Derzeit sind unsere Unternehmen einer beispielslosen Lage ausgesetzt, auf die niemand vorbereitet gewesen ist. Ganze Branchen sind aus dem Wirtschaftsleben vorübergehend verschwunden und andere haben erhebliche Probleme den Betrieb aufrechtzuerhalten.
Wo vorher das Homeoffice für die Geschäftsleitung undenkbar gewesen ist, stellt diese Lösung zwischenzeitlich das einzige probate Mittel dar, um das Tagesgeschäft weiterhin betreiben zu können. Allerdings fehlt es in vielen Unternehmen an der geeigneten Infrastruktur, einen derartigen Notbetrieb zu initiieren. Vorausschauende Maßnahmen im Rahmen eines Notfallmanagements sind nur in wenigen Betrieben vorhanden und werden als unrentable Ausgaben abgetan. Kommt es aber zu einer Krise oder einem Notfall, können vorab getroffene und getestete Gegenmaßnahmen, die Ausweitung des Schadens erheblich einschränken und die Lebensversicherung für das Unternehmen sein. Notsituationen können bereits beim Wegfall einzelner Ressourcen entstehen, die nicht entsprechend redundant ausgelegt sind. Gern übersehen wird die Ressource „Mensch“, so kann das gesamte Wissen bezüglich der Administration der IT-Systeme in einer Person vereint sein, ohne dass es einen Stellvertreter gibt.
Was passiert, wenn die Person vom einen auf den anderen Tag nicht mehr verfügbar ist? Sei es wegen einer langwierigen Erkrankung, dem Ableben oder dem Lottogewinn.
Das Gleiche gilt für vermeintlich unwichtige IT-Komponenten. Können die Waren im Logistikzentrum noch den passenden Regalen zugeordnet werden, wenn der Label-Drucker ausfällt und kurzfristig zu beschaffen ist?
Nicht nur interne Prozesse und Ressourcen gilt es dabei zu berücksichtigen, sondern auch externe, wie beispielsweise ein Dienstleister, von dem man im hohen Maße abhängig ist. Relevante Geschäftspartner sind vor allem der Internetprovider, