Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 7

Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 7

03/2022

 

Krise, Kritik und Kontinuität: Ereignisse im Raster des BCM

Die generischen Maßnahmen zur Gewährleistung der Kontinuität der Operationen des Finanzwesens unterscheiden sich auf den ersten Blick nur wenig von denjenigen in anderen Bereichen. Die Besonderheiten der BCM-Maßnahmen im Finanzwesen liegen weniger in einem prinzipiellen Unterschied zu anderen Kontinuitätsprojekten als vielmehr in der Intensität und dem hohen Anspruch an ununterbrochene Geschäftstätigkeit. Gerade die systemwichtigen Zahlungssysteme dürfen sich nur sehr kurze Unterbrechungszeiten leisten, wie durch die immer wiederkehrende zwei Stunden-Regel deutlich wird. Eigene Ausweichstandorte werden vorgeschrieben und selbst die Etablierung einer »third site« wird angeregt. Die starke Angewiesenheit auf das Funktionieren der technischen Infrastrukturen lässt zudem Überlegungen entstehen, auf altbewährte analoge Techniken zurückzugreifen. »An FMI should also consider alternative arrangements (for example, manual paper-based procedures) to allow for the processing of time critical transactions.« Aber auch Personalausfälle stehen im Fokus der Kontinuitätspläne. Hier wirft vor allem der 11. September noch immer seinen langen Schatten. Nicht nur redundante Infrastrukturen, sondern auch redundante Personalressourcen sind zur Fortsetzung des Geschäftsbetriebs notwendig. »Steps should be taken to ensure that not all operational […] staff identified as critical […] are in the same place at the same time.« Zudem ist die bereits angesprochene globale Vernetzung ein besonderes Charakte-ristikum des BCM im Finanzwesen. Die Beschwörungen der Bedeutung von »cross-border communications« und die Empfehlung, »joint exercises« durchzuführen und gemeinsame Strategien zu entwickeln, ist zwar prinzipiell typisch für den Schutz vor Katastrophen, die »keine Grenzen kennen«, aber nicht selbstverständlich für das BCM, dem es zunächst einmal um den Schutz einzelner Unternehmen bzw. Institutionen geht. Hier wird erneut deutlich, dass es beim BCM im Finanzwesen nicht nur um den Schutz einzelner Finanzinstitutionen oder Standorte geht, sondern um die Verhinderung systemischer Risiken in einem exzessiv vernetzten Geschäftsbereich.

Trotz dieser Besonderheiten sind die Pläne für das Kontinuitätsmanagement bei Banken auf generische Maßnahmen ausgerichtet. »Also man versucht möglichst generisch zu bleiben, um möglichst breite Abdeckung zu haben.« (Interview 4) Gleichwohl gibt es doch eine zumindest rudimentäre Reflexion über die Spezifität einzelner Fälle. So enthalten die High Level Principles for Business Continuity der Bank for International Settlements im Anhang eine Reihe von »case studies« zu konkreten BCM-relevanten Vorfällen seit dem 11. September: der Stromausfall an der amerikanischen Ostküste im August 2003, der die kanadische und US-amerikanische Fi-nanzindustrie betroffen hat, der Ausbruch von SARS 2003 in Hongkong mit Auswirkungen auf den wichtigsten chinesischen Finanzplatz, lokale SARS-Fälle in Toronto, das Niigata Chuetsu-Erdbeben in Japan im Jahr 2004 und die verheerenden Terroranschläge in London 2005. Schon diese Liste lässt sowohl ein ortsspezifisches Risikoprofil erkennen (etwa Erdbebenrisiken in Japan) als auch die Bandbreite von möglichen, die Kontinuität der Finanzoperationen bedrohenden Ereignissen deutlich werden (von Terror bis Pandemie). Allerdings werden auch in der Analyse solcher konkreten Fälle eher die Vorzüge eines generischen Ansatzes betont: »It appears that business continuity planning in many financial institutions is focused upon impact and decision-making processes rather than on the nature of the disruption. … This generic impact-based approach worked particulary well.« Gleichwohl fällt auf, wie sehr sich die Maßnahmen gegen beispielsweise einen Stromausfall und eine Pandemie voneinander unterscheiden. Während beim Stromausfall in den USA und Kanada 2003 die Notstromaggregate der Banken zum Einsatz gebracht werden mussten, bestand die Herausforderung des SARS-Ausbruches vor allem darin, die Ausbreitung der Krankheit unter den Beschäftigten des Finanzsektors einzudämmen. Dafür wurden Gesichtsmasken verteilt, Mitarbeiter_innen sollten von zu Hause aus arbeiten und durch Telefonkonferenzen miteinander kommunizieren. Spezielle »clean teams« wurden eingerichtet, um die Hygiene der Arbeitsorte zu gewährleisten.

Letztlich ist die Struktur der »case studies« jedoch weit aufschlussreicher als ihr Inhalt. Einer knappen Schilderung des events folgt jeweils die Beschreibung von dessen impact und der sicherheitstechnischen response. Den Abschluss der kurzen Berichte bildet stets ein Teil zu den lessons learned. Diese Struktur ist ein Indiz für die erfolgreiche Etablierung eines für ein Sicherheitsdispositiv entscheidenden Rahmens, bei dem es weniger darum geht, dass alle Gefahren perfekt bewältigt werden, sondern darum, dass es gelingt, eine Matrix für den routinierten Umgang mit Ereignissen zu etablieren und auch Fehlschläge oder Mängel der Sicherheitstechniken vor dem Hintergrund dieser Matrix adressieren zu können. Wie gesehen, geschieht dies durch den Aufbau von epistemischen, technischen und praktischen Kapazitäten zur Antizipation von und zum Umgang mit Katastrophen. Aber auch durch strukturierte Berichtsformate – event, impact, response, lessons learned – und andere ritualisierte Formen der nachträglichen Evaluation werden Ereignisse auf eine bestimmte Art serialisiert und handhabbar gemacht. Dass diese Handhabbarkeit nicht gleichbedeutend mit perfekter Kontrolle ist, versteht sich von selbst. Defizite und Lücken in den Netzen der Sicherheit haben unter dem Punkt lessons learned ihren eigenen Ort. Hier findet Platz, was nicht wie geplant gelaufen ist, was die Sicherheitsexpert_innen überrascht oder überwältigt hat und für die Zukunft größere Aufmerksamkeit erheischt. Auf diese Weise macht das Sicherheitsdispositiv auch aus seinem Scheitern einen Grund für seine Ausweitung, Intensivierung und punktuelle Modifikation. Das gilt insbesondere für das Sicherheitsdispositiv der Resilienz, dessen innere Logik verlangt, dass Irritationen und Störungen wahrgenommen werden, um sich dadurch immer besser an sich ständig verändernde Umweltbedingungen anzupassen. Sicherheit ist hier kein Zustand, sondern ein prinzipiell unabschließbares Projekt, das auch sein Scheitern als Chance und damit Teil des Projekts begreift und das deshalb nur dann erfolgreich sein kann, wenn der Zustand der Sicherheit immer wieder gestört wird.

Aus diesem Grund ist die Auswertung des Katastrophenereignisses, seine »Autopsie«, auch eine so entscheidende Veridiktionsform des Sicherheitsdispositivs der Resilienz – mindestens so bedeutend wie die in der Forschung viel ausführlicher diskutierte Rationalität der Antizipation. Das Störungsereignis wird hier mobilisiert, um als Richterin über die Güte der Sicherheitsmaßnahmen zu urteilen, es dient als »revelatory moment«, in dem das zuvor Geschätzte, Vermutete, Geübte und Inszenierte auf einen Prüfstein trifft und bisweilen an diesem zerschellt. Gleichwohl soll durch den Prüfstein der eingetretenen Krise nicht über Maßnahmen geurteilt werden wie im Jüngsten Gericht nach der Apokalypse. Vielmehr soll die Krise wie ein Experiment fungieren, aus dem lehrreiche Schlüsse zu ziehen sind. Jede Krise bietet Lernmöglichkeiten, indem sie »Änderungstrigger« setzt und so eine bessere Anpassung an künftige Bedrohungen ermöglicht. Nur so kann eine immer wieder eingeforderte »kontinuierliche Verbesserung des Notfallmanagements« gelingen. Dafür muss die Krise genau dokumentiert werden. »Die Dokumentation dient der Lagebeurteilung, aber vor allem auch der Nachbereitung des Notfalls bzw. der Krise für die Beurteilung und Verbesserung des Notfallbewältigungsprozesses.« Zudem ist die Dokumentation natürlich aus organisationsinternen Gründen notwendig, weil nur so das BCM von den Vorgesetzten evaluierbar und von Wirtschaftsprüfern überprüfbar wird. »A BCMS [Business Continuity Management System, A.F.] […] includes […] a set of documentation providing auditable evidence.«

