Geschäftsresilienz (Business Resilience)

Was ist Geschäftsresilienz (Business Resilience)?

Geschäftliche Resilienz ist die Fähigkeit eines Unternehmens, sich schnell an Störungen anzupassen und gleichzeitig den Geschäftsbetrieb aufrechtzuerhalten sowie Mitarbeiter, Vermögenswerte und den gesamten Markenwert zu schützen. Über Disaster Recovery (DR) und Business Continuity (BC) hinaus bietet geschäftliche Resilienz Strategien für die Zeit nach einer Katastrophe, um kostspielige Ausfallzeiten zu vermeiden, Schwachstellen zu beheben und den Geschäftsbetrieb auch bei zusätzlichen, unerwarteten Ausfällen oder Sicherheitsverletzungen aufrechtzuerhalten.

Resilienzstrategien müssen der Notwendigkeit der Anpassungsfähigkeit des Unternehmens nach einem Ereignis Rechnung tragen. Ein wesentliches Merkmal resilienter Unternehmen ist ihre Anpassungsfähigkeit, zu der auch Änderungen an Geschäftsabläufen, Geschäftsmodellen und Entscheidungsprozessen gehören, um besser auf potenzielle Bedrohungen reagieren zu können.

Die Planung der Business Resilience beginnt mit der Erkenntnis, dass Unternehmen ihre Geschäftsprozesse und Arbeitsabläufe aufrechterhalten müssen, um unerwartete Ereignisse zu überstehen. Der Faktor Mensch ist eine wichtige Herausforderung bei der Planung der Business Resilience. Die Mitarbeiter müssen darauf vorbereitet und geschult sein, wie sie auf chaotische Situationen reagieren sollen. Dies ist eine wichtige Maßnahme zum Aufbau von Resilienz.

Ein Plan zur Geschäftskontinuität wird auch als Business Continuity Plan (BCP) bezeichnet. Um auf unterschiedliche Szenarien vorbereitet zu sein, umfasst die Geschäftsresilienz die Geschäftskontinuität (BC), technologisches Disaster Recovery, Cybersicherheitsplanung, Krisenmanagement, Risikomanagement und Incident Management.

Die Geschäftsresilienz umfasst neben verschiedenen Elementen der allgemeinen Resilienz auch die organisatorische, operative, cyberbezogene, Lieferketten- und Reputationsresilienz. Die Tiefe des Begriffs spiegelt wider, wie wichtig Resilienz für Unternehmen, Regierungen und andere Organisationen geworden ist.

Warum ist die Planung der Geschäftsresilienz wichtig?

Es reicht nicht mehr aus, nach einer Naturkatastrophe, einem Cyberangriff oder einem anderen Ereignis einfach nur den Geschäftsbetrieb und geschäftskritische Anwendungen wiederherzustellen. Organisationen müssen bereit sein, sich an veränderte Umstände anzupassen. Während der COVID-19-Pandemie mussten sich Unternehmen schnell an veränderte Arbeitsbedingungen anpassen. Dazu gehörte auch die Unterstützung von Remote-Arbeit und hybriden Arbeitsmodellen.

Auch wenn keine Pandemie herrscht, bleibt das Potenzial für Geschäftsunterbrechungen bestehen, darunter der Verlust kritischer Geschäftsfunktionen, der zu finanziellen Verlusten, Schäden an Lieferketten, dem Verlust von Wettbewerbsvorteilen und Reputationsschäden führen kann.

Organisationen haben die Verantwortung, ihren Geschäftsbetrieb aufrechtzuerhalten, es sei denn, bestimmte Umstände – wie beispielsweise eine Fusion – machen dies unmöglich. Aktionäre und andere Stakeholder erwarten, dass das Unternehmen trotz der Möglichkeit eines schädigenden Ereignisses, wie einer Cyberbedrohung oder einer Unterbrechung der Lieferkette, betriebsfähig bleibt.

Eine Rückkehr zu den bisherigen Normen reicht möglicherweise nicht aus; die alten Methoden sind möglicherweise nicht mehr mit der Art und Weise vereinbar, wie das Unternehmen heute arbeitet. Resilienz umfasst die Agilität, Anpassungsfähigkeit und Nachhaltigkeit, die Unternehmen benötigen, um sich an langfristige betriebliche Veränderungen anzupassen.

Was sollte ein Business-Resilience-Plan enthalten?

