Der Truthahn und das Business Continuity Management

Business Continuity Management ist eine relativ junge Disziplin, deren Methoden, Verfahren und Standards sich noch in einer frĂŒhen Entwicklungsphase befinden. Viele der im BCM genutzten Methoden kommen aus anderen Disziplinen, vor allem dem IT Service Continuity Management, IT Disaster Recovery, Physical Security, Facility Management und natĂŒrlich dem Risikomanagement.Sehr nachhaltig hat die Risikomatrix aus dem Risikomanagement Einzug in das BCM gehalten. In der Risikomatrix werden Eintrittswahrscheinlichkeit in einer Dimension und Schadensauswirkungen in der zweiten Dimension dargestellt. FĂŒr die vier sich ergebende Quadranten (hohe Eintrittswahrscheinlichkeit und hohe Schadenswirkung, hohe Eintrittswahrscheinlichkeit und geringe Schadenswirkung, geringe Eintrittswahrscheinlichkeit und hohe Schadenswirkung, geringe Eintrittswahrscheinlichkeit und geringe Schadenswirkungen) sollen dann die jeweiligen Risikostrategien festgelegt werden.
ZunĂ€chst einmal ist allerdings festzulegen, was in der Risikomatrix dargestellt werden soll. Sind es Ursachen, die zu einem Notfall fĂŒhren, die Auswirkungen oder gar Notfallszenarien?
Nehmen wir zunĂ€chst an, dass hier mögliche Ursachen fĂŒr NotfĂ€lle dargestellt werden sollen. Wir haben es dann mit einer enormen Zahl möglicher Ursachen zu tun. Alleine fĂŒr den Ausfall eines GebĂ€udes, d.h. das GebĂ€ude ist nicht oder nur noch stark eingeschrĂ€nkt nutzbar, gibt es zahllose Beispiele fĂŒr Ursachen.
Hier eine nicht abschliessende AufzÀhlung:

  • Brand des GebĂ€udes
  • Kontamination des GebĂ€udes (Bsp. Asbestfund)
  • Ausfall Strom im Rahmen der GebĂ€udetechnik
  • Ausfall Strom im Verantwortungsbereich des Versorgers
  • Ausfall Wasser im Rahmen der GebĂ€udetechnik
  • Ausfall Wasser im Verantwortungsbereich des Versorgers
  • Evakuierung des GebĂ€udes (Bsp. Bombenfund auf NachbargrundstĂŒck, Brand im NachbargebĂ€ude)
  • Kein verkehrstechnischer Zugang zum GebĂ€ude (Unfall, Ausfall Nahverkehr, Austritt Gaswolke)
  • Und so weiter und so fort.

