Krisenbewältigungsmechanismen aus einzelnen und teilweise voneinander getrennten Managementsystemen für Notfall- und Krisenmanagement, Business Continuity Management, Disaster Recovery, IT Service Continuity Management oder das Krisenmanagement einzelner Standorte reichen im Rahmen der COVID-19 Pandemielage in manchen Unternehmen und Organisationen nicht aus; es fehlt die Verbindung und übergreifende Steuerung. Gefragt ist ein bündelnder Ansatz zur Herstellung von „Enterprise Resilience“, der die Widerstandsfähigkeit in Krisensituationen auch kulturell in allen Teilen der Organisation verankert.
Enterprise Resilience
Die anhaltende COVID-19 Pandemielage führt zum gegenwärtigen Zeitpunkt zu teils empfindlichen wirtschaftlichen, politischen und gesellschaftlichen Auswirkungen, unter anderem auf internationale Lieferketten sowie auf Produktions- und Fertigungsprozesse.
Das vorliegende Pandemie-Szenario zeigt sehr deutlich, dass vielfach bestehende Präventionsmaßnahmen zum Krisen- und Kontinuitätsmanagement in derartigen Großlagen teils nicht für eine koordinierte Bewältigung ausreichen; gefragt ist ein übergreifender Ansatz zur Herstellung von „Enterprise Resilience“, also der Schaffung ganzheitlicher Unternehmens-Resilienz. Innerhalb einer Organisation vorhandene Krisenmanagement-Ressourcen aus Fachbereichen wie IT-Security, Corporate Security, Legal & Compliance, Forensik, Health & Safety oder Unternehmenskommunikation sowie vor allem in Konzerngesellschaften und operativen Einheiten müssen gebündelt und ein Grundstein für eine organisationsweite „Resilience Culture“ gelegt werden.
Physische Sicherheit und IT-Sicherheit
Auch die COVID-19 Lage zeigt deutlich, dass sich Krisenszenarien nicht mehr eindeutig bestimmten Domänen oder Fachbereichen zuordnen lassen. Bereits niedrigschwellige Sicherheitsvorfälle haben vielfache gegenseitige Wechselwirkungen; ein physischer Sicherheitsvorfall kann einen IT-Security Vorfall nach sich ziehen, z.B. bei einem extremistischen Angriff auf einen Kommunikationsknoten. Ebenso kann ein IT-Angriff erhebliche Konsequenzen im Bereich der physischen Sicherheit nach sich ziehen, beispielsweise bei einem Angriff auf kritische IT-Systeme eines Krankenhauses, der Energieversorgung oder eines selbstfahrenden Autos.
Eine einfache Fachbereichszuordnung der Zuständigkeit für ein bestimmtes Schadens- oder Krisenszenarios ist insgesamt kaum noch möglich.Von wesentlicher Bedeutung ist daher die ganzheitliche Betrachtung von Krisenszenarien; weg vom Silo-Denken der Ressorts und Fachbereiche hin zu einem ganzheitlichen Krisenverständnis mit einem am Schutz der Organisation insgesamt ausgerichteten Zielbild. Die Verantwortung für die ganzheitliche, übergreifende Steuerung des unternehmensweiten Krisenmanagements sollte durch eine Resilience-Stabsstelle mit Vorstandsanbindung und unter Wahrung von Grundsätzen der Funktionstrennung wahrgenommen oder an einen existieren Fachbereich mit bereits bestehender Krisen-Expertise, z.B. IT-Security oder Corporate Security, angegliedert werden. Diese Stabsstelle steuert gruppenweit notwendige Präventions- und Reaktionsmaßnahmen, das Frühwarnsystem, sowie vor allem auch bestehende Managementsysteme für Notfall- und Krisenmanagement, Business Continuity Management, Disaster Recovery, IT Service Continuity Management oder das Krisenmanagement einzelner Standorte.
Herausforderung für IT Security & OT-Security
Hyperkonnektivität, Smart Cities, vernetzte Systeme und Smart Factories verstärken die Verschmelzung von physischer Sicherheit und IT-Sicherheit zusätzlich; umso wichtiger ist weiterhin der Perspektivwechsel auch für Verantwortliche in IT-Security und OT-Security.Sicherheit muss immer auch technisch, gleichzeitig aber vor allem auch organisatorisch und prozessual im Kontext der gesamten Organisation verantwortet und auch entsprechend gegenüber dem Vorstand als Teil eines ganzheitlichen Schutzschirms dargestellt und kommuniziert werden. Sicherheit und Resilienz gelingen nur mit angemessener Vorstandsunterstützung und wirksamen Allianzen mit internen Verbündeten.
Resilience Culture
Auch eine Organisation kann sich, ähnlich wie ein Organismus, durch ein intaktes Immunsystem und Gesundheitsprävention vor Gefährdungen und auch vor „Strategic Shocks“ schützen. Ein Instrument hierfür ist die Stärkung der Abwehrkräfte durch Schaffung einer auf Widerstandsfähigkeit ausgelegten „Resilience Culture“ in der gesamten Organisation. Ziel ist die bestmögliche Befähigung jeglicher einzelnen Einheiten und vor allem auch aller Mitarbeitenden zum Umgang mit Krisensituationen.Wie in den militärischen Operationen der vergangenen Jahrzehnte gilt auch für Unternehmen in einer Phase der „Unknown Unknowns“; den derzeitigen Veränderungen und Risiken kann nur durch einen „Comprehensive Approach“ und die Schaffung eines „Team of Teams“ begegnet werden.