Ein Business-Resilience-Plan sollte Folgendes enthalten:

• Business Impact Analysis (Analyse der Auswirkungen auf das Geschäft).
• Risikobewertung.
• Risikomanagement.
• Tests und Übungen.
• Notfallkommunikationsplan.
• BC-Plan.
• DR-Plan.
• Krisenmanagementplan.
• Incident Response Plan (Plan für die Reaktion auf Vorfälle).
• Notfallmanagementplan.

Jede dieser Komponenten kann für sich stehen. Zusammen bilden sie den Rahmen für einen umfassenden Resilienzplan.

Der wichtigste Aspekt eines Business-Resilienzplans ist die Definition des Endzustands der Organisation nach Abschluss aller Wiederherstellungs- und Wiederaufnahmeprozesse. Wenn sich ein Unternehmen von einem Vorfall erholt und den Betrieb wieder aufgenommen hat, bedeutet das dann, dass es resilient ist? Letztendlich muss eine Organisation selbst bestimmen, was einen Zustand der Resilienz ausmacht.

Nach Abschluss der Reaktionsmaßnahmen nach einem Vorfall sorgen Business-Continuity- und DR-Maßnahmen dafür, dass das Unternehmen wieder betriebsbereit ist. Je nachdem, wie sich der Vorfall auf die Geschäftsfähigkeit der Organisation auswirkt, kann er jedoch eine neue Normalität neue oder geänderte Geschäftsaktivitäten erfordern. Hier zeigt ein Unternehmen seine Resilienz.

Schritte zum Aufbau eines Business-Resilience-Plans

Ein Geschäftsresilienzplan kann so einfach sein wie die Kombination von Business-Continuity-Management, DR und anderen Plänen in einem zentralen Plan. Wahrscheinlich werden viele dieser Aktivitäten im Resilience-Plan enthalten sein.

Hier sind vier wichtige Schritte für einen Business-Resilience-Plan:

1. Identifizieren Sie, wie das Unternehmen nach dem Ereignis funktionieren soll.
2. Definieren Sie, wie das Unternehmen das Potenzial für einen Vorfall antizipiert und sich darauf vorbereitet.
3. Legen Sie alternative oder vorübergehende Methoden für den Geschäftsbetrieb fest.
4. Identifizieren Sie die Auswirkungen der Unternehmenskultur auf die Wiederherstellung des Geschäftsbetriebs.

Aktuelle Standards für Resilienz enthalten keine spezifischen Rahmenbedingungen für die Entwicklung von Resilienzplänen. Sie definieren in erster Linie Aktivitäten, die in einen ganzheitlichen Plan aufgenommen werden sollten.

Wer sollte in einem Unternehmen für das Resilienzmanagement zuständig sein?

Die Frage, wer die Aktivitäten zum Resilienzmanagement leiten sollte, ist ein oft diskutiertes Thema. Einige Organisationen verfügen über eigenständige BC- und DR-Abteilungen. Andere verteilen die Entscheidungsfindung und andere Aufgaben auf Führungskräfte in verschiedenen Gruppen und Abteilungen, wie zum Beispiel Informationstechnologie, Rechtsabteilung, Personalwesen, Geschäftsleitung, Compliance, Risikomanagement, Notfallmanagement und Facility Management.

In der US-Bundesregierung richten sich die Aktivitäten im Zusammenhang mit der Resilienz nach zwei Bundesstandards: der Federal Continuity Directive 1 (FCD 1) und der Federal Continuity Directive 2 (FCD 2). Die Einhaltung der Anforderungen dieser Richtlinien hilft den Bundesbehörden dabei, Pläne zur Aufrechterhaltung des Betriebs zu erstellen und ein gewisses Maß an Resilienz zu erreichen. Die meisten Bundesbehörden, insbesondere diejenigen in der Exekutive, müssen regelmäßig die Einhaltung der FCD 1 und 2 nachweisen. Jede Behörde weist die Einhaltung der FCD verschiedenen Abteilungen zu, aber in den meisten Fällen werden sie von Verwaltungseinheiten verwaltet.

Standards und Richtlinien für die Geschäftsresilienz

Die folgenden Normen und Richtlinien sind teils international, teils stark auf den US-amerikanischen Kontext zugeschnitten. Für Unternehmen in Europa und Deutschland dienen die US-Standards in erster Linie als Orientierung, während andere Vorgaben und Normen hier maßgeblich sind.

Derzeit definieren zwei Standards Resilienz und legen Methoden zu ihrer Erreichung fest. Diese sind wie folgt:

ASIS SPC.1-2009 stammt aus dem Jahr 2009. Er wurde von ASIS International entwickelt und trägt den Titel Organisatorische Resilienz: Sicherheits-, Vorsorge- und Kontinuitätsmanagementsysteme – Anforderungen mit Anwendungshinweisen (Organizational Resilience: Security, Preparedness, and Continuity Management Systems -- Requirements with Guidance for Use). Er verwendet dasselbe Managementsystemmodell wie andere Normungsorganisationen, beispielsweise die Internationale Organisation für Normung (ISO).

ISO 22316:2017 trägt den Titel Sicherheit und Resilienz – Organisatorische Resilienz – Grundsätze und Eigenschaften (Security and resilience -- Organizational resilience -- Principles and attributes). ISO 22316:2017 nutzt Risikomanagement und andere Techniken, um potenzielle Geschäftsrisiken, Bedrohungen und Schwachstellen besser zu identifizieren, bevor sie eintreten. Dieser Standard berücksichtigt auch die Notwendigkeit, sich auf die Unternehmenskultur als Teil der Fähigkeit einer Organisation zu konzentrieren, sich auf disruptive Ereignisse vorzubereiten und diese zu verhindern.

Weitere Normen, die sich tangential mit Fragen der Geschäftsresilienz befassen, sind unter anderem die folgenden:

• ISO 22301:2019 ist die de facto internationale Norm für das BC-Management.
• FFIEC Business Continuity Handbook – wird in Finanzinstituten für die BC-Planung verwendet; es enthält Leitlinien für die Vorbereitung von Audits.
• NFPA 1600 ist der US-amerikanische Standard für DR- und BC-Planung für Unternehmen und Behörden.
• NIST SP800-34 ist ein Standard, der sich mit IT-Notfallplanung befasst und sowohl in Behörden als auch in Unternehmen verwendet wird.

Relevante Standards und Richtlinien für Europa und Deutschland

Für deutsche und europäische Unternehmen sind insbesondere folgende Standards und gesetzlichen Rahmenbedingungen maßgeblich:

• ISO 22301:2019
• Internationale Norm für Business Continuity Management Systems (BCMS). Sie ist in Europa und Deutschland die wichtigste Grundlage für Aufbau und Zertifizierung von Business-Continuity-Management.
• ISO 22316:2017
• Internationale Leitlinie für organisatorische Resilienz. Sie bietet Grundprinzipien, wie Organisationen resilienter werden können.
• BSI-Standard 200-4 (Business Continuity Management). Herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Er beschreibt, wie deutsche Organisationen systematisch ein Business-Continuity-Management etablieren und betreiben können.
• KRITIS-Regulierung und NIS2-Richtlinie
• DORA (Digital Operational Resilience Act)

Betreiber kritischer Infrastrukturen in Deutschland und der EU sind verpflichtet, besondere Maßnahmen zur Resilienz, Cyber- und Versorgungssicherheit umzusetzen. NIS2 weitet diese Pflichten ab 2025 auf deutlich mehr Unternehmen aus.

Für den Finanzsektor in der EU: verpflichtet Banken, Versicherungen und andere Finanzdienstleister zu umfassenden Resilienz- und Business-Continuity-Maßnahmen, insbesondere in Bezug auf IT- und Cyberrisiken.

Damit wird klar: Während US-Normen wie NIST SP800-34 oder NFPA 1600 für deutsche Unternehmen nur als Best Practice dienen, sind ISO 22301, ISO 22316, der BSI-Standard 200-4 sowie NIS2/DORA die zentralen Orientierungs- und Pflichtrahmen in Europa und Deutschland.

Vor- und Nachteile der Geschäftsresilienz

Die meisten Geschäftsleute sind sich zwar einig, dass Geschäftsresilienz wünschenswert ist, aber sie sind sich möglicherweise nicht einig über ihre Bedeutung. Hier sind einige Vor- und Nachteile der Business Resilience:

Zu den Vorteilen gehören die Erleichterung der Geschäftskontinuität, eine größere Anpassungsfähigkeit an Veränderungen in der Art und Weise, wie das Unternehmen möglicherweise arbeiten muss, eine verbesserte Mitarbeitermoral, die Einhaltung etablierter Standards, eine stärkere Fokussierung auf das Risikomanagement und eine potenziell verbesserte Reputation.

Die Kosten und die Komplexität, die mit der Umsetzung von Resilienz verbunden sind, sind zwei Nachteile. Weitere Probleme sind der Widerstand des Managements gegen Veränderungen, die Schwierigkeit, eine Unternehmenskultur zu etablieren, die Resilienz begrüßt, sowie der Zeit- und Ressourcenaufwand (insbesondere Personal), der für die Umsetzung und Verwaltung einer resilienten Organisation erforderlich ist.

Produkte und Dienstleistungen für die Geschäftsresilienz

Software-Tools für die Geschäftskontinuität sind für den Einsatz vor Ort und aus der Cloud verfügbar. Business Continuity as a Service (BCaaS) erfreut sich wachsender Beliebtheit, da es vollständig Cloud-basiert ist und zusammen mit Cloud-Datensicherungen (Cloud Backup) und anderen Maßnahmen zum Schutz geschäftskritischer Ressourcen einen effektiven Ansatz für die Geschäftskontinuität bietet.

Zu den in Betracht zu ziehenden BC-Produkten gehören unter anderem die folgenden:

• Agility Recovery Planner: Dies ist ein US-Anbieter, der seinen Schwerpunkt in Nordamerika hat und in Europa eher weniger verbreitet ist.
• Archer Business Resiliency (RSA Archer): Diese Lösung ist in Deutschland über Partner und Reseller verfügbar.
• BC in the Cloud (Infinite Blue): Der Anbieter bedient globale Kunden, darunter auch Firmen in Europa.
• CL360 Business Continuity (Continuity Logic): Ursprünglich lag der Fokus des Unternehmens auf den USA, mittlerweile ist es international tätig, aber eher eine Nischenlösung in Europa.
• Fusion Framework System (Fusion Risk Management): Fusion ist ein globaler Anbieter, der auch in Europa aktiv ist und zahlreiche internationale Kunden hat.
• Ncontracts: Der Anbieter ist in Europa kaum präsent und konzentriert sich auf die US-Finanzbranche.
• Oracle Risk Management and Compliance: Oracle ist ein global aktives Unternehmen, das seine Lösung auch in Europa/Deutschland anbietet.
• Riskonnect: Die Firma ist international tätig und hat Niederlassungen und somit auch Kunden in Europa/Deutschland.
• SafetyCulture: Der australische Anbieter ist global und so auch in Europa verfügbar.
• SAI360: Das Unternehmen agiert global und ist auch in Europa/Deutschland präsent.

Zu den deutschen Anbietern zählen unter anderem HiScout oder die SER Group. Europäische Firmen sind beispielsweise Castellan und PlanB Consulting. Unternehmen, die ihre Geschäftsresilienz sinnvoll planen und umsetzen wollen, sollten sich auch nach möglichen Open-Source-Ansätzen umsehen.

Künstliche Intelligenz und Business Resilience

Business-Resilience-Aktivitäten lassen sich mit künstlicher Intelligenz (KI) verbessern und automatisieren. Mit Funktionen wie Predictive Analytics, Automatisierung und Planung verschiedener Aktivitäten sowie Optimierung wichtiger Funktionen kann KI für nahezu jede BC-Aktivität von Vorteil sein.

Zu den Ergebnissen gehören eine verbesserte Risikoanalyse und -verwaltung, eine optimierte Entscheidungsfindung und eine höhere Gesamteffizienz. Die vielleicht interessanteste Anwendung von KI ist die Bewertung der Leistung von BC/DR- und Resilienzplänen in einer simulierten, aber realistischen Situation. Die Möglichkeit, eine Vielzahl von Ereignissen zu simulieren und zu analysieren, wie gut die bestehenden Pläne voraussichtlich funktionieren, gilt als besonders wertvoll für den Aufbau und die Weiterentwicklung von Resilienz.

Traditionelle Planübungen sind zwar eine wichtige Aktivität, aber sie sind durch die Art der Übungen, die durchgeführt werden können, begrenzt. Die Simulation eines Ereignisses, die Analyse, wie die Verfahren, Schlüsselelemente und Mitarbeiter eines Plans auf das Ereignis reagieren, und die anschließende Berichterstattung darüber, wie gut die Organisation im Nachgang abgeschnitten hat, liefern wertvolle Daten zum Plan. Dies kann der Organisation als Leitfaden dienen, um sowohl ihren Plan als auch ihre Resilienz zu verbessern.