Unternehmensresilienz: Aufbau von Resilienz aus strategischer, taktischer und operativer Sicht

*Autor: Joseph Nduhiu

Die Fähigkeit, den Geschäftsbetrieb auf absehbare Zeit aufrechtzuerhalten, ist aus finanzieller Sicht eine wichtige Metrik. Aus der Risikomanagement-Perspektive müssen jedoch alle Dimensionen des strategischen und operativen Frameworks eines Unternehmens analysiert werden, um...:

• festzustellen, was schief gehen könnte;
• zu verhindern, dass es schief geht;
• und falls es schief geht, festzustellen, wie man es übersteht und sich davon erholt.

Der letzte Punkt hat mit Unternehmensresilienz zu tun und ist daher genau das Thema, dem wir uns hier widmen.

Definition von Resilienz für Unternehmen und Betriebe

Die ISO-Norm ISO 22316 definiert Unternehmensresilienz als die Fähigkeit eines Unternehmens, die Auswirkungen eines sich verändernden Umfelds abzufedern und sich daran anzupassen.

Bei Unternehmensresilienz geht es nicht nur um Disaster Recovery, also die Wiederherstellung nach Katastrophen wie Bränden oder Cyberangriffen. Sie beinhaltet vielmehr auch die Widerstandsfähigkeit gegenüber internen wie externen Ereignissen, die die Mission des Unternehmens gefährden könnten. Kein Unternehmen ist vor solchen Ereignissen gefeit – denken wir nur an COVID-19, Klimawandel, künstliche Intelligenz – die einzeln oder zusammen die Existenz eines Unternehmens gefährden können.

Unternehmensresilienz ist eine Fähigkeit, die von der Spitze der Unternehmensführung aus angegangen werden muss. Sie erfordert Grundprinzipien und Mechanismen, die das gesamte Betriebsmodell des Unternehmens durchziehen, für die angemessene Ressourcen bereitgestellt und die auf ihre Wirksamkeit hin überwacht werden müssen.

Sehen wir uns diese drei Perspektiven näher an, um festzustellen, was ein Unternehmen haben muss, um nicht nur auf dem Papier, sondern auch in der Praxis resilient zu sein.

Resilienz aus strategischer Sicht

Wenn Vorstand und Unternehmensleitung den Weg abstecken, den das Unternehmen zum Erreichen seiner Ziele einschlagen muss, ist es dafür unerlässlich, den geschäftlichen Kontext zu kennen. Dabei werden häufig Techniken wie SWOT- und PESTEL-Analysen eingesetzt, da das Umfeld eine große Rolle dabei spielt, ob Ziele angesichts sich wandelnder Bedingungen erreicht werden können.

Strategische Resilienz beginnt damit, dass die Unternehmensleitung wirkungsvolle Entscheidungen zur Prioritätensetzung in Bezug auf Resilienz trifft:

• Über gegenwärtige Grenzen hinaus denken
• Risikobasierter Ansatz beim Erreichen strategischer Ziele

Aus der Governance-Perspektive betrachtet, sollten Richtlinien zur Verankerung von Resilienz in der Organisationsstruktur und im Betriebsmodell des Unternehmens festgelegt und kommuniziert werden. Zudem müssen Risiken für die Unternehmensresilienz ermittelt, bewertet, kontrolliert und regelmäßig überprüft werden. Der jüngste globale Risikobericht des Weltwirtschaftsforums zeigt die Verflechtung der am höchsten eingestuften Risiken, wie im folgenden Diagramm dargestellt:

Globale Risikolandschaft 2023 laut dem Bericht des Weltwirtschaftsforums

Für die Resilienzplanung müssen Führungskräfte über die richtigen Fähigkeiten, Kenntnisse und Verhaltensweisen verfügen, damit sie den Rest des Unternehmens motivieren können, in schwierigen Zeiten an einem Strang zu ziehen. Die strategische Reaktion auf Risiken, die die Resilienz des Unternehmens beeinträchtigen können, sollte auf einer Leadership-Kultur basieren, die bereit ist, sich engagiert und sinnvoll auf alle anstehenden Veränderungen vorzubereiten.

 Und sollten diese Risiken dann wirklich eintreten, muss die Führungsriege des Unternehmens bei der Problembewältigung in der vordersten Reihe stehen. Zeiten voller Ungewissheit und Beeinträchtigungen sind günstige Momente für Führungskräfte, um Mitarbeitern und Stakeholdern strategische Resilienz zu demonstrieren, indem sie:

1. die Kontrolle übernehmen
2. ihr Mandat mutig und integer erfüllen, um das Unternehmen durch diese Phase zu leiten
3. im Anschluss die Ergebnisse ehrlich bewerten und dabei auch die gewonnenen Erkenntnisse und Verbesserungsmöglichkeiten betrachten

Resilienz aus taktischer Sicht

Resilienz muss bei der Planung und Verwaltung von Geschäftsfunktionen berücksichtigt werden. Eine Business Impact-Analyse, die die oben erwähnte Risikobewertung unterstützt, kann Unternehmen bei folgenden Aufgaben helfen:

• Kritikalität von Geschäftsaktivitäten bestimmen
• Resilienzanforderungen quantifizieren, indem die Wahrscheinlichkeit und die Folgen einer Störung analysiert werden
• Geeignete Pläne und Lösungen entwickeln, um die Business Continuity sicherzustellen

Wenn man sich an einem Framework wie ISO 22301 für Business Continuity orientiert, kann dies die Unternehmensresilienz verbessern, sodass das Unternehmen bei einer Störung weiterhin Produkte und Services mit einer akzeptablen, vordefinierten Kapazität bereitstellen kann.

