Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Business Continuity Management

Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 3

Standardisierung und Globalisierung des BCM

In der jüngeren Geschichte konnte sich BCM als eigenständige Sicherheits-technologie etablieren. Eine Reihe gesetzlicher und regulatorischer Initiati-ven auf nationaler und internationaler Ebene hat das Management von Kontinuität zu einer wesentlichen Praxisform der Sicherheit insbesondere in der Privatwirtschaft werden lassen. In Deutschland sind gerade für Be-treiber Kritischer Infrastrukturen Katastrophenvorsorgemaßnahmen obli-gatorisch. Schließlich sind Infrastrukturbetreiber und Unternehmen so miteinander vernetzt und aufeinander angewiesen, dass schlechte Katastrophenvorsorge in einem Unternehmen schnell gravierende Auswirkungen auf ganze Branchen bzw. ganze Infrastrukturnetze haben kann. Der einzelne Betrieb erscheint aus der Regulationsperspektive also vor allem als Knotenpunkt in einem Netzwerk vitaler Systeme. BCM hat dabei den größten Bekanntheitsgrad bei Unternehmen und ist deshalb für viele das Katastrophenvorsorgeprogramm der Wahl. Das hat auch eine Mitarbeiterin im BBK mit Zuständigkeiten im Bereich Schutz Kritischer Infrastrukturen so bestätigt: «Mit dem Begriff Risiko- und Krisenmanagement kommt man in Unternehmen häufig nicht viel weiter. Sobald eben das Thema BCM aufscheint, dann wissen die etwas damit anzufangen und können es auch nach oben, gegenüber ihrem Vor-stand besser verkaufen.» (Interview 1)

Jenseits von gesetzlichen Vorschriften zur betrieblichen Katastrophenvor-sorge in einzelnen Ländern und Branchen sind auf internationaler Ebene vor allem Standards wichtig zur Etablierung und Ausbreitung von BCM. Fraglos am wichtigsten ist hier der ISO-Standard 22301 für BCM, der zunächst im Jahr 2012 aufgesetzt wurde. Der Standard fasst eine Reihe von mittlerweile als best practice angesehenen Verfahren des Kontinuitätsmanagements zusammen und repräsentiert gegenwärtig den Goldstandard des BCM. Als Produkt der International Organization for Stan-dardization (ISO) hat der Standard einen globalen und universellen Geltungsanspruch. Er soll auf alle möglichen Arten von Unternehmen anwendbar sein. Programmatisch heißt es: «The requirements specified in this International Standard are generic and intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization.» Diese «generische» Ausrichtung macht den Standard zunächst wenig aussagekräftig. Sowohl die 24 Seiten langen requirements (Anforderungen) als auch die etwa doppelt so lange guidance bieten nur wenig Aufschluss darüber, was BCM ist. Gehaltvolle Ausführungen dazu, was konkret unternommen werden kann, um ein Unternehmen sicherer zu machen, finden sich kaum. Stattdessen wird sehr ausführlich geschildert, was gemacht werden muss, um sicher zu gehen, dass man den Standard erfüllt hat. Vor allem eine ausführliche Dokumentation aller vorgenommenen Schritte und die regelmäßige und vielfältige Evaluation der Maßnahmen (gefordert wird: «monitoring, measurement, analysis and evaluation, internal audit, management review» soll diese Sicherheit schaffen – es gilt zu dokumentieren und zu beweisen, dass man etwas für die Sicherheit getan hat. Hier zeigt sich bereits ein erstes Charakteristikum von Kontinuitätsmaßnahmen im Rahmen betrieblicher Sicherheit. Vor allem Michael Power hat mehrfach herausgearbeitet, dass betriebliche Sicherheit mindestens ebenso sehr eine Anforderung interner Kontrollprozeduren – internal audit – wie externer Bedrohungen ist. Die «Risikogesellschaft» ist hier gewissermaßen ein Produkt der «audit society», Reflexivität wird durch die ständige Beobachtung durch ein Heer von Wirtschaftsprüfer_innen erzeugt. Dabei ist die Standardisierung des Risikomanagements in Betrieben wiederum die Voraussetzung für deren Überprüfung im audit. Denn erst die Standards erzeugen einheitliche Referenzpunkte für Prüfer_innen und Überprüfte und erzeugen so die für die Evaluation notwendige Einheitlichkeit.

Dieser Zusammenhang zeigt sich auch im BCM sehr deutlich. Indem sie auf die Einhaltung von benchmarks im Kontinuitätsmanagement verwei-sen können, sind die Unternehmen zwar nicht unbedingt gegenüber allen Gefahren, aber zumindest gegenüber kritischen Nachfragen, den vielfälti-gen internen und externen audits und evaluations abgesichert. Selbst wenn sich einzelne Maßnahmen rückblickend als falsch herausstellen sollten, verbürgt die Orientierung am Standard ein verantwortliches und risikosen-sibles Verhalten. Umgekehrt nutzen auch die internen und externen Be-obachter_innen, Wirtschaftsprüfer_innen und Beratungsunternehmen die Standards, um zu ermessen, ob ein Unternehmen ein gutes Kontinuitäts-management hat. Das wird vom ISO 22301 sogar als einer seiner zentralen Gebrauchswerte angepriesen: «The International Standard is applicable to all types and sizes of organizations that wish to […] seek certification of its BCMS by an accredited third party certification body […] [and/or] make a […] self-declaration of conformity with this International Standard.» Der Standard wird also angewendet, um den Anforderungen an die Standardisierung zu genügen. So selbstbezüglich und absurd diese Logik er-scheinen mag, sie bleibt nicht folgenlos. Denn das Spiel von interner Risikokontrolle von Unternehmen und externer Kontrolle durch auditors, die sich alle auf dieselben Standards beziehen, trägt zur weltweiten Ausbreitung einer bestimmten Version von BCM ebenso wie zur Proliferation eines weitläufigen Praxis- und Professionsfeldes betrieblicher Sicherheit bei. Letztlich ist ISO 22301 also eine Art Meta-Standard, der andere Stan-dards und Regelwerke aufgreift und zusammenfasst. Er bezieht sich auf bereits bestehende nationale Regulierungen und Standardisierungsbemü-hungen zur betrieblichen Sicherheit und zum Business Continuity Management. Auch der Standard für 100-4 des Bundesamtes für Sicherheit in der Infor-mationstechnik (BSI) zum Notfallmanagement bzw. Business Continuity Management ist bereits 2008, also vier Jahre vor dem ISO-Standard, erschie-nen und im Vergleich mit diesem wesentlich gehaltvoller. Vor allem die angelsächsischen und asiatischen Länder waren aber Vorreiter im BCM. Für die Verbreitung des BCM in der Privatwirtschaft sind Standards wichtiger als Gesetze. Denn selten wird in Gesetzen spezifiziert, was die einzelnen Katastrophenvorsorgemaßnahmen beinhalten müssen. Diese Lücke füllen die Standards – und zwar selbst noch die sehr abstrakten und generischen. Sie fungieren gleichsam als globale Protokolle für die Erstel-lung jeweils firmenspezifischer Notfallprotokolle und versammeln so die verstreuten Netze des globalen Sicherheitsgefüges des Kontinuitätsmanagements. «Also dass etwas gemacht wird, kommt aus der Regulierung her-aus. Die Regulierung sagt nicht, wie es gemacht werden muss. […] Wie ich etwas tue, das kommt aus den Standards heraus» (Interview 4). Die Orien-tierung an Standards sorgt also für eine Globalisierung der immer gleichen Business Continuity-Maßnahmen, obwohl diese von ganz unterschiedlichen nationalen Regularien und Körperschaften eingefordert werden. Standardi-sierungen führen dazu, dass sich BCM als abstrakte Sicherheitstechnologie globalisieren kann. BCM bildet ein globales Sicherheitsgefüge, obwohl es von keiner Weltregierung implementiert wurde und von nationalen Regula-tionen häufig nur angeregt, aber nicht vorgeschrieben wird. Gerade die Abstraktheit von internationalen Standards ist dazu geeignet, unterschiedliche «communities of practice» zu koordinieren bzw. überhaupt erst entstehen zu lassen. Denn das Generische der Standards lässt seinerseits eine Lücke, die dann wiederum von neu entstandenen Sicherheits- bzw. BCM-Expert_innen gefüllt werden kann. Denn wie genau die generischen Vorgaben in konkreten Unternehmen umgesetzt werden können, ergibt sich aus den Standards nicht. Wenn die Gesetze sagen, dass etwas getan werden muss, und die Standards sagen, was getan werden muss, dann braucht es zusätzliche Berater_innen, die sagen, wie etwas umgesetzt werden kann. Unternehmen können dann entweder spezielle Fachkräfte als Business Continuity Manager einstellen oder Unternehmensberater_innen beauftragen. Ein Unternehmensberater, mit dem ich ein Interview geführt habe, hat seine Aufgabe so definiert: «Ok, in den Standards, da steht drin: mach einen Krisenstab, mach Übung usw. Aber: wie besetze ich denn eigentlich ein Krisenteam? Welches sind die Keyplayer in so einem Krisenteam, Krisenstab? Gibt es dafür Unterschiede? Und wie soll ich das aufbauen, wie häufig sollte ich üben? Was soll ich eigentlich üben? Also die Sachen kommen in dem Umfeld eigentlich relativ kurz und da setze ich halt mit meiner Beratung an.» (Interview 6) Mittlerweile hat sich eine ganze Szene bzw. community of practice für BCM entwickelt. Es gibt Konferenzen und Fachtagungen, Fortbildungen und Workshops, Online-Foren, Internetseiten und Blogs für BCM.

Die Vordringlichkeit des Zeitkritischen

Das Sicherheitsleitbild der Kontinuität im BCM geht mit einer Konzeptua-lisierung des Betriebs als Prozess bzw. als Reihe miteinander verzahnter Wertschöpfungsketten einher. Das wird vor allem im Rahmen der Verwundbarkeitsanalyse im BCM sichtbar: der sogenannten Business Impact Analyse (BIA). Die BIA entwirft eine Morphologie des vitalen Systems «Betrieb» als Kette von Verkettungen, als Prozess von miteinander verzahnten Prozessen. Jeder Prozess ist dabei auf inputs angewiesen und produziert outputs für wieder andere Prozesse. Im 2015 veröffentlichten ISO-Standard 22317 zur BIA heißt es etwa: «A process is a set of interrelated or interacting activities which transform inputs into outputs.»
Dieses Verständnis des Geschäfts als System interdependenter Prozesse führt zu einem charakteristischen Verständnis von Kritikalität. «Kritisch im Sinne des Notfallmanagements bedeutet ›zeitkritisch‹, also dass dieser Prozess eine schnelle Wiederaufnahme der Tätigkeit erfordert, da sonst ein hoher Schaden für die Institution zu erwarten ist.» Zur Identifizierung zeitkritischer Prozesse ist ein durchaus ungewohnter Blick auf das eigene Unternehmen erforderlich. Zeitkritische Prozesse können unter Umständen nebensächlich erscheinen, etwa wenn es sich um basale Infrastrukturleistungen handelt, die überhaupt nur dann auffallen, wenn sie ausfallen. Der Betrieb muss daher nicht nur von seinem Kern – den für das Unternehmen prestige- oder gewinnträchtigsten Geschäften –, sondern ebenso von seinen infrastrukturellen Rändern her betrachtet werden.Gerade wegen dieser häufig versteckten Kritikalität wird eine angemes-sene Kartierung der Abhängigkeiten zwischen unterschiedlichen Prozessen und ihrer spezifischen Verwundbarkeit als Voraussetzung für ein gelunge-nes Kontinuitätsmanagement betrachtet. Die Kartierung von Verwundbar-keiten als Mittel der Risikoanalyse ist, wie gezeigt, ein Standardverfahren der Katastrophenvorsorge. Das Besondere der Business Impact-Analyse im BCM ist aber ihre zeitliche – und gerade nicht primär räumliche – Logik der Kartierung. So soll eine »Prozesslandkarte […], die die Prozesse listet und die verschiedenen Abhängigkeiten zwischen den einzelnen Geschäftsprozessen aufzeigt«, erstellt werden. Abhängigkeiten konstituieren sich dabei nicht durch räumliche Nähe oder topologische Nachbarschaft, sondern durch ihre zeitliche Stellung im Vorher und Nachher des umfassenden Geschäfts-prozesses. Der »Abhängigkeitsgrad ist für beide Richtungen zu ermitteln, also in Richtung Vorgänger und in Richtung Nachfolger.« In einer geradezu evolutionären Sprache wird daher auch von der »Vererbung« von Störungen eines Prozesses auf einen anderen gesprochen. Verwundbarkeit erwächst hier nicht nur aus der Vernetzung von physischen Strukturen oder interdependenten Akteuren – schließlich geht es beim Business Continuity Management zunächst einmal immer nur um ein einzelnes Unternehmen. Sie ergibt sich vielmehr auch aus dem spezifischen Rhythmus des Geschäfts, aus dem »Eingetaktet-Sein« in Abläufe und Anforderungen, die just-in-time erfüllt sein müssen und nicht aufgeschoben werden dürfen. Denn neben zeitkritischen Prozessen, die nicht lange zum Erliegen kommen dürfen, gibt es auch kritische Zeiten. Dazu gehören zeitkritische Perioden im Geschäftsprozess, die durch – teilweise vorhersehbare – »fluctuations in demand or peak operating periods« (ISO 2015) entstehen. Zudem können wichtige Termine und Fälligkeiten, wie die »tägliche Cut-Off Time … in Banken, Redaktionsschluss für Anzeigen einer Wochenzeitung, das Jahresende für einen Jahresabschluss«, kritische Punkte im Geschäftsprozess erzeugen. Hier ist es nicht die Ausfallzeit, die Kritikalität erzeugt, sondern der Termindruck, der teils extreme Verwundbarkeiten gegenüber Geschäftsunterbrechungen zu bestimmten Zeiten bewirkt. Werden Termine nicht eingehalten, drohen Verluste, Imageschäden und vor allem auch Vertragsstrafen für die betroffenen Unternehmen. Die zeitliche Logik der Kritikalitätsbestimmung hat vor allem einen praktischen Sinn. Die vorsorgliche Identifizierung zeitkritischer Prozesse soll im Ereignisfall eine angemessene Notfallreaktion anleiten. «Ein bei der BIA als ›unkritisch‹ eingestufter Geschäftsprozess bedeutet nicht, dass dieser für die Institution unwichtig ist, sondern lediglich, dass er eine ge-ringere Priorität für die Wiederherstellung hat.» Im Falle einer Unterbrechung kommt es darauf an, nicht nur schnell, sondern auch in der richtigen Reihenfolge zu reagieren. Dabei hängt die «Umsetzungs-reihenfolge» für Notfallmaßnahmen entscheidend von der Vorhergehenden «process prioritization» (ISO 2015), also der Bestimmung zeitkritischer Geschäftsprozesse ab. Im Angesicht knapper zeitlicher Ressourcen und eines sich schnell eskalierenden Krisengeschehens muss gewissermaßen die Vordringlichkeit des Zeitkritischen beachtet werden.

Hierin liegt eine nicht zu unterschätzende Schwierigkeit jeder Art des Notfallmanagements in Organisationen. Wenn etwas schiefgeht, dann nämlich nicht entlang der gewohnten Geschäftsgänge eines Betriebes. Die Unterbrechung kann nicht wie andere Aufgaben abgearbeitet oder im Zweifel vertagt werden. Chaotisch ist ein katastrophischer Vorfall in zeitli-cher Hinsicht schließlich darin, dass er die temporale Komplexitätsredukti-on einer geordneten Sukzession von Ereignissen, die gerade auch für Organisationen so wichtig ist, über den Haufen wirft. Bei einer Katastrophe geht nicht nur alles schief, was schiefgehen kann – wie das in Katastrophenzusammenhängen immer wieder gerne zitierte Gesetz Murphys besagt –, sondern es geht schlimmstenfalls auch alles zur gleichen Zeit schief, oder zumindest viel zu schnell und in ungeahnter Reihenfolge. Erfahrungen mit Übungen und tatsächlichen Katastrophen haben immer wieder gezeigt, dass es Verantwortlichen und Betroffenen gerade in diesen chaotischen Situationen schwer fällt, Wichtiges von Unwichtigem zu unterscheiden. In der Katastrophenmedizin wird diesem Problem mit der Technik der Triage begegnet. Bei der Triage geht es darum, diejenigen Personen zuerst zu behandeln, bei denen Hilfe am dringlichsten geboten ist. Hier ist die Frage der Zeit und des Tempos der Hilfe im Wortsinne vital. Eine ähnliche Selektion muss auch beim betrieblichen Kontinuitätsmanagement vorgenommen werden. Es bedarf gleichsam einer Prozesstriage, die Vordringliches von Nachrangigem und vitale von weniger «überlebenswichtigen» Prozessen unterscheiden kann. Im Idealfall wird ein entsprechendes Aufgabenprotokoll bzw. ein Reaktionsalgorithmus im Vorhinein durch einen Notfallplan festgelegt. Der Imperativ schnellen Reagierens macht den Notfallplan, meist in Form eines «Notfallhandbuchs», zu einem obligatorischen Bestandteil des Kontinuitätsmanagements. Aus diesen Protokollen soll möglichst klar und für alle beteiligten Akteure verbindlich hervorgehen, wer wann was zu tun hat und welche Prozesse zuerst beachtet werden müssen. Die Bindung an ein Notfallprotokoll stiftet Orientierung in einer Situa-tion, in der gewohnte Handlungsmuster durchbrochen sind. Allerdings geht mit dieser «Sicherheit» ihrerseits ein Risiko einher, weil die Verpflichtung auf einen vorgefertigten Plan die Flexibilität reduziert, angemessen auf anfallende Situation reagieren zu können. Wie Klaus Japp einmal formuliert hat, bedarf es im Notfall zuweilen der «Rationalität ›impressionistisch‹ geführter Entscheidungen», die sich gerade nicht an den Entscheidungsalgorithmen des Notfallplans orientieren. Die Standards zum betrieblichen Kontinuitäts- und Notfallmanagement adressieren diese Problematik mit Hilfe einer Unterscheidung zwischen «Notfall» und «Krise», die jeweils unterschiedliche Reaktionsformen erforderlich machen. «Der wesentliche Unterschied zwischen einem Notfall und einer Krise besteht darin, dass ein Notfall im Wesentlichen mit Hilfe von Notfallplänen gemeistert werden kann. Eine Krise erfordert weitergehende Kompetenzen. Sie ist einzigartig, kann auf kein vorgedachtes Muster aufsetzen und erfordert schnelle und kompetente Entscheidungen.» (BSI 2008)

Was hier auffällt, ist der selbstbezügliche Charakter der Definitionen von Krise und Notfall. Denn die unterschiedlichen Fälle werden nicht gemäß eines objektiven oder den Ereignissen intrinsischen Charakteristikums voneinander abgegrenzt, sondern nach der internen Bearbeitungslogik, der Reaktion auf die Unterbrechungsereignisse. Wir haben es gleichsam mit konstruktivistischen Konzepten von Störung, Notfall, Krise und Katastrophe zu tun, insofern diese durch eine organisationsinterne Interpretations-arbeit und Reaktionsform erst »produziert« und als distinkte Fälle institutionell in Kraft gesetzt werden. Krisen sind also keine hereinbrechenden Ereignisse aus der Umwelt, sondern stellen Impulse dar, die immer erst system- bzw. organisationsintern verarbeitet werden müssen und aufgrund systeminterner Unterscheidungen als spezifischer Fall etabliert werden. Damit stellt sich aber organisationsintern die schwierige Frage der Gestaltung dieser Definitionsarbeit. «Das größere Dilemma ist, wann rufe ich eine Krise aus. […] Erst mal intern. Intern muss ja erst mal jemand hingehen und sagen, ich habe eine Krise.» (Interview 6) Aber wer soll dieser Jemand sein? Und wie und von wem wird eine Krise gemanagt, die «schnelle und kompetente Entscheidungen» erfordert?

Krise der Entscheidung, Krise der Hierarchie

Die «Paradoxie des Entscheidens», manchmal auch als Aporie der «Unentscheidbarkeit» adressiert, besteht darin, dass eine Entscheidung im emphatischen Sinne nur dann getroffen werden kann, wenn es keine sichere Grundlage für diese Entscheidung gibt. «Only those questions that are in principle undecidable, we can decide». Erst durch den Akt der Entscheidung wird performativ die Situation hergestellt, die rückwirkend als «Grundlage» der Entscheidung angesehen werden kann. Im BCM findet sich eine solche Entscheidungsparadoxie. So soll die betriebliche Bearbeitung des Notfalls gleichsam dem Ereignis folgen, das heißt es soll eine vom Normalfall abweichende Krisenroutine greifen, die auch alternative Entscheidungsstrukturen für die Zeit des Notfalls vorsehen kann. Zugleich muss das Notfallereignis, dem der Notfall- bzw. Kontinuitätsplan folgt, organisationsintern zuallererst konstruiert werden. Schließlich kann man sich nicht darauf verlassen, dass die Krise «von außen» als Krise definiert wird und damit auch intern als solche behandelt werden muss. «Es wird dann leicht, wenn die Medien es ausrufen würden. So lange es aber nicht wirklich von außen herangetragen wird, ist die Gefahr, dass es einfach verschleppt wird» (Interview 6). Eine erste konkrete Schwierigkeit entsteht für die Kontinuitätsmanager durch die Frage nach dem Verfahren zur Entscheidung über die Krise. «Also in meinem Beratungsansatz sage ich: Es gibt bestimmte Leute, die dürfen einen Krisenstab einberufen. Das müssen mehrere Leute dürfen. Und zwar ohne Rang, sondern aufgrund ihrer Rolle. Der Krisenstab entscheidet dann, weil jetzt haben wir ein Gremium.» (Interview 6) Hier wird also vorgeschlagen, die organisationsinterne Konstruktions- bzw. Interpretationsarbeit der Krise aufzuteilen. Es soll eine Detektionsinstanz, unabhängig von einer Entscheidungsinstanz geschaffen werden, der es zukommt, den Prozess, der schließlich zur Entscheidung über die Krise führt, zu initiieren. Dabei soll diese Initiationskompetenz nicht an der Spitze der Hierarchie konzentriert sein, sondern Personen gemäß ihrer «Rolle» zukommen, die möglichst sensibel für Störungen in der Organisation ist. «Könnte bei Personal sein, nach dem Motto: Und wenn ich die dreißigste Krankmeldung aus irgendeinem Bereich habe, dann sehe ich hier eine Krise.» (Interview 6) Das gewählte Beispiel zeigt, warum die Initiierung eines Krisenprozesses ein so schwieriges Problem sein kann. Denn nicht selten ist eine Krise eine schleichende Entwicklung, die erst in einer bestimmten Intensität «kritisch» wird. Es wird daher auch empfohlen, im Vorhinein «Kriterien und Schwellenwerte festzulegen» (BSI 2008), die klären sollen, ab wann kumulierende Störungen sich zu einer Krise ausgewachsen haben. Schließlich müssen die Initiator_innen einer Krise damit rechnen, zur Rechenschaft gezogen zu werden, wenn sie unbegründet Alarm schlagen, denn ein verfrühter Alarm stellt selbst den Tatbestand einer Geschäftsunterbrechung dar. Zu große Zurückhaltung beim Alarmschlagen ist aber ebenfalls ein Problem. «Auch niedrige Rollen, die merken, dass etwas eng wäre, die müssen im Prinzip den Krisenstab einberufen dürfen, und zwar ohne – sage ich mal – Konsequenz, wenn sie das mal zu häufig tun.» (Interview 6)


Ein weiteres Problem besteht in der Zusammensetzung des Krisensta-bes. Wie bei der Frage der Initiierung wird auch hier immer wieder betont, dass der Krisenstab nicht zwangsläufig aus Führungskräften des Unter-nehmens bestehen muss. Ein geeigneter Vertreter des Krisenstabes muss nämlich bestimmte habituelle Voraussetzungen mitbringen, die unter Um-ständen gerade im Vorstand gering ausgeprägt sind. «Nicht alle Funktionsträger sind unter hoher Belastung automatisch auch gute Strategen und können im Extremfall die Arbeit eines Krisenstabes eher behindern als fördern. Mitglieder der Leitungsebene sind es gewohnt, die vollständige Kontrolle über die Situation zu haben, Entscheidungen vollständig durchzudenken und die Folgen abwägen zu können. Die Grenzerfahrung des ›Kontrollverlustes‹ in einer Krisensituation … kann daher zu einem Gefühl der persönlichen Bedrohung bis hin zur völligen Handlungsunfähigkeit führen.» (BSI 2008) In der Krise schlägt die Stunde impulsiven Handelns unter Bedingungen von Stress; eher körperlich-affektive Reaktionsbildungen als rationales Kalkül bestimmen die Handlung: «Die Stressursachen in einer Krise … reichen vom Schock über die Ereignisse, über Angst vor dem eigenen Versagen, Angst um Angehörige, emotionale Belastung, Angst vor dem Unbekannten, Reizüberflutung durch zu viel Information, widersprüchliche Informationen, unzureichende Informationen, Zeitdruck. […] Aggressivität bis hin zu völligem Kontrollverslust kann Folge von Stress sein. Doch hat Stress nicht nur negative Seiten, sondern auch positive. Stress kann Antriebsfeder sein und Menschen zu Höchstleistungen motivieren. […] Krisenstabsmitglieder sollten daher von Grund auf eine gewisse Stressresistenz und Selbstvertrauen mitbringen.» (BSI 2008) Die Resilienz der Organisation, so scheint es hier, ist also wesentlich auch auf die Stressresilienz, die psychische Krisenfestigkeit der Entscheidungs-träger_innen angewiesen. Eine Möglichkeit, mit diesem Problem umzugehen, besteht darin, «Notfallbeauftragte» (BSI 2008) oder gar ständige Krisenmanager_innen zu designieren, der/die häufig auch der Business Continuity Manager ist. «Für den Krisenstabsleiter spricht, dass eine weitere Eskalationsstufe entfällt und … die Kompetenz zur Einschätzung von Situationen vorhanden ist. Bedenken … bestehen darin, dass [die] Krisenstabsleitung … die ›Macht‹ in der Institution übernehmen könnte.» (BSI 2008) Interessanterweise wiederholen sich hier die Probleme, die auch Verfas-sungen mit Ausnahmezuständen haben. Wie ist es möglich, einerseits in Ausnahmesituationen bestimmten Personen einen erweiterten Handlungsspielraum zuzugestehen, damit sie schnell und effektiv auf eine kritische Situation reagieren können, und zugleich die Dauer der Ausnahmebefugnisse zu begrenzen und deren Missbrauch zu verhindern? Die Antwort soll auch im Kontinuitätsmanagement in einem System von checks und balances bestehen. «Dieser hypothetischen Problematik kann dadurch entgegen gewirkt werden, dass als Sicherungsmaßnahme eine oder mehrere Kontrol-linstanzen eingeführt werden, die die Feststellung der Krise überprüfen und widerrufen können.» (BSI 2008). Dass diese Kontrollvorkehrungen ausgerechnet als «Sicherungsmaßnahmen» bezeichnet werden, zeigt, dass sich die Notfallexpert_innen durchaus darüber im Klaren sind, dass die von ihnen empfohlenen Sicherheitsmaßnahmen selbst riskant sind. Sie sind riskant, weil sie organisatorische Entscheidungsbefugnisse neu verteilen und damit neue Unberechenbarkeiten erzeugen.




Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.


Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018


Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de

Kategorie: Business Continuity Management | Risikomanagement

Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 1

Die Regierung der Katastrophe und der Schutz vitaler Systeme sind schon seit langem keine reine Staatsanagelegenheit mehr. Eine Vielzahl halb-öffentlicher Hilfsorganisationen und Freiwilligenorganisationen ist Kern-bestandteil des operativen Katastrophenschutzes, und der Schutz Kriti-scher Infrastrukturen ist unter Bedingungen der Liberalisierung auch zur Aufgabe privatwirtschaftlicher Konzerne geworden. Der Staat bemüht sich zwar weiterhin im Sinne seiner »Gewährleistungsverantwortung« um das reibungslose Funktionieren der voneinander abhängigen Infrastruktursys-teme. Er ist aber schon lange nicht mehr der souveräne Steuermann der Vorsorgemaschine. Infrastrukturschutz erfolgt immer häufiger in Koopera-tionen zwischen Staat und Unternehmen bzw. in »Sicherheitspartnerschaf-ten« und Public Private Partnerships. Die Regierung der Katastrophe ist folg-lich nicht im Staatsapparat konzentriert, sondern verstreut sich über die Netze des Sicherheitsdispositivs der Resilienz. Das Dispositiv versammelt diverse öffentliche und private Akteure und Institutionen und richtet ihre Sicherheitsbemühungen aus, ohne dass es eine zentrale Steuerungs- oder Koordinierungsinstanz gäbe, die vorschreibt, wer was wann zu tun hat. Durch diese dispositivanalytische Perspektive lässt sich der Anspruch der Governmentality Studies einlösen, »political power beyond the state« zu analysieren.

Umso verwunderlicher ist es, dass die internationale Debatte zur Regie-rung der Katastrophe einen so deutlichen Staatsbias aufweist und bisher fast ausschließlich Programmatiken und Initiativen staatlicher Behörden in den Blick genommen hat. Wenn doch einmal der privatwirtschaftliche Anteil der Regierung der Katastrophe in den Blick gerät, dann zumeist durch Bezugnahme auf die Versicherung bzw. die Finanzialisierung von Sicherheit. Es wird dann gezeigt, wie die private Versicherung gegen Katastrophen als Mittel gegen die Pathologien staatlicher Katastrophenvorsorge aufgerichtet wird und wie Katastrophenversicherungen komplexe Finanzprodukte ins Spiel bringen, die das spekulative Moment kommender Katastrophenlagen – etwa durch Katastrophenanleihen – in ein Investitionsobjekt für risikofreudige Anleger verwandeln. So wichtig diese Arbeiten sind: Durch die Polarisierung von öffentlich und privat entsteht ein falsches Bild, wonach private Sicherheit vornehmlich durch finanzielle Techniken operiert, während substanzielle Katastrophenvorbereitungsmaßnahmen ausschließlich das Metier des Staates darstellen.

In diesem Kapitel möchte ich deshalb eine symmetrische Perspektive auf öffentliche und private Sicherheit einnehmen, indem ich auf organisa-torische Katastrophenvorbereitungsmaßnahmen auf Unternehmensebene eingehe und damit eine wichtige Leerstelle in der Literatur zur Regierung der Katastrophe adressiere. Denn auch im privatwirtschaftlichen Bereich werden mittlerweile verstärkt Maßnahmen getroffen, die durch Kontin-genzplanung und den Aufbau von Resilienz das Unternehmen auf uner-wartete Großschadensereignisse vorbereiten sollen. Besonders das soge-nannte Business Continuity Management (BCM) hat in jüngerer Zeit als Krisenmanagement und Katastrophenvorbereitungsprogramm für Betriebe stark an Bedeutung gewonnen, ohne bisher jedoch entsprechende sozial-wissenschaftliche Aufmerksamkeit auf sich gezogen zu haben. Ziel des BCM ist es, die Resilienz eines Unternehmens vorbereitend zu erhöhen, um kritische Geschäftsprozesse auch im Krisenfall aufrechterhalten zu können. Damit leistet BCM einen Beitrag zum Schutz Kritischer Infra-strukturen und vitaler Systeme. Im Folgenden steht insbesondere das BCM in Banken im Fokus. Gerade in Banken wurden aufgrund der Erfahrungen mit den Terroranschlägen vom 11. September 2001 in den letzten Jahren verstärkt Business Continuity Management-Systeme implementiert. Reizvoll ist der Fokus auf Banken zudem, weil sich so eine technisch-organisationelle Form der Katastrophenvorsorge ausgerechnet im Kernbereich der Finan-zialisierung beobachten lässt. BCM in Banken antwortet auf Probleme – wie operational risk und systemic risk –, die auch mit finanziellen Vorsorge-techniken adressiert werden. So kann nicht nur der prinzipielle Unterschied von finanziellen und organisatorischen Sicherheitsstrategien, sondern vor allem auch ihr faktisches Zusammenspiel auf der Ebene des Sicherheitsdispositivs deutlich gemacht werden.

Viele der zum Einsatz gebrachten Techniken des BCM weisen große Ähnlichkeiten zu bereits besprochenen Sicherheitspraktiken auf: Es wird auch hier erneut versucht, Verwundbarkeiten im Betrieb zu kartieren, Vor-bereitungsmaßnahmen für generische Gefährdungen zu treffen und so Resilienz aufzubauen. Allerdings modifizieren die Strategien des BCM die bisher in der Arbeit diskutierten Technologien auf interessante Weise. Die vornehmliche Konzentration auf die Kontinuität des Geschäftsprozesses – und nicht etwa auf die Integrität von Infrastrukturnetzen oder den Schutz der Bevölkerung – betont eine vor allem temporal-prozesshafte Artikulati-on von Sicherheit bzw. Resilienz.

Im Folgenden werde ich zunächst auf die historische Entwicklung der Strategie des Kontinuitätsmanagements eingehen. Im Continuity of Govern-ment Planning während des Kalten Krieges, das die Fortsetzung der Regie-rungstätigkeit nach einem Atomangriff sicherstellen sollte, kann ein erster Vorläufer des modernen Business Continuity Managements gesehen werden. Das seit der Jahrtausendwende zu beobachtende Wandern der Strategien des Kontinuitätsmanagements aus dem staatlichen in den privaten Bereich hat deren Bedingungen gleichwohl entscheidend verändert. Anschließend gehe ich genauer auf die Rationalitäten und Techniken des gegenwärtigen BCM ein. Planungen für ein operatives Krisenmanagement sind ebenso Teil von BCM wie strukturell-technische Vorkehrungen zum Schutz kritischer Geschäftsprozesse. Danach beleuchte ich die Besonderheiten des Business Continuity Managements in Banken und untersuche, wie sich BCM in die elaborierte Risikokultur im Finanzwesen einschreibt. Schließlich gehe ich auf zwei Ereignisse ein, bei denen Techniken des Business Continuity Managements in Banken zum Einsatz gebracht wurden: Hurricane Sandy in New York und die sogenannten Blockupy-Demonstrationen in Frankfurt am Main. Dabei interessiert mich vor allem, wie BCM im Zuge dieser beiden Ereignisse zum Gegenstand von Kritik geworden ist. Schließlich werde ich versuchen, der Bedeutung von Kontinuität als maßgeblicher Temporalität der Sicherheit auf den Grund zu gehen. Warum ist die Kontinuität ihrer Operationen für die Gegenwartsgesellschaft so wichtig geworden, dass sie Unterbrechungen per se als Katastrophen erlebt? Auf welche gesellschaftlichen Bedingungen, auf welche Ontologie der Zeit verweist dieses Beharren aufs »Weitermachen« und welche Momente und Erfahrungen des gesellschaftlichen Lebens werden dadurch verdrängt?

Geschichte und Gegenwart des Kontinuitätsmanagements

Wie es Gesellschaften beständig gelingt, ihre eigenen Operationen fortzu-setzen, ist ein Grundthema der Soziologie, das durch die »Temporalisie-rung des Sozialen« gerade in neueren soziologischen Theorieansätzen an Bedeutung gewonnen hat. Heinz Bude argumentiert sogar, dass die Soziologie überhaupt nur möglich ist, weil sie sich mit dem Phänomen beschäftigt, dass es »immer irgendwie weitergeht«. Folgt man dieser Argumentation, dann würde Soziologie also mit dem Staunen über die Beharrlichkeit des sozialen »Weitermachens« beginnen und folglich untersuchen, welche Mechanismen, welche formellen und informellen Institutionen sich in Bezug auf die sich immer wieder stellenden Fortsetzungsprobleme gebildet haben. Krisensituationen stellen Gesellschaften vor allem insofern auf eine harte Probe, weil Fortsetzung in ihnen aufhört, selbstverständlich zu sein. Krisen erfordern ein von den Fortsetzungsroutinen abweichendes Handeln, das wiederum ermöglichen soll, dass es »trotzdem weitergeht«. Diese Fortsetzungsbemühungen erscheinen mitunter als absurde Geschäftigkeit, die Übersprunghandlungen oder blinden Ritualen mehr ähneln als einer zielgerichteten Praxis zur Überwindung der Krise. Oder sind die Notfallroutinen im Flugverkehr, die dem Fluggast vor Abflug aufgesagt werden – anschnallen, Schwimmweste anziehen, Atemmaske aufsetzen – etwas anderes als Rituale, die im Notfall die Zeit überbrücken sollen, bis das Flugzeug abgestürzt ist? Sich der grotesken Inadäquatheit sozialer Weitermachrituale vollends bewusst zu werden, erfordert einen Blick, der sich vom »immer weiter« der Gesellschaft entfernt. Ein ethnologisch-distanzierter Blick wie auch die Genealogie sind dafür bevorzugte epistemische Werkzeuge. Mit letzterer soll dieses Kapitel beginnen. Es erzählt die Geschichte des Continuity of Operations Planning im Kalten Krieg. Das Projekt, die Kontinuität der Regierungsoperationen im Angesicht der Bedrohungen eines thermonuklearen Krieges sicherzustellen, der erstmals die Gesellschaft, ja die gesamte Menschheit, zum Aufhören hätte zwingen können, ist für eine soziologische Beobachtung des Weitermachens besonders aufschlussreich. Fortsetzung der Operationen war hier nämlich nicht mehr nur ein stum-mer gesellschaftlicher Imperativ, sondern ist zu einem explizit gestellten Problem und politisch-organisatorischen Sicherheitsprojekt geworden.

Ich werde zunächst die historischen Hintergründe (die Bedrohung durch einen Atomkrieg) und die wesentlichen Techniken des Kontinuitätsmanagements (die Etablierung von Ausweichstandorten für die Fort-setzung der Regierungstätigkeit) aufzeigen. Dann werde ich auf die Problematik der Souveränität eingehen, die im Rahmen des Continuity of Operations Planning aufgebrochen ist und als durchaus exemplarisch für die Rolle souveräner Macht im Kontext der vital systems security angesehen wer-den kann. Schließlich werde ich zeigen, wie das Continuity of Operations Planning des Kalten Krieges zum gegenwärtigen Business Continuity Management (BCM) mutiert ist.

Der Aufstieg des Kontinuitätsmanagements im Kalten Krieg

Das heutige Kontinuitätsmanagement entwickelte sich historisch aus dem sogenannten Continuity of Government Operations Planning, das im Rahmen der Vorbereitungen auf einen Atomkrieg während des Kalten Krieges in den USA ausgearbeitet wurde. Die Unangemessenheit dieser Vorkehrungen wurde von der Friedensbewegung und kritischen Intellektuellen während des Kalten Krieges immer wieder betont, um zu zeigen, wie absurd und bedrohlich das atomare Wettrüsten war. Gegenüber der Zerstörungskraft der ungeheuren Waffenlager, die sich im Verlauf des Kalten Krieges angesammelt hatten und deren Sprengkraft sich ständig weiter potenzierte, wirkten die Empfehlungen der Sicherheitsexpertinnen an die Zivilbevölkerung, die zumeist nicht über das berüchtigte »duck and cover« hinausgingen, geradezu zynisch naiv. Im Bild des Atompilzes verdichtete sich für die Kritikerinnen das Destruktionspotenzial des atomaren Endspiels. Vermittelt durch die Bombe, so argumentierte etwa Günther Anders, habe sich nunmehr die Menschheit, und nicht mehr nur der einzelne Mensch, als endliches (Gattungs-)Wesen konstituiert. Angesichts dieser radikalen und intensiven Erfahrung der Endlichkeit wirkte jedes Projekt, das sich Gedanken darüber machte, wie es nach dem Ende weitergeht, peinlich unangemessen und »apokalypseblind«.

Auch wenn zunächst alles dafür spricht, dass wir es beim Continuity of Government Operations Planning abermals mit dem stummen Zwang des sozialen Weitermachimperativs zu tun haben, hat sich doch etwas Entscheidendes verändert. Denn im Continuity of Government Operations Planning wird Kontinuität – in diesem Fall des Regierungshandelns – zum Ziel einer systematisch ausgearbeiteten, reflektierten Praxis. Das Problem der Kontinuität stellt sich hier zudem in Bezug auf eine noch nicht eingetretene Zukunft und verlagert sich damit gewissermaßen vor. Kontinuität ist damit nicht nur eine Technik, die ad hoc in Krisensituationen zum Einsatz kommt, sondern Gegenstand der Antizipation und Planung für eine erst noch kommende Katastrophe.

Mit Vorliebe stellen sich die Kontinuitätsmanagerinnen unserer Tage mit Kriegsherren wie Sun Tzu über Perikles bis Clausewitz in eine Filiationslinie. »Es kommt nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft vorbereitet zu sein«, wird Perikles etwa auf der Internetseite BCM-News zitiert. Daran ist richtig, dass die Kriegslogistik seit eh und je mit Problemen der Kontinuität – des Nachschubs an Truppen, Verpflegung und Munition, von Befehlsketten und natürlich der Kriegs- oder Verteidigungshandlungen – befasst war. Zu einer expliziten Ausarbeitung von Kontinuität als organisatorischer Strategie auch für nicht unmittelbar militärische Institutionen, die auch das gegenwärtige betriebliche Kontinuitätsmanagement informiert, kam es aber erst während des Kalten Krieges. Continuity of Government bzw. Continuity of Government Operations ist eine distinkte Sicherheitstechnik, die im Rahmen der während des Kalten Krieges ausgearbeiteten Sicherung vitaler Systeme verortet werden kann.

In ihren genealogischen Arbeiten zum »Nuclear Preparedness Apparatus« der USA haben Collier und Lakoff gezeigt, wie wichtig der Kalte Krieg für die Entwicklung neuer Technologien der Sicherheit war. Im Zentrum steht dabei die Strategie der »distributed preparedness«. Als Reaktion auf die strategischen Bombardierungen feindlicher Infrastruktur, die vor allem im Zweiten Weltkrieg zum entscheidenden Moment der (Luft-)Kriegsführung geworden war, suchten Militärstrateginnen nach Wegen, die Verwundbarkeit ihrer heimischen Infrastruktur gegenüber feindlichen Luftschlägen zu reduzieren. Welche sozio-techno-ökonomischen Systeme müssen unbedingt funktionsfähig bleiben, um das Überleben der Bevölkerung und die Kriegs-fähigkeit zu gewährleisten, und wie können diese im Falle eines (Atom)Bombenangriffs sichergestellt werden? Die Dezentralisierung, also die geographische Verstreuung (dispersal) der vitalen Infrastrukturen durch die Auflösung hochkonzentrierter industrieller Zentren und Vermeidung von verwundbaren infrastrukturellen Knotenpunkten, erwies sich als Mittel der Wahl zur Beantwortung dieser Fragen. Distributed Preparedness funktioniert dabei vor allem räumlich, weshalb sie von Collier und Lakoff auch als »spatial logic of domestic security« beschrieben wird. Der Gefahr aus der Luft – aerial bombing – sollte mit einer Verteilung der Zielscheiben am Boden begegnet werden. Das sogenannte »vulnerability mapping«, bei dem Folien über geographische Landkarten gelegt wurden, die den Zerstörungsradius einer Atombombe und damit die Folgen für die Infrastruktur visualisierten, kam deshalb als zentrale Wissenstechnik ins Spiel. Ein US-Militärberater brachte diese räumliche Orientierung der Dispersionsstrategie mit der Formel: »Space is the one thing that really works« auf den Punkt.

Die Sicherung der Regierung als vitales System konfrontierte Sicherheitsexpertinnen allerdings mit einer Reihe von Problemen, die Modifikationen dieser Strategie erheischten. Erstens galt die Regierung als das »Ner-venzentrum« des Sicherheitsnetzes, das gerade in Kriegszeiten bzw. in Situationen des Notstandes funktionstüchtig sein musste, um die Verteidigung gegen, den Schutz vor und gegebenenfalls auch die kriegerische Erwiderung auf einen feindlichen Angriff zu koordinieren. Dabei musste davon ausgegangen werden, dass die Befehlsgewalt für diese Verteidigungsmaßnahmen hierarchisch operierte. Das wiederum hieß, dass die Infrastruktur des Regierens – anders als das zur gleichen Zeit mit der Con-tinuity of Operations-Planung gebaute Interstate Highway-Netz, das die Morphologie eines distributed networks hat – nicht auf hierarchische Verknüpfungen verzichten konnte, ohne einen geradezu revolutionären Wandel des Regierungssystems einzuleiten. Daraus ergab sich zweitens der zeitkritische Charakter des Regierungssystems. Während ein Industriezweig wie die Stahlindustrie durchaus für ein paar Tage zum Erliegen kommen kann, bis die kriegs- und lebenswichtige Produktion wieder anläuft, ist die Regierung auf Dauerbetrieb angewiesen. Schließlich müssen gerade im Fall eines Krieges ebenso wie im Fall einer großflächigen Katastrophe sehr schnell Entscheidungen getroffen, kommuniziert und exekutiert werden. Gerade in solchen Situationen muss der Regierungsapparat reibungslos und mit hohem Tempo operieren können. Es geht also um die Kontinuität von Operationen, die ständig aufrechterhalten werden müssen und nicht nur um (Infra-)Strukturen, die in ihrer Integrität geschützt werden müssen. Drittens macht es die Konzentration der Regierung in einer Hauptstadt schwer, sie räumlich zu zerstreuen, ohne ihre Funktionsfähigkeit übermäßig einzuschränken. Auf alle diese Probleme musste die Continuity of Operations-Planung eine Antwort finden. Im Zuge dieser Überlegungen sollte sich eine folgenreiche Erweiterung der Strategien zur Sicherung vitaler Systeme ereignen, die vornehmlich im Medium der Zeit und nur sekundär im Raum operieren. Die Genealogie des Continuity of Operations Planning erweitert damit die Genealogie vitaler Systeme von Collier und Lakoff und ihrer Fokussierung auf distributed preparedness als spatial logic of security um die zeitliche Logik der Sicherheit in Dispositiven der Resilienz: Kontinuität.

Wie der Historiker David F. Krugler in seiner Studie über die Vorbereitungen auf den Atomkrieg in Washington D.C. zeigt, war noch zu Beginn der 1950er Jahre das dispersal die wichtigste Strategie zum Schutz der Regierungsfunktionen vor einem Atomangriff. Regierungsbehörden sollten um Washington herum angesiedelt werden, um nicht sämtlich in dessen Zentrum konzentriert und damit leichte Beute für feindliche An-griffe zu sein. Die Entwicklung der Wasserstoffbombe Anfang der 1950er Jahre setzte der dispersal-Strategie ein Ende. »Dispersal was all but dead in 1953.« Der Zerstörungsradius der Bombe wäre einfach zu groß gewesen, um dispersal noch als sinnvolle Sicherheitstechnik ernsthaft in Betracht kommen zu lassen. Stattdessen wurde bereits ab 1952 die Continuity of Government-Planung ausgebaut.

Kernstück dieser Planungen war ein System von Ausweichstandorten, also eine alternative Infrastruktur für Regierungsoperationen und deren personelle wie materielle Grundlagen. Zum größten Teil handelte es sich bei diesen Ausweichstandorten um (Atom-)Schutzbunker. Der Bunker – egal, ob für die Zivilbevölkerung oder für die Regierung – reagiert als Sicherheitstechnologie ähnlich wie der Infrastrukturschutz der distributed preparedness auf dieselbe Veränderung in der Kriegsführung des 20. Jahr-hunderts, nämlich auf das, was Paul Virilio als »ökologische Kriegsführung« beschrieben hat. Im 20. Jahrhundert zielen Kriegshandlungen immer weniger unmittelbar auf den Körper des Feindes und zunehmend auf dessen Umwelt. Krieg besteht jetzt in »Attentate[n] auf die umweltlichen Lebensvoraussetzungen«. Das strategic bombing greift durch die Zerstörung lebenswichtiger Infrastruktursysteme den »effektiven Lebensraum« der Bevölkerung an, der Gaskrieg erzeugt ein »kriegerische[s] Neoklima« und verschließt damit die atmosphärische Atemumwelt und durch den Einsatz von Atomwaffen entsteht eine tödliche Hitze- und Strahlenumwelt. Im Verbund entsteht dadurch ein nie zuvor dagewesenes Vernichtungspotenzial des Krieges, eine ökologische Thanatopolitik, die gleichsam den dunklen Schatten der lebensfördernden Biopolitik vitaler Systeme darstellt. In ebendieser Situation kommt der Bunker als eine Sicherungsinfrastruktur auf, die Schutz vor der lebensfeindlich gewordenen Umwelt gewährleisten soll und somit wie eine »Überlebensmaschine« bzw. eine moderne »Arche« funktioniert.

Der Bunker muss als Verteidigung gegen die tödliche Umwelt eine neue, künstliche und schützende Umwelt in seinem Inneren aufbauen. Einerseits muss der Bunker so rigide von der Außenwelt abgeschottet werden, dass die Wucht von Bombeneinschlägen, Giftgase, Strahlen etc. nicht in sein Inneres eindringen können. Andererseits muss er vitale Umweltelemente wie Wasser und Luft durch den Einsatz von Speichern und Filtern bereitstellen. Der Bunker verkörpert damit nahezu in Perfektion das infrastrukturelle Ideal der Epoche des Kalten Krieges: das geschlossene System.

Perfekt wird diese Abschließung allerdings nicht durch die Abkapslung von der Außenwelt, sondern vor allem dadurch, dass sie diese Außenwelt gleichsam in sich selbst hinein holt und in sich einschließt. Das galt gerade für die Regierungsbunker – eine kleine Welt, in deren Innerem der Welt-krieg gesteuert werden sollte. Die Abschließung der Regierungs- und Militärbunker von der Außenwelt ging mit dem medialen Einschluss der ge-samten Welt als Bild und Datenkörper einher. Die »windowless spaces« von Regierung und Militär wurden mit komplexen Informations- und Überwachungssystemen ausgestattet, die es ermöglichen sollten, die gesamte Welt als Punktgraphik ins Innere der abgeschotteten Bunkermonaden zu bringen. Die Bunker von Militär und Regierung sind damit die »most isolated and most connected site[s] in the United States« geworden.

Die wohl berühmteste Bunker- und Regierungsausweichanlage ist Mount Weather im US-Bundesstaat Virginia. Ein Großteil der Anlage besteht aus einem gigantischen Atomschutzbunker, einem System von Tunneln, die in einen Berg – eben den Mount Weather – gegraben wurden. Die 1958 fertig gestellte Anlage umfasst neben direkt auf den Kriegsfall zugeschnittenen Informations- und Kontrollsystemen auch Fernseh- und Radiostudios, ein Krankenhaus sowie Arbeits- und Schlafbereiche für die Beschäftigten. Mit autarker Stromversorgung und eingelagerten Lebensmitteln und anderen Versorgungsgütern sollte Mount Weather mehreren hundert Regierungsmitarbeitern 30 Tage Schutz gewähren und die Regierungsoperationen für diesen Zeitraum aufrecht erhalten können – was danach geschehen würde, war nicht Teil der Planung. Neben Mount Weat-her wurde in den USA noch eine Reihe ähnlicher Einrichtungen etabliert. Auch das »Presidential Retreat« Camp David war in den Kontinuitätsplänen als möglicher Ausweichstandort vorgesehen.

Die Maßnahmen zur Kontinuierung der Regierung in der Bundesrepublik setzten zwar etwas später ein als in den USA, sind aber nicht weniger spektakulär. Kernstück dieser Bemühungen war der »Regierungsbunker« bzw. der »Ausweichsitz für die Verfassungsorgane des Bundes im Krisen- und Verteidigungsfall zur Wahrung von deren Funktionstüchtigkeit«, wie es wenig handlich im Beamtenjargon hieß. Nahe der damaligen Bundeshauptstadt Bonn wurde von 1962 bis 1970 in Ahrweiler eine gigantische Bunkeranlage gebaut, die die Dimensionen einer Kleinstadt hatte.

Die insgesamt 17,3 Kilometer langen Tunnel waren bereits im Ersten Weltkrieg angelegt worden und sollten zunächst als unterirdisches Bahn-system die Kriegslogistik des Deutschen Kaiserreichs unterstützen. Während des Zweiten Weltkriegs wurden dann Teile der V2-Rakete von Zwangsarbeiterinnen in der Tunnelanlage gebaut, um diese »kriegswichtige Produktion« vor den Luftangriffen der Alliierten zu schützen. Ob durch seine Geschichte oder seine Nähe zum Sitz der Regierung in Bonn – den Expertinnen bundesrepublikanischer Verteidigung schien der Standort prädestiniert, auch in einem möglichen Dritten Weltkrieg zum Einsatz zu kommen. Auf 83.000 Quadratmetern sollte es für 3000 Regierungsmitarbeiter 30 Tage lang in die Verlängerung zum nuklearen Endspiel gehen. Der Bunker war der größte Europas und das größte Bauprojekt der Bundesrepublik, verschlang knapp fünf Milliarden D-Mark und wurde von 200 Mitarbeiterinnen über Jahre ständig einsatzbereit gehalten. Es gab Sitzungssäle für die Kriegsplanung, Kontrollräume, Büros, Gemeinschaftsschlafräume, aber auch eine Kirche, ein Fernsehstudio und einen Friseursalon – alle Räume ausgestaltet im Charme der Bundesrepublik der frühen 1960er Jahre. Alle zwei Jahre wurde im Rahmen der NATO Wintex-Übungen hier der Ernstfall trainiert, wofür ein eigener Bundeskanzler-Darsteller (bis dahin bekanntlich ausschließlich Männer) angeheuert wurde. Ähnlich wie das US-amerikanische Mount Weather konnte auch der Regierungsbunker nicht lange effektiv geheim gehalten werden. Zeitungen berichteten zur Empörung der Obrigkeit über die Anlage und die DDR wusste dank Spionage ohnehin Bescheid. Der eigentliche Haken des Ausweichsitzes aber war seine mangelnde Schutzfunktion. Ausgelegt war der Bunker ursprünglich nur für die Sprengkraft einer Hiroshima-Bombe. Wasserstoffbomben hatten aber bereits Anfang der 1960er Jahre die 250-fache Sprengkraft der Hiroshima-Bombe erreicht. Obwohl das durchaus bekannt war, wurde der Bunkerbau unbeirrt fortgesetzt. Abermals erscheinen Sicherheitstechniken als leeres Weitermachritual. Die Bunkertechnologie scheint jedenfalls erfolgreicher in der Regulation affektiver Atmosphären im Angesicht eines möglichen Atomkriegs gewesen zu sein, als sie im Schutz gegen das lebensfeindliche Klima gewesen wäre, das ein tatsächlicher Atomkrieg mit sich gebracht hätte.

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.

Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018

Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de

Kategorie: Business Continuity Management
© Swiss Infosec AG 2026