Wie an diesem Beispiel deutlich wird, ĂŒberfordert uns alleine die Menge der möglichen Ursachen. Wir werden kaum eine vollstĂ€ndige Liste der möglichen Ursachen erarbeiten können. Wenn wir diese Liste dann endlich haben, beginnt die Arbeit ja erst, denn wir mĂŒssen Eintrittswahrscheinlichkeiten und Schadensfolgen je Ursache ermitteln. FĂŒr viele dieser Ursachen gibt es tatsĂ€chlich Datenmaterial, um Eintrittswahrscheinlichkeiten ermitteln zu können. Es gibt Landkarten mit der Verteilung von alter Weltkriegsmunition, Stromausfallstatistiken etc..
Wenn wir diese Einzelrisiken mĂŒhevoll analysiert haben, mĂŒssen wir diese Risiken aggregieren, denn das Risiko „Ausfall des GebĂ€udes“ ergibt sich ja aus der Kombination einer Vielzahl dieser Einzelrisiken. Als Ergebnis muss dann das Gesamtrisiko fĂŒr den Ausfall des GebĂ€udes unter Betrachtung der menschlich ermessbaren Einzelrisiken herauskommen. Ein interessantes Unterfangen fĂŒr eine mehrjĂ€hrige Doktorarbeit, aber ich bin sehr skeptisch, ob uns die Auftraggeber erst einmal fĂŒr viele Monate ins Labor zurĂŒckziehen lassen, um die notwendigen Daten hierfĂŒr zusammenzutragen, zu verstehen und zu dokumentieren.
Zudem sind die Ursachen miteinander vernetzt. Es entsteht ein Brand im GebÀude, die Feuerwehr ist schnell in der Lage den Brand zu löschen, doch die Gase des schmelzenden Kunststoffs aus der Deckenverkleidung haben die RÀume kontaminiert und das Löschwasser die Elektrik beschÀdigt.
Diese Vernetzung macht unsere Situation jetzt allerdings nicht einfacher. Wir haben es jetzt mit realistischen Notfallszenarien, also der Verkettung von Ereignissen zu tun. In diesen Netzen gibt es eine Vielzahl an Knoten und Übergangswahrscheinlichkeiten zwischen diesen Knoten, also neuronale Netze. Mit Hilfe der IT sind neuronale Netze mittlerweile beherrschbar geworden. Sie werden beispielsweise im Adress-Risikomanagement eingesetzt und auch die Wettervorhersage beruht auf dieser Technologie. Massiver Einsatz historischer Daten, statistischem Know How und die heutige verfĂŒgbare Rechenleistungen (in der Metereologie werden die leistungsfĂ€higsten Rechner der Welt eingesetzt) haben den Einsatz neuronaler Netze praktisch erst möglich gemacht. FĂŒr das BCM ist das allerdings noch Zukunftsmusik.
Also versuchen wir es mit der Wirkungsseite. Hier haben wir es mit einer deutlich geringeren Zahl an zu betrachtenden NotfÀllen zu tun.
Im Operational Risk Management funktioniert dies sehr gut. Hier ein Beispiel fĂŒr den Verlust an Laptops als operationelles Risiko. Durchschnittlich haben wir einen Verlust an Laptops durch Diebstahl oder Verlieren (die meisten Laptops werden am Flughafen verloren!) von zum Beispiel 1 Prozent. Dies wissen wir aus den Zahlen, mit denen wir in der Vergangenheit unsere Schadensfalldatenbank gespeist haben und Studien zu diesem Thema. Wir können also fĂŒr die Zukunft durchschnittlich (!) mit dieser Zahl rechnen und ĂŒberlegen, ob sich eine Versicherung rechnet bzw. die Mitarbeiter im Rahmen einer Policy zum Anleinen der Laptops verpflichten sowie Festplatten verschlĂŒsseln.
Nachdem sich diese Methodik im OpRisk bewĂ€hrt hat, liegt jetzt natĂŒrlich nichts nĂ€her, als dieses Verfahren auch auf das BCM zu ĂŒbertragen. Doch in der Schadensfalldatenbank werden wir zumeist und – Gott sei Dank – nicht fĂŒndig. Aber es gibt ja auch noch weitere Datenquellen. Naheliegend sind die Daten, die durch Versicherungen erhoben werden. Also fragen wir eine Versicherung. Diese hat 100 GebĂ€ude im Versicherungsbestand und kann aus Erfahrung berichten, dass von diesen 100 GebĂ€uden jĂ€hrlich ein GebĂ€ude signifikant beschĂ€digt wird, so dass ein Nutzungsausfall vorliegt (Ich habe ehrlicherweise keine Ahnung, ob dies realistisch ist!). Jetzt haben wir allerdings keine 100 GebĂ€ude, sondern ein GebĂ€ude fĂŒr das wir die Zahlen benötigen. Dass dieses GebĂ€ude ausfĂ€llt, passiert statistisch im Umkehrschluss also einmal in 100 Jahren. Es ist also sehr unwahrscheinlich. Dies wussten wir aber schon, bevor wir die Versicherung gefragt haben, denn es ist in der langjĂ€hrigen Firmengeschichte noch nie vorgekommen (ein hĂ€ufiges Argument gegen BCM!). MĂŒssen wir fĂŒr diesen Fall wegen der geringen Eintrittswahrscheinlichkeit jetzt nicht vorsorgen? Eine Kosten- / Nutzenrechnung im klassischen Sinne wĂŒrde uns dies sogar verbieten. Doch leider wissen wir nicht, wann es uns in diesen 100 Jahren treffen wird, aber wenn es passiert wird es unsere Existenz (persönlich und wirtschaftlich) massiv gefĂ€hrden.
Nassim Nicholas Taleb, ehemaliger BörsenhĂ€ndler und Professor fĂŒr Risikoforschung in New York, hat dies in seinem aktuellen Buch „the black swan“ (der schwarze Schwan, jetzt auch in deutsch im Hanser Verlag erschienen) in seiner Truthahn-Metapher eindrucksvoll beschrieben:
Der Truthahn wird 1.000 Tage lang tĂ€glich gefĂŒttert. Jeden Tag registriert er, dass sich der Mensch um sein Wohlergehen sorgt. Diese Einstellung erhĂ€rtet sich Tag um Tag. Jede einzelne FĂŒtterung wird die Überzeugung des Vogels stĂ€rken, dass es die Grundregel des Lebens ist, jeden Tag von freundlichen Mitgliedern der menschlichen Rasse gefĂŒttert zu werden. Am Nachmittag des Mittwochs vor „Thanksgiving“ wird dem Truthahn dann etwas Unerwartetes widerfahren, und er wird seine Überzeugung revidieren mĂŒssen.
Was können wir also mit Wahrscheinlichkeiten im BCM dann noch anfangen? Es gibt Ereignisse, die wir sicher ausschliessen können. Wir brauchen auf einem Berg keine Hochwasservorsorge. Was wir nicht sicher ausschliessen können, kann passieren und kann uns treffen. Die Aufgabe des BCM ist es nicht, Aussagen ĂŒber die Wahrscheinlichkeit dieser Ereignisse zu treffen, sondern die Wirkungen bei Eintritt eines seltenen Extrem-Ereignisses so weit zu reduzieren, dass die Funktions- und ÜberlebensfĂ€higkeit der Organisation erhalten bleibt. Es ist der gleiche Mechanismus, der den Menschen bei UnfĂ€llen und Schock-Situationen am Leben erhĂ€lt. Egal welches die Ursache fĂŒr den Schock ist, der Körper reagiert immer gleich: er reduziert die Körperfunktionen auf ein Minimum und versucht die zentralen Lebensfunktionen am funktionsfĂ€hig zu erhalten.
Dass dies keine neue bahnbrechende Erkenntnis ist, zeigt das Zitat des griechischen Staatsmanns Perikles, das diesen Blog ziert:
“Es kommt nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft vorbereitet zu sein.”
(Perikles, griech. Staatsmann, 493-429 v. Chr.).

2 Responses

  1. Dirk Ehrenberg

    Hallo Herr HĂ€mmerle,

    ich habe mittlerweile in meinem BCM-Beraterkoffer auch eine Glaskugel und RÀucherstÀbchen dabei. Manchmal helfen mir auch Tarot-karten und die Sendezeit auf Astro-TV ist auch schon gebucht.

    Spaß beiseite … das mit der Risikobewertung ist schierig!

    Vielleicht hilft ein philosphische Ansatz, meinte zumindest Anton NeuhĂ€usler: “Es gibt keine Sicherheit, nur unterschiedliche Grade der Unsicherheit.”

    Menschen die Risiken nicht sehen wollen oder geringschĂ€tzen gehören vielleicht zu den glĂŒcklicheren Zeitgenossen.

    >> ein Lottogewinn – Chance 1 : 1.000.000
    “Das nĂ€cshte mal gewinne ich, ganz sicher!”

    >> Lungenkrebs durch Zigarettenkonsum – Chance 1 : 1.000
    “Mich trifft das doch nicht!”

    Vielen Dank fĂŒr Ihren Beitrag, er hat mich sehr zum nachdenken angeregt.

    Beste GrĂŒĂŸe
    Dirk Ehrenberg

Ein Pingback

  1. Neunter Jahrestag von 9/11 | Continuity Management News

Schreibe einen Kommentar

Zur Werkzeugleiste springen