Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 2

Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 2

01/2022

 

Protokollarische Souveränität


Neben den physischen Infrastrukturen der Regierungskontinuierung, den Bunkern, relocation sites bzw. emergency standby facilities, sind es aber vor allem eine ganze Reihe genuin organisatorischer und politisch-juridischer Maß-nahmen, die das Continuity of Government Planning ausmachen. Während der Bunker immer noch eine vor allem räumliche Sicherheitsstrategie darstellt, geht es in den organisatorischen Überlegungen zentral um die zeitliche Dimension der vital systems security. Zentral sind hier vor allem Notfallpläne in Form von Entscheidungsalgorithmen und Kommandoprotokollen. Detaillierte Pläne sollten im Voraus genau festlegen, wer wann was und wo zu tun und zu entscheiden hat, wer welche Rolle im Notfall zu überneh-men hat und wer wen ersetzen kann, falls wichtige Entscheidungsträ-gerinnen bei feindlichen Angriffen ums Leben gekommen sein sollten. Übungen des Atomkriegs in den USA, die sogenannten operations alert-Übungen, hatten nämlich Schwachstellen aufgezeigt: «A nuclear attack would cause a nearly total breakdown in the command and control struc-ture of the federal government, and that most government agencies were unable to identify priority emergency actions.» Nicht nur die materiellen Versorgungsketten waren also durch einen Atomangriff bedroht, sondern auch die Befehls-, Entscheidungs- und Hierarchieketten, nicht nur die supply chains, sondern auch die chain of com-mand. Gefährdet war also das, was aus Sicht der Organisationstheorie Luhmanns ohnehin die vitalen Operationen einer Regierung bzw. einer Organisation sind, nämlich Kommunikationen von Entscheidungen, also commands. Und auch für die Systemdenkerinnen der vital systems security war die Fortsetzung der Entscheidungs- und Kommandostruktur ein zent-rales, wenn nicht sogar das vorrangige Ziel des Continuity of Government Operations Planning. Schließlich sollte es in erster Linie nicht darum gehen, einen Rückzugsort für die Elite zu schaffen, sondern um die Aufrechter-haltung der Regierung als Nervensystem des Netzes vitaler Systeme. Das setzte aber auch einen ungewohnten Blick auf die eigene Organisation voraus. Die Regierung musste sich selbst als Organisation, die «operativ aus (der Kommunikation von) Entscheidungen besteht», beobachten und ihr kontinuierliches Operieren zu einem expliziten Problem und organisatorischen Projekt machen.

Aufs Dramatische zugespitzt wurde diese Entscheidungsproblematik noch dadurch, dass im Notfall normale Entscheidungsprozesse und Kanäle wahrscheinlich nicht die benötigte Funktionsfähigkeit aufgewiesen hät-ten. Der gewohnte Dienstweg war zu verzweigt und schwerfällig, als dass er ein im Notfall erforderliches, vor allem schnelles und effizientes Agieren und Reagieren ermöglicht hätte. Diese Blockierung des gewohnten Ge-schäftsweges brachte gerade das in Bedrängnis, was für Luhmann der wesentliche Vorzug von Organisationen in Risikolagen ist: ihre Fähigkeit zur »Unsicherheitsabsorption«. Unsicherheitsabsorption in Organisationen wird möglich, indem Entscheidungsprozesse auf geregelte Bahnen gesetzt werden, damit diese sich dann quasi automatisch fortsetzen. Die Verantwortung Einzelner, und damit das Risiko der Entscheidung, wird so zergliedert, dass die Entscheidungsfreudigkeit gesteigert wird. Gemäß der Logik der vital systems security lässt sich darin ein temporally distributed decision making sehen. Sicherheit wird durch die Zerstreuung zentraler Entscheidungsknoten erreicht. Das Problem ist allerdings, dass in einer Notfallsituation der zeitliche Horizont, über den diese Entscheidungen verteilt werden könnten, derart kontrahiert ist, dass die gewohnte Un-sicherheitsabsorptionsfunktion praktisch unbrauchbar wird.

