Nichts ist unmöglich, Teil 2

Abgelegt in: Antworten

Teil 1 dieses Artikels erschien am 27.10.2011

Angesichts dieser von Natur oder Menschenhand verursachten Großereignisse wirken Ausfälle im Tagesgeschäft fast unbedeutend, obwohl sie für Unternehmen präsenter sind und oftmals nicht unerhebliche Auswirkungen haben: Da gibt es Gebäude, die nach einer Bombendrohung, einem Bombenfund in der Nachbarschaft oder nach einem Brand für Stunden oder Tage geräumt werden mussten. Da fiel die Versorgung mit Strom oder Telekommunikation aus, weil die singuläre Anbindung an die Stromversorgung oder an das Telekommunikationsnetz nach Bagger- oder Umbauarbeiten oder auch aufgrund eines Netzausfalls kurzzeitig oder mittelfristig nicht verfügbar waren.

Aber auch Zulieferungen, Dienstleister, (IKT-)Services oder (IKT-)Systeme können und sind  verschiedentlich ausgefallen und haben die Produktion und Leistungserbringung eines Unternehmens zum Erliegen gebracht oder sogar deren Finanztransaktionen unmöglich gemacht oder zumindest behindert. Das Mobilfunknetz kann erfahrungsgemäß ebenso ausfallen wie die prinzipiell zuverlässigen Dienste für die Smartphones eines Herstellers. Vereinzelt streikte die Software nach Einspielung eines Change oder eines neuen Release oder ein Fehler in der Firmware ließ Hardware ausfallen. In Einzelfällen stand das gesamte Rechenzentrum still, weil bei der Wartung der Stromversorgung oder einer Reparatur das RZ versehentlich stromlos geschaltet wurde.

Der Ausfall von Schlüsselpersonen bereitet ohne geeignete Stellvertretung ebenso Probleme wie der Ausfall einer größeren Anzahl von Mitarbeitern, z. B. nach einer Fleischvergiftung, aufgrund eines Streiks oder durch Ausfall des Nahverkehrs.

Aber auch Angriffe auf das Unternehmen oder seine IT können einen Notfall oder eine Krise auslösen. Zu denken ist hier z. B. an Angriffe auf Unternehmen durch Bombendrohung oder durch die Vergiftung der hergestellten Lebensmittel. Angriffe auf die IT, z. B. in Form von Distributed-Denial-of-Service-Attacken können den Betrieb z. B. bei Online-Shops lahmlegen. Datendiebstahl aufgrund unzureichender Sicherheitsmaßnahmen hat dazu geführt, dass Web-Services zeitweise gesperrt werden mussten und Einnahmeausfälle und Reputationsverlust entstanden.

Zugegebenermaßen ist manches der anfangs genannten Großereignisse zu weit entfernt, in unserer schnelllebigen Zeit fast schon wieder vergessen oder zu unwahrscheinlich als dass es in die Überlegungen einfließt, denn schließlich sollen Unternehmen am Markt erfolgreich sein und Gewinne erwirtschaften. Zudem nehmen Wettbewerb und Kostendruck zu. Da gilt es abzuwägen zwischen relativ hohem Kontinuitätsniveau und relativ hohem, aber noch tragbarem Risikoniveau. Und dennoch, eine angemessene Notfallvorsorge einschließlich risikomindernder Maßnahmen und Frühwarnung, letztlich ein Kontinuitätsmanagement, gehören zu einem ordnungsgemäßen Geschäftsbetrieb grundsätzlich dazu. So fordert das Handelsgesetzbuch (HGB) die Einhaltung der Grundsätze ordnungsmäßiger Buchführung (GoB). Hierzu gehört, dass „die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können.“ Die deutschen Wirtschaftsprüfer leiten in FAIT 1 aus dem HGB ab, dass eine Notfallvorsorge erforderlich ist.

Notfallvorsorge zu treffen ist also eine durchaus elementare und unverzichtbare Anforderung an jedes Unternehmen, zumal in einer weltweit vernetzten Wirtschaft. Wer die genannten Ereignisse betrachtet, wird sich zudem fragen, in welchen Fällen die Rettung von Menschenleben und/oder eine Schadensbegrenzung durch Risikominderung sowie eine zu diesem Zeitpunkt funktionierende Frühwarnung, Sensibilität und Kommunikation sowie eine angemessene Bewertung der Risiken zumindest in Teilen möglich gewesen wäre.

Wer eine Frühwarnung erreichen will, benötigt ein Früherkennungssystem. Um dies einzurichten, sind Analysen im Vorfeld sowie Detektoren und Überwachungssysteme in der Folge erforderlich. Sie müssen sich über eine große Bandbreite erstrecken: von der Natur über Menschen, Märkte und Politik bis hin zu Technologie. Gesetzliche Anforderungen, Unternehmensstrategie und Unternehmensimage sowie gemachte Erfahrungen und Wirtschaftlichkeitsüberlegungen spielen bei all diesen Überlegungen und den dann folgenden Entscheidungen eine wesentliche Rolle. Treffen sollte sie jedes Unternehmen.

Literatur / Quellen:

FAIT 1, 24.09.2002

Handelsgesetzbuch, 01.03.2011

Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010

Geschrieben von

Als Autor von Fachbüchern und zahlreichen Artikeln bin ich Ihnen – zumindest namentlich – vielleicht bereits bekannt. Doch welche Vita verbirgt sich hinter diesem Namen?
Studium und Promotion machten mich bereits früh mit der IT vertraut. Meine berufliche Laufbahn startete ich im Bereich der Softwareentwicklung und –Spezifikation als Gruppenleiter. Als Ingenieur hatte ich gelernt, dass methodisches Vorgehen ein entscheidender Erfolgsfaktor ist, wenn Fehler vermieden und Aufgaben ohne unnötige Iterationen richtig und effizient gelöst werden sollen. Dies zumal dann, wenn die Aufgabenstellung – wie bei Software – komplex ist. Daher führte ich in meiner damaligen Entwicklergruppe das Software-Engineering ein. In meinem weiteren beruflichen Werdegang stellten sich die gemachten Erfahrungen beim Einstieg in ein internationales Softwarehaus als tragfähige Basis heraus. Zu Entwicklung und Spezifikation von Software kamen Teilprojektleitung, (Krisen-)Projekt-management, Test- und Qualitätsmanagement sowie Beratung und Prüfung, aber auch die Rollen Key Account Manager und Career Manager hinzu.
Bei der ACG Automation Consulting Group GmbH in Frankfurt (www.acg-gmbh.de), einer Unternehmensberatung für Organisation und Informationsverarbeitung, übernahm ich den Fachbereich Qualitäts- und Sicherheitsmanagement. Heute verantworte ich hier das Fach Competence Center Unternehmenssicherheit. Als Senior Management Consultant berate ich das Management zu den Themenfeldern (IT-)Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT-Service und IT Service Level Management sowie Sourcing.
Um die genannten Themen effizient, durchgängig und integrativ behandeln zu können, entwickelte ich in meiner Freizeit eine Vorgehensweise, in die meine langjährigen Praxis- und Beratungserfahrungen eingeflossen sind. Diese veröffentlichte ich gegen Ende des letzten Jahr-hunderts ;-). Die Anfrage des Vieweg-Verlags und mein Faible für’s Schreiben führten zur detaillierteren Veröffentlichung dieser Vorgehensweise in Buchform. Leserinnen und Lesern meiner Bücher „IT-Sicherheit mit System“ (4. Auflage, 2011) und „Handbuch Unterneh-menssicherheit“ (2. Auflage, 2010) sind die Sicherheitspyramide bzw. Sicherheitsmanagementpyramide sowie die Kontinuitäts- und die Risiko(management)pyramide bekannt.
Wenngleich diese Managementdisziplinen auch einzeln betrachtet werden können, habe ich sie aufgrund der vielfältigen Abhängigkeiten und zur Steigerung der Effizienz nicht nur im Handbuch Unternehmenssicherheit zusammengeführt. Die ganzheitliche Betrachtungsweise der Unternehmenssicherheit führt darüber hinaus zur Konsolidierung und Integration von Prozessen und Ressourcen unterschiedlicher Organisationseinheiten von der Arbeits-, Betriebs-, IT- und Gebäudesicherheit über BCM und ITSCM bis hin zum Risikomanagement für das Unternehmen und seine IT.
Ein weiteres Ergebnis meiner Autorentätigkeit ist das Buch „IT für Manager“, bei dessen Haupttitel – warum auch immer – inzwischen Verwechslungsgefahr besteht ;-).

0 Responses

Schreibe einen Kommentar