Nichts ist unmöglich, Teil 2

Teil 1 dieses Artikels erschien am 27.10.2011

Angesichts dieser von Natur oder Menschenhand verursachten Großereignisse wirken Ausfälle im Tagesgeschäft fast unbedeutend, obwohl sie für Unternehmen präsenter sind und oftmals nicht unerhebliche Auswirkungen haben: Da gibt es Gebäude, die nach einer Bombendrohung, einem Bombenfund in der Nachbarschaft oder nach einem Brand für Stunden oder Tage geräumt werden mussten. Da fiel die Versorgung mit Strom oder Telekommunikation aus, weil die singuläre Anbindung an die Stromversorgung oder an das Telekommunikationsnetz nach Bagger- oder Umbauarbeiten oder auch aufgrund eines Netzausfalls kurzzeitig oder mittelfristig nicht verfügbar waren.

Aber auch Zulieferungen, Dienstleister, (IKT-)Services oder (IKT-)Systeme können und sind  verschiedentlich ausgefallen und haben die Produktion und Leistungserbringung eines Unternehmens zum Erliegen gebracht oder sogar deren Finanztransaktionen unmöglich gemacht oder zumindest behindert. Das Mobilfunknetz kann erfahrungsgemäß ebenso ausfallen wie die prinzipiell zuverlässigen Dienste für die Smartphones eines Herstellers. Vereinzelt streikte die Software nach Einspielung eines Change oder eines neuen Release oder ein Fehler in der Firmware ließ Hardware ausfallen. In Einzelfällen stand das gesamte Rechenzentrum still, weil bei der Wartung der Stromversorgung oder einer Reparatur das RZ versehentlich stromlos geschaltet wurde.

Der Ausfall von Schlüsselpersonen bereitet ohne geeignete Stellvertretung ebenso Probleme wie der Ausfall einer größeren Anzahl von Mitarbeitern, z. B. nach einer Fleischvergiftung, aufgrund eines Streiks oder durch Ausfall des Nahverkehrs.

Aber auch Angriffe auf das Unternehmen oder seine IT können einen Notfall oder eine Krise auslösen. Zu denken ist hier z. B. an Angriffe auf Unternehmen durch Bombendrohung oder durch die Vergiftung der hergestellten Lebensmittel. Angriffe auf die IT, z. B. in Form von Distributed-Denial-of-Service-Attacken können den Betrieb z. B. bei Online-Shops lahmlegen. Datendiebstahl aufgrund unzureichender Sicherheitsmaßnahmen hat dazu geführt, dass Web-Services zeitweise gesperrt werden mussten und Einnahmeausfälle und Reputationsverlust entstanden.

Zugegebenermaßen ist manches der anfangs genannten Großereignisse zu weit entfernt, in unserer schnelllebigen Zeit fast schon wieder vergessen oder zu unwahrscheinlich als dass es in die Überlegungen einfließt, denn schließlich sollen Unternehmen am Markt erfolgreich sein und Gewinne erwirtschaften. Zudem nehmen Wettbewerb und Kostendruck zu. Da gilt es abzuwägen zwischen relativ hohem Kontinuitätsniveau und relativ hohem, aber noch tragbarem Risikoniveau. Und dennoch, eine angemessene Notfallvorsorge einschließlich risikomindernder Maßnahmen und Frühwarnung, letztlich ein Kontinuitätsmanagement, gehören zu einem ordnungsgemäßen Geschäftsbetrieb grundsätzlich dazu. So fordert das Handelsgesetzbuch (HGB) die Einhaltung der Grundsätze ordnungsmäßiger Buchführung (GoB). Hierzu gehört, dass „die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können.“ Die deutschen Wirtschaftsprüfer leiten in FAIT 1 aus dem HGB ab, dass eine Notfallvorsorge erforderlich ist.

Notfallvorsorge zu treffen ist also eine durchaus elementare und unverzichtbare Anforderung an jedes Unternehmen, zumal in einer weltweit vernetzten Wirtschaft. Wer die genannten Ereignisse betrachtet, wird sich zudem fragen, in welchen Fällen die Rettung von Menschenleben und/oder eine Schadensbegrenzung durch Risikominderung sowie eine zu diesem Zeitpunkt funktionierende Frühwarnung, Sensibilität und Kommunikation sowie eine angemessene Bewertung der Risiken zumindest in Teilen möglich gewesen wäre.

Wer eine Frühwarnung erreichen will, benötigt ein Früherkennungssystem. Um dies einzurichten, sind Analysen im Vorfeld sowie Detektoren und Überwachungssysteme in der Folge erforderlich. Sie müssen sich über eine große Bandbreite erstrecken: von der Natur über Menschen, Märkte und Politik bis hin zu Technologie. Gesetzliche Anforderungen, Unternehmensstrategie und Unternehmensimage sowie gemachte Erfahrungen und Wirtschaftlichkeitsüberlegungen spielen bei all diesen Überlegungen und den dann folgenden Entscheidungen eine wesentliche Rolle. Treffen sollte sie jedes Unternehmen.

Literatur / Quellen:

FAIT 1, 24.09.2002

Handelsgesetzbuch, 01.03.2011

Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010