Durch die Dokumentations- und Evaluationsverpflichtung wird jedoch tatsächlich ein bestimmter Zusammenhang von Krise und Kritik gestiftet. Dabei soll allerdings negative und »unproduktive« Kritik unbedingt vermieden werden. Kritik soll zukunftsgerichtet sein, nicht voll des Ressentiments für vergangene Fehler. »Nicht: was ist schlecht gelaufen, sondern was können wir besser machen. Das interessiert uns nachher, in der Nachbetrachtung.« (Interview 5)

Kritik soll hier von vornherein in einen geregelten Prozess eingebracht werden, der auch als »Änderungsmanagement« bezeichnet wird. Business Continuity Management ist in diesem Sinne nicht nur ein vorsorgliches »taming of chance« (Hacking 1990), sondern auch ein nachträgliches taming of change. In der Kultur der Resilienz sind begangene Fehler kein Stigma, sondern vielmehr ein Qualitätsmerkmal.

»Da sage ich, nichts Besseres als jemand, der schon einmal eine Krise hatte. Egal, ob er die jetzt wirklich super toll umgesetzt hat oder weniger toll. Wenn er die Lernkurve natürlich mitgemacht hat, um zu sagen, diese Fehler mache ich nicht mehr.« (Interview 6)

Vor diesem Hintergrund erscheint es wenig sinnvoll, bei der Analyse konkreter Ereignisse eine evaluative Bilanz dessen aufzustellen, was geklappt hat und was schief gegangen ist, ob die Programme aufgegangen oder gescheitert sind. Schließlich ist diese Art der Überprüfung selbst ein Teil der Funktionslogik des BCM. Stattdessen will ich im Folgenden auf Formen der Kritik im Zuge von zwei BCM-relevanten Ereignissen eingehen, gegen die das BCM sich noch nicht immunisiert hat, die es noch nicht in die Strategie erhöhter Resilienz einspeisen kann.

Ein Sturm im Finanzdistrikt: Hurricane Sandy in New York

Tropenstürme wie Hurricane Sandy, der im Oktober 2012 die Ostküste der USA und die Karibik heimsuchte, sind Resonanzphänomene. Rückkopplungen und wechselseitige Verstärkungen von Temperaturen, Luftdruck und Luftfeuchtigkeit, Windgeschwindigkeiten und Windrichtungen können sich zu einem geschlossenen Sturmsystem aufschaukeln. Aber nicht nur die Ursachen eines Sturms, sondern auch seine Effekte ergeben sich aus Resonanzen, aus den Schwingungen zwischen natürlichen, technischen und sozialen Elementen. Die Verwüstungen, die Hurricane Sandy an der Ostküste der USA und in zahlreichen Ländern in Mittelamerika verursacht hat, sind gewiss nicht auf den Effekt einer von außen hereinbrechenden Naturkatastrophe zu reduzieren. Sie sind aber ebenso wenig nur die Folge sozialer Verwundbarkeiten, politischer Entscheidungen und ökonomischer Macht, sondern eine komplexe Vermengung von Naturereignis und gesellschaftlichen Prozessen. Es bildete sich ein temporäres Katastrophengefüge, in dem etwas zusammenkam – Wasserfluten und U-Bahntunnel, Handelsalgorithmen und Wirbelstürme, Stromausfälle und eine Stadt, die niemals schläft, Politiker und Gummistiefel – was für gewöhnlich getrennt voneinander existiert, aber in der Katastrophensituation doch systematisch zusammenwirkt. Deshalb ist Sandy kein lediglich sozialer Gegenstand, den man nur mit Sozialem erklären kann, sondern »mehr als sozial«, nicht in-human oder posthuman, sondern »more than human«. Die Begegnung von Sandy mit dem Gefüge namens New York City am 29. Oktober 2012, um die es im Folgenden gehen soll, ist ein solches »mehr als soziales« Ereignis.

Als der Sturm New York erreichte, waren die Vorbereitungsmaßnah-men bereits getroffen. Preparedness-Pläne wurden aus der Schublade geholt, Sandsäcke gefüllt und tiefliegende Teile von Manhattan und Brooklyn evakuiert. Schließlich war die Sensibilität für die Gefahren katastrophischer Ereignisse in New York seit dem 11. September besonders präsent. Hurricane Katrina, der im Jahr 2005 New Orleans verwüstete, hatte die Aufmerksamkeit nicht nur für Naturkatastrophen, sondern auch für das politische Management von Katastrophen in der US-amerikanischen Öffentlichkeit zusätzlich geschärft.

Die Geschichte Katrinas war die Geschichte sozialer Verwundbarkeit, die durch das Naturereignis intensiviert und sichtbar wurde. Der Wasserdruck der Überflutungen folgte dem Weg des geringsten Widerstands in die niedrig gelegenen Teile von New Orleans. Und es ist kein Zufall, dass diese Bassins der Verwundbarkeit hauptsächlich von der armen und zumeist schwarzen Bevölkerung bewohnt waren. Wasserdruck und der Druck sozialer Schichtung und sozialräumlicher Segregation gingen Hand in Hand, so dass die Naturkatastrophe bruchlos in eine soziale Katastrophe überging. Katrina war wie ein Lehrstück zu Georg Simmels Theorie sozialer Druckübertragung. In der Gesellschaft »bewegt sich ein neuer Druck […] längs der Linie des geringsten Widerstandes, welche schließlich […] die nach unten laufende zu sein pflegt. Das ist die Tragödie des Tiefsten in jeder sozialen Ordnung. Er hat nicht nur unter den Entbehrungen, Anstrengungen und Zurückhaltungen zu leiden, deren Summe eben seine Stellung charakterisiert, sondern jeder neue Druck […] wird ... nach unten weitergegeben und macht erst an ihm Halt.«

Die Geschichte von Sandy in New York ist komplexer, weil im Big Apple, anders als in The Big Easy, nicht vornehmlich arme Leute vom Sturm betroffen waren. Sandy hat auch die reichen und mächtigen Bewohner_innen Manhattans – Firmen wie Privatleute – betroffen. Die Folgen des Sturms haben sich daher nicht so deutlich von oben nach unten, sondern eher netzwerkartig über die Stadt und quer durch soziale Schichten hindurch ausgebreitet. Warum dennoch differenziell ausgeprägte Verwundbarkeiten zum Vorschein gekommen sind und zu öffentlicher Kritik geführt haben, liegt nicht unwesentlich am BCM bei Banken.

Aber der Reihe nach: Sandy traf am 29. Oktober 2012 auf New York, kostete 53 Menschen das Leben und verursachte einen Sachschaden in Höhe von 18 Milliarden US-Dollar. Vor allem die Schäden an der Infrastruktur New Yorks waren signifikant. Die Folgen von Sandy haben den Sicherheitsexpert_innen Recht gegeben, die schon lange vor der erhöhten Verwundbarkeit komplexer Infrastrukturen gegenüber Naturereignissen gewarnt haben. Das U-Bahn-System der Stadt fiel aus, weil die U-Bahn-Schächte massenhaft unter Wasser standen. Auch die Tunnel, die die Halbinsel Manhattan mit ihrer Umgebung verbinden, waren größtenteils von Überflutung betroffen. Der gravierendste Schaden an der Infrastruktur war der durch eine Explosion in einem Umspannwerk ausgelöste Stromausfall, der 250.000 Bewohner Manhattans teilweise für Tage von der Elektrizitätsversorgung abgeschnitten hat. Diese Schäden der Infrastruktur machten die Folgen des Sturms erst so verheerend und offenbarten eine genuin sozio-technische Verletzlichkeit. Selbst der Financial District an der Südspitze Manhattans war vom Stromausfall betroffen, wie die berühmten Luftbildaufnahmen offenbarten, die das zur Hälfte verdunkelte New York unter düsteren Gewitterwolken zeigten. Trotz dieser eher transversalen als vertikalen Verteilung der Sturmschäden war Sandy aber auch kein »demokratisches« Risikoereignis im Sinne von Becks Risikogesellschafts-These, nach der die Risiken der zweiten Moderne die Gesellschaft gleichmäßig »jenseits von Stand und Klasse« betreffen. Denn wie der lokalen, im Dunkeln nach Orientierung suchenden Bevölkerung schnell auffiel, brannte in einigen wenigen Gebäuden in Lower Manhattan doch noch Licht. Besonders hell erleuchtet war ausgerechnet der Firmensitz der Investmentbank Goldmann Sachs. Zwar konnte auch Goldmann keinen Strom mehr aus dem zusammengebrochenen Netz beziehen, aber ihr backup-Stromsystem lieferte weiter Elektrizität. Das Business Continuity Management hatte ganze Arbeit geleistet. Nicht nur funktionierte das backup-Stromsystem einwandfrei. Zudem war das Hauptgebäude von Goldmann auch von einem Wall aus Sandsäcken umgeben. Diese goldschimmernde Demonstration der operationellen Resilienz des Finanzsektors inmitten des ansonsten düsteren Lower Manhattan hat nicht nur die Katastrophenschutzmaßnahmen von Banken, sondern auch die Ungleichheiten des Schutzes Kritischer Infrastrukturen im Wortsinne beleuchtet. Die erleuchtete Goldmann-Zentrale wurde zum Symbol für die ungleiche Verteilung der Sicherheit. Zum besonderen Ärger trug bei, dass, während bei Goldmann noch die Lichter brannten, im NYU Langone Medical Center alle Patient_innen evakuiert werden mussten, nachdem dort auch die Notstromversorgung ausgefallen war. Ein tausendfach geteilter tweet, der beide Sachverhalte zusammenbrachte, schien nicht nur vielen New Yorkern aus der Seele zu sprechen: »The fact that the NYU hospital is dark but Goldman Sachs is well-lit is everything that’s wrong with this country.«

Der Schein der beleuchteten Goldman-Zentrale ist gleichwohl trüge-risch. Denn das Finanzsystem konnte keineswegs ohne Unterbrechungen weiteroperieren. Ein erster Grund hierfür war die heiß diskutierte Entscheidung, die New Yorker Börse (NYSE) für zwei Tage zu schließen, was seit dem 11. September nicht mehr vorgekommen war. Dabei sah es zunächst danach aus, als ob die Geschäfte an der NYSE trotz Sturm größtenteils weiterlaufen könnten. Schließlich sind Börsen schon lange nicht mehr durch Parketthandel geprägt, bei dem schwitzende Händler_innen Kauf-und Verkaufsgesuche durch den Saal brüllen. Die Automatisierung des Handels hat die abseits gelegenen Rechenzentren zum eigentlichen Schauplatz des Finanzgeschehens werden lassen. So sollte in New York zunächst der automatische Handel weiterlaufen und nur der übrige Parketthandel geschlossen werden. Je näher der Sturm rückte, desto größer wurden je-doch die Zweifel bei den Entscheidungsträger_innen. Konnte man wirklich ausgerechnet zu einem Zeitpunkt, an dem ein schwerer Sturm die Märkte ohnehin verunsichert, den Handelsmaschinen, die sich immer wieder als störungssensibel und fehleranfällig erwiesen hatten, das Feld überlassen? In einem Bericht des privaten Finanzforschungsinstituts IDC mit dem vielsagenden Titel «Sandy Surfaces the Importance of the ›Human Ma-chine‹ on Wall Street» heißt es dazu:

»Keeping the market open on a purely electronic basis, having never operated this way even under perfect conditions, would only increase the chances of any minor malfunction to a high frequency trading algorithm causing potentially great disruption.«

Nicht die Angst vor technischen Unterbrechungen durch den Sturm, sondern das mangelnde Vertrauen in die Sicherheit der Algorithmen und high frequency trading bots führte also zur Schließung der NYSE. Ein fehlerhafter Algorithmus könnte zu massiven Störungen und Krisenphänomenen führen und wäre dann möglicherweise nur schwer durch menschliche Intervention zu beheben. Zudem hätten Handelsmaschinen mögliche Turbulenzen, die sich gleichsam vom Wetter auf den Finanzmarkt übertragen, noch weiter verstärken können.

»As technology advances it is clear that regulators and financial institutions need to have long and hard discussions about what can and cannot be done in the event of such scenarios. While a number of banks may well provide traders the ability to access its security network and trade electronically from home or satellite offices, this functionality is rendered meaningless if regulators are not comfortable or do not have the risk infrastructure or capability necessary to police markets that are already increasingly moving away from the physical trading floor.«

Nicht nur die Schließung der NYSE, auch weitere Ereignisse »have made it abundantly clear that the markets cannot and must not operate without the fully functioning human ›machine‹.« Im Interview wurde als größte Schwierigkeit für das BCM der Bank weniger der Stromausfall, sondern vielmehr die Unterbrechung der Verkehrsinfrastruktur thematisiert. Schließlich wohnt ein Großteil der Bankangestellten nicht in Manhattan selbst, sondern in New Jersey oder Long Island und ist darauf angewiesen, mit der U-Bahn oder durch Tunnel für den Autoverkehr zur Arbeit zu gelangen, was aufgrund der Überschwemmungen nach Sandy unmöglich geworden war. So war plötzlich die physische Geographie New Yorks, die angeblich im ortslosen Finanzkapitalismus keine Bedeutung mehr hat, zu einer entscheidenden Größe geworden.

Nur scheinbar können sich Banken wie Goldmann von diesen materiellen und infrastrukturellen Bedingungen abkoppeln. Die Vorhaltung von Notstromaggregaten bei Banken kann zwar als typisches Phänomen eines »splintering urbanism« verstanden werden, bei dem sich Unternehmen oder sehr wohlhabende Stadtbewohner_innen privatisierte infrastrukturelle Versorgungsinseln sichern, die in puncto Sicherheit, Schnelligkeit oder Servicequalität über dem kommunalen Durchschnittsniveau liegen. Gleichwohl ist die Angewiesenheit auf eine funktionierende öffentliche Nahverkehrsinfrastruktur erhalten geblieben. Die Finanzmärkte sind möglicherweise nicht sozial embedded, aber sie sind doch technisch connected, an eine Vielzahl öffentlicher und kollektiv genutzter infrastruktureller Leistungen angeschlossen.

Ein weiterer Grund für die Beschränktheit der Effektivität der Kontinuitätsmaßnahmen liegt im Versagen der Planungen für Ersatzinfrastrukturen bei etlichen Banken. In der Folge von Sandy haben nahezu alle Banken, die in New York operieren – und das sind viele – die von ihren Vertragspartnern (zumeist die Firma Sungard) für solche Fälle betriebenen Ersatzstandorte nachgefragt. Nahe gelegene Ausweichstandorte wurden deshalb schnell knapp, so dass nur wenige Banken, die sich besondere Vorzugsrechte bei Sungard gesichert hatten, einen Ersatzstandort in der Nähe beziehen konnten. Im Fall der von mir untersuchten deutschen Bank wurde auf die Inanspruchnahme eines mehrere Flugstunden entfernten Ausweichstandorts verzichtet. Die notwendigsten Operationen wurden stattdessen von einem eilig angemieteten Hotelzimmer aus in die Wege geleitet. Im Interview wurde diese Situation schnell als Heldengeschichte interpretiert. Die Rede war von übernächtigten »Musketieren« der Bank, die auf engstem Raum im Hotel mit ungewaschenen Socken, dafür aber umso gefestigterem Teamgeist die Geschäfte am Laufen hielten. Solche Geschichten können nicht darüber hinwegtäuschen, dass offensichtlich die laut Standards und Regulationen vorgeschriebenen und von den Banken für gewöhnlich durchgeführten BCM-Maßnahmen nur dann helfen können, wenn eine einzelne Bank durch einen Störfall betroffen ist und ihre Geschäfte kurzfristig an einen anderen Standort verlegen muss. Bei einem großflächigen und langanhaltenden Katastrophenfall dagegen scheinen die Maßnahmen kaum zu helfen: Weder Ausweichstandorte noch Notstromversorgung haben den Banken viel genützt. So scheint es, dass der Rahmen des BCM, der vornehmlich auf eine einzelne Institution fokussiert, zu eng gefasst ist und allzu leicht von einer Reihe von Externalitäten (mitunter im Wortsinne) überflutet wird. Sowohl die Vernetzung mit der städtischen Infrastruktur als auch die Resonanzen zwischen den Kontinuitätsplanungen der Banken haben zu massiven Schwierigkeiten geführt. In letzterem Fall nicht trotz, sondern gerade weil alle Banken vorschriftsmäßig vorgesorgt hatten. Diese Erfahrung steht im Kontrast zur Betonung von Interdependenzen in BCM-Standards und zum Anspruch des Kontinuitätsmanagements, zur Sicherheit größerer Systemzusammenhänge beizutragen.

»Business Continuity contributes to a more resilient society. The wider community and the organization’s environment impact on the organization and therefore other organizations may need to be involved.« Es war aber gerade das Gemeinschaftsereignis Sandy – die kollektive Betroffenheit von den Folgen des Sturms, vermittelt und verstärkt durch die kollektive Infrastruktur –, durch die das BCM der Banken scheiterte.

Die spillovers des Gemeinschaftsereignisses Sandy hatten aber auch den Effekt, dass sie das sonst im Verborgenen arbeitende disaster preparedness der Finanzbranche sichtbar und dadurch kritisierbar gemacht haben. Es bedurfte keiner besonderen Phantasie, keiner Entlarvung, keines Blickes hinter die Kulissen, um die Sicherheitslogik der vital systems security, wie sie sich in New York gezeigt hatte, zu kritisieren. Alles war genau so, wie es (auf Manhattan blickend) auch schien: Eine große Investmentbank und ein wesentlicher Verursacher der Finanzkrise hatte noch Strom, während 250.000 New Yorker im Dunkeln saßen und selbst ein Krankenhaus evakuiert werden musste. Ein weiteres Mal schien die fatale too big to fail-Logik am Werke zu sein, die schon während der Finanzkrise 2008 zu Ungerechtigkeiten geführt hatte, als unzählige verschuldete Hausbesitzer_innen geräumt wurden, während die Verursacher der Krise – nicht zuletzt Goldman Sachs – mit milliardenschweren Rettungspaketen unterstützt wurden. Damals wie jetzt bei Sandy gingen in den Wohnhäusern die Lichter aus. Auch wenn der Staat diesmal nur mittelbar dafür verantwortlich war, dass Goldman noch Strom hatte – das hell erleuchtete Hauptquartier der Investmentbank wirkte wie ein ausgestreckter Mittelfinger an die von Finanzkrise und schlechtem Katastrophenmanagement gebeutelten New Yorker. Die Frage drängte sich auf: Wer ist eigentlich »kritisch« und was ist »vital«? Durch die Gegenüberstellung von erleuchteter Goldman-Zentrale und evakuiertem NYU Medical Center durch den häufig geteilten tweet (s.o.) wird die faktische Hierarchie der Kritikalität und damit die ungleiche Verteilung der vital systems security in Frage gestellt. Gleichwohl wird deren prinzipielle Idee, nämlich den Schutz der Bevölkerung an den Betrieb und das kontinuierliche Funktionieren einer Reihe von kritischen bzw. vitalen Infrastrukturen und Systemen zu koppeln, durchaus bestätigt.

 

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.
Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018
Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de

 


Business Continuity Management

Business Continuity Management (BCM) ist ein Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse und Geschäftsfunktionen auch in Notsituationen verfügbar bleiben oder rechtzeitig wieder verfügbar sind.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich Business Continuity Management.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen