Krisen- und Business Continuity Management

Der Krieg und die Pandemie zeigen deutlich, dass die Verantwortung für kritische Prozesse und Kritische Infrastrukturen (Kritis) nur gemeinsam von Unternehmen und Behörden (Politik) getragen werden kann; dazu ist eine enge Verzahnung von Krisen- und Business Continuity Management notwendig.

Durch Krisen sind Business Continuity und kritische Prozesse gefährdet. Im schlimmsten Fall können Krisen zu einer Insolvenz oder gar zum Ausfall von Kritis führen. Angesichts des Krieges in der Ukraine, aber auch durch die fortschreitende Digitalisierung wächst die Sorge vor Cyberangriffen und die damit verbundene Betriebsunterbrechung bei Unternehmen und Behörden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die aktuelle Bedrohungslage in der Informationstechnik (IT) mit der zweithöchsten Warnstufe „Orange“. Täglich warnen Sicherheitsbehörden über mögliche Malware- und DDoS-Angriffe (Distributet Denial of Service).

Die Unterbrechung von wichtigen Geschäftsprozessen und - abläufen kann jedes Unternehmen und auch Behörden auf allen Ebenen treffen. Daher sind die Einführung eines BCM und die Festlegung klarer Rollen und Prozesse im Krisenmanagement nicht nur Kür, sondern Pflicht. In dieser aktuellen Lage zeigt sich, wie anfällig viele Unternehmen und Behörden in ihren Geschäftsprozessen durch Ereignisse wie Krieg oder die Pandemie geworden sind, weshalb das Krisenmanagement und das BCM eng verknüpft sein sollten.

Wie kann sichergestellt werden, dass diese „Verpflichtungen“ nicht nur „administrativ“ erfüllt werden, sondern auch im Falle einer Krise tatsächlich auch Wirkung zeigen?

Unternehmen und Behörden durchlaufen immer wieder weitgreifende Change-Prozesse, bedingt durch neue Technologien, die eine interne Neuaufstellung erforderlich machen können. Bei solchen Transformationen müssen Sicherheitsthemen immer strategisch mitgedacht werden. Wesentliche Voraussetzung hierfür ist, das Unternehmens- und Behördenlenker ein anschlussfähiges BCM und seine Schnittstellen zum Krisenmanagement als bedeutsamen Teil der übergeordneten Strategie erkennen.

Welche Verantwortung hat die Corporate Security von Unternehmen und Behörden?

Die Corporate Security hat in diesem Kontext eine besondere Rolle. Sie muss die fachlichen Erfordernisse eines effizienten und effektiven BCM und Krisenmanagements im Lichte aller Veränderungsaspekte ausbalancieren. Hierzu müssen die Krisenmanagement- und BCM-Verantwortlichen im übergreifenden Diskurs mit allen Ressorts verdeutlichen, dass „sich auf das Undenkbare vorbereiten“ zwar einerseits jede Kalkulation sprengt, aber andererseits auch die Resilienz und die Überlebenschancen maßgeblich erhöht.

Welche Voraussetzungen müssen erfüllt sein, um die Funktionsfähigkeit kritischer Prozesse und Kritischer Infrastrukturen aufrechtzuerhalten?

Ganz klar: Ein anschlussfähiges BCM. Aktuelle IT-Notfallpläne und eindeutig definierte Rollen und Zuständigkeiten im Krisenmanagement sind die Basis allen Handelns in einer Krise. Behörden und Unternehmen sollten auf Augenhöhe die Schnittstellen zwischen den jeweiligen Krisenmanagementsystemen definieren und auf Funktionsfähigkeit testen.

Wie kann das Zusammenspiel der Sicherheitsverantwortlichen von Unternehmen und Behörden in einem funktionierenden Sicherheitsnetzwerk etabliert werden? Wer sind die jeweiligen Ansprechpartner?

Der Aufbau eines Sicherheitsnetzwerkes in Deutschland kann mit Blick auf die komplexen und dynamischen Prozesse verschiedener Ebenen und deren gegenseitigen Abhängigkeiten meines Erachtens nur institutionalisiert funktionieren. Übergeordnete Handlungsempfehlungen oder Leitlinien für Unternehmen und Behörden aus dem Innenressort könnten den ersten Schritt darstellen.

Wie müssen die Rollen, Prozesse und Zuständigkeiten des Krisenmanagements definiert sein? Welche Fähigkeiten und Kompetenzen sind im Krisenteam erforderlich?

In Krisenstäben kommen Personen mit unterschiedlichen Funktionen und Kompetenzen zusammen. Damit ein reibungsloses Krisenmanagement zum Beispiel in einer IT-Krise möglich ist, muss insbesondere die Kommunikation zwischen allen Beteiligten funktionieren. Die Verantwortlichen für Informationstechnik kennen zwar die technischen Aspekte, jedoch nicht unbedingt die gesamtstrategische Sicht. Umgekehrt fehlt den Entscheidern oft das technische Verständnis, um Situationen und Lagen korrekt einschätzen zu können. Digitale Kompetenzen sind heute auf allen Ebenen der Führung elementar zum Verständnis von Risiken und Lösungen notwendig.

Hier können in Bezug auf ihre Fachkompetenz heterogene Teams eine Lösung sein. In diesen Teams werden Probleme aus unterschiedlichen Blickwinkeln gedacht und Lösungsstrategien entwickelt. Wichtig ist dabei, dass in diesen Teams auf Augenhöhe agiert wird, was vor allem für die Krisenstäbe gilt. Hoheitliche Entscheidungen, die vorbei an Expertenmeinungen und der Fachkompetenz der einzelnen Mitglieder eines Stabs getroffen werden, mögen zwar Entschlossenheit demonstrieren, helfen im Ernstfall aber oft nicht bei der Lösung des Problems.

Essenziell sind also die strategische Entscheidung für ein effektives und effizientes Krisenmanagement in Kombination mit BCM, der Aufbau eines übergreifenden institutionalisierten Sicherheitsnetzwerkes sowie die Verbesserung digitale Kompetenzen und Fähigkeiten. Auch ein Führungsstil mit reflektierter Haltung auf Ethik und Nachhaltigkeit ist ein weiterer Erfolgsfaktor.