Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Kontinuitätsmanagement: Betriebliche Katastrophenvorsorge – Teil 4

Betriebswirtschaftliche Kalküle im Kontinuitätsmanagement


Seinem generischen Anspruch entsprechend soll das BCM auf alle Arten von Organisationen anwendbar sein – sowohl auf staatliche Bürokratien als auch auf kapitalistische Betriebe. Gleichwohl deutet schon die Betonung des »Business« im Titel der Sicherheitstechnik an, dass BCM vor allem für kapitalistische Betriebe gedacht ist. Entsprechend stellen betriebswirtschaftliche Kalküle einen zentralen Baustein im Rationalitätsgefüge des BCM dar. So erheischt die Business Impact-Analyse ein betriebswirtschaftli-ches Wissen über Prozesse und Probleme von Unternehmen und eben nicht nur technische Expertise über deren technische Abläufe und Installa-tionen. Einem meiner Interviewpartner war es sehr wichtig, die Überlegenheit seiner betriebswirtschaftlichen Expertise gegenüber einem rein technischen know-how darzulegen.

»Ich selber bin Wirtschaftswissenschaftler, auch mit Finanzdienstleistungs-Hintergrund, was wichtig ist, dergestalt, so ein betriebswirtschaftliches Know-how zu haben, weil die Business Impact Analyse eines der Kernelemente des BCM ist. Das […] reine […] IT-Know-how, das greift da an der Stelle zu kurz, weil man Auswirkungen auf Bilanz […] ermessen können muss.« (Interview 4)

Neben der zeitlichen Logik hat die BIA eine eminent finanzielle Schlagseite, denn Zeit ist Geld. »Bei einer BIA wird im Gegensatz zu einer Schutzbedarfsfeststellung nicht nur bewertet, welche Auswirkungen ein Ausfall eines Prozesses für die Institution hat, sondern auch, wie sich der Schaden zeitlich entwickelt.« (BSI 2008). Zwar soll vermieden werden, ausschließlich finanzielle Schäden bei der Schadensbemessung in Betracht zu ziehen (BSI 2008). Der ISO-Standard zur BIA unterscheidet gar zwischen insgesamt fünf unterschiedlichen Schadensgruppen bzw. »impact categories: financial, reputational, legal and regulatory, contractual, business objectives« (ISO 2015). Klar ist aber auch, dass jede »Prozesskette« (BSI 2008) immer zugleich eine »Wertkette« (BSI 2008) ist, so dass beständig zeitliche und monetäre Größen ineinander übersetzt werden müssen, um den »impact« einer Geschäftsunterbrechung ermitteln zu können.

Geschäftsunterbrechungen sind kostspielig. Kostspielig – und das ist die andere Seite der Medaille – sind aber auch Sicherheits- bzw. Kontinuitätsmaßnahmen. Sicherheitsmaßnahmen binden Personen und Ressourcen, die nicht produktiv eingesetzt werden können. Die umfassenden Kontinuitätsmaßnahmen für die fortgesetzte »Funktionstüchtigkeit« von Regierungen während des Kalten Krieges waren unter anderem nur deshalb möglich, weil sie aufgrund ihrer Geheimhaltung nie einen Haushaltsausschuss oder auch nur irgendeine ernsthafte Budgetüberprüfung passieren mussten. Ein solch verschwenderischer Umgang mit Ressourcen – der dysfunktio-nale und nie genutzte bundesrepublikanische Regierungsbunker verschlang über drei Milliarden D-Mark – wäre für ein privatwirtschaftliches Unternehmen wie auch für einen fiskalisch begrenzt handelnden, »schlanken« Staat wohl undenkbar.

Zur Begrenzung der Kosten für BCM wird in Standards und von Akteuren des Kontinuitätsmanagements stets die Notwendigkeit von Kosten-Nutzen-Kalkulationen betont. Hohe Kosten für Kontinuitätsmaßnahmen entstehen vor allem durch Vorhaltung kompletter redundanter Infrastrukturen, die sofort in Betrieb genommen werden können – man spricht von sogenannten »hot-Lösungen« (BSI 2008). »Cold-Lösungen« (BSI 2008) kosten weniger, haben aber auch einen geringen Nutzen und lassen eine längere Wiederanlaufzeit der Geschäftsprozesse erwarten. Der Nutzen der unterschiedlichen Lösungen verringert sich also – so wird kalkuliert – mit sinkenden Kosten für die Sicherheitsmaßnahmen. Deshalb soll der »sweet spot« getroffen werden, an dem Kosten (für Wiederanlaufmaßnahmen) und Nutzen (die Geschwindigkeit des Wiederanlaufs) in einem idealen Verhältnis miteinander stehen (BSI 2008).

Diese Kalküle wirken auf den ersten Blick überzeugend. Continuity Manager stehen unter dem ständigen Zwang, nicht nur die Notwendigkeit, sondern auch die ökonomischen Rationalität von Kontinuitätsmaßnahmen deutlich zu machen. Insofern ist die Kosten-Nutzen-Rechnung keineswegs wirkungslos: sie leitet organisationsinterne Entscheidungen an und schlägt innerhalb der Bilanzierungen zu Buche. Die Frage ist allerdings, wie effektiv sie in der Lage ist, den tatsächlichen Nutzen faktisch eingetretener Schadenslagen zu kalkulieren. Schließlich ist das BCM einer generischen Logik verpflichtet, die eben nicht mit konkreten Szenarien hantiert, sondern für beliebige Geschäftsunterbrechungen Vorsorge treffen können soll. Aber unterscheiden sich die möglichen Fälle – Pandemie und Stromausfall, Terroranschlag und Computervirus etc. – nicht so massiv voneinander, dass es unmöglich ist, Schadenshöhen im Vorhinein angemessen zu berechnen? Und wie hilfreich sind Maßnahmen zur Etablierung redundanter Infrastrukturen, wenn es nicht die Infrastrukturen sind, die ausfallen, sondern die Belegschaft? Anders formuliert: Was bringt ein redundantes »hot environment«, wenn alle Mitarbeiter aufgrund einer Grippe-Pandemie mit Fieber im Bett liegen? Wie lassen sich Wiederanlaufzeiten berechnen, wenn doch mit komplexen Schadensverläufen gerechnet werden muss, bei dem sich unterschiedliche Ereignisse verketten und kaskadenartig fortsetzen? Und: sprengt nicht die Tatsache, dass jede Organisation durch outsourcing und Zulieferbetriebe in ein komplexes Netz mit anderen Organisationen eingewoben ist, jedes framing, das für eine Kosten-Nutzen-Kalkulation unerlässlich ist? In den gängigen Standards zum BCM finden sich nur zwischen den Zeilen Reaktionen auf diese Fragen. Die Rede ist dann von »äußeren Faktoren und innerbetrieblichen Abhängigkeiten« (BSI 2008), auf die zu achten sei. Es wird empfohlen, »pragmatische Ansätze« (BSI 2008) bei der Kosten-Nutzen-Analyse zu verfolgen – eine verklausulierte Formulierung dafür, nicht zu viele Komplexitäten ins Kalkül einzubeziehen. Wenn man Akteure des BCM danach fragt, wie das »Undenkbare« nicht nur gedacht, sondern auch noch berechnet werden könne, wird in den Antworten das Register gewechselt und die streng öko-nomische Rationalität der Kostenkontrolle aufgegeben.

»Ja, ich mache die Analogie immer gerne vom BCM zu einer Versicherung. […] Also niemand, der jetzt sein Auto versichert, macht ja eine Kosten-Nutzen-Analyse. […] Er macht eine Haftpflichtversicherung, weil er es machen muss. Wir machen in den Kritischen Infrastrukturen BCM, weil wir es tun müssen […] Und dann gibt es Kollegen, die machen eine Vollkaskoversicherung, […] weil sie sagen,
wenn ich denn einen Schaden erleide, dann kann ich mir kein neues Auto leisten. […] Genau das gleiche ist auch im BCM. Also den Return on Invest fürs BCM zu erstellen, ist schier gar unmöglich, weil ich ja nicht sagen kann, alle fünf Jahre habe ich einen BCM-Fall oder alle zehn Jahre, und dann kann ich so viel investieren.« (Interview 4)

In diesem Zitat lassen sich zwei unterschiedliche Rationalitäten finden, die es erlauben, die strenge Beachtung von Kosten-Nutzen-Kalkülen zu umgehen. Zunächst wird eine juridische Rationalität aufgerufen, die rechtliche Regelungen in den Vordergrund stellt, die insbesondere Betreiber Kritischer Infrastrukturen zu BCM-Maßnahmen verpflichtet. BCM wäre dann weniger eine Frage ökonomisch-rationalen Handelns, sondern eine Frage betrieblicher compliance. BCM sichert gegen die »legal and regulatory impacts« (ISO 2015) einer Geschäftsunterbrechung ab. Daneben wird eine genuine Risikorationalität stark gemacht, die sich nicht vollständig in eine ökonomische Rationalität übersetzen lässt. Sicherheit ist ein Gut, für das zwar Geld ausgegeben werden muss – »Sicherheit kostet« (Interview 5) –, das aber nicht in gleicher Münze zurückgezahlt werden kann. Wie eine Versicherung versprechen auch Business Continuity-Maßnahmen Sicherheit im Ernstfall, ohne dass sich eine entsprechende Investition zwangsläufig rechnen muss. Man verhält sich dann risikorational, wenn man sich gegen schwerwiegende und intolerable Schäden absichert, und zwar insbesondere Schäden jenseits der »Katastrophenschwelle«. Im Business Continuity Management ist die Katastrophenschwelle der Punkt, an dem das Unternehmen dauerhaft nicht mehr operationsfähig ist: die »Bestandsgefährdungslinie« (BSI 2008. Die Überschreitung der Katastrophenschwelle muss also »um jeden Preis« vermieden werden.

»Es gibt ja auch viele Studien, die belegen, wer gar kein BCM hat und nicht innerhalb von einer Woche in der Lage ist, sein Business wieder aufzunehmen, die Firma ist nach anderthalb Wochen tot. Dann brauchen wir nicht mehr über Geld reden.« (Interview 6)

Dieses Changieren zwischen drei unterschiedlichen Rationalitäten – ökonomisches Kalkül (Kosten-Nutzen-Rechnung bzw. return on invest), juridische Rationalität (compliance) und Risikorationalität (Absicherung gegen intolerable Schäden) – ist mehr als eine bloße Inkonsistenz oder Widersprüchlichkeit. Es zeigt sich nämlich, dass dem Problem der Ungewissheit durch unbestimmte Gefährdungen nur durch ein ständiges Verschieben der Problemsubstanz durch unterschiedliche Modi der Problematisierung begegnet werden kann. Mögliche und tatsächlich eingetretene Krisen sind aber nicht nur Kos-tenfaktoren, sondern im Grenzfall auch Profitmöglichkeiten, die es zu erkennen und zu ergreifen gilt. Aus der Sicht des Unternehmensberaters muss man auch die »Chancen« von Krisen- und Notfallsituationen sehen. »Man müsste mehr Bewusstsein schaffen, was eine Krise tatsächlich heißt. Und welche Chancen die auch birgt. Weil, so hart es nun mal ist, jede Krise hat eine Chance. Ich nenne mal Versicherung. […] Wenn die Krise ist – wie wird denn die Bevölkerung reagieren? […] Die meisten – gerade bei einer Pandemie – werden wahrscheinlich jetzt gerne eine Versicherung haben wollen für Zusatzkrankenversicherung oder sonstiges. Dann muss ich klären: will ich das anbieten? […] Aber man müsste sich das heute überlegen, denn es könnte ja sein, da werden jetzt […]
100.000 die Versicherung abschließen, und nur 1.000 wollen von mir Geld. Und wenn ich das mal hochrechne, das ist ein Geschäftsmodell, da mache ich sogar noch Gewinn […] Dann muss ich darauf vorbereitet sein […] Ich muss ein Modell haben, das im Prinzip per Knopfdruck geht … . Also das sind so Dinge, […] die werden noch nicht überall […] ganzheitlich betrachtet.« (Interview 4)

Die »ganzheitliche« Betrachtung überschreitet hier das Defizitmodell der Krise in Richtung einer positiven Konzeption der Krise – ein durchaus charakteristischer Vorgang in der aktuellen Geschäftswelt. Schon in den 1990er Jahren hatte Beck dazu bemerkt: »Risks are no longer the dark site of opportunities, they are also market opportunities«. Diese Umwertung der Krise von einem Schadensfall zu einer Gelegenheit ist der Punkt der Sicherheitskultur des BCM, an dem sich vorbereitende Planung mit einem Ethos des »embracing risk« trifft, bei dem Risiken nicht per se abgewehrt werden, sondern immer auch als Chance begriffen werden sollen. Eine Chance liegt allerdings nicht nur darin, dass Krisen neue Geschäftsmöglichkeiten kreieren. Schon der analytische Blick auf das Unternehmen aus der Perspektive der BIA soll Hinweise geben, wie die »efficiency of the organization« (ISO 2015) erhöht werden kann. Die BIA blickt schließlich gleichsam vom Standpunkt der Unterbrechung aus auf das Unternehmen und ermöglicht so ein aufschlussreiches Verständnis organisationaler Abläufe, das es insbesondere erlauben soll, Interdependenzen und Zeitimperative stärker zu gewichten.

»The overview of the operation of an organization that emerges from the BIA process may enable participants in the process to identify changes that can improve its efficiency. These changes may not have been apparent until the organization explores its web of interdependencies. A better understanding of the time imperatives of product and service delivery could improve scheduling and prioritization when resources are temporarily limited. Knowing the time imperatives of various parts of a manufacturing process could improve the optimization of stocks of raw materials or spare parts.« (ISO 2015) Schon die Antizipation der Krise soll also Lerneffekte ermöglichen und eine günstige »evolutionäre« Fortentwicklung des Unternehmens anreizen, die im besten Fall sowohl dessen Resilienz als auch deren Effizienz steigert. Während also auf dem Finanzmarkt das Denken der Resilienz in einen Gegensatz zur Effizienzorientierung ökonomischer Theorien gebracht wird, finden sich im BCM zumindest Bemühungen um eine Versöhnung beider Perspektiven.

Autopoiesis jenseits gewohnter (Infra)Strukturen

Beobachtet man das Krisenmanagement mithilfe von Niklas Luhmanns Unterscheidung von Struktur und Autopoiesis, wird sichtbar, wie sich in Krisenlagen eine Autopoiesis jenseits gewohnter Strukturen entfaltet. Autopoiesis ist für Luhmann das fortlaufende Aneinander-Anschließen zeitlicher Systemelemente (für soziale Systeme Kommunikationen). Strukturen sind ebenso verzeitlicht, insofern sie als Erwartungsstrukturen verstanden werden. Strukturen beziehen sich auf eine zukünftige Entwicklung, bilden sich zumeist durch vergangene Erfahrung und sind zugleich in der Gegenwart präsent, weil sie hier erwartet und kommuniziert werden müssen. Die Aufgabe von Strukturen ist es, über feste Erwartungsstrukturen das sinnhaftkommunikative Anschlussgeschehen der Gesellschaft zu erleichtern. Sie fungieren gleichsam als Schmiermittel für soziale Operationen. Zugleich wird dadurch das System geschützt. Schließlich würde es »aufhören […] zu existieren, wenn es die momenthaften Elemente, aus denen es besteht, nicht mit Anschlussfähigkeit, also mit Sinn, ausstatten und so reproduzieren würde.«

Im Katastrophenfall brechen die gewöhnlichen Erwartungsstrukturen zusammen. Routinen werden unterbrochen und führen zur Orientierungslosigkeit. Im Angesicht der Durchbrechung des Erwarteten müssen Organisationen Formen finden, wie sie sich mit dem Unerwarteten so arrangieren können, dass sie ihre fundamentalen Operationen, ihre Autopoiesis also, fortsetzen können. Denn glaubt man den Beschwörungen des BCM, würden auch die vitalen Systeme aufhören zu existieren, wenn ihre downtime zu lange dauert. Auch hier findet sich ein radikal verzeitlichtes Verständnis der Autopoiesis als kontinuierlicher Geschäftsbetrieb. Und wir haben bereits gesehen, wie Organisationen durch BCM tatsächlich alternative Strukturen etablieren, die ihnen die Erwartung des Unerwarteten und somit eine Krisenroutine ermöglichen sollen: Szenarien, Übungen und Notfallpläne etablieren vorwegnehmend alternative Erwartungswerte, also Strukturen, auf die im Notfall zurückgegriffen werden kann.

Solche Strukturen, die eine »sekundäre Normalität« in Reaktion auf die Unterbrechung der »Normalform« etablieren, hat Luhmann mit seiner Theorie der sozialen Immunisierung theoretisiert. Auf temporär auftretende Störungen oder Unterbrechungen des Systems reagiert ein Immunsystem, das ein Weiteroperieren trotz Störungen und Erwartungsirritationen ermöglicht. »Das Immunsystem schützt nicht die Struktur, es schützt die Autopoiesis, die geschlossene Selbstreproduktion des Systems.« Dies kann das Immunsystem leisten, weil es alternative semantische Ressourcen mobilisiert, die das System weiter mit Sinn ausstatten und einen vollständigen »Sinnzusammenbruch«, der zugleich einem Systemzusammenbruch gleichkäme, verhindern. Wie im generischen BCM, bei dem Vorbereitung nicht für ganz bestimmte, sondern beliebige Unterbrechungsereignisse getroffen werden soll, gilt dabei: »Das erfordert hohe Mobilität, ständige Einsatzbereitschaft, okkasionelle Aktivierbarkeit, universelle Verwendbarkeit«.

Was Luhmann allerdings nicht in Betracht zieht, sind die materiellen Installationen, die Voraussetzung, Träger und Operatoren der Immunisierung sind, die das Weitermachen ermöglichen. Nicht nur Erwartungen brechen durch Notfallereignisse zusammen, sondern auch Gebäude, Datenverbindungen, die Stromversorgung etc. Nicht nur die Strukturen (Er-wartungen für kommunikative Operationen), sondern auch die Infrastrukturen (soziotechnische Netzwerke für materielle Operationen) werden durch das Ereignis beschädigt. Alternative Strukturen müssen daher mehr sein als semantische Ressourcen, die Orientierung in einer plötzlichen, unerwarteten Situation geben. Es muss auch alternative, redundante Infrastrukturen geben, die das materielle und soziotechnische Weiteroperieren gewährleisten und so die Resilienz der Organisation erhöhen. Materialität spielt aber nicht nur eine entscheidende Rolle, wenn es um Ausweichstandorte, Datencenter, Notstromaggregate etc. geht, also um alternative Infrastrukturen im engeren Sinne. Auch bei der Batterie an Vorsorgemaßnahmen, die genau darauf zielen, alternative Erwartungsstrukturen für den Ereignisfall verfügbar zu halten, gilt: materiality matters. Alternative Erwartungsstrukturen werden im BCM durch eine Reihe von Medien erzeugt und vorgehalten: Notfallpläne und Handbücher (BSI 2008), Evakuierungs- und Fluchtpläne, »Checklisten« (BSI 2008), flow-charts, »Datenflussdiagramme« (BSI 2008), standardisierte […] Ereignistagebücher oder Meldeprotokolle« (BSI 2008) und »Software-Tools« (BSI 2008). All diese Medien fungieren im Krisenfall als Entscheidungsalgorithmen, die eine abseits der Routine liegende Erwartung strukturieren sollen. Dabei müssen diese Protokolle vor allem dem Zeitdruck einer Notfallsituation standhalten, in der »schnelle Entscheidungshandlungen erforderlich sind« (Interview 6). Sie müssen daher übersichtlich, klar strukturiert und eindeutig sein. Flow-charts und Entscheidungsbaumdiagramme sind eine immer wieder eingesetzte Medialisierungsform für Notfallprotokolle. Sie verschalten alternative Szenarien und Entscheidungsoptionen miteinander und sollen es so ermöglichen, klare und der Situation angepasste Handlungsoptionen aufzuzeigen. Hier bestehen Ähnlichkeiten zur Beschilderung für Fluchtwege und Notausgänge, die ebenfalls »Sinn« in einer Notsituation ermöglichen sollen, indem sie klare Richtungen aufzeigen. Die Materialität dieser Medien ist entscheidend. Sie müssen nicht nur eine materielle Grundlage haben, um kommunizierbar zu sein (verschriftlicht, graphisch dargestellt und »zu Papier gebracht«), auch die Art ihrer Materialität und Medialität ist für ihre Handhabbarkeit und Funktionsfähigkeit im Ereignisfall entscheidend. Sie müssen nicht nur dem Zeitdruck des Notfalls standhalten können, sondern auch den adversen physischen Bedingungen der Krisensituation.

»Für das Notfallhandbuch und alle weiteren für die Notfallbewältigung benötigten Unterlagen empfiehlt es sich, diese als Dokumente in Papierform oder/und elektronisch in einem einfachen und gängigen Format […] schnell griffbereit zu halten. Die Lösung muss die Verfügbarkeit im Notfall garantieren, sowohl bei Stromausfall wie auch bei Brandschäden und sonstigen Risiken, die die Dokumente unbrauchbar machen, Daten zerstören oder den Zugriff darauf verhindern können. Daher empfiehlt es sich, Kopien an einem Ausweichort aufzubewahren. […] Es gilt, in Stresssituationen dem Nutzer zusätzliche Sicherheit zu geben.« (BSI 2008) Die adäquate Materialität und Darstellungsform der Notfalldokumente verspricht einen Mehrwert, der über den semantischen Inhalt hinausgeht: »zusätzliche Sicherheit«. Die Materialität hat zwar keine unmittelbare Auswirkung auf die Semantik der Dokumente, wohl aber auf ihren praktischen Nutzen. Erst die Kombination von kommuniziertem Sinn, praktischer Handhabbarkeit und materieller Widerstandsfähigkeit der Medien des Notfalls verbürgt deren »sichernde« Funktion.

Wenn schon bei der Kommunikation alternativer Erwartungsstrukturen Materialität und Lokalität entscheidend sind, dann gilt dies umso mehr für alternative Infrastrukturen. Über die Notwendigkeit zur Schaffung redundanter Infrastrukturen herrscht im Allgemeinen große Einigkeit im BCM, auch wenn sich die Art der Lösungen durchaus unterscheidet. So gibt es Versuche, Redundanzen schon an den normalen Geschäftsorten zu implementieren. Dazu gehören etwa Notstromaggregate oder die Lagerung von bestimmten, für den Geschäftsprozess entscheidenden technischen Komponenten. Datenbackup ist ebenso ein Standardverfahren, das zumeist über externe Server (clouds) gewährleistet wird. Cloud-Lösungen unterstützen auch die Implementierung einer »verteilten Geschäftstätigkeit« (BSI 2008). Dadurch soll es idealerweise möglich sein, den Ausfall bestimmter Standorte oder einzelner Elemente an diesen Standorten kompensieren zu können. Auch Kontinuitätsmanagement beinhaltet also Techniken aus dem Repertoire der distributed preparedness.

Vorsorge muss aber auch für Fälle getroffen werden, die einen Standort unbrauchbar machen. Dann schlägt die Stunde der Ausweichstandorte. Hier kann auf drei unterschiedliche Modelle zurückgegriffen werden. Möglich ist eine sogenannte »remote-Lösung« (BSI 2008, bei der die Mitarbeiter_innen ihre Arbeitstätigkeiten von zu Hause aus erledigen. Dieser Lösung sind Grenzen gesetzt, da der Geschäftsbetrieb vieler Unternehmen nur weiterlaufen kann, wenn ihre Mitarbeiter_innen kooperieren können. Räumliche Nähe und eine bestimmte Raumaufteilung sind dafür häufig eine notwendige Voraussetzung. Untersuchungen zur Arbeitsorganisation in modernen Unternehmen wie der Finanzbranche unterstreichen die Bedeutung dieser räumlichen Nähe von Mitarbeiter_innen. Flurgespräche, gemeinsame Essen, das Mithören von Gesprächen am Nachbararbeitsplatz, ganz zu schweigen von gezielter Koordination und Kooperation in Form von Besprechungen sind wesentliche Voraussetzungen einer erfolgreichen Arbeitsorganisation. Die sozialräumliche Dimension »sozialer Netzwerke« kann nur schwerlich und gewiss nicht ohne Reibungsverluste durch digital vernetzte Arbeitsplätze ersetzt werden. Hier liegt – wie noch deutlicher zu zeigen sein wird – eine Grenze der vermeintlichen Ortslosigkeit des gegenwärtigen Kapitalismus. Da es also nicht vollkommen egal ist, wie und wo die individuelle Arbeit geleistet wird, empfiehlt sich die Einrichtung von »relocation sites« beziehungsweise »Ausweich-Lokationen« (BSI 2008). Dabei wird – wie bereits erwähnt – zwischen sogenannten hot, cold und warm sites unterschieden. Die »Temperatur« eines Ausweichstandorts gibt an, wie komplett der Ausweichsitz mit IT-Infrastruktur ausgestattet ist und wie schnell der Geschäftsbetrieb hier aufgenommen werden kann. Die Ausweicharbeitsplätze können entweder vom Unternehmen selbst betrieben oder durch externe Dienstleister bereitgestellt werden. Dabei ist der Rückgriff auf externe Dienstleister meist günstiger. Die auf IT-Dienstleistungen spezialisierte Firma Sungard etwa betreibt unzählige Ausweichstandorte in den USA, die sie von ihrem Kontrollzentrum in Colorado aus »fernsteuern« kann. Diese Ausweichsitze können von unterschiedlichen Firmen genutzt werden. Im Bedarfsfall bespielt dann Sungard die Computer ihrer generischen Büroräume mit den Daten der entsprechenden Firma. Der Nachteil dieser Lösung besteht allerdings darin, dass die Ausweichstandorte bei gesteigertem Bedarf – etwa durch ein großflächiges Katastrophenereignis – von zu vielen Unternehmen gleichzeitig nachgefragt werden könnten. In diesem Fall können nur die Unternehmen, die besonders hohe Prämien an den externen Dienstleister gezahlt haben, mit einem Ausweichsitz in ihrer Nähe ausgestattet werden, während alle andere Unternehmen unter Umständen auf sehr weit entfernte Standorte verwiesen werden.

Die Krux der richtigen Dislozierung der Ausweichstandorte liegt darin, dass diese so weit vom eigentlichen Geschäftsstandort entfernt sein müssen, dass das Schadensereignis sie nicht erreicht. In Empfehlungen der Europäischen Zentralbank für gutes BCM von Banken heißt es entsprechend: »The traditional approach tends to limit geographic separation to reduce the relocation time of key staff to the secondary site. However, when both primary and secondary sites depend on the same labour pool or infrastructure components […], major events could render both sites inaccessible or inoperable.« (ECB 2006) Räumliche Erwägungen spielen damit aus zweierlei Gründen eine entscheidende Rolle: zum einen sollte das räumliche Arrangement des Ausweichstandorts die Art von Interaktion ermöglichen, die auch im normalen Firmensitz eine produktive Arbeitsorganisation ermöglicht. Zum anderen ist die Lage des Ausweichsitzes ein entscheidender Faktor, der die Wiederanlaufzeit des Geschäftsprozesses nach einer Unterbrechung bestimmt. Spätestens hier zeigt sich, inwiefern der Raum für die temporalisierte Kontinuitätslogik von Bedeutung ist. Distanz übersetzt sich in die Zeit des Wiederanlaufs.

Zusammen sollen die alternativen Strukturen die Resilienz der Organisation erhöhen: die alternativen Erwartungsstrukturen von Notfallprotokollen und Entscheidungsalgorithmen stärken die operative Resilienz, indem sie eine schnelle Reaktion des Krisenmanagements erlauben, die Redundanzen und Systemdesigns alternativer Infrastrukturen hindern eine Unterbrechung an ihrer schnellen Ausbreitung bzw. federn deren Folgen durch vorhandene Puffer ab. Selbst die besten Alternativstrukturen nutzen jedoch nichts, wenn es keine Mitarbeiter_innen gibt, die gemeinsam mit diesen materiellen und medialen Vorrichtungen den Geschäftsprozess fortsetzen können. Darauf soll die Übung antworten, die beide Strukturelemente mit Personal, Technik und know-how zusammenbringen soll. Die Übung dient einerseits zur Überprüfung der technischen Komponenten und der Angemessenheit der Notfallpläne. Andererseits soll sie aber auch die notwendigen Handlungsabläufe im Notfall und an den Ausweichstandorten trainieren. »Also Übungen sind zentral, weil Übungen einmal der Überprüfung der Funktionsfähigkeit der Pläne dienen und weil sie zum Training dienen. […] Deswegen sind Übungen zentral, ist Key.« (Interview

4) Es geht nicht nur um die Etablierung alternativer semantischer Erwartungsstrukturen und soziotechnischer Infrastrukturen, sondern zudem auch um habituelle Verhaltensstrukturen. Idealerweise können Notfallroutinen in Übungen erlernt und verkörpert werden, um dann im Notfall abrufbereit zu sein. Dieser Idealfall sollte allerdings ebenso wenig wie ein reibungsloses Funktionieren der alternativen Infrastrukturen und der Notfallpläne erwartet werden. Vielmehr kommt es im Notfall nicht nur zur Abweichung von der Normalform, sondern auch noch zur Abweichung von der »sekundären Normalität«, die durch redundante Infrastrukturen, Handlungsprotokolle und Notfallroutinen etabliert wurde. Nur im absoluten Ausnahmefall verläuft eine Krise wie im Drehbuch einer Notfallübung und nur selten wird im Krisenfall dem Skript eines Notfallplans gefolgt. Ebenso häufig versagen die »Inskriptionen« der Notfallartefakte und der redundanten Infrastrukturen, wenn sie nicht sogar von vornherein missachtet werden. Die Erwartung des Unerwarteten ist und bleibt ein paradoxes Unterfangen und kann deshalb nicht ohne Friktionen bewältigt werden. Es wäre allerdings billig, den Kontinuitätsmanager_innen diese Paradoxie nachzuweisen, ohne anzuerkennen, dass die Grenzen der Planbarkeit des Ungeplanten durchaus reflektiert und problematisiert werden. »Man kann einen Teil beplanen. Und dazu gibt es dann ja noch ergänzend das Krisenmanagement, das das abfedert, was nicht konkret beplant ist.« (Interview 4) Die Möglichkeit zum Ausrufen einer Krise, bei der ein Krisenmanagement aktiv wird, das flexibel auf die sich entwickelnde Notfallsituation reagieren soll, ist gleichsam auch ein Immunmechanismus gegen die autoimmunen Effekte des Notfallplans und vorgegebener Entscheidungsalgorithmen.



Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.
Andreas Folkers; Das Sicherheitsdispositiv der Resilienz; Campus Verlag, Frankfurt/New York; 2018
Creative Commons https://creativecommons.org/licenses/by-nd/4.0/legalcode.de


© Swiss Infosec AG 2024