Klassischerweise gelten durchgreifende Entscheidungen von der Spitze der Hierarchie, die sich damit zum Souverän des Ausnahmezustandes macht, als Möglichkeit, mit den Tempoanforderungen von Krisensituatio-nen umzugehen. Der prominenteste Befürworter dieser Option ist sicher-lich Carl Schmitt, der die liberal-demokratische Entscheidungspraxis für zu schwerfällig hielt, um angemessen mit den Krisensituationen der modernen Gesellschaft umzugehen. Die im Rahmen der vital systems security ausgearbeitete Kontinuitätsplanung stellt demgegenüber eine Alternative dar. Geregelte Verfahren sollen hier auch unter erhöhten Tem-poanforderungen erhalten bleiben, indem eine Priorisierung von Maßnah-men und die geeigneten Entscheidungsinstanzen im Voraus festgelegt werden. Für den Notfall erstellte command und control protocols sollten das gewährleisten. Im Idealfall erfüllen diese Protokolle unter Bedingungen komprimierter Zeitressourcen die gleiche Funktion wie gewöhnliche orga-nisiert-zergliederte Entscheidungsverfahren.

Gleichwohl verändern die alternativen Handlungsprotokolle die Tätigkeit der Regierung tiefgreifend. Insbesondere der US-amerikanische Präsident Dwight D. Eisenhower, der vor seiner Präsidentschaft Oberbefehlshaber der alliierten Streitkräfte in Europa gewesen war, war sich offenbar über die umwälzenden Veränderungen der immer wieder geübten Notsituationen im Klaren. Bei der Evaluation einer operation alert-Übung im Jahr 1955 kam er zu dem Schluss: «Under the circumstances of chaos assumed in Operation Alert, we would have to run this country as one big camp – severely regimented.» Die Drastik solcher Stellungnahmen macht deutlich, wie eng sich in der Sicherheitstechnik des Continuity of Government Planning souveräne und biopolitische Taktiken und Zielsetzungen vermischen. Denn tatsächlich wäre die Regierung des «nuclear state of emergency» ohne den Einsatz von juridischen Ausnahmerechtstechniken, die zum Ziel haben, die Souveränität zu sichern und die Integrität des nationalen Territoriums zu schützen, nicht möglich gewesen. Entsprechend haben die Kontinuitätsplanungen auch juridische Überlegungen darüber angeregt, welche rechtlichen Vehikel – etwa Kriegsrecht oder Notstandsrecht – besonders geeignet sind, um der Ausnahmesituation angemessen zu begegnen. Jenseits der souveränen Sicherheitsproblematik ging es aber auch um das biopolitische Problem, das nackte Überleben der Bevölkerung zu ermöglichen. Die Voraussetzung für beide Zielvorstellungen wurde allerdings in der Funktionsfähigkeit von Systemen gesehen, die weder als juridisch souveräne Körperschaften noch als lebendige Bevölkerung verstanden werden können, sondern als Serie von Operationen: die Flüsse von Energie, Wasser, Strom, Verkehr, Kommunikation und eben auch von Entscheidungen und Befehlen. Die Regierung ist dabei nur ein – wenn auch zentrales – System unter anderen. Diese Verflechtung von souveräner Sicherheit, klassischer biopolitischer Sicherheit und vital systems security führte zu einer tiefgreifenden Modifikation sowohl der Stellung und Zielsetzung des Ausnahmezustands als Technik des Regierens als auch des souveränen Dezisionismus.

Giorgio Agambens einflussreiche Arbeit zum «Ausnahmezustand als Paradigma des Regierens» sieht im römischen Recht die Matrix des modernen Ausnahmerechts. Für Agamben sind also bereits in der römischen Antike die Grundlagen und Aporien der souveränen Ausnahme angelegt, mit denen wir heute noch konfrontiert sind. Agambens genealo-gische Strategie neigt allerdings dazu, eine Reihe von signifikanten histori-schen Differenzen zwischen Antike und Moderne, insbesondere zwischen römischem Recht und dem Ausnahmeregieren des Kalten Krieges, zu verwischen. Die Zielsetzung des römischen Justitiums unterscheidet sich grundlegend vom modernen und gegenwärtigen Ausnahmemanagement der Kontinuität. Das Justitium sah im Falle des Notstandes – eines sogenannten tumultus, also zum Beispiel: Krieg, Aufstand oder Bürgerkrieg – eine Suspendierung des gewöhnlichen Rechts und damit eine Machterweiterung des Souveräns vor, eine befristete Quasi-Diktatur. Justitium heißt eng übersetzt so viel wie Stillstand des Rechts und wurde bisweilen auch als «Rechtsferien» bezeichnet. Aber nicht nur das Recht sollte während der Zeit der Gültigkeit des Justitiums aussetzen. Auch alle Geschäfte, aller Handel, das, was wir heute als das ökonomische Leben bezeichnen, sollte stillstehen, aussetzen, pausieren. «The iustitium also involved a closing of shops and a general suspension of public business». Der Kontrast zum Ausnahmezustand unter Bedingungen der vital systems security könnte schärfer nicht sein. Denn hier werden außergewöhnliche Maßnahmen gerade zur Fortsetzung des Geschäfts, des Betriebs oder der Regierungsoperationen getroffen. Das Ziel besteht in der Kontinuierung und gerade nicht in der Stillstellung des ökonomischen Lebens. Auch die Theorie des souveränen Dezisionismus von Carl Schmitt fin-det sich unter Bedingungen der vital systems security vollkommen transfor-miert. Der Kalte Krieg ist keine Welt, in der – im Sinne Carl Schmitts – souverän ist, wer über den Ausnahmezustand entscheidet. Und das liegt vor allem an einer grundlegenden Rekonzeptualisierung und -positionierung der Entscheidung unter den Bedingungen eines möglichen Atomkrieges. Die Entscheidung wird nicht mehr der Willkür eines Souve-räns überlassen, sondern zum Gegenstand der Reflexion der Wissenschaft und der Formalisierung von rationalen Entscheidungstheorien (game theory, decision theory, operations research). Nun geht es um die Frage, wie im Ausnah-mezustand eines Atomkriegs – der, wenn man der Spieltheorie glaubt, niemals rational hätte entschieden werden können, weil es sicher die letzte zu treffende Entscheidung gewesen wäre – die Entscheidungsfähigkeit der Regierung, verstanden als Operationen eines vitalen Systems, aufrecht erhalten werden kann. Mit Souveränität geht klassischerweise die Erhabenheit über und ein externes Verhältnis zu den regierten Materien einher. Im Continuity of Government Planning findet sich die Regierung jedoch impliziert bzw. »eingefaltet« in das Prozessgeschehen, das zu sichern sie sich anschickt. Im Falle des Falles wäre sie genauso von den Auswirkungen eines Atomkrieges betroffen wie alle übrigen Systeme in ihrem Einflussbereich. Mit einer Strategie vorbereiteter Entscheidungsalgorithmen sollte diese missliche Lage bearbeitet werden. Die Regierung kann in der Gegenwart Entscheidungen darüber treffen, wie sie in Zukunft entscheiden wird. Durch diese Festlegung auf bestimmte Entscheidungen in der gegenwärtigen Zukunft ist die Regierung in der zukünftigen Gegenwart ihren vergangenen Entscheidungen unterworfen und damit gerade nicht mehr souverän. Die Vorbereitung durch command and control-Protokolle erzeugt eine Zeitbindung und somit eben Kontinuität. Sie erzeugt dadurch aber auch eine Selbstbindung oder Selbstunterwerfung der souveränen Macht. Die entscheidende Macht, die Macht der und zur Entschei-dung, ist nun weniger souverän als protokollarisch: es handelt sich um eine protokollarische Souveränität. Souverän ist, wer über das Notfallprotokoll ent-scheidet. Die atomare Tragödie und damit auch das souveräne Trauerspiel sind bislang ausgeblieben und damit auch der Härtetest der Funktionsfähigkeit der continuity-Pläne. Es steht jedoch zu befürchten, dass es im Ernstfall ähnlich – wenn auch weit weniger unterhaltsam – zugegangen wäre wie in Stanley Kubricks Film Dr. Strangelove, in dem der Souverän, der US-Präsident, den menschheitsvernichtenden Atomkrieg nicht stoppen kann, weil die Technokraten der Apokalypse, verkörpert durch Dr. Strangelove (eine Parodie auf Hermann Kahn), bereits alle Entscheidungen so fest vorprogrammiert haben, dass es nichts mehr zu entscheiden gibt und die Katastrophe genau deshalb nicht mehr abzuwenden ist.

 

Vom IT disaster recovery zum Business Continuity Management


Nach dem Ende des Kalten Krieges wurde in der BRD damit begonnen, die zahlreichen Regierungsbunker von Bund und Ländern zurückzubauen. Vom Regierungsbunker bei Bonn ist inzwischen nur noch ein Bruchteil erhalten, der seit 2008 als Museum dient. Ähnlich erging es den meisten Bunkeranlagen der Länder und Städte. Trotz des beschränkten Nutzens des Bunkerarchipels, das uns heute über seine musealisierten Überreste als längst erloschene Geschichte entgegentritt, sollte man in den geplanten, geübten und gebauten Kontinuitätsprojekten der Vergangenheit mehr sehen als Kalten Kriegs-Kitsch. Denn das organisatorische Wissen und die technischen und architektonischen Blaupausen des Continuity of Government sind in Gestalt des sogenannten Business Continuity Management (BCM) weiterhin wirksam, wenn auch auf einem ganz anderen Schauplatz – die Bunker des Kalten Kriegs mögen stillgelegt sein, die sogenannten hot sites der Banken, in denen zu jeder Zeit der Geschäftsbetrieb bruchlos fortgesetzt werden kann, sind es nicht. Die Materialbevorratung mit Kriegsrohstoffen mag reduziert worden sein, doch die kritischen Materien der Informationsgesellschaft – Daten und Informationen – werden in riesigen Serverräumen gespeichert, um im Notfall auf Abruf verfügbar zu sein. Und auch das Wissen um die Notwendigkeit von Planungen und Entscheidungsalgorithmen für den Notfall, die Priorisierung von Aufgaben im Krisenmanagement und die Sensibilität für zeitkritische und vitale Operationen wurden in den vergangenen Jahren weiter ausgearbeitet. Die Continuity of Government-Planung im Kalten Krieg ist nicht deshalb eine Geschichte der Gegenwart, weil sie aufgrund ihres Erfolges bis heute ungebrochen fortbesteht, sondern weil sie erstmals Probleme aufgeworfen hat, die noch heute Bestand haben – darin besteht ihre historische Kontinuität.

Tatsächlich fließt das militärische Wissen des Krisenmanagements in das gegenwärtige BCM ein. Der genealogische Einfluss ist dabei jedoch eher indirekt, weil eine entscheidende Episode zwischen Continuity of Government Planning und gegenwärtigem Business Continuity Management liegt: der Aufstieg der IT-Sicherheit als zentraler Brennpunkt der Ausarbeitung betrieblicher Sicherheitsstrategien. Ähnlich wie im Fall des Schutzes Kritischer Infrastrukturen ist mit der wachsenden Bedeutung von Informations- und Telekommunikationstechnologien in den 1980er Jahren auch die Besorgnis um Störungen der digitalen Infrastruktur gewachsen. Im Feld des IT disaster recovery wurde an Konzepten und technischen Lösungen gearbeitet, die sicherstellen sollten, dass Unterbrechungen im digitalen Informationsfluss und Schädigungen der digitalen Infrastruktur möglichst wenige Folgeschäden für Unternehmen verursachen. Im Fokus stand dabei die Gefahr des Datenverlustes. Es ging also vor allem um die Sicherung informatorischer assets – um die Sicherung von Daten über unterschiedliche backup-Systeme.

Diese Fokussierung auf die technischen Aspekte betrieblicher Sicher-heit und damit auf die assets der digitalen Welt wurde jedoch seit den späten 1990er Jahren vermehrt infrage gestellt. Ein BCM-Experte, der das BCM einer großen deutschen Bank koordiniert, identifizierte im Interview zwei «Wendepunkte», die zu einer Erweiterung betrieblicher Sicherheitsstrategien hin zum Kontinuitätsmanagement beigetragen haben. Der erste «Wendepunkt», der von Expert_innen betrieblicher Sicherheit immer wieder erwähnt wird, ergab sich dabei noch aus der Logik der IT-Sicherheit: das «Jahr 2000-Problem». Zwar stellte sich das Problem selbst noch vor dem Hintergrund interner Schwierigkeiten von Informationssys-temen. Computerprogramme, die nur auf zweistellige Jahresnummerierun-gen (zum Beispiel 99) programmiert waren, hätten Probleme bereiten können, weil sie nach 99 nicht einfach weiter bis 100 hätten zählen können, sondern stattdessen auf 00 gesprungen wären. Falsche Daten-anzeigen hätten zu massiven Terminproblemen führen können, die gerade bei terminsensiblen Geschäftsmodellen (insbesondere in der Finanz-branche) zu sehr empfindlichen Störungen geführt hätten. So hat das «Jahr 2000-Problem» Kontinuitätsschwierigkeiten auf der organisatorischen, vor allem aber zeitlichen Ebene von Geschäftsprozessen sichtbar gemacht. Die potenzielle Störung der digitalen Infrastruktur der Zeitmessung ließ den kritischen Faktor Zeit bewusst werden. Neben assets, so zeigte sich, mussten zeitlich und terminlich eng getaktete Prozesse geschützt werden. Drastisch verschärft wurden diese Sorgen (gerade im Bankensektor) durch die Terroranschläge vom 11. September 2001, die eine schwerwie-gende Unterbrechung von Geschäftsprozessen mitten im Herzen des glo-balen Finanzkapitalismus bewirkt hatten. Zwar gab es zum Zeitpunkt des 11. September bei Banken in New York bereits rudimentäre Ansätze im Contingency Planning, die durch das «Jahr 2000-Problem» sowie die Terroranschläge auf das World Trade Center im Jahr 1993 angeregt worden waren. Aber erst nach dem 11. September ist es zur Neuorientierung und Etablierung des BCM in seiner gegenwärtigen Form gekommen. Denn der 11. September gilt in der Branche als der erste große genuine business incident, der die Mängel einer rein IT-basierten Sicherheitsstrategie aufgezeigt hat. «Der zweite Wendepunkt war 9/11 in den USA, als – heute würde man sagen – schwarze Schwäne eingetreten sind, als nämlich Szenarien eingetreten sind, die vorher unvorstellbar waren. Nämlich, dass zwei große Bürogebäude mitten in New York zerstört werden, und Unternehmen dann also viele Mitarbeiter verlieren und nicht mehr arbeitsfähig sind. Auch das eine Business-Seite, das war kein IT-Incident, sondern das war ein richtiger Business-Incident durch Terrorismus. Das hat den Schwenk geführt zum Business Continuity Management.». Dass es sich beim BCM noch um eine sehr junge Disziplin handelt, zeigt sich auch daran, dass die Bedeutung und die Spezifität des BCM von Ex-pert_innen und Regulator_innen immer noch gegen das ältere, IT-basierte disaster recovery stabilisiert werden muss. BCM ist mehr als «IT-Notfall-management», «mehr als Back-up» und erfordert deshalb eine «ganzheitliche Betrachtung», die nicht nur die «Ressource Informationstechnik» im Blick hat. Ein zeitgemäßes «Sicherheitsmanagement muss ganzheitlich und prozessorientiert sein und nicht auf IT fokussiert», denn «Technologien alleine lösen keine Probleme». Durch die Wende zum gegenwärtigen Continuity Management hat sich auch die Rationalität der Sicherheit sowohl im Hinblick auf ihr Leitbild als auch auf ihre grundlegende Zielvorstellung geändert. Ging es in der klassi-schen IT-Sicherheit noch um den Schutz von assets, also Gütern, geht es im Business Continuity Management nun um das Aufrechterhalten von Prozessen. Da-mit kommt es zu einer dreifachen Verschiebung. Nicht mehr Integrität, sondern Kontinuität ist das Ziel der Sicherheit. Nicht mehr Schutz, son-dern Gewährleistung und Ermöglichung ist ihre praktische Maxime. Und weniger Güter und Produkte (ob materielle oder immaterielle, Daten, Geld, oder Industrieprodukte), sondern Prozesse und Zirkulationen bilden den «Gegenstand» der Sicherheit. Damit schließt das gegenwärtige Business Continuity Management an das Continuity of Government Planning des Kalten Krieges an. Schon damals wurde den staatlichen Sicherheitsexpert_innen klar, dass nur durch fortgesetzte Operationsfähigkeit der Regierung und der vitalen Systeme die wesentlichen assets des Landes – die Bevölkerung und der Wohlstand der Gesellschaft, die Integrität von Souveränität und Territorialität – geschützt werden können. So ist es auch beim BCM: Nur, wenn das Unternehmen operationsfähig bleibt, kann es seine assets (ob dies nun Daten, Geld oder materielle Güter sind) effektiv schützen und bewahren.

 

Krisenroutine. Die Organisation des Notfalls im BCM

Kontinuität ist das Leitbild der Sicherheit im Business Continuity Management. Die Konzeption von Sicherheit als möglichst ununterbrochene Fortset-zung von Prozessen entspricht dem normativen Leitbild des Sicherheits-dispositivs der Resilienz. Schließlich geht es bei Resilienz nicht um fixe Stabilitätswerte, sondern vielmehr darum, überhaupt «im Spiel» zu bleiben. Ziel ist es, wie Crawford Holling bereits in den 1970er Jahren in Bezug auf Ökosysteme formuliert hatte: «to stay in the game […] by maintaining flexibility». Insofern verbindet Resilienz «learning with continuity» und darf nicht statisch von festen Normwerten her verstanden werden. Aber wie lässt sich Kontinuität konkret organisieren? Wie gelingt der Transfer des Resilienzkonzepts von ökologischen auf organisatorische Prozesse? Zur Beantwortung dieser Fragen möchte ich im Folgenden näher auf die organisatorische Logik des Business Continuity Management eingehen. Dabei widme ich mich zunächst der Rolle von Gesetzen und Standards für die Ausbreitung der generischen Praxisform des Kontinui-tätsmanagements. Sodann werde ich die zeitliche Logik des BCM beleuchten, die sich vor allem in der veränderten Wahrnehmung eines Betriebs als Prozess und in der Bestimmung von Kritikalität als zeitkritisch zeigt. Das Problem, wie im Notfall schnelle und richtige Entscheidungen getroffen werden können, das schon in der Geschichte des Continuity of Government Planning eine große Rolle gespielt hat, führt dazu, dass Kontinuitätsmanager_innen die Rolle von Entscheidungsstrukturen in ihren Organisationen reflektieren müssen. Die betriebswirtschaftliche Logik des BCM zeigt sich vor allem in der Anforderung an Kostenbe-grenzung von Kontinuitätsmaßnahmen einerseits und andererseits in Überlegungen, wie Krisen für den Betrieb als »Chance« genutzt werden können. Schließlich werde ich auf die generischen Maßnahmen des Kontinuitätsmanagements eingehen. Obwohl es um die Aufrechterhaltung des abstrakt-zeitlichen Gutes «Prozess» geht, ist es nur über konkrete, materielle, räumliche Installationen und Techniken möglich, diesen Prozess zu erhalten.



Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.


Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018


Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de

 


Business Continuity Management

Business Continuity Management (BCM) ist ein Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse und Geschäftsfunktionen auch in Notsituationen verfügbar bleiben oder rechtzeitig wieder verfügbar sind.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich Business Continuity Management.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen