Um die Resilienz, die Herstellung und Erhaltung von Widerstandsfähigkeit, eines Unternehmens zu definieren, muss man zunächst einen Blick auf die Wertschöpfung werfen.
Foto: twixx - Fotolia.com

Interviews

Resilience Management - von strategischer Bedeutung

PROTECTOR befragte Franziska Hain, Vorsitzende des Vorstands des Instituts für Business Continuity & Resilience Management (IBCRM) e.V. zum Thema Resilienz und zu den Zielen der Vereinsgründung.

Resilienz – ein Thema, das etwas schwer zu greifen und schwammig ist und auch erst seit Kurzem Einzug in die Sicherheitsbranche gehalten hat. Anpassungs- oder Widerstandsfähigkeit wofür oder wogegen? Nun hat sich vor knapp zwei Jahren das Institut für Business Continuity & Resilience Management (IBCRM) e.V. gegründet.

PROTECTOR: Wie definieren Sie den Begriff Resilienz? Wofür steht Resilience Management?

Franziska Hain: Damit steigen wir direkt in eine Herausforderung ein. Viele Unternehmen stehen vor der Frage, was unter dem Begriff Resilienz verstanden werden soll, während gleichzeitig die Google-Abfrage oder die pure Übersetzung des Begriffs nicht ausreichend weiterhelfen.

Es ist davon auszugehen, dass der Begriff Resilienz im unternehmerischen Kontext auch zukünftig keine allgemeingültige Definition erhalten wird. Stattdessen gilt es für jedes Unternehmen, individuell ein Verständnis festzulegen, in dem die notwendigen Disziplinen für die Herstellung und Erhaltung von Widerstandsfähigkeit definiert werden.

Mein Vorschlag für die Festlegung einer Terminologie ist, zunächst einen Blick auf die Wertschöpfung als Zielobjekt von Resilienz zu legen. Dafür sind zum einen kritische Abläufe zur Erreichung von Liefergegenständen von zum Beispiel Supportfunktionen zu trennen und innerhalb dieser die wesentlichen Aktivitäten konkret zu benennen. Außerdem müssen die unabdingbaren Ressourcen identifiziert werden. Genauso muss das interne und externe Potential analysiert werden, welches die Funktionsfähigkeit von Ressourcen negativ beeinflussen kann. Und schließlich sind die entsprechenden Absicherungsmaßnahmen festzulegen.

Wie sehen dann die weiteren Maßnahmen aus?

Im letzten Schritt kann nun eine Indikation darüber vorgenommen werden, welche Disziplinen genutzt werden müssen. Dies könnte ohne Anspruch auf Vollständigkeit zum Beispiel Risikomanagement, Supply Chain Management, Sustainability Management, Compliance Management, Informationssicherheit, Arbeitsschutz, Travel Security, Business Continuity Management und Krisenmanagement umfassen.

Abzugrenzen ist zudem die operationale Resilienz als ein wesentlicher Bestandteil der unternehmerischen Resilienz. Darunter verstehe ich das betriebliche Kontinuitätsmanagement – Business Continuity Management (BCM) – mit der Aufgabe, operativen Geschäftsunterbrechungen mit einer effizienten Wiederanlaufstrategie zu begegnen.

Gebräuchlich ist inzwischen auch der Terminus Cyber Resilience. Darunter sind der Umgang mit Bedrohungen und Schwachstellen sowie sämtliche Absicherungsmaßnahmen zu verstehen, die sich durch den digital vernetzten Raum ergeben beziehungsweise durch diesen gefordert werden. Dies geht meines Erachtens deutlich über das Anwendungsgebiet von IT-Security, sogar von Informationssicherheit hinaus und umfasst unter anderem auch Business Continuity Management, Forensik und Krisenmanagement. Sie sehen, der Begriff Cyber grenzt im Grunde nur den Geltungsbereich des Absicherungsobjektes ab.

Wo liegt aber der Unterschied zum reinen Risikomanagement? Da gibt es doch einige Überschneidungen.

Es sind zwei wesentliche Unterscheidungsmerkmale anzusprechen. Zum einen befasst sich die operationale Resilienz, also die Widerstandsfähigkeit von Geschäftsprozessen im Sinne des Business Continuity Management, hauptsächlich mit Störungen, die aus der Perspektive des operationalen Risikomanagement so gut wie nie eintreten können – also eine äußerst geringe Eintrittswahrscheinlichkeit haben, während ihr Auswirkungspotential deutlich über der jeweiligen Schadentoleranzgrenze des Unternehmens liegt.

Zum anderen ist es nicht das Ziel von Business Continuity Management, Schwachstellen im Hinblick auf Bedrohungspotentiale zu mildern oder zu beheben, sondern schlichtweg die Beeinträchtigung und gar den Ausfall einer kritischen Geschäftsaktivität als Voraussetzung anzunehmen. Aus dieser Perspektive heraus wird der Wiederherstellungsplan entwickelt, der bis zum Ereignisfall in der viel genannten Schublade verweilt. Kommt der dann wirksam zum Tragen, sollte er ökonomisch betrachtet ein Unternehmen befähigen, entstehenden Schaden auf dem Weg durch die operative Notsituation zurück in den Ursprungszustand wesentlich einzugrenzen.

Wo ist das Thema Resilienz im Unternehmen am besten angesiedelt?

Bezogen auf die operationale Resilienz misst eine große Anzahl an Unternehmen der Thematik noch zu wenig Bedeutung zu, indem BCM-Funktionen halbherzig besetzt und in Bereichen wie Facility Management oder Arbeitsschutz nicht ausreichend zum Tragen kommen. Häufig historisch aus dem IT Desaster Recovery entstanden, ist eine IT Service Continuity Management (ITSCM) Funktion innerhalb der IT vorzufinden. Zunächst ist dies auch richtig. Gleichzeitig ist hier darauf hinzuweisen, dass ITSCM zwar notwendig für die operationale Absicherung des IT-Betriebs ist, jedoch diese Aufgabe nicht für den Geschäftsbetrieb übernehmen kann.

Hier sind die Geschäftsbereiche, in denen die Wertschöpfung erzielt wird, selbst als Bedarfsträger der operationalen Resilienz in der Pflicht. Diese benötigen eine unterstützende und zentrale Stabsfunktion BCM, um ihrer Verantwortung gerecht zu werden und ihre Geschäftsaktivitäten hinreichend abzusichern. Die IT ist dabei eine wichtige Ressource und muss Kritikalitätsvorgaben sowie Wiederanlaufbedingungen von den Geschäftsbereichen vorgegeben bekommen – nicht andersherum.

Daraus ist zu schließen, dass die Ansiedlung des Business Continuity Managements zentral und mit entsprechender Vorgabe- und Kontrollkompetenz ausgestattet zum Beispiel in der Konzernsicherheit, dem Risikomanagement oder in direkter Berichtslinie zur Geschäftsleitung von Vorteil ist, während gleichzeitig dezentrale BCM-Funktionen die Umsetzungskompetenz in den Geschäftsbereichen übernehmen.

Was sollte ein Resilience Manager von Hause aus mit sich bringen? Wie sollte er ausgebildet sein?

Ich möchte hier von der Rolle des Chief Resilience Officers (CRO) sprechen. Die Integration, Automation und insbesondere die Digitalisierung von individuellen, dezentralen Systemen, Prozessen und Ressourcen erfordert ein an die Belange des jeweiligen Unternehmens angepasstes Profil und gleichzeitig die Fähigkeit, ein holistisches Verständnis über die Abläufe und all ihren Abhängigkeiten zu haben. Dies ist zukünftig eine wesentliche Voraussetzung, um der Komplexität im Rahmen der Kontinuitätsplanung maßgeschneidert gerecht werden zu können.

Im Rahmen der Erarbeitung unseres Thesenpapiers 2018 sind wir gemeinsam mit einer Expertenrunde aus unterschiedlichen Branchen zu dem Entschluss gekommen, dass „die Unternehmensführung nicht nur auf plötzlich eintretende Ereignisse reaktionsfähig sein muss, sondern ebenso sich über einen längeren Zeitraum unmerklich etablierende Ereignisse erkennen können muss.“ Dafür benötigt die Unternehmensführung seinen Chief Resilience Officer.

Wir haben im letzten Jahr jedoch auch darüber diskutiert, ob wir von einer Kompetenzverschiebung bei der IT-Leitung zu rechnen haben, und das in unserem Thesenpapier so formuliert. „Die Rollen CEO, CIO und CRO werden hinsichtlich ihrer Verantwortung entweder neue Abgrenzungen benötigen oder miteinander verschmelzen und einen starken Fokus auf das strategische IT-Management und unter anderem die Wertschöpfung durch die Nutzung von Daten legen müssen.“

In einem Punkt waren sich alle Experten schnell einig: „Das Bildungssystem muss Fachkräfte mit einem systematischen Gesamtüberblick hervorbringen, die befähigt sind, in einem dynamischen und multikomplexen Umfeld zu agieren. Mit dem Einsatz dieser Fachkräfte wird die Business Resilience von Unternehmen erhöht.“

Aber beim derzeitigen allgegenwärtigen Fachkräftemangel: Wo sollen denn die Resilience Manager der Zukunft herkommen? Denken Sie da an eine eigenständige Ausbildung?

Auch diese Frage hat uns von Anbeginn beschäftigt. Wir haben inzwischen einen Modulkatalog für Business Continuity & Resilience Management entwickelt. Damit haben wir uns auf die Suche nach Kooperationspartner gemacht, um ein entsprechendes Masterprogramm auf die Beine zu stellen.

Eine Welt im Umbruch – so lassen sich die aktuellen Trends wie Digitalisierung, IoT oder KI, aber auch geopolitische Veränderungen und Globalisierung zusammenfassen. Welche Auswirkungen hat das für das Resilience Management?

Ohne Frage erweitert sich im Zuge der digitalen Transformation sowie der genannten Trends das Risikospektrum von Business Resilienz immens. Es gilt, neue Bedrohungsfaktoren ausfindig zu machen und das Portfolio von Absicherungsmöglichkeiten anzupassen. Wichtig ist dabei, dass dies entlang und eng verzahnt mit der Innovation geschieht. Der neu erlangte Nutzen zum Beispiel durch Digitalisierung muss dabei nicht unbedingt gegen ein erhöhtes digitales Angriffspotential abgewogen werden, sondern dieses entlang der Wertschöpfungskette eng verzahnt einkalkulieren, bewerten und behandeln.

Mit welchem Ziel haben Sie nun vor knapp zwei Jahren das IBCRM gegründet?

Zunächst haben wir festgestellt, dass entsprechende Fachvertreter in den Unternehmen auf der Suche nach Netzwerken sind. Zum anderen sind uns die vorhandenen Standards und Guidelines wie die ISO22301, BSI100-4 Notfallmanagement und Good Practice Guidelines des BCI nicht ausreichend praxisorientiert und an vielen Stellen wenig verständlich.

Damit war die Idee geboren, das Institut auf die Beine zu stellen. Wir verschreiben uns dem Ziel, Austausch, Qualifizierung und Hilfestellung in der Umsetzung zu schaffen. Im Übrigen werden wir auf unserer nächsten Fachkonferenz am 10. & 11. April in Frankfurt den Teil I unseres Implementierungsleitfadens zur Business Impact Analyse vorstellen und kostenfrei an alle Teilnehmer verteilen.

Wie sieht Ihre noch junge „Zwischenbilanz“ aus? Stoßen Sie mit dem Institut auf reges Interesse?

Bereits im vergangenen Jahr waren wir überrascht von dem hohen Interesse an unserer ersten Fachkonferenz und haben aufgrund der positiven Rückmeldungen für 2019 entschieden, unser Programm auf zwei Tage auszudehnen. Es gibt zudem viele Ideen unter den Mitgliedern, Themen voranzubringen. Dabei kann es uns manchmal nicht schnell genug gehen, während wir gleichzeitig realistisch bleiben und mit den uns zur Verfügung stehenden Kapazitäten planen müssen. Alle Mitglieder gehen hauptberuflich einer Tätigkeit nach oder (und) studieren. Annabelle Schott-Lung