung der Infrastrukturen des Finanzwesens ist. Gerade weil die Infrastrukturen des Zahlungsverkehres die Operationen eines globalen Marktgeschehens ermöglichen und unterstützen sollen, entgehen sie systematisch Regulierungen auf nationaler Ebene. Es entstehen globale Gefüge der Sicherheit, die bisweilen ebenso verschachtelt wirken wie die Materie, die sie zu regulieren versuchen. Die Komplexität der unterschiedlichen Ebenen und Bestandteile der Zahlungsinfrastruktur macht es schwer, überhaupt auszumachen, was innerhalb dieser sozio-technischen Netzwerke voneinander abhängt und was genau kritisch ist. Eine Ahnung davon, wie kritisch diese Netzwerke tatsächlich sind, bekommt man gleichwohl, wenn man die beachtlichen Summen bedenkt, die täglich durch ihre Kanäle laufen. Sie bilden das Kanalsystem für die Zahlungsflüsse des Finanzwesens. Die Bedeutung dieser Zahlungsflüsse und der dauerhaften Liquidität des Finanzsystems wurde in den jüngsten Finanzkrisen schmerzhaft bewusst, als der Zahlungsverkehr zwischen den Banken stockte (credit crunch) und das Finanzsystem nur durch massiven externen Geldzufluss wieder zum Laufen gebracht werden konnte. Das ist der Grund, warum Zahlungssysteme ein »boundary object« darstellen, in dem die Vorsorge gegen operationelle Risiken und die Regulation von systemischen Risiken auf Finanzmärkten zusammenlaufen. Hier weisen die Sicherheitstechnologien zum Schutz Kritischer Infrastrukturen bzw. operativer Reliabilität der Banken und der Regulation systemischer Finanzrisiken nicht nur Familienähnlichkeiten auf, sondern stützen sich – wenngleich mit unterschiedlichen Maßnahmen – auf dasselbe matter of concern: die Finanzmarktinfrastruktur. Während mit Regulationen wie der EMIR versucht wurde, die Resilienz des Finanzsystems durch ein verändertes Systemdesign zu erhöhen, sorgt sich das Kontinuitätsmanagement um die sozio-technische Grundlage dieses Systems.

Management der Kontinuität, Politik des Ereignisses

Eine Orientierung an Ereignissen ist den Sozialwissenschaften traditionell suspekt. Es geht ihnen schließlich eher um »continuity and structure« als um »breaks and ruptures«. Diese Haltung ist, wie Michael Guggenheim bemerkt, selbst in der Katastrophensoziologie weit verbreitet. Tatsächlich neigen sozialwissenschaftliche Studien über Katastrophen dazu, die strukturell angelegten sozialen Vulnerabilitäten (die latenten Katastrophen von Armut, Exklusion und sozialer Ungleichheit) zu betonen, die ein bestimmtes Naturereignis erst zur Katastrophe machen – eine Methode, die Eric Klinenberg als »soziale Autopsie« der Katastrophe bezeichnet hat. In der Aufdeckung der Strukturen, die eine Krise erst möglich gemacht haben, wurde traditionellerweise das kritische Potenzial der Soziologie gesehen. Und auch wenn diese Arbeit eine andere Kritik- und Analysestrategie verfolgt, so hat sie sich doch bisher vornehmlich darauf konzentriert, zu zeigen, wie Sicherheitstechnologien sich in längeren Zeitabschnitten gebildet und umgebildet haben, anstatt einzelne Katastrophenereignisse in den Blick zu nehmen.

Zum Abschluss der Arbeit werde ich jedoch mit dieser Gewohnheit brechen und doch auf einige Unterbrechungsereignisse eingehen, die für das BCM von Banken relevant sind. Für die Analytik des Sicherheitsdispositivs der Resilienz ist der Blick auf das Ereignis vor allem deshalb interessant, weil sich hier »ad hoc assemblage[s]« bilden, die durchaus typisch für die gegenwärtige Regierung der Katastrophe sind. Ereignisse sind die Orte, an denen sich unterschiedliche Akteure und Sicherheitsrationalitäten treffen, die von der normativen Kraft des Geschehnisses zusammengebracht werden. Wie sich im Anschluss an Debatten des Neuen Materialismus argumentieren ließe, ist der Fokus auf Ereignisse aber auch attraktiv, weil hier soziale und nicht-soziale Komponenten in Konjunktion treten und das Potenzial haben, gewohnte soziale Verlaufs-muster zu stören. Materielle Unterbrechungsereignisse liefern so gewissermaßen die Substanz für politische, wissenschaftliche sowie öffentliche Debatten und Problematisierungen, insofern sie dazu nötigen, unhinterfragt angenommene Tatsachen in »matters of concern« zu verwandeln. Materielle Ereignisse haben also das Potenzial, eine Politik des Ereignisses zu katalysieren. Auf diese Weise machen Ereignisse BCM, das für gewöhnlich im Verborgenen operiert, sichtbar und damit auch kritisierbar – und zwar nicht nur für soziologische Expert_innen, sondern auch für eine politische Öffentlichkeit, die auf die eine oder andere Weise vom BCM betroffen ist.

Im Folgenden werde ich zunächst darauf eingehen, welche Rolle konkrete Unterbrechungsereignisse für die Ausarbeitung des generischen Kontinuitätsmanagements spielen. Anschließend werde ich auf zwei BCM-relevante Ereignisse aus der jüngeren Vergangenheit eingehen. Einmal die Ereignisse rund um den Hurricane Sandy in New York und zum anderen die Konfrontation zwischen Kontinuitätsmanagement und der Unterbrechungspolitik der Blockupy-Bewegung in Frankfurt am Main. Dabei werde ich auch die Kritik an bestimmten Ausformungen der Sicherheit beleuchten, die im Verlauf dieser Ereignisse artikuliert wurde.

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.
Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018

Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de

Krise, Kritik und Kontinuität: Ereignisse im Raster des BCM

Die generischen Maßnahmen zur Gewährleistung der Kontinuität der Operationen des Finanzwesens unterscheiden sich auf den ersten Blick nur wenig von denjenigen in anderen Bereichen. Die Besonderheiten der BCM-Maßnahmen im Finanzwesen liegen weniger in einem prinzipiellen Unterschied zu anderen Kontinuitätsprojekten als vielmehr in der Intensität und dem hohen Anspruch an ununterbrochene Geschäftstätigkeit. Gerade die systemwichtigen Zahlungssysteme dürfen sich nur sehr kurze Unterbrechungszeiten leisten, wie durch die immer wiederkehrende zwei Stunden-Regel deutlich wird. Eigene Ausweichstandorte werden vorgeschrieben und selbst die Etablierung einer »third site« wird angeregt. Die starke Angewiesenheit auf das Funktionieren der technischen Infrastrukturen lässt zudem Überlegungen entstehen, auf altbewährte analoge Techniken zurückzugreifen. »An FMI should also consider alternative arrangements (for example, manual paper-based procedures) to allow for the processing of time critical transactions.« Aber auch Personalausfälle stehen im Fokus der Kontinuitätspläne. Hier wirft vor allem der 11. September noch immer seinen langen Schatten. Nicht nur redundante Infrastrukturen, sondern auch redundante Personalressourcen sind zur Fortsetzung des Geschäftsbetriebs notwendig. »Steps should be taken to ensure that not all operational […] staff identified as critical […] are in the same place at the same time.« Zudem ist die bereits angesprochene globale Vernetzung ein besonderes Charakte-ristikum des BCM im Finanzwesen. Die Beschwörungen der Bedeutung von »cross-border communications« und die Empfehlung, »joint exercises« durchzuführen und gemeinsame Strategien zu entwickeln, ist zwar prinzipiell typisch für den Schutz vor Katastrophen, die »keine Grenzen kennen«, aber nicht selbstverständlich für das BCM, dem es zunächst einmal um den Schutz einzelner Unternehmen bzw. Institutionen geht. Hier wird erneut deutlich, dass es beim BCM im Finanzwesen nicht nur um den Schutz einzelner Finanzinstitutionen oder Standorte geht, sondern um die Verhinderung systemischer Risiken in einem exzessiv vernetzten Geschäftsbereich.

Trotz dieser Besonderheiten sind die Pläne für das Kontinuitätsmanagement bei Banken auf generische Maßnahmen ausgerichtet. »Also man versucht möglichst generisch zu bleiben, um möglichst breite Abdeckung zu haben.« (Interview 4) Gleichwohl gibt es doch eine zumindest rudimentäre Reflexion über die Spezifität einzelner Fälle. So enthalten die High Level Principles for Business Continuity der Bank for International Settlements im Anhang eine Reihe von »case studies« zu konkreten BCM-relevanten Vorfällen seit dem 11. September: der Stromausfall an der amerikanischen Ostküste im August 2003, der die kanadische und US-amerikanische Fi-nanzindustrie betroffen hat, der Ausbruch von SARS 2003 in Hongkong mit Auswirkungen auf den wichtigsten chinesischen Finanzplatz, lokale SARS-Fälle in Toronto, das Niigata Chuetsu-Erdbeben in Japan im Jahr 2004 und die verheerenden Terroranschläge in London 2005. Schon diese Liste lässt sowohl ein ortsspezifisches Risikoprofil erkennen (etwa Erdbebenrisiken in Japan) als auch die Bandbreite von möglichen, die Kontinuität der Finanzoperationen bedrohenden Ereignissen deutlich werden (von Terror bis Pandemie). Allerdings werden auch in der Analyse solcher konkreten Fälle eher die Vorzüge eines generischen Ansatzes betont: »It appears that business continuity planning in many financial institutions is focused upon impact and decision-making processes rather than on the nature of the disruption. … This generic impact-based approach worked particulary well.« Gleichwohl fällt auf, wie sehr sich die Maßnahmen gegen beispielsweise einen Stromausfall und eine Pandemie voneinander unterscheiden. Während beim Stromausfall in den USA und Kanada 2003 die Notstromaggregate der Banken zum Einsatz gebracht werden mussten, bestand die Herausforderung des SARS-Ausbruches vor allem darin, die Ausbreitung der Krankheit unter den Beschäftigten des Finanzsektors einzudämmen. Dafür wurden Gesichtsmasken verteilt, Mitarbeiter_innen sollten von zu Hause aus arbeiten und durch Telefonkonferenzen miteinander kommunizieren. Spezielle »clean teams« wurden eingerichtet, um die Hygiene der Arbeitsorte zu gewährleisten.

Letztlich ist die Struktur der »case studies« jedoch weit aufschlussreicher als ihr Inhalt. Einer knappen Schilderung des events folgt jeweils die Beschreibung von dessen impact und der sicherheitstechnischen response. Den Abschluss der kurzen Berichte bildet stets ein Teil zu den lessons learned. Diese Struktur ist ein Indiz für die erfolgreiche Etablierung eines für ein Sicherheitsdispositiv entscheidenden Rahmens, bei dem es weniger darum geht, dass alle Gefahren perfekt bewältigt werden, sondern darum, dass es gelingt, eine Matrix für den routinierten Umgang mit Ereignissen zu etablieren und auch Fehlschläge oder Mängel der Sicherheitstechniken vor dem Hintergrund dieser Matrix adressieren zu können. Wie gesehen, geschieht dies durch den Aufbau von epistemischen, technischen und praktischen Kapazitäten zur Antizipation von und zum Umgang mit Katastrophen. Aber auch durch strukturierte Berichtsformate – event, impact, response, lessons learned – und andere ritualisierte Formen der nachträglichen Evaluation werden Ereignisse auf eine bestimmte Art serialisiert und handhabbar gemacht. Dass diese Handhabbarkeit nicht gleichbedeutend mit perfekter Kontrolle ist, versteht sich von selbst. Defizite und Lücken in den Netzen der Sicherheit haben unter dem Punkt lessons learned ihren eigenen Ort. Hier findet Platz, was nicht wie geplant gelaufen ist, was die Sicherheitsexpert_innen überrascht oder überwältigt hat und für die Zukunft größere Aufmerksamkeit erheischt. Auf diese Weise macht das Sicherheitsdispositiv auch aus seinem Scheitern einen Grund für seine Ausweitung, Intensivierung und punktuelle Modifikation. Das gilt insbesondere für das Sicherheitsdispositiv der Resilienz, dessen innere Logik verlangt, dass Irritationen und Störungen wahrgenommen werden, um sich dadurch immer besser an sich ständig verändernde Umweltbedingungen anzupassen. Sicherheit ist hier kein Zustand, sondern ein prinzipiell unabschließbares Projekt, das auch sein Scheitern als Chance und damit Teil des Projekts begreift und das deshalb nur dann erfolgreich sein kann, wenn der Zustand der Sicherheit immer wieder gestört wird.

Aus diesem Grund ist die Auswertung des Katastrophenereignisses, seine »Autopsie«, auch eine so entscheidende Veridiktionsform des Sicherheitsdispositivs der Resilienz – mindestens so bedeutend wie die in der Forschung viel ausführlicher diskutierte Rationalität der Antizipation. Das Störungsereignis wird hier mobilisiert, um als Richterin über die Güte der Sicherheitsmaßnahmen zu urteilen, es dient als »revelatory moment«, in dem das zuvor Geschätzte, Vermutete, Geübte und Inszenierte auf einen Prüfstein trifft und bisweilen an diesem zerschellt. Gleichwohl soll durch den Prüfstein der eingetretenen Krise nicht über Maßnahmen geurteilt werden wie im Jüngsten Gericht nach der Apokalypse. Vielmehr soll die Krise wie ein Experiment fungieren, aus dem lehrreiche Schlüsse zu ziehen sind. Jede Krise bietet Lernmöglichkeiten, indem sie »Änderungstrigger« setzt und so eine bessere Anpassung an künftige Bedrohungen ermöglicht. Nur so kann eine immer wieder eingeforderte »kontinuierliche Verbesserung des Notfallmanagements« gelingen. Dafür muss die Krise genau dokumentiert werden. »Die Dokumentation dient der Lagebeurteilung, aber vor allem auch der Nachbereitung des Notfalls bzw. der Krise für die Beurteilung und Verbesserung des Notfallbewältigungsprozesses.« Zudem ist die Dokumentation natürlich aus organisationsinternen Gründen notwendig, weil nur so das BCM von den Vorgesetzten evaluierbar und von Wirtschaftsprüfern überprüfbar wird. »A BCMS [Business Continuity Management System, A.F.] […] includes […] a set of documentation providing auditable evidence.«

Durch die Dokumentations- und Evaluationsverpflichtung wird jedoch tatsächlich ein bestimmter Zusammenhang von Krise und Kritik gestiftet. Dabei soll allerdings negative und »unproduktive« Kritik unbedingt vermieden werden. Kritik soll zukunftsgerichtet sein, nicht voll des Ressentiments für vergangene Fehler. »Nicht: was ist schlecht gelaufen, sondern was können wir besser machen. Das interessiert uns nachher, in der Nachbetrachtung.« (Interview 5)

Kritik soll hier von vornherein in einen geregelten Prozess eingebracht werden, der auch als »Änderungsmanagement« bezeichnet wird. Business Continuity Management ist in diesem Sinne nicht nur ein vorsorgliches »taming of chance« (Hacking 1990), sondern auch ein nachträgliches taming of change. In der Kultur der Resilienz sind begangene Fehler kein Stigma, sondern vielmehr ein Qualitätsmerkmal.

»Da sage ich, nichts Besseres als jemand, der schon einmal eine Krise hatte. Egal, ob er die jetzt wirklich super toll umgesetzt hat oder weniger toll. Wenn er die Lernkurve natürlich mitgemacht hat, um zu sagen, diese Fehler mache ich nicht mehr.« (Interview 6)

Vor diesem Hintergrund erscheint es wenig sinnvoll, bei der Analyse konkreter Ereignisse eine evaluative Bilanz dessen aufzustellen, was geklappt hat und was schief gegangen ist, ob die Programme aufgegangen oder gescheitert sind. Schließlich ist diese Art der Überprüfung selbst ein Teil der Funktionslogik des BCM. Stattdessen will ich im Folgenden auf Formen der Kritik im Zuge von zwei BCM-relevanten Ereignissen eingehen, gegen die das BCM sich noch nicht immunisiert hat, die es noch nicht in die Strategie erhöhter Resilienz einspeisen kann.

Ein Sturm im Finanzdistrikt: Hurricane Sandy in New York

Tropenstürme wie Hurricane Sandy, der im Oktober 2012 die Ostküste der USA und die Karibik heimsuchte, sind Resonanzphänomene. Rückkopplungen und wechselseitige Verstärkungen von Temperaturen, Luftdruck und Luftfeuchtigkeit, Windgeschwindigkeiten und Windrichtungen können sich zu einem geschlossenen Sturmsystem aufschaukeln. Aber nicht nur die Ursachen eines Sturms, sondern auch seine Effekte ergeben sich aus Resonanzen, aus den Schwingungen zwischen natürlichen, technischen und sozialen Elementen. Die Verwüstungen, die Hurricane Sandy an der Ostküste der USA und in zahlreichen Ländern in Mittelamerika verursacht hat, sind gewiss nicht auf den Effekt einer von außen hereinbrechenden Naturkatastrophe zu reduzieren. Sie sind aber ebenso wenig nur die Folge sozialer Verwundbarkeiten, politischer Entscheidungen und ökonomischer Macht, sondern eine komplexe Vermengung von Naturereignis und gesellschaftlichen Prozessen. Es bildete sich ein temporäres Katastrophengefüge, in dem etwas zusammenkam – Wasserfluten und U-Bahntunnel, Handelsalgorithmen und Wirbelstürme, Stromausfälle und eine Stadt, die niemals schläft, Politiker und Gummistiefel – was für gewöhnlich getrennt voneinander existiert, aber in der Katastrophensituation doch systematisch zusammenwirkt. Deshalb ist Sandy kein lediglich sozialer Gegenstand, den man nur mit Sozialem erklären kann, sondern »mehr als sozial«, nicht in-human oder posthuman, sondern »more than human«. Die Begegnung von Sandy mit dem Gefüge namens New York City am 29. Oktober 2012, um die es im Folgenden gehen soll, ist ein solches »mehr als soziales« Ereignis.

Als der Sturm New York erreichte, waren die Vorbereitungsmaßnah-men bereits getroffen. Preparedness-Pläne wurden aus der Schublade geholt, Sandsäcke gefüllt und tiefliegende Teile von Manhattan und Brooklyn evakuiert. Schließlich war die Sensibilität für die Gefahren katastrophischer Ereignisse in New York seit dem 11. September besonders präsent. Hurricane Katrina, der im Jahr 2005 New Orleans verwüstete, hatte die Aufmerksamkeit nicht nur für Naturkatastrophen, sondern auch für das politische Management von Katastrophen in der US-amerikanischen Öffentlichkeit zusätzlich geschärft.

Die Geschichte Katrinas war die Geschichte sozialer Verwundbarkeit, die durch das Naturereignis intensiviert und sichtbar wurde. Der Wasserdruck der Überflutungen folgte dem Weg des geringsten Widerstands in die niedrig gelegenen Teile von New Orleans. Und es ist kein Zufall, dass diese Bassins der Verwundbarkeit hauptsächlich von der armen und zumeist schwarzen Bevölkerung bewohnt waren. Wasserdruck und der Druck sozialer Schichtung und sozialräumlicher Segregation gingen Hand in Hand, so dass die Naturkatastrophe bruchlos in eine soziale Katastrophe überging. Katrina war wie ein Lehrstück zu Georg Simmels Theorie sozialer Druckübertragung. In der Gesellschaft »bewegt sich ein neuer Druck […] längs der Linie des geringsten Widerstandes, welche schließlich […] die nach unten laufende zu sein pflegt. Das ist die Tragödie des Tiefsten in jeder sozialen Ordnung. Er hat nicht nur unter den Entbehrungen, Anstrengungen und Zurückhaltungen zu leiden, deren Summe eben seine Stellung charakterisiert, sondern jeder neue Druck […] wird … nach unten weitergegeben und macht erst an ihm Halt.«

Die Geschichte von Sandy in New York ist komplexer, weil im Big Apple, anders als in The Big Easy, nicht vornehmlich arme Leute vom Sturm betroffen waren. Sandy hat auch die reichen und mächtigen Bewohner_innen Manhattans – Firmen wie Privatleute – betroffen. Die Folgen des Sturms haben sich daher nicht so deutlich von oben nach unten, sondern eher netzwerkartig über die Stadt und quer durch soziale Schichten hindurch ausgebreitet. Warum dennoch differenziell ausgeprägte Verwundbarkeiten zum Vorschein gekommen sind und zu öffentlicher Kritik geführt haben, liegt nicht unwesentlich am BCM bei Banken.

Aber der Reihe nach: Sandy traf am 29. Oktober 2012 auf New York, kostete 53 Menschen das Leben und verursachte einen Sachschaden in Höhe von 18 Milliarden US-Dollar. Vor allem die Schäden an der Infrastruktur New Yorks waren signifikant. Die Folgen von Sandy haben den Sicherheitsexpert_innen Recht gegeben, die schon lange vor der erhöhten Verwundbarkeit komplexer Infrastrukturen gegenüber Naturereignissen gewarnt haben. Das U-Bahn-System der Stadt fiel aus, weil die U-Bahn-Schächte massenhaft unter Wasser standen. Auch die Tunnel, die die Halbinsel Manhattan mit ihrer Umgebung verbinden, waren größtenteils von Überflutung betroffen. Der gravierendste Schaden an der Infrastruktur war der durch eine Explosion in einem Umspannwerk ausgelöste Stromausfall, der 250.000 Bewohner Manhattans teilweise für Tage von der Elektrizitätsversorgung abgeschnitten hat. Diese Schäden der Infrastruktur machten die Folgen des Sturms erst so verheerend und offenbarten eine genuin sozio-technische Verletzlichkeit. Selbst der Financial District an der Südspitze Manhattans war vom Stromausfall betroffen, wie die berühmten Luftbildaufnahmen offenbarten, die das zur Hälfte verdunkelte New York unter düsteren Gewitterwolken zeigten. Trotz dieser eher transversalen als vertikalen Verteilung der Sturmschäden war Sandy aber auch kein »demokratisches« Risikoereignis im Sinne von Becks Risikogesellschafts-These, nach der die Risiken der zweiten Moderne die Gesellschaft gleichmäßig »jenseits von Stand und Klasse« betreffen. Denn wie der lokalen, im Dunkeln nach Orientierung suchenden Bevölkerung schnell auffiel, brannte in einigen wenigen Gebäuden in Lower Manhattan doch noch Licht. Besonders hell erleuchtet war ausgerechnet der Firmensitz der Investmentbank Goldmann Sachs. Zwar konnte auch Goldmann keinen Strom mehr aus dem zusammengebrochenen Netz beziehen, aber ihr backup-Stromsystem lieferte weiter Elektrizität. Das Business Continuity Management hatte ganze Arbeit geleistet. Nicht nur funktionierte das backup-Stromsystem einwandfrei. Zudem war das Hauptgebäude von Goldmann auch von einem Wall aus Sandsäcken umgeben. Diese goldschimmernde Demonstration der operationellen Resilienz des Finanzsektors inmitten des ansonsten düsteren Lower Manhattan hat nicht nur die Katastrophenschutzmaßnahmen von Banken, sondern auch die Ungleichheiten des Schutzes Kritischer Infrastrukturen im Wortsinne beleuchtet. Die erleuchtete Goldmann-Zentrale wurde zum Symbol für die ungleiche Verteilung der Sicherheit. Zum besonderen Ärger trug bei, dass, während bei Goldmann noch die Lichter brannten, im NYU Langone Medical Center alle Patient_innen evakuiert werden mussten, nachdem dort auch die Notstromversorgung ausgefallen war. Ein tausendfach geteilter tweet, der beide Sachverhalte zusammenbrachte, schien nicht nur vielen New Yorkern aus der Seele zu sprechen: »The fact that the NYU hospital is dark but Goldman Sachs is well-lit is everything that’s wrong with this country.«

Der Schein der beleuchteten Goldman-Zentrale ist gleichwohl trüge-risch. Denn das Finanzsystem konnte keineswegs ohne Unterbrechungen weiteroperieren. Ein erster Grund hierfür war die heiß diskutierte Entscheidung, die New Yorker Börse (NYSE) für zwei Tage zu schließen, was seit dem 11. September nicht mehr vorgekommen war. Dabei sah es zunächst danach aus, als ob die Geschäfte an der NYSE trotz Sturm größtenteils weiterlaufen könnten. Schließlich sind Börsen schon lange nicht mehr durch Parketthandel geprägt, bei dem schwitzende Händler_innen Kauf-und Verkaufsgesuche durch den Saal brüllen. Die Automatisierung des Handels hat die abseits gelegenen Rechenzentren zum eigentlichen Schauplatz des Finanzgeschehens werden lassen. So sollte in New York zunächst der automatische Handel weiterlaufen und nur der übrige Parketthandel geschlossen werden. Je näher der Sturm rückte, desto größer wurden je-doch die Zweifel bei den Entscheidungsträger_innen. Konnte man wirklich ausgerechnet zu einem Zeitpunkt, an dem ein schwerer Sturm die Märkte ohnehin verunsichert, den Handelsmaschinen, die sich immer wieder als störungssensibel und fehleranfällig erwiesen hatten, das Feld überlassen? In einem Bericht des privaten Finanzforschungsinstituts IDC mit dem vielsagenden Titel «Sandy Surfaces the Importance of the ›Human Ma-chine‹ on Wall Street» heißt es dazu:

»Keeping the market open on a purely electronic basis, having never operated this way even under perfect conditions, would only increase the chances of any minor malfunction to a high frequency trading algorithm causing potentially great disruption.«

Nicht die Angst vor technischen Unterbrechungen durch den Sturm, sondern das mangelnde Vertrauen in die Sicherheit der Algorithmen und high frequency trading bots führte also zur Schließung der NYSE. Ein fehlerhafter Algorithmus könnte zu massiven Störungen und Krisenphänomenen führen und wäre dann möglicherweise nur schwer durch menschliche Intervention zu beheben. Zudem hätten Handelsmaschinen mögliche Turbulenzen, die sich gleichsam vom Wetter auf den Finanzmarkt übertragen, noch weiter verstärken können.

»As technology advances it is clear that regulators and financial institutions need to have long and hard discussions about what can and cannot be done in the event of such scenarios. While a number of banks may well provide traders the ability to access its security network and trade electronically from home or satellite offices, this functionality is rendered meaningless if regulators are not comfortable or do not have the risk infrastructure or capability necessary to police markets that are already increasingly moving away from the physical trading floor.«

Nicht nur die Schließung der NYSE, auch weitere Ereignisse »have made it abundantly clear that the markets cannot and must not operate without the fully functioning human ›machine‹.« Im Interview wurde als größte Schwierigkeit für das BCM der Bank weniger der Stromausfall, sondern vielmehr die Unterbrechung der Verkehrsinfrastruktur thematisiert. Schließlich wohnt ein Großteil der Bankangestellten nicht in Manhattan selbst, sondern in New Jersey oder Long Island und ist darauf angewiesen, mit der U-Bahn oder durch Tunnel für den Autoverkehr zur Arbeit zu gelangen, was aufgrund der Überschwemmungen nach Sandy unmöglich geworden war. So war plötzlich die physische Geographie New Yorks, die angeblich im ortslosen Finanzkapitalismus keine Bedeutung mehr hat, zu einer entscheidenden Größe geworden.

Nur scheinbar können sich Banken wie Goldmann von diesen materiellen und infrastrukturellen Bedingungen abkoppeln. Die Vorhaltung von Notstromaggregaten bei Banken kann zwar als typisches Phänomen eines »splintering urbanism« verstanden werden, bei dem sich Unternehmen oder sehr wohlhabende Stadtbewohner_innen privatisierte infrastrukturelle Versorgungsinseln sichern, die in puncto Sicherheit, Schnelligkeit oder Servicequalität über dem kommunalen Durchschnittsniveau liegen. Gleichwohl ist die Angewiesenheit auf eine funktionierende öffentliche Nahverkehrsinfrastruktur erhalten geblieben. Die Finanzmärkte sind möglicherweise nicht sozial embedded, aber sie sind doch technisch connected, an eine Vielzahl öffentlicher und kollektiv genutzter infrastruktureller Leistungen angeschlossen.

Ein weiterer Grund für die Beschränktheit der Effektivität der Kontinuitätsmaßnahmen liegt im Versagen der Planungen für Ersatzinfrastrukturen bei etlichen Banken. In der Folge von Sandy haben nahezu alle Banken, die in New York operieren – und das sind viele – die von ihren Vertragspartnern (zumeist die Firma Sungard) für solche Fälle betriebenen Ersatzstandorte nachgefragt. Nahe gelegene Ausweichstandorte wurden deshalb schnell knapp, so dass nur wenige Banken, die sich besondere Vorzugsrechte bei Sungard gesichert hatten, einen Ersatzstandort in der Nähe beziehen konnten. Im Fall der von mir untersuchten deutschen Bank wurde auf die Inanspruchnahme eines mehrere Flugstunden entfernten Ausweichstandorts verzichtet. Die notwendigsten Operationen wurden stattdessen von einem eilig angemieteten Hotelzimmer aus in die Wege geleitet. Im Interview wurde diese Situation schnell als Heldengeschichte interpretiert. Die Rede war von übernächtigten »Musketieren« der Bank, die auf engstem Raum im Hotel mit ungewaschenen Socken, dafür aber umso gefestigterem Teamgeist die Geschäfte am Laufen hielten. Solche Geschichten können nicht darüber hinwegtäuschen, dass offensichtlich die laut Standards und Regulationen vorgeschriebenen und von den Banken für gewöhnlich durchgeführten BCM-Maßnahmen nur dann helfen können, wenn eine einzelne Bank durch einen Störfall betroffen ist und ihre Geschäfte kurzfristig an einen anderen Standort verlegen muss. Bei einem großflächigen und langanhaltenden Katastrophenfall dagegen scheinen die Maßnahmen kaum zu helfen: Weder Ausweichstandorte noch Notstromversorgung haben den Banken viel genützt. So scheint es, dass der Rahmen des BCM, der vornehmlich auf eine einzelne Institution fokussiert, zu eng gefasst ist und allzu leicht von einer Reihe von Externalitäten (mitunter im Wortsinne) überflutet wird. Sowohl die Vernetzung mit der städtischen Infrastruktur als auch die Resonanzen zwischen den Kontinuitätsplanungen der Banken haben zu massiven Schwierigkeiten geführt. In letzterem Fall nicht trotz, sondern gerade weil alle Banken vorschriftsmäßig vorgesorgt hatten. Diese Erfahrung steht im Kontrast zur Betonung von Interdependenzen in BCM-Standards und zum Anspruch des Kontinuitätsmanagements, zur Sicherheit größerer Systemzusammenhänge beizutragen.

»Business Continuity contributes to a more resilient society. The wider community and the organization’s environment impact on the organization and therefore other organizations may need to be involved.« Es war aber gerade das Gemeinschaftsereignis Sandy – die kollektive Betroffenheit von den Folgen des Sturms, vermittelt und verstärkt durch die kollektive Infrastruktur –, durch die das BCM der Banken scheiterte.

Die spillovers des Gemeinschaftsereignisses Sandy hatten aber auch den Effekt, dass sie das sonst im Verborgenen arbeitende disaster preparedness der Finanzbranche sichtbar und dadurch kritisierbar gemacht haben. Es bedurfte keiner besonderen Phantasie, keiner Entlarvung, keines Blickes hinter die Kulissen, um die Sicherheitslogik der vital systems security, wie sie sich in New York gezeigt hatte, zu kritisieren. Alles war genau so, wie es (auf Manhattan blickend) auch schien: Eine große Investmentbank und ein wesentlicher Verursacher der Finanzkrise hatte noch Strom, während 250.000 New Yorker im Dunkeln saßen und selbst ein Krankenhaus evakuiert werden musste. Ein weiteres Mal schien die fatale too big to fail-Logik am Werke zu sein, die schon während der Finanzkrise 2008 zu Ungerechtigkeiten geführt hatte, als unzählige verschuldete Hausbesitzer_innen geräumt wurden, während die Verursacher der Krise – nicht zuletzt Goldman Sachs – mit milliardenschweren Rettungspaketen unterstützt wurden. Damals wie jetzt bei Sandy gingen in den Wohnhäusern die Lichter aus. Auch wenn der Staat diesmal nur mittelbar dafür verantwortlich war, dass Goldman noch Strom hatte – das hell erleuchtete Hauptquartier der Investmentbank wirkte wie ein ausgestreckter Mittelfinger an die von Finanzkrise und schlechtem Katastrophenmanagement gebeutelten New Yorker. Die Frage drängte sich auf: Wer ist eigentlich »kritisch« und was ist »vital«? Durch die Gegenüberstellung von erleuchteter Goldman-Zentrale und evakuiertem NYU Medical Center durch den häufig geteilten tweet (s.o.) wird die faktische Hierarchie der Kritikalität und damit die ungleiche Verteilung der vital systems security in Frage gestellt. Gleichwohl wird deren prinzipielle Idee, nämlich den Schutz der Bevölkerung an den Betrieb und das kontinuierliche Funktionieren einer Reihe von kritischen bzw. vitalen Infrastrukturen und Systemen zu koppeln, durchaus bestätigt.

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.
Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018

Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de