mabuco ...bloggt - 01/2023

Die nächste Krise kommt bestimmt ...

31. Januar 2023 | Elmar Ebener

Wenn wir die Berichterstattung in den Medien verfolgen, entsteht der Eindruck, dass wir von einer Krise in die nächste schlittern. Kaum waren die Folgen der Weltwirtschaftskrise von 2008 einigermassen behoben, kam die Corona-Krise und deren Begleiterscheinungen, die uns noch eine Weile beschäftigen werden. Jetzt sind wir mitten in einer Energiekrise, deren Ende noch nicht absehbar ist. Wir werden dauernd mit neuen Situationen konfrontiert, die für viele völlig unerwartet sind. Trotz allen Widerwärtigkeiten ist in der Schweiz erstaunlich wenig vom Krisenmodus zu spüren.

Es hat unter anderem damit zu tun, dass viele Organisation auf solche Turbulenzen vorbereitet sind und so eine gewisse Widerstandsfähigkeit entwickelt haben.

Wenn Sie nicht gerade zum Kreis der "Prepper" gehören, beschäftigen sie sich persönlich vermutlich nicht mit der Krisen- und Katastrophenvorsorge und den zu Grunde liegenden Konzepten. Ganz anders ist dies bei Organisationen, die kritische Infrastrukturen betreiben oder wichtige Beiträge zur Grundversorgung des Landes leisten müssen (Blaulichtorganisationen, Spitäler, Energieversorger, etc.). Auch andere Institutionen und Unternehmungen können bei einer Störung oder einem Ereignis nicht einfach die Leute nach Hause schicken und den Schlüssel drehen. So müssen bspw. Pflegeeinrichtungen weiterhin die anvertrauten Personen betreuen können.

In den meisten dieser Organisationen kommt ein sogenanntes Business Continuity Management (BCM) zum Einsatz. Selbstsprechend geht es darum, Vorkehrungen zu treffen, damit bei Störungen oder Notfällen die Organisation weiterhin funktioniert und keine ernsthaften Schäden entstehen.

Krisen meistert man am besten, indem man ihnen zuvorkommt.

- Walt Whitman Rostow, amerikanischer Wirtschaftswissenschaftler -

Standards als Hilfestellung

Wie nicht anders zu erwarten, gibt es auch zu diesem Thema mit ISO 22301 einen internationalen Standard, auf dessen Basis das Krisenmanagement aufgebaut und bei Bedarf zertifiziert werden kann. Der Standard bezweckt unter anderem:

  • Schutz der Mitarbeitenden und der Infrastruktur
  • Erhöhung der Widerstandsfähigkeit der gesamten Organisation
  • Schutz der Reputation und der Glaubwürdigkeit
  • Reduktion der finanziellen Auswirkungen bei Ereignissen

Bei der Infrastruktur kommt dem Schutz der IT-Systeme eine Sonderstellung zu. Die Krisenvorsorge in der ICT-Domäne stützt sich aufgrund der Komplexität mit der ISO/IEC 27000-Reihe auf eine ganze Sammlung von Regelwerken, die weit verbreitet und allgemein akzeptiert sind.

Was beinhaltet BCM?

Bei einer systematischen Betrachtung von BCM werden folgende Elemente bearbeitet:

  1. Business Impact Analyse: Hier werden die wichtigsten Geschäftsprozesse und Ressourcen identifiziert und in ihrer Kritikalität beurteilt. Für die zeitkritischen Vorgänge werden die Auswirkungen der Ausfälle für diverse Zeiträume evaluiert. Anschliessend werden die Konsequenzen auf Betrieb, Finanzen, Reputation und Compliance abgeschätzt.
  2. Business Continuity Strategie: Hier wird festgelegt, wie lange die maximal tolerierbare Ausfallzeit sein darf. Dann werden die Geschäftsbereiche definiert, welche dem BCM zugewiesen werden. Es werden Handlungsrichtlinien und Lösungsansätze formuliert sowie der Umfang der Massnahmen festgelegt.
  3. Business Continuity Massnahmen: Auf der Basis der Erkenntnisse aus der Analyse und den Vorgaben der Strategie werden konkrete Massnahmen für ausgewählte Szenarien definiert, wie die wichtigsten Geschäftsprozesse im Ereignisfall wiederhergestellt werden können (inkl. Vorgehensweise, Checklisten, Ressourceneinsatz).

Klein anfangen

Verständlicherweise will jetzt nicht gleich jede Organisation ein voll ausgebautes BCM-System einführen. Sie können sich stattdessen ein paar kleine konkrete Szenarien überlegen, die Ihre Organisation beeinträchtigen könnten (z.B. längerer Stromausfall aufgrund eines Brandes im Quartier, Feuer- oder Wasserschaden in einem Ihrer Gebäudeteile, Störung des Telefonnetzes, Ausfall eines wichtigen IT-Systems, etc.). Anschliessend stellen Sie sich die folgenden Fragen:

  • Welche Prozesse müssen in diesem Fall unbedingt aufrechterhalten werden?
  • Welche Massnahmen sind dafür notwendig?

Halten Sie die Überlegungen schriftlich in folgender Form fest: Szenario, erwarteter Schaden, beeinträchtigte Prozesse, Vorgehensweise (idealerweise als kurze Checkliste). Und schon haben sie einen Plan und werden im Eintretensfall nicht überrumpelt.

Unser Beitrag

Sollten sie die Widerstandsfähigkeit ihrer Organisation erhöhen wollen, kommen wir gerne unverbindlich bei Ihnen vorbei. Bei Bedarf helfen wir Ihnen, ein angemessenes BCM zu realisieren. Egal wie klein oder gross Ihr Schritt ist, die Organisation wird immer gewinnen!

Wir fühlen den Puls der Zeit, Sie auch?

Ihr mabuco Team