Der Truthahn und das Business Continuity Management

Business Continuity Management ist eine relativ junge Disziplin, deren Methoden, Verfahren und Standards sich noch in einer frühen Entwicklungsphase befinden. Viele der im BCM genutzten Methoden kommen aus anderen Disziplinen, vor allem dem IT Service Continuity Management, IT Disaster Recovery, Physical Security, Facility Management und natürlich dem Risikomanagement.Sehr nachhaltig hat die Risikomatrix aus dem Risikomanagement Einzug in das BCM gehalten. In der Risikomatrix werden Eintrittswahrscheinlichkeit in einer Dimension und Schadensauswirkungen in der zweiten Dimension dargestellt. Für die vier sich ergebende Quadranten (hohe Eintrittswahrscheinlichkeit und hohe Schadenswirkung, hohe Eintrittswahrscheinlichkeit und geringe Schadenswirkung, geringe Eintrittswahrscheinlichkeit und hohe Schadenswirkung, geringe Eintrittswahrscheinlichkeit und geringe Schadenswirkungen) sollen dann die jeweiligen Risikostrategien festgelegt werden.
Zunächst einmal ist allerdings festzulegen, was in der Risikomatrix dargestellt werden soll. Sind es Ursachen, die zu einem Notfall führen, die Auswirkungen oder gar Notfallszenarien?
Nehmen wir zunächst an, dass hier mögliche Ursachen für Notfälle dargestellt werden sollen. Wir haben es dann mit einer enormen Zahl möglicher Ursachen zu tun. Alleine für den Ausfall eines Gebäudes, d.h. das Gebäude ist nicht oder nur noch stark eingeschränkt nutzbar, gibt es zahllose Beispiele für Ursachen.
Hier eine nicht abschliessende Aufzählung:

  • Brand des Gebäudes
  • Kontamination des Gebäudes (Bsp. Asbestfund)
  • Ausfall Strom im Rahmen der Gebäudetechnik
  • Ausfall Strom im Verantwortungsbereich des Versorgers
  • Ausfall Wasser im Rahmen der Gebäudetechnik
  • Ausfall Wasser im Verantwortungsbereich des Versorgers
  • Evakuierung des Gebäudes (Bsp. Bombenfund auf Nachbargrundstück, Brand im Nachbargebäude)
  • Kein verkehrstechnischer Zugang zum Gebäude (Unfall, Ausfall Nahverkehr, Austritt Gaswolke)
  • Und so weiter und so fort.

Wie an diesem Beispiel deutlich wird, überfordert uns alleine die Menge der möglichen Ursachen. Wir werden kaum eine vollständige Liste der möglichen Ursachen erarbeiten können. Wenn wir diese Liste dann endlich haben, beginnt die Arbeit ja erst, denn wir müssen Eintrittswahrscheinlichkeiten und Schadensfolgen je Ursache ermitteln. Für viele dieser Ursachen gibt es tatsächlich Datenmaterial, um Eintrittswahrscheinlichkeiten ermitteln zu können. Es gibt Landkarten mit der Verteilung von alter Weltkriegsmunition, Stromausfallstatistiken etc..
Wenn wir diese Einzelrisiken mühevoll analysiert haben, müssen wir diese Risiken aggregieren, denn das Risiko „Ausfall des Gebäudes“ ergibt sich ja aus der Kombination einer Vielzahl dieser Einzelrisiken. Als Ergebnis muss dann das Gesamtrisiko für den Ausfall des Gebäudes unter Betrachtung der menschlich ermessbaren Einzelrisiken herauskommen. Ein interessantes Unterfangen für eine mehrjährige Doktorarbeit, aber ich bin sehr skeptisch, ob uns die Auftraggeber erst einmal für viele Monate ins Labor zurückziehen lassen, um die notwendigen Daten hierfür zusammenzutragen, zu verstehen und zu dokumentieren.
Zudem sind die Ursachen miteinander vernetzt. Es entsteht ein Brand im Gebäude, die Feuerwehr ist schnell in der Lage den Brand zu löschen, doch die Gase des schmelzenden Kunststoffs aus der Deckenverkleidung haben die Räume kontaminiert und das Löschwasser die Elektrik beschädigt.
Diese Vernetzung macht unsere Situation jetzt allerdings nicht einfacher. Wir haben es jetzt mit realistischen Notfallszenarien, also der Verkettung von Ereignissen zu tun. In diesen Netzen gibt es eine Vielzahl an Knoten und Übergangswahrscheinlichkeiten zwischen diesen Knoten, also neuronale Netze. Mit Hilfe der IT sind neuronale Netze mittlerweile beherrschbar geworden. Sie werden beispielsweise im Adress-Risikomanagement eingesetzt und auch die Wettervorhersage beruht auf dieser Technologie. Massiver Einsatz historischer Daten, statistischem Know How und die heutige verfügbare Rechenleistungen (in der Metereologie werden die leistungsfähigsten Rechner der Welt eingesetzt) haben den Einsatz neuronaler Netze praktisch erst möglich gemacht. Für das BCM ist das allerdings noch Zukunftsmusik.
Also versuchen wir es mit der Wirkungsseite. Hier haben wir es mit einer deutlich geringeren Zahl an zu betrachtenden Notfällen zu tun.
Im Operational Risk Management funktioniert dies sehr gut. Hier ein Beispiel für den Verlust an Laptops als operationelles Risiko. Durchschnittlich haben wir einen Verlust an Laptops durch Diebstahl oder Verlieren (die meisten Laptops werden am Flughafen verloren!) von zum Beispiel 1 Prozent. Dies wissen wir aus den Zahlen, mit denen wir in der Vergangenheit unsere Schadensfalldatenbank gespeist haben und Studien zu diesem Thema. Wir können also für die Zukunft durchschnittlich (!) mit dieser Zahl rechnen und überlegen, ob sich eine Versicherung rechnet bzw. die Mitarbeiter im Rahmen einer Policy zum Anleinen der Laptops verpflichten sowie Festplatten verschlüsseln.
Nachdem sich diese Methodik im OpRisk bewährt hat, liegt jetzt natürlich nichts näher, als dieses Verfahren auch auf das BCM zu übertragen. Doch in der Schadensfalldatenbank werden wir zumeist und – Gott sei Dank – nicht fündig. Aber es gibt ja auch noch weitere Datenquellen. Naheliegend sind die Daten, die durch Versicherungen erhoben werden. Also fragen wir eine Versicherung. Diese hat 100 Gebäude im Versicherungsbestand und kann aus Erfahrung berichten, dass von diesen 100 Gebäuden jährlich ein Gebäude signifikant beschädigt wird, so dass ein Nutzungsausfall vorliegt (Ich habe ehrlicherweise keine Ahnung, ob dies realistisch ist!). Jetzt haben wir allerdings keine 100 Gebäude, sondern ein Gebäude für das wir die Zahlen benötigen. Dass dieses Gebäude ausfällt, passiert statistisch im Umkehrschluss also einmal in 100 Jahren. Es ist also sehr unwahrscheinlich. Dies wussten wir aber schon, bevor wir die Versicherung gefragt haben, denn es ist in der langjährigen Firmengeschichte noch nie vorgekommen (ein häufiges Argument gegen BCM!). Müssen wir für diesen Fall wegen der geringen Eintrittswahrscheinlichkeit jetzt nicht vorsorgen? Eine Kosten- / Nutzenrechnung im klassischen Sinne würde uns dies sogar verbieten. Doch leider wissen wir nicht, wann es uns in diesen 100 Jahren treffen wird, aber wenn es passiert wird es unsere Existenz (persönlich und wirtschaftlich) massiv gefährden.
Nassim Nicholas Taleb, ehemaliger Börsenhändler und Professor für Risikoforschung in New York, hat dies in seinem aktuellen Buch „the black swan“ (der schwarze Schwan, jetzt auch in deutsch im Hanser Verlag erschienen) in seiner Truthahn-Metapher eindrucksvoll beschrieben:
Der Truthahn wird 1.000 Tage lang täglich gefüttert. Jeden Tag registriert er, dass sich der Mensch um sein Wohlergehen sorgt. Diese Einstellung erhärtet sich Tag um Tag. Jede einzelne Fütterung wird die Überzeugung des Vogels stärken, dass es die Grundregel des Lebens ist, jeden Tag von freundlichen Mitgliedern der menschlichen Rasse gefüttert zu werden. Am Nachmittag des Mittwochs vor „Thanksgiving“ wird dem Truthahn dann etwas Unerwartetes widerfahren, und er wird seine Überzeugung revidieren müssen.
Was können wir also mit Wahrscheinlichkeiten im BCM dann noch anfangen? Es gibt Ereignisse, die wir sicher ausschliessen können. Wir brauchen auf einem Berg keine Hochwasservorsorge. Was wir nicht sicher ausschliessen können, kann passieren und kann uns treffen. Die Aufgabe des BCM ist es nicht, Aussagen über die Wahrscheinlichkeit dieser Ereignisse zu treffen, sondern die Wirkungen bei Eintritt eines seltenen Extrem-Ereignisses so weit zu reduzieren, dass die Funktions- und Überlebensfähigkeit der Organisation erhalten bleibt. Es ist der gleiche Mechanismus, der den Menschen bei Unfällen und Schock-Situationen am Leben erhält. Egal welches die Ursache für den Schock ist, der Körper reagiert immer gleich: er reduziert die Körperfunktionen auf ein Minimum und versucht die zentralen Lebensfunktionen am funktionsfähig zu erhalten.
Dass dies keine neue bahnbrechende Erkenntnis ist, zeigt das Zitat des griechischen Staatsmanns Perikles, das diesen Blog ziert:
“Es kommt nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft vorbereitet zu sein.”
(Perikles, griech. Staatsmann, 493-429 v. Chr.).

2 Responses

  1. Dirk Ehrenberg

    Hallo Herr Hämmerle,

    ich habe mittlerweile in meinem BCM-Beraterkoffer auch eine Glaskugel und Räucherstäbchen dabei. Manchmal helfen mir auch Tarot-karten und die Sendezeit auf Astro-TV ist auch schon gebucht.

    Spaß beiseite … das mit der Risikobewertung ist schierig!

    Vielleicht hilft ein philosphische Ansatz, meinte zumindest Anton Neuhäusler: “Es gibt keine Sicherheit, nur unterschiedliche Grade der Unsicherheit.”

    Menschen die Risiken nicht sehen wollen oder geringschätzen gehören vielleicht zu den glücklicheren Zeitgenossen.

    >> ein Lottogewinn – Chance 1 : 1.000.000
    “Das näcshte mal gewinne ich, ganz sicher!”

    >> Lungenkrebs durch Zigarettenkonsum – Chance 1 : 1.000
    “Mich trifft das doch nicht!”

    Vielen Dank für Ihren Beitrag, er hat mich sehr zum nachdenken angeregt.

    Beste Grüße
    Dirk Ehrenberg

Ein Pingback

  1. Neunter Jahrestag von 9/11 | Continuity Management News

Schreibe einen Kommentar

Zur Werkzeugleiste springen