Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Business Continuity Management

Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 4

Betriebswirtschaftliche Kalküle im Kontinuitätsmanagement


Seinem generischen Anspruch entsprechend soll das BCM auf alle Arten von Organisationen anwendbar sein – sowohl auf staatliche Bürokratien als auch auf kapitalistische Betriebe. Gleichwohl deutet schon die Betonung des »Business« im Titel der Sicherheitstechnik an, dass BCM vor allem für kapitalistische Betriebe gedacht ist. Entsprechend stellen betriebswirtschaftliche Kalküle einen zentralen Baustein im Rationalitätsgefüge des BCM dar. So erheischt die Business Impact-Analyse ein betriebswirtschaftli-ches Wissen über Prozesse und Probleme von Unternehmen und eben nicht nur technische Expertise über deren technische Abläufe und Installa-tionen. Einem meiner Interviewpartner war es sehr wichtig, die Überlegenheit seiner betriebswirtschaftlichen Expertise gegenüber einem rein technischen know-how darzulegen.

»Ich selber bin Wirtschaftswissenschaftler, auch mit Finanzdienstleistungs-Hintergrund, was wichtig ist, dergestalt, so ein betriebswirtschaftliches Know-how zu haben, weil die Business Impact Analyse eines der Kernelemente des BCM ist. Das […] reine […] IT-Know-how, das greift da an der Stelle zu kurz, weil man Auswirkungen auf Bilanz […] ermessen können muss.« (Interview 4)

Neben der zeitlichen Logik hat die BIA eine eminent finanzielle Schlagseite, denn Zeit ist Geld. »Bei einer BIA wird im Gegensatz zu einer Schutzbedarfsfeststellung nicht nur bewertet, welche Auswirkungen ein Ausfall eines Prozesses für die Institution hat, sondern auch, wie sich der Schaden zeitlich entwickelt.« (BSI 2008). Zwar soll vermieden werden, ausschließlich finanzielle Schäden bei der Schadensbemessung in Betracht zu ziehen (BSI 2008). Der ISO-Standard zur BIA unterscheidet gar zwischen insgesamt fünf unterschiedlichen Schadensgruppen bzw. »impact categories: financial, reputational, legal and regulatory, contractual, business objectives« (ISO 2015). Klar ist aber auch, dass jede »Prozesskette« (BSI 2008) immer zugleich eine »Wertkette« (BSI 2008) ist, so dass beständig zeitliche und monetäre Größen ineinander übersetzt werden müssen, um den »impact« einer Geschäftsunterbrechung ermitteln zu können.

Geschäftsunterbrechungen sind kostspielig. Kostspielig – und das ist die andere Seite der Medaille – sind aber auch Sicherheits- bzw. Kontinuitätsmaßnahmen. Sicherheitsmaßnahmen binden Personen und Ressourcen, die nicht produktiv eingesetzt werden können. Die umfassenden Kontinuitätsmaßnahmen für die fortgesetzte »Funktionstüchtigkeit« von Regierungen während des Kalten Krieges waren unter anderem nur deshalb möglich, weil sie aufgrund ihrer Geheimhaltung nie einen Haushaltsausschuss oder auch nur irgendeine ernsthafte Budgetüberprüfung passieren mussten. Ein solch verschwenderischer Umgang mit Ressourcen – der dysfunktio-nale und nie genutzte bundesrepublikanische Regierungsbunker verschlang über drei Milliarden D-Mark – wäre für ein privatwirtschaftliches Unternehmen wie auch für einen fiskalisch begrenzt handelnden, »schlanken« Staat wohl undenkbar.

Zur Begrenzung der Kosten für BCM wird in Standards und von Akteuren des Kontinuitätsmanagements stets die Notwendigkeit von Kosten-Nutzen-Kalkulationen betont. Hohe Kosten für Kontinuitätsmaßnahmen entstehen vor allem durch Vorhaltung kompletter redundanter Infrastrukturen, die sofort in Betrieb genommen werden können – man spricht von sogenannten »hot-Lösungen« (BSI 2008). »Cold-Lösungen« (BSI 2008) kosten weniger, haben aber auch einen geringen Nutzen und lassen eine längere Wiederanlaufzeit der Geschäftsprozesse erwarten. Der Nutzen der unterschiedlichen Lösungen verringert sich also – so wird kalkuliert – mit sinkenden Kosten für die Sicherheitsmaßnahmen. Deshalb soll der »sweet spot« getroffen werden, an dem Kosten (für Wiederanlaufmaßnahmen) und Nutzen (die Geschwindigkeit des Wiederanlaufs) in einem idealen Verhältnis miteinander stehen (BSI 2008).

Diese Kalküle wirken auf den ersten Blick überzeugend. Continuity Manager stehen unter dem ständigen Zwang, nicht nur die Notwendigkeit, sondern auch die ökonomischen Rationalität von Kontinuitätsmaßnahmen deutlich zu machen. Insofern ist die Kosten-Nutzen-Rechnung keineswegs wirkungslos: sie leitet organisationsinterne Entscheidungen an und schlägt innerhalb der Bilanzierungen zu Buche. Die Frage ist allerdings, wie effektiv sie in der Lage ist, den tatsächlichen Nutzen faktisch eingetretener Schadenslagen zu kalkulieren. Schließlich ist das BCM einer generischen Logik verpflichtet, die eben nicht mit konkreten Szenarien hantiert, sondern für beliebige Geschäftsunterbrechungen Vorsorge treffen können soll. Aber unterscheiden sich die möglichen Fälle – Pandemie und Stromausfall, Terroranschlag und Computervirus etc. – nicht so massiv voneinander, dass es unmöglich ist, Schadenshöhen im Vorhinein angemessen zu berechnen? Und wie hilfreich sind Maßnahmen zur Etablierung redundanter Infrastrukturen, wenn es nicht die Infrastrukturen sind, die ausfallen, sondern die Belegschaft? Anders formuliert: Was bringt ein redundantes »hot environment«, wenn alle Mitarbeiter aufgrund einer Grippe-Pandemie mit Fieber im Bett liegen? Wie lassen sich Wiederanlaufzeiten berechnen, wenn doch mit komplexen Schadensverläufen gerechnet werden muss, bei dem sich unterschiedliche Ereignisse verketten und kaskadenartig fortsetzen? Und: sprengt nicht die Tatsache, dass jede Organisation durch outsourcing und Zulieferbetriebe in ein komplexes Netz mit anderen Organisationen eingewoben ist, jedes framing, das für eine Kosten-Nutzen-Kalkulation unerlässlich ist? In den gängigen Standards zum BCM finden sich nur zwischen den Zeilen Reaktionen auf diese Fragen. Die Rede ist dann von »äußeren Faktoren und innerbetrieblichen Abhängigkeiten« (BSI 2008), auf die zu achten sei. Es wird empfohlen, »pragmatische Ansätze« (BSI 2008) bei der Kosten-Nutzen-Analyse zu verfolgen – eine verklausulierte Formulierung dafür, nicht zu viele Komplexitäten ins Kalkül einzubeziehen. Wenn man Akteure des BCM danach fragt, wie das »Undenkbare« nicht nur gedacht, sondern auch noch berechnet werden könne, wird in den Antworten das Register gewechselt und die streng öko-nomische Rationalität der Kostenkontrolle aufgegeben.

»Ja, ich mache die Analogie immer gerne vom BCM zu einer Versicherung. […] Also niemand, der jetzt sein Auto versichert, macht ja eine Kosten-Nutzen-Analyse. […] Er macht eine Haftpflichtversicherung, weil er es machen muss. Wir machen in den Kritischen Infrastrukturen BCM, weil wir es tun müssen […] Und dann gibt es Kollegen, die machen eine Vollkaskoversicherung, […] weil sie sagen,
wenn ich denn einen Schaden erleide, dann kann ich mir kein neues Auto leisten. […] Genau das gleiche ist auch im BCM. Also den Return on Invest fürs BCM zu erstellen, ist schier gar unmöglich, weil ich ja nicht sagen kann, alle fünf Jahre habe ich einen BCM-Fall oder alle zehn Jahre, und dann kann ich so viel investieren.« (Interview 4)

In diesem Zitat lassen sich zwei unterschiedliche Rationalitäten finden, die es erlauben, die strenge Beachtung von Kosten-Nutzen-Kalkülen zu umgehen. Zunächst wird eine juridische Rationalität aufgerufen, die rechtliche Regelungen in den Vordergrund stellt, die insbesondere Betreiber Kritischer Infrastrukturen zu BCM-Maßnahmen verpflichtet. BCM wäre dann weniger eine Frage ökonomisch-rationalen Handelns, sondern eine Frage betrieblicher compliance. BCM sichert gegen die »legal and regulatory impacts« (ISO 2015) einer Geschäftsunterbrechung ab. Daneben wird eine genuine Risikorationalität stark gemacht, die sich nicht vollständig in eine ökonomische Rationalität übersetzen lässt. Sicherheit ist ein Gut, für das zwar Geld ausgegeben werden muss – »Sicherheit kostet« (Interview 5) –, das aber nicht in gleicher Münze zurückgezahlt werden kann. Wie eine Versicherung versprechen auch Business Continuity-Maßnahmen Sicherheit im Ernstfall, ohne dass sich eine entsprechende Investition zwangsläufig rechnen muss. Man verhält sich dann risikorational, wenn man sich gegen schwerwiegende und intolerable Schäden absichert, und zwar insbesondere Schäden jenseits der »Katastrophenschwelle«. Im Business Continuity Management ist die Katastrophenschwelle der Punkt, an dem das Unternehmen dauerhaft nicht mehr operationsfähig ist: die »Bestandsgefährdungslinie« (BSI 2008. Die Überschreitung der Katastrophenschwelle muss also »um jeden Preis« vermieden werden.

»Es gibt ja auch viele Studien, die belegen, wer gar kein BCM hat und nicht innerhalb von einer Woche in der Lage ist, sein Business wieder aufzunehmen, die Firma ist nach anderthalb Wochen tot. Dann brauchen wir nicht mehr über Geld reden.« (Interview 6)

Dieses Changieren zwischen drei unterschiedlichen Rationalitäten – ökonomisches Kalkül (Kosten-Nutzen-Rechnung bzw. return on invest), juridische Rationalität (compliance) und Risikorationalität (Absicherung gegen intolerable Schäden) – ist mehr als eine bloße Inkonsistenz oder Widersprüchlichkeit. Es zeigt sich nämlich, dass dem Problem der Ungewissheit durch unbestimmte Gefährdungen nur durch ein ständiges Verschieben der Problemsubstanz durch unterschiedliche Modi der Problematisierung begegnet werden kann. Mögliche und tatsächlich eingetretene Krisen sind aber nicht nur Kos-tenfaktoren, sondern im Grenzfall auch Profitmöglichkeiten, die es zu erkennen und zu ergreifen gilt. Aus der Sicht des Unternehmensberaters muss man auch die »Chancen« von Krisen- und Notfallsituationen sehen. »Man müsste mehr Bewusstsein schaffen, was eine Krise tatsächlich heißt. Und welche Chancen die auch birgt. Weil, so hart es nun mal ist, jede Krise hat eine Chance. Ich nenne mal Versicherung. […] Wenn die Krise ist – wie wird denn die Bevölkerung reagieren? […] Die meisten – gerade bei einer Pandemie – werden wahrscheinlich jetzt gerne eine Versicherung haben wollen für Zusatzkrankenversicherung oder sonstiges. Dann muss ich klären: will ich das anbieten? […] Aber man müsste sich das heute überlegen, denn es könnte ja sein, da werden jetzt […]
100.000 die Versicherung abschließen, und nur 1.000 wollen von mir Geld. Und wenn ich das mal hochrechne, das ist ein Geschäftsmodell, da mache ich sogar noch Gewinn […] Dann muss ich darauf vorbereitet sein […] Ich muss ein Modell haben, das im Prinzip per Knopfdruck geht … . Also das sind so Dinge, […] die werden noch nicht überall […] ganzheitlich betrachtet.« (Interview 4)

Die »ganzheitliche« Betrachtung überschreitet hier das Defizitmodell der Krise in Richtung einer positiven Konzeption der Krise – ein durchaus charakteristischer Vorgang in der aktuellen Geschäftswelt. Schon in den 1990er Jahren hatte Beck dazu bemerkt: »Risks are no longer the dark site of opportunities, they are also market opportunities«. Diese Umwertung der Krise von einem Schadensfall zu einer Gelegenheit ist der Punkt der Sicherheitskultur des BCM, an dem sich vorbereitende Planung mit einem Ethos des »embracing risk« trifft, bei dem Risiken nicht per se abgewehrt werden, sondern immer auch als Chance begriffen werden sollen. Eine Chance liegt allerdings nicht nur darin, dass Krisen neue Geschäftsmöglichkeiten kreieren. Schon der analytische Blick auf das Unternehmen aus der Perspektive der BIA soll Hinweise geben, wie die »efficiency of the organization« (ISO 2015) erhöht werden kann. Die BIA blickt schließlich gleichsam vom Standpunkt der Unterbrechung aus auf das Unternehmen und ermöglicht so ein aufschlussreiches Verständnis organisationaler Abläufe, das es insbesondere erlauben soll, Interdependenzen und Zeitimperative stärker zu gewichten.

»The overview of the operation of an organization that emerges from the BIA process may enable participants in the process to identify changes that can improve its efficiency. These changes may not have been apparent until the organization explores its web of interdependencies. A better understanding of the time imperatives of product and service delivery could improve scheduling and prioritization when resources are temporarily limited. Knowing the time imperatives of various parts of a manufacturing process could improve the optimization of stocks of raw materials or spare parts.« (ISO 2015) Schon die Antizipation der Krise soll also Lerneffekte ermöglichen und eine günstige »evolutionäre« Fortentwicklung des Unternehmens anreizen, die im besten Fall sowohl dessen Resilienz als auch deren Effizienz steigert. Während also auf dem Finanzmarkt das Denken der Resilienz in einen Gegensatz zur Effizienzorientierung ökonomischer Theorien gebracht wird, finden sich im BCM zumindest Bemühungen um eine Versöhnung beider Perspektiven.

Autopoiesis jenseits gewohnter (Infra)Strukturen

Beobachtet man das Krisenmanagement mithilfe von Niklas Luhmanns Unterscheidung von Struktur und Autopoiesis, wird sichtbar, wie sich in Krisenlagen eine Autopoiesis jenseits gewohnter Strukturen entfaltet. Autopoiesis ist für Luhmann das fortlaufende Aneinander-Anschließen zeitlicher Systemelemente (für soziale Systeme Kommunikationen). Strukturen sind ebenso verzeitlicht, insofern sie als Erwartungsstrukturen verstanden werden. Strukturen beziehen sich auf eine zukünftige Entwicklung, bilden sich zumeist durch vergangene Erfahrung und sind zugleich in der Gegenwart präsent, weil sie hier erwartet und kommuniziert werden müssen. Die Aufgabe von Strukturen ist es, über feste Erwartungsstrukturen das sinnhaftkommunikative Anschlussgeschehen der Gesellschaft zu erleichtern. Sie fungieren gleichsam als Schmiermittel für soziale Operationen. Zugleich wird dadurch das System geschützt. Schließlich würde es »aufhören […] zu existieren, wenn es die momenthaften Elemente, aus denen es besteht, nicht mit Anschlussfähigkeit, also mit Sinn, ausstatten und so reproduzieren würde.«

Im Katastrophenfall brechen die gewöhnlichen Erwartungsstrukturen zusammen. Routinen werden unterbrochen und führen zur Orientierungslosigkeit. Im Angesicht der Durchbrechung des Erwarteten müssen Organisationen Formen finden, wie sie sich mit dem Unerwarteten so arrangieren können, dass sie ihre fundamentalen Operationen, ihre Autopoiesis also, fortsetzen können. Denn glaubt man den Beschwörungen des BCM, würden auch die vitalen Systeme aufhören zu existieren, wenn ihre downtime zu lange dauert. Auch hier findet sich ein radikal verzeitlichtes Verständnis der Autopoiesis als kontinuierlicher Geschäftsbetrieb. Und wir haben bereits gesehen, wie Organisationen durch BCM tatsächlich alternative Strukturen etablieren, die ihnen die Erwartung des Unerwarteten und somit eine Krisenroutine ermöglichen sollen: Szenarien, Übungen und Notfallpläne etablieren vorwegnehmend alternative Erwartungswerte, also Strukturen, auf die im Notfall zurückgegriffen werden kann.

Solche Strukturen, die eine »sekundäre Normalität« in Reaktion auf die Unterbrechung der »Normalform« etablieren, hat Luhmann mit seiner Theorie der sozialen Immunisierung theoretisiert. Auf temporär auftretende Störungen oder Unterbrechungen des Systems reagiert ein Immunsystem, das ein Weiteroperieren trotz Störungen und Erwartungsirritationen ermöglicht. »Das Immunsystem schützt nicht die Struktur, es schützt die Autopoiesis, die geschlossene Selbstreproduktion des Systems.« Dies kann das Immunsystem leisten, weil es alternative semantische Ressourcen mobilisiert, die das System weiter mit Sinn ausstatten und einen vollständigen »Sinnzusammenbruch«, der zugleich einem Systemzusammenbruch gleichkäme, verhindern. Wie im generischen BCM, bei dem Vorbereitung nicht für ganz bestimmte, sondern beliebige Unterbrechungsereignisse getroffen werden soll, gilt dabei: »Das erfordert hohe Mobilität, ständige Einsatzbereitschaft, okkasionelle Aktivierbarkeit, universelle Verwendbarkeit«.

Was Luhmann allerdings nicht in Betracht zieht, sind die materiellen Installationen, die Voraussetzung, Träger und Operatoren der Immunisierung sind, die das Weitermachen ermöglichen. Nicht nur Erwartungen brechen durch Notfallereignisse zusammen, sondern auch Gebäude, Datenverbindungen, die Stromversorgung etc. Nicht nur die Strukturen (Er-wartungen für kommunikative Operationen), sondern auch die Infrastrukturen (soziotechnische Netzwerke für materielle Operationen) werden durch das Ereignis beschädigt. Alternative Strukturen müssen daher mehr sein als semantische Ressourcen, die Orientierung in einer plötzlichen, unerwarteten Situation geben. Es muss auch alternative, redundante Infrastrukturen geben, die das materielle und soziotechnische Weiteroperieren gewährleisten und so die Resilienz der Organisation erhöhen. Materialität spielt aber nicht nur eine entscheidende Rolle, wenn es um Ausweichstandorte, Datencenter, Notstromaggregate etc. geht, also um alternative Infrastrukturen im engeren Sinne. Auch bei der Batterie an Vorsorgemaßnahmen, die genau darauf zielen, alternative Erwartungsstrukturen für den Ereignisfall verfügbar zu halten, gilt: materiality matters. Alternative Erwartungsstrukturen werden im BCM durch eine Reihe von Medien erzeugt und vorgehalten: Notfallpläne und Handbücher (BSI 2008), Evakuierungs- und Fluchtpläne, »Checklisten« (BSI 2008), flow-charts, »Datenflussdiagramme« (BSI 2008), standardisierte […] Ereignistagebücher oder Meldeprotokolle« (BSI 2008) und »Software-Tools« (BSI 2008). All diese Medien fungieren im Krisenfall als Entscheidungsalgorithmen, die eine abseits der Routine liegende Erwartung strukturieren sollen. Dabei müssen diese Protokolle vor allem dem Zeitdruck einer Notfallsituation standhalten, in der »schnelle Entscheidungshandlungen erforderlich sind« (Interview 6). Sie müssen daher übersichtlich, klar strukturiert und eindeutig sein. Flow-charts und Entscheidungsbaumdiagramme sind eine immer wieder eingesetzte Medialisierungsform für Notfallprotokolle. Sie verschalten alternative Szenarien und Entscheidungsoptionen miteinander und sollen es so ermöglichen, klare und der Situation angepasste Handlungsoptionen aufzuzeigen. Hier bestehen Ähnlichkeiten zur Beschilderung für Fluchtwege und Notausgänge, die ebenfalls »Sinn« in einer Notsituation ermöglichen sollen, indem sie klare Richtungen aufzeigen. Die Materialität dieser Medien ist entscheidend. Sie müssen nicht nur eine materielle Grundlage haben, um kommunizierbar zu sein (verschriftlicht, graphisch dargestellt und »zu Papier gebracht«), auch die Art ihrer Materialität und Medialität ist für ihre Handhabbarkeit und Funktionsfähigkeit im Ereignisfall entscheidend. Sie müssen nicht nur dem Zeitdruck des Notfalls standhalten können, sondern auch den adversen physischen Bedingungen der Krisensituation.

»Für das Notfallhandbuch und alle weiteren für die Notfallbewältigung benötigten Unterlagen empfiehlt es sich, diese als Dokumente in Papierform oder/und elektronisch in einem einfachen und gängigen Format […] schnell griffbereit zu halten. Die Lösung muss die Verfügbarkeit im Notfall garantieren, sowohl bei Stromausfall wie auch bei Brandschäden und sonstigen Risiken, die die Dokumente unbrauchbar machen, Daten zerstören oder den Zugriff darauf verhindern können. Daher empfiehlt es sich, Kopien an einem Ausweichort aufzubewahren. […] Es gilt, in Stresssituationen dem Nutzer zusätzliche Sicherheit zu geben.« (BSI 2008) Die adäquate Materialität und Darstellungsform der Notfalldokumente verspricht einen Mehrwert, der über den semantischen Inhalt hinausgeht: »zusätzliche Sicherheit«. Die Materialität hat zwar keine unmittelbare Auswirkung auf die Semantik der Dokumente, wohl aber auf ihren praktischen Nutzen. Erst die Kombination von kommuniziertem Sinn, praktischer Handhabbarkeit und materieller Widerstandsfähigkeit der Medien des Notfalls verbürgt deren »sichernde« Funktion.

Wenn schon bei der Kommunikation alternativer Erwartungsstrukturen Materialität und Lokalität entscheidend sind, dann gilt dies umso mehr für alternative Infrastrukturen. Über die Notwendigkeit zur Schaffung redundanter Infrastrukturen herrscht im Allgemeinen große Einigkeit im BCM, auch wenn sich die Art der Lösungen durchaus unterscheidet. So gibt es Versuche, Redundanzen schon an den normalen Geschäftsorten zu implementieren. Dazu gehören etwa Notstromaggregate oder die Lagerung von bestimmten, für den Geschäftsprozess entscheidenden technischen Komponenten. Datenbackup ist ebenso ein Standardverfahren, das zumeist über externe Server (clouds) gewährleistet wird. Cloud-Lösungen unterstützen auch die Implementierung einer »verteilten Geschäftstätigkeit« (BSI 2008). Dadurch soll es idealerweise möglich sein, den Ausfall bestimmter Standorte oder einzelner Elemente an diesen Standorten kompensieren zu können. Auch Kontinuitätsmanagement beinhaltet also Techniken aus dem Repertoire der distributed preparedness.

Vorsorge muss aber auch für Fälle getroffen werden, die einen Standort unbrauchbar machen. Dann schlägt die Stunde der Ausweichstandorte. Hier kann auf drei unterschiedliche Modelle zurückgegriffen werden. Möglich ist eine sogenannte »remote-Lösung« (BSI 2008, bei der die Mitarbeiter_innen ihre Arbeitstätigkeiten von zu Hause aus erledigen. Dieser Lösung sind Grenzen gesetzt, da der Geschäftsbetrieb vieler Unternehmen nur weiterlaufen kann, wenn ihre Mitarbeiter_innen kooperieren können. Räumliche Nähe und eine bestimmte Raumaufteilung sind dafür häufig eine notwendige Voraussetzung. Untersuchungen zur Arbeitsorganisation in modernen Unternehmen wie der Finanzbranche unterstreichen die Bedeutung dieser räumlichen Nähe von Mitarbeiter_innen. Flurgespräche, gemeinsame Essen, das Mithören von Gesprächen am Nachbararbeitsplatz, ganz zu schweigen von gezielter Koordination und Kooperation in Form von Besprechungen sind wesentliche Voraussetzungen einer erfolgreichen Arbeitsorganisation. Die sozialräumliche Dimension »sozialer Netzwerke« kann nur schwerlich und gewiss nicht ohne Reibungsverluste durch digital vernetzte Arbeitsplätze ersetzt werden. Hier liegt – wie noch deutlicher zu zeigen sein wird – eine Grenze der vermeintlichen Ortslosigkeit des gegenwärtigen Kapitalismus. Da es also nicht vollkommen egal ist, wie und wo die individuelle Arbeit geleistet wird, empfiehlt sich die Einrichtung von »relocation sites« beziehungsweise »Ausweich-Lokationen« (BSI 2008). Dabei wird – wie bereits erwähnt – zwischen sogenannten hot, cold und warm sites unterschieden. Die »Temperatur« eines Ausweichstandorts gibt an, wie komplett der Ausweichsitz mit IT-Infrastruktur ausgestattet ist und wie schnell der Geschäftsbetrieb hier aufgenommen werden kann. Die Ausweicharbeitsplätze können entweder vom Unternehmen selbst betrieben oder durch externe Dienstleister bereitgestellt werden. Dabei ist der Rückgriff auf externe Dienstleister meist günstiger. Die auf IT-Dienstleistungen spezialisierte Firma Sungard etwa betreibt unzählige Ausweichstandorte in den USA, die sie von ihrem Kontrollzentrum in Colorado aus »fernsteuern« kann. Diese Ausweichsitze können von unterschiedlichen Firmen genutzt werden. Im Bedarfsfall bespielt dann Sungard die Computer ihrer generischen Büroräume mit den Daten der entsprechenden Firma. Der Nachteil dieser Lösung besteht allerdings darin, dass die Ausweichstandorte bei gesteigertem Bedarf – etwa durch ein großflächiges Katastrophenereignis – von zu vielen Unternehmen gleichzeitig nachgefragt werden könnten. In diesem Fall können nur die Unternehmen, die besonders hohe Prämien an den externen Dienstleister gezahlt haben, mit einem Ausweichsitz in ihrer Nähe ausgestattet werden, während alle andere Unternehmen unter Umständen auf sehr weit entfernte Standorte verwiesen werden.

Die Krux der richtigen Dislozierung der Ausweichstandorte liegt darin, dass diese so weit vom eigentlichen Geschäftsstandort entfernt sein müssen, dass das Schadensereignis sie nicht erreicht. In Empfehlungen der Europäischen Zentralbank für gutes BCM von Banken heißt es entsprechend: »The traditional approach tends to limit geographic separation to reduce the relocation time of key staff to the secondary site. However, when both primary and secondary sites depend on the same labour pool or infrastructure components […], major events could render both sites inaccessible or inoperable.« (ECB 2006) Räumliche Erwägungen spielen damit aus zweierlei Gründen eine entscheidende Rolle: zum einen sollte das räumliche Arrangement des Ausweichstandorts die Art von Interaktion ermöglichen, die auch im normalen Firmensitz eine produktive Arbeitsorganisation ermöglicht. Zum anderen ist die Lage des Ausweichsitzes ein entscheidender Faktor, der die Wiederanlaufzeit des Geschäftsprozesses nach einer Unterbrechung bestimmt. Spätestens hier zeigt sich, inwiefern der Raum für die temporalisierte Kontinuitätslogik von Bedeutung ist. Distanz übersetzt sich in die Zeit des Wiederanlaufs.

Zusammen sollen die alternativen Strukturen die Resilienz der Organisation erhöhen: die alternativen Erwartungsstrukturen von Notfallprotokollen und Entscheidungsalgorithmen stärken die operative Resilienz, indem sie eine schnelle Reaktion des Krisenmanagements erlauben, die Redundanzen und Systemdesigns alternativer Infrastrukturen hindern eine Unterbrechung an ihrer schnellen Ausbreitung bzw. federn deren Folgen durch vorhandene Puffer ab. Selbst die besten Alternativstrukturen nutzen jedoch nichts, wenn es keine Mitarbeiter_innen gibt, die gemeinsam mit diesen materiellen und medialen Vorrichtungen den Geschäftsprozess fortsetzen können. Darauf soll die Übung antworten, die beide Strukturelemente mit Personal, Technik und know-how zusammenbringen soll. Die Übung dient einerseits zur Überprüfung der technischen Komponenten und der Angemessenheit der Notfallpläne. Andererseits soll sie aber auch die notwendigen Handlungsabläufe im Notfall und an den Ausweichstandorten trainieren. »Also Übungen sind zentral, weil Übungen einmal der Überprüfung der Funktionsfähigkeit der Pläne dienen und weil sie zum Training dienen. […] Deswegen sind Übungen zentral, ist Key.« (Interview

4) Es geht nicht nur um die Etablierung alternativer semantischer Erwartungsstrukturen und soziotechnischer Infrastrukturen, sondern zudem auch um habituelle Verhaltensstrukturen. Idealerweise können Notfallroutinen in Übungen erlernt und verkörpert werden, um dann im Notfall abrufbereit zu sein. Dieser Idealfall sollte allerdings ebenso wenig wie ein reibungsloses Funktionieren der alternativen Infrastrukturen und der Notfallpläne erwartet werden. Vielmehr kommt es im Notfall nicht nur zur Abweichung von der Normalform, sondern auch noch zur Abweichung von der »sekundären Normalität«, die durch redundante Infrastrukturen, Handlungsprotokolle und Notfallroutinen etabliert wurde. Nur im absoluten Ausnahmefall verläuft eine Krise wie im Drehbuch einer Notfallübung und nur selten wird im Krisenfall dem Skript eines Notfallplans gefolgt. Ebenso häufig versagen die »Inskriptionen« der Notfallartefakte und der redundanten Infrastrukturen, wenn sie nicht sogar von vornherein missachtet werden. Die Erwartung des Unerwarteten ist und bleibt ein paradoxes Unterfangen und kann deshalb nicht ohne Friktionen bewältigt werden. Es wäre allerdings billig, den Kontinuitätsmanager_innen diese Paradoxie nachzuweisen, ohne anzuerkennen, dass die Grenzen der Planbarkeit des Ungeplanten durchaus reflektiert und problematisiert werden. »Man kann einen Teil beplanen. Und dazu gibt es dann ja noch ergänzend das Krisenmanagement, das das abfedert, was nicht konkret beplant ist.« (Interview 4) Die Möglichkeit zum Ausrufen einer Krise, bei der ein Krisenmanagement aktiv wird, das flexibel auf die sich entwickelnde Notfallsituation reagieren soll, ist gleichsam auch ein Immunmechanismus gegen die autoimmunen Effekte des Notfallplans und vorgegebener Entscheidungsalgorithmen.



Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.
Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018
Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de

Kategorie: Business Continuity Management | Krisenmanagement | Risikomanagement

Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 2

Protokollarische Souveränität


Neben den physischen Infrastrukturen der Regierungskontinuierung, den Bunkern, relocation sites bzw. emergency standby facilities, sind es aber vor allem eine ganze Reihe genuin organisatorischer und politisch-juridischer Maß-nahmen, die das Continuity of Government Planning ausmachen. Während der Bunker immer noch eine vor allem räumliche Sicherheitsstrategie darstellt, geht es in den organisatorischen Überlegungen zentral um die zeitliche Dimension der vital systems security. Zentral sind hier vor allem Notfallpläne in Form von Entscheidungsalgorithmen und Kommandoprotokollen. Detaillierte Pläne sollten im Voraus genau festlegen, wer wann was und wo zu tun und zu entscheiden hat, wer welche Rolle im Notfall zu überneh-men hat und wer wen ersetzen kann, falls wichtige Entscheidungsträ-gerinnen bei feindlichen Angriffen ums Leben gekommen sein sollten. Übungen des Atomkriegs in den USA, die sogenannten operations alert-Übungen, hatten nämlich Schwachstellen aufgezeigt: «A nuclear attack would cause a nearly total breakdown in the command and control struc-ture of the federal government, and that most government agencies were unable to identify priority emergency actions.» Nicht nur die materiellen Versorgungsketten waren also durch einen Atomangriff bedroht, sondern auch die Befehls-, Entscheidungs- und Hierarchieketten, nicht nur die supply chains, sondern auch die chain of com-mand. Gefährdet war also das, was aus Sicht der Organisationstheorie Luhmanns ohnehin die vitalen Operationen einer Regierung bzw. einer Organisation sind, nämlich Kommunikationen von Entscheidungen, also commands. Und auch für die Systemdenkerinnen der vital systems security war die Fortsetzung der Entscheidungs- und Kommandostruktur ein zent-rales, wenn nicht sogar das vorrangige Ziel des Continuity of Government Operations Planning. Schließlich sollte es in erster Linie nicht darum gehen, einen Rückzugsort für die Elite zu schaffen, sondern um die Aufrechter-haltung der Regierung als Nervensystem des Netzes vitaler Systeme. Das setzte aber auch einen ungewohnten Blick auf die eigene Organisation voraus. Die Regierung musste sich selbst als Organisation, die «operativ aus (der Kommunikation von) Entscheidungen besteht», beobachten und ihr kontinuierliches Operieren zu einem expliziten Problem und organisatorischen Projekt machen.

Aufs Dramatische zugespitzt wurde diese Entscheidungsproblematik noch dadurch, dass im Notfall normale Entscheidungsprozesse und Kanäle wahrscheinlich nicht die benötigte Funktionsfähigkeit aufgewiesen hät-ten. Der gewohnte Dienstweg war zu verzweigt und schwerfällig, als dass er ein im Notfall erforderliches, vor allem schnelles und effizientes Agieren und Reagieren ermöglicht hätte. Diese Blockierung des gewohnten Ge-schäftsweges brachte gerade das in Bedrängnis, was für Luhmann der wesentliche Vorzug von Organisationen in Risikolagen ist: ihre Fähigkeit zur »Unsicherheitsabsorption«. Unsicherheitsabsorption in Organisationen wird möglich, indem Entscheidungsprozesse auf geregelte Bahnen gesetzt werden, damit diese sich dann quasi automatisch fortsetzen. Die Verantwortung Einzelner, und damit das Risiko der Entscheidung, wird so zergliedert, dass die Entscheidungsfreudigkeit gesteigert wird. Gemäß der Logik der vital systems security lässt sich darin ein temporally distributed decision making sehen. Sicherheit wird durch die Zerstreuung zentraler Entscheidungsknoten erreicht. Das Problem ist allerdings, dass in einer Notfallsituation der zeitliche Horizont, über den diese Entscheidungen verteilt werden könnten, derart kontrahiert ist, dass die gewohnte Un-sicherheitsabsorptionsfunktion praktisch unbrauchbar wird.

Klassischerweise gelten durchgreifende Entscheidungen von der Spitze der Hierarchie, die sich damit zum Souverän des Ausnahmezustandes macht, als Möglichkeit, mit den Tempoanforderungen von Krisensituatio-nen umzugehen. Der prominenteste Befürworter dieser Option ist sicher-lich Carl Schmitt, der die liberal-demokratische Entscheidungspraxis für zu schwerfällig hielt, um angemessen mit den Krisensituationen der modernen Gesellschaft umzugehen. Die im Rahmen der vital systems security ausgearbeitete Kontinuitätsplanung stellt demgegenüber eine Alternative dar. Geregelte Verfahren sollen hier auch unter erhöhten Tem-poanforderungen erhalten bleiben, indem eine Priorisierung von Maßnah-men und die geeigneten Entscheidungsinstanzen im Voraus festgelegt werden. Für den Notfall erstellte command und control protocols sollten das gewährleisten. Im Idealfall erfüllen diese Protokolle unter Bedingungen komprimierter Zeitressourcen die gleiche Funktion wie gewöhnliche orga-nisiert-zergliederte Entscheidungsverfahren.

Gleichwohl verändern die alternativen Handlungsprotokolle die Tätigkeit der Regierung tiefgreifend. Insbesondere der US-amerikanische Präsident Dwight D. Eisenhower, der vor seiner Präsidentschaft Oberbefehlshaber der alliierten Streitkräfte in Europa gewesen war, war sich offenbar über die umwälzenden Veränderungen der immer wieder geübten Notsituationen im Klaren. Bei der Evaluation einer operation alert-Übung im Jahr 1955 kam er zu dem Schluss: «Under the circumstances of chaos assumed in Operation Alert, we would have to run this country as one big camp – severely regimented.» Die Drastik solcher Stellungnahmen macht deutlich, wie eng sich in der Sicherheitstechnik des Continuity of Government Planning souveräne und biopolitische Taktiken und Zielsetzungen vermischen. Denn tatsächlich wäre die Regierung des «nuclear state of emergency» ohne den Einsatz von juridischen Ausnahmerechtstechniken, die zum Ziel haben, die Souveränität zu sichern und die Integrität des nationalen Territoriums zu schützen, nicht möglich gewesen. Entsprechend haben die Kontinuitätsplanungen auch juridische Überlegungen darüber angeregt, welche rechtlichen Vehikel – etwa Kriegsrecht oder Notstandsrecht – besonders geeignet sind, um der Ausnahmesituation angemessen zu begegnen. Jenseits der souveränen Sicherheitsproblematik ging es aber auch um das biopolitische Problem, das nackte Überleben der Bevölkerung zu ermöglichen. Die Voraussetzung für beide Zielvorstellungen wurde allerdings in der Funktionsfähigkeit von Systemen gesehen, die weder als juridisch souveräne Körperschaften noch als lebendige Bevölkerung verstanden werden können, sondern als Serie von Operationen: die Flüsse von Energie, Wasser, Strom, Verkehr, Kommunikation und eben auch von Entscheidungen und Befehlen. Die Regierung ist dabei nur ein – wenn auch zentrales – System unter anderen. Diese Verflechtung von souveräner Sicherheit, klassischer biopolitischer Sicherheit und vital systems security führte zu einer tiefgreifenden Modifikation sowohl der Stellung und Zielsetzung des Ausnahmezustands als Technik des Regierens als auch des souveränen Dezisionismus.

Giorgio Agambens einflussreiche Arbeit zum «Ausnahmezustand als Paradigma des Regierens» sieht im römischen Recht die Matrix des modernen Ausnahmerechts. Für Agamben sind also bereits in der römischen Antike die Grundlagen und Aporien der souveränen Ausnahme angelegt, mit denen wir heute noch konfrontiert sind. Agambens genealo-gische Strategie neigt allerdings dazu, eine Reihe von signifikanten histori-schen Differenzen zwischen Antike und Moderne, insbesondere zwischen römischem Recht und dem Ausnahmeregieren des Kalten Krieges, zu verwischen. Die Zielsetzung des römischen Justitiums unterscheidet sich grundlegend vom modernen und gegenwärtigen Ausnahmemanagement der Kontinuität. Das Justitium sah im Falle des Notstandes – eines sogenannten tumultus, also zum Beispiel: Krieg, Aufstand oder Bürgerkrieg – eine Suspendierung des gewöhnlichen Rechts und damit eine Machterweiterung des Souveräns vor, eine befristete Quasi-Diktatur. Justitium heißt eng übersetzt so viel wie Stillstand des Rechts und wurde bisweilen auch als «Rechtsferien» bezeichnet. Aber nicht nur das Recht sollte während der Zeit der Gültigkeit des Justitiums aussetzen. Auch alle Geschäfte, aller Handel, das, was wir heute als das ökonomische Leben bezeichnen, sollte stillstehen, aussetzen, pausieren. «The iustitium also involved a closing of shops and a general suspension of public business». Der Kontrast zum Ausnahmezustand unter Bedingungen der vital systems security könnte schärfer nicht sein. Denn hier werden außergewöhnliche Maßnahmen gerade zur Fortsetzung des Geschäfts, des Betriebs oder der Regierungsoperationen getroffen. Das Ziel besteht in der Kontinuierung und gerade nicht in der Stillstellung des ökonomischen Lebens. Auch die Theorie des souveränen Dezisionismus von Carl Schmitt fin-det sich unter Bedingungen der vital systems security vollkommen transfor-miert. Der Kalte Krieg ist keine Welt, in der – im Sinne Carl Schmitts – souverän ist, wer über den Ausnahmezustand entscheidet. Und das liegt vor allem an einer grundlegenden Rekonzeptualisierung und -positionierung der Entscheidung unter den Bedingungen eines möglichen Atomkrieges. Die Entscheidung wird nicht mehr der Willkür eines Souve-räns überlassen, sondern zum Gegenstand der Reflexion der Wissenschaft und der Formalisierung von rationalen Entscheidungstheorien (game theory, decision theory, operations research). Nun geht es um die Frage, wie im Ausnah-mezustand eines Atomkriegs – der, wenn man der Spieltheorie glaubt, niemals rational hätte entschieden werden können, weil es sicher die letzte zu treffende Entscheidung gewesen wäre – die Entscheidungsfähigkeit der Regierung, verstanden als Operationen eines vitalen Systems, aufrecht erhalten werden kann. Mit Souveränität geht klassischerweise die Erhabenheit über und ein externes Verhältnis zu den regierten Materien einher. Im Continuity of Government Planning findet sich die Regierung jedoch impliziert bzw. »eingefaltet« in das Prozessgeschehen, das zu sichern sie sich anschickt. Im Falle des Falles wäre sie genauso von den Auswirkungen eines Atomkrieges betroffen wie alle übrigen Systeme in ihrem Einflussbereich. Mit einer Strategie vorbereiteter Entscheidungsalgorithmen sollte diese missliche Lage bearbeitet werden. Die Regierung kann in der Gegenwart Entscheidungen darüber treffen, wie sie in Zukunft entscheiden wird. Durch diese Festlegung auf bestimmte Entscheidungen in der gegenwärtigen Zukunft ist die Regierung in der zukünftigen Gegenwart ihren vergangenen Entscheidungen unterworfen und damit gerade nicht mehr souverän. Die Vorbereitung durch command and control-Protokolle erzeugt eine Zeitbindung und somit eben Kontinuität. Sie erzeugt dadurch aber auch eine Selbstbindung oder Selbstunterwerfung der souveränen Macht. Die entscheidende Macht, die Macht der und zur Entschei-dung, ist nun weniger souverän als protokollarisch: es handelt sich um eine protokollarische Souveränität. Souverän ist, wer über das Notfallprotokoll ent-scheidet. Die atomare Tragödie und damit auch das souveräne Trauerspiel sind bislang ausgeblieben und damit auch der Härtetest der Funktionsfähigkeit der continuity-Pläne. Es steht jedoch zu befürchten, dass es im Ernstfall ähnlich – wenn auch weit weniger unterhaltsam – zugegangen wäre wie in Stanley Kubricks Film Dr. Strangelove, in dem der Souverän, der US-Präsident, den menschheitsvernichtenden Atomkrieg nicht stoppen kann, weil die Technokraten der Apokalypse, verkörpert durch Dr. Strangelove (eine Parodie auf Hermann Kahn), bereits alle Entscheidungen so fest vorprogrammiert haben, dass es nichts mehr zu entscheiden gibt und die Katastrophe genau deshalb nicht mehr abzuwenden ist.

Vom IT disaster recovery zum Business Continuity Management


Nach dem Ende des Kalten Krieges wurde in der BRD damit begonnen, die zahlreichen Regierungsbunker von Bund und Ländern zurückzubauen. Vom Regierungsbunker bei Bonn ist inzwischen nur noch ein Bruchteil erhalten, der seit 2008 als Museum dient. Ähnlich erging es den meisten Bunkeranlagen der Länder und Städte. Trotz des beschränkten Nutzens des Bunkerarchipels, das uns heute über seine musealisierten Überreste als längst erloschene Geschichte entgegentritt, sollte man in den geplanten, geübten und gebauten Kontinuitätsprojekten der Vergangenheit mehr sehen als Kalten Kriegs-Kitsch. Denn das organisatorische Wissen und die technischen und architektonischen Blaupausen des Continuity of Government sind in Gestalt des sogenannten Business Continuity Management (BCM) weiterhin wirksam, wenn auch auf einem ganz anderen Schauplatz – die Bunker des Kalten Kriegs mögen stillgelegt sein, die sogenannten hot sites der Banken, in denen zu jeder Zeit der Geschäftsbetrieb bruchlos fortgesetzt werden kann, sind es nicht. Die Materialbevorratung mit Kriegsrohstoffen mag reduziert worden sein, doch die kritischen Materien der Informationsgesellschaft – Daten und Informationen – werden in riesigen Serverräumen gespeichert, um im Notfall auf Abruf verfügbar zu sein. Und auch das Wissen um die Notwendigkeit von Planungen und Entscheidungsalgorithmen für den Notfall, die Priorisierung von Aufgaben im Krisenmanagement und die Sensibilität für zeitkritische und vitale Operationen wurden in den vergangenen Jahren weiter ausgearbeitet. Die Continuity of Government-Planung im Kalten Krieg ist nicht deshalb eine Geschichte der Gegenwart, weil sie aufgrund ihres Erfolges bis heute ungebrochen fortbesteht, sondern weil sie erstmals Probleme aufgeworfen hat, die noch heute Bestand haben – darin besteht ihre historische Kontinuität.

Tatsächlich fließt das militärische Wissen des Krisenmanagements in das gegenwärtige BCM ein. Der genealogische Einfluss ist dabei jedoch eher indirekt, weil eine entscheidende Episode zwischen Continuity of Government Planning und gegenwärtigem Business Continuity Management liegt: der Aufstieg der IT-Sicherheit als zentraler Brennpunkt der Ausarbeitung betrieblicher Sicherheitsstrategien. Ähnlich wie im Fall des Schutzes Kritischer Infrastrukturen ist mit der wachsenden Bedeutung von Informations- und Telekommunikationstechnologien in den 1980er Jahren auch die Besorgnis um Störungen der digitalen Infrastruktur gewachsen. Im Feld des IT disaster recovery wurde an Konzepten und technischen Lösungen gearbeitet, die sicherstellen sollten, dass Unterbrechungen im digitalen Informationsfluss und Schädigungen der digitalen Infrastruktur möglichst wenige Folgeschäden für Unternehmen verursachen. Im Fokus stand dabei die Gefahr des Datenverlustes. Es ging also vor allem um die Sicherung informatorischer assets – um die Sicherung von Daten über unterschiedliche backup-Systeme.

Diese Fokussierung auf die technischen Aspekte betrieblicher Sicher-heit und damit auf die assets der digitalen Welt wurde jedoch seit den späten 1990er Jahren vermehrt infrage gestellt. Ein BCM-Experte, der das BCM einer großen deutschen Bank koordiniert, identifizierte im Interview zwei «Wendepunkte», die zu einer Erweiterung betrieblicher Sicherheitsstrategien hin zum Kontinuitätsmanagement beigetragen haben. Der erste «Wendepunkt», der von Expert_innen betrieblicher Sicherheit immer wieder erwähnt wird, ergab sich dabei noch aus der Logik der IT-Sicherheit: das «Jahr 2000-Problem». Zwar stellte sich das Problem selbst noch vor dem Hintergrund interner Schwierigkeiten von Informationssys-temen. Computerprogramme, die nur auf zweistellige Jahresnummerierun-gen (zum Beispiel 99) programmiert waren, hätten Probleme bereiten können, weil sie nach 99 nicht einfach weiter bis 100 hätten zählen können, sondern stattdessen auf 00 gesprungen wären. Falsche Daten-anzeigen hätten zu massiven Terminproblemen führen können, die gerade bei terminsensiblen Geschäftsmodellen (insbesondere in der Finanz-branche) zu sehr empfindlichen Störungen geführt hätten. So hat das «Jahr 2000-Problem» Kontinuitätsschwierigkeiten auf der organisatorischen, vor allem aber zeitlichen Ebene von Geschäftsprozessen sichtbar gemacht. Die potenzielle Störung der digitalen Infrastruktur der Zeitmessung ließ den kritischen Faktor Zeit bewusst werden. Neben assets, so zeigte sich, mussten zeitlich und terminlich eng getaktete Prozesse geschützt werden. Drastisch verschärft wurden diese Sorgen (gerade im Bankensektor) durch die Terroranschläge vom 11. September 2001, die eine schwerwie-gende Unterbrechung von Geschäftsprozessen mitten im Herzen des glo-balen Finanzkapitalismus bewirkt hatten. Zwar gab es zum Zeitpunkt des 11. September bei Banken in New York bereits rudimentäre Ansätze im Contingency Planning, die durch das «Jahr 2000-Problem» sowie die Terroranschläge auf das World Trade Center im Jahr 1993 angeregt worden waren. Aber erst nach dem 11. September ist es zur Neuorientierung und Etablierung des BCM in seiner gegenwärtigen Form gekommen. Denn der 11. September gilt in der Branche als der erste große genuine business incident, der die Mängel einer rein IT-basierten Sicherheitsstrategie aufgezeigt hat. «Der zweite Wendepunkt war 9/11 in den USA, als – heute würde man sagen – schwarze Schwäne eingetreten sind, als nämlich Szenarien eingetreten sind, die vorher unvorstellbar waren. Nämlich, dass zwei große Bürogebäude mitten in New York zerstört werden, und Unternehmen dann also viele Mitarbeiter verlieren und nicht mehr arbeitsfähig sind. Auch das eine Business-Seite, das war kein IT-Incident, sondern das war ein richtiger Business-Incident durch Terrorismus. Das hat den Schwenk geführt zum Business Continuity Management.». Dass es sich beim BCM noch um eine sehr junge Disziplin handelt, zeigt sich auch daran, dass die Bedeutung und die Spezifität des BCM von Ex-pert_innen und Regulator_innen immer noch gegen das ältere, IT-basierte disaster recovery stabilisiert werden muss. BCM ist mehr als «IT-Notfall-management», «mehr als Back-up» und erfordert deshalb eine «ganzheitliche Betrachtung», die nicht nur die «Ressource Informationstechnik» im Blick hat. Ein zeitgemäßes «Sicherheitsmanagement muss ganzheitlich und prozessorientiert sein und nicht auf IT fokussiert», denn «Technologien alleine lösen keine Probleme». Durch die Wende zum gegenwärtigen Continuity Management hat sich auch die Rationalität der Sicherheit sowohl im Hinblick auf ihr Leitbild als auch auf ihre grundlegende Zielvorstellung geändert. Ging es in der klassi-schen IT-Sicherheit noch um den Schutz von assets, also Gütern, geht es im Business Continuity Management nun um das Aufrechterhalten von Prozessen. Da-mit kommt es zu einer dreifachen Verschiebung. Nicht mehr Integrität, sondern Kontinuität ist das Ziel der Sicherheit. Nicht mehr Schutz, son-dern Gewährleistung und Ermöglichung ist ihre praktische Maxime. Und weniger Güter und Produkte (ob materielle oder immaterielle, Daten, Geld, oder Industrieprodukte), sondern Prozesse und Zirkulationen bilden den «Gegenstand» der Sicherheit. Damit schließt das gegenwärtige Business Continuity Management an das Continuity of Government Planning des Kalten Krieges an. Schon damals wurde den staatlichen Sicherheitsexpert_innen klar, dass nur durch fortgesetzte Operationsfähigkeit der Regierung und der vitalen Systeme die wesentlichen assets des Landes – die Bevölkerung und der Wohlstand der Gesellschaft, die Integrität von Souveränität und Territorialität – geschützt werden können. So ist es auch beim BCM: Nur, wenn das Unternehmen operationsfähig bleibt, kann es seine assets (ob dies nun Daten, Geld oder materielle Güter sind) effektiv schützen und bewahren.

Krisenroutine. Die Organisation des Notfalls im BCM

Kontinuität ist das Leitbild der Sicherheit im Business Continuity Management. Die Konzeption von Sicherheit als möglichst ununterbrochene Fortset-zung von Prozessen entspricht dem normativen Leitbild des Sicherheits-dispositivs der Resilienz. Schließlich geht es bei Resilienz nicht um fixe Stabilitätswerte, sondern vielmehr darum, überhaupt «im Spiel» zu bleiben. Ziel ist es, wie Crawford Holling bereits in den 1970er Jahren in Bezug auf Ökosysteme formuliert hatte: «to stay in the game […] by maintaining flexibility». Insofern verbindet Resilienz «learning with continuity» und darf nicht statisch von festen Normwerten her verstanden werden. Aber wie lässt sich Kontinuität konkret organisieren? Wie gelingt der Transfer des Resilienzkonzepts von ökologischen auf organisatorische Prozesse? Zur Beantwortung dieser Fragen möchte ich im Folgenden näher auf die organisatorische Logik des Business Continuity Management eingehen. Dabei widme ich mich zunächst der Rolle von Gesetzen und Standards für die Ausbreitung der generischen Praxisform des Kontinui-tätsmanagements. Sodann werde ich die zeitliche Logik des BCM beleuchten, die sich vor allem in der veränderten Wahrnehmung eines Betriebs als Prozess und in der Bestimmung von Kritikalität als zeitkritisch zeigt. Das Problem, wie im Notfall schnelle und richtige Entscheidungen getroffen werden können, das schon in der Geschichte des Continuity of Government Planning eine große Rolle gespielt hat, führt dazu, dass Kontinuitätsmanager_innen die Rolle von Entscheidungsstrukturen in ihren Organisationen reflektieren müssen. Die betriebswirtschaftliche Logik des BCM zeigt sich vor allem in der Anforderung an Kostenbe-grenzung von Kontinuitätsmaßnahmen einerseits und andererseits in Überlegungen, wie Krisen für den Betrieb als »Chance« genutzt werden können. Schließlich werde ich auf die generischen Maßnahmen des Kontinuitätsmanagements eingehen. Obwohl es um die Aufrechterhaltung des abstrakt-zeitlichen Gutes «Prozess» geht, ist es nur über konkrete, materielle, räumliche Installationen und Techniken möglich, diesen Prozess zu erhalten.



Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.


Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018


Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de

Kategorie: Business Continuity Management | Krisenmanagement
© Swiss Infosec AG 2026