Im Zusammenhang mit Unternehmensdaten, auf denen die Prozesse und Funktionen basieren, liefert die Business Impact-Analyse wichtige Ergebnisse in Form zweier Schlüsselmetriken:

RTO (Recovery Time Objective)

Die RTO-Metrik gibt die angestrebte Zeitdauer an, nach der die Unternehmensdaten und die zugehörigen Systeme wieder verfügbar sein müssen. So müssen beispielsweise Systeme, die Geschäftstransaktionen verwalten, innerhalb von Minuten wieder verfügbar sein. Bei Systemen für eher untergeordnete Funktionen darf das etwas länger dauern.

RPO (Recovery Point Objective)

Die RPO-Metrik besagt, in welchem Maß ein Verlust von Unternehmensdaten in Abhängigkeit von der Zeit toleriert werden kann.

Euer Unternehmen sollte beispielsweise keine Daten verlieren, die zu Umsatzeinbußen, Rechtsstreitigkeiten oder behördlichen Strafen führen könnten. Akzeptabel wäre dagegen der Verlust von Daten, die sich aus alternativen Quellen wie Datensicherungen oder manuellen Aufzeichnungen leicht wiederherstellen lassen.

RTO und RPO (Bildquelle)

Die Zuordnung dieser Metriken zu Geschäftsprozessen und Funktionen sorgt für Klarheit bei der Planung des Ressourcenbedarfs für Resilienz und der damit verbundenen Geschäftskosten.

Werden zu wenig Ressourcen zugewiesen (weil man sich z. B. nur auf das Backup eines Cloud-Serviceanbieters verlässt oder nur einen Mitarbeiter für eine geschäftskritische Funktion hat), kann sich dies bei einer Störung als ineffektiv erweisen, da sich das Unternehmen bei einem Ereignis von signifikantem Ausmaß dann schwer tut, angemessen zu reagieren.

Im Gegenzug kann sich eine zu hohe Ressourcenzuweisung (z. B. das Hosten derselben Geschäftsanwendungen bei mehreren Cloud-Anbietern) als verschwenderisch herausstellen, besonders, wenn die Zuweisung auf das Worst-Case-Szenario ausgelegt ist, sowie neue Probleme durch den damit notwendigen Verwaltungsaufwand schaffen. Hier ist es wichtig, das richtige Gleichgewicht zu finden und es anhand der sich entwickelnden Bedingungen im Umfeld laufend zu überprüfen.

Resilienz aus operativer Sicht

Strategien und Pläne rund um Resilienz zeigen nur dann Wirkung, wenn sie im Arbeitsalltag umgesetzt werden. Die Unternehmensführung sollte bei Resilienzstrategien alle Ebenen des Unternehmens berücksichtigen, und die operativen Teams sollten in die Überprüfung und Umsetzung der Pläne einbezogen werden, damit die Kontinuität gewährleistet wird.

Bei der Implementierung auf der operativen Ebene sollten alle Dimensionen des Geschäftsmodells berücksichtigt werden, einschließlich der folgenden:

• Menschen: Schulungen und Schaffen eines Bewusstseins rund um die Resilienzpläne für alle Mitarbeiter sowie Auftragnehmer, die an operativen Aktivitäten beteiligt sind
• Technologie: Implementierung von Technologielösungen wie automatisches Failover, selbstheilende Systeme und Datensicherungen zur Unterstützung von Plänen für die Informationsresilienz; Testen dieser Lösungen, vor allem in der Produktion, um sicherzustellen, dass die RTO- und RPO-Metriken erreicht werden können
• Prozesse: Testen aller Szenarien für wichtige Geschäftsprozesse im Fall einer Störung, Messen der Reaktionsfähigkeit und Identifizieren von Verbesserungsmöglichkeiten
• Partner: Sicherstellen, dass Anbieterverträge Regelungen zu Resilienz und Flexibilität bei Störungen enthalten

Abschließende Bemerkungen: Störungen als Realität

Die heutige, von der Risikolandschaft gezeichnete Realität stellt sich so dar, dass kein Unternehmen, ob groß oder klein, vor Störungen gefeit ist. Unsere 2023 durchgeführte globale Studie „Digitale Resilienz zahlt sich aus“ zeigt folgende Vorteile für moderne, resiliente Unternehmen:

• Einsparungen von durchschnittlich 48 Millionen Dollar pro Jahr an Downtime-Kosten
• Höhere Effektivität im Umgang mit Veränderungen, bei Initiativen zur digitalen Transformation und beim Erreichen finanzieller Leistungsziele

Diese Unternehmen haben entscheidende Fähigkeiten wie Transparenz, Erkennung, Untersuchung, Reaktion und Zusammenarbeit aufgebaut, die zusammen strategische, taktische und operative Anforderungen abdecken und zu mehr Anpassungsfähigkeit an Veränderungen im Umfeld führen. Resiliente Unternehmen überstehen Störungen nicht nur, sondern florieren sogar!

Was ist Splunk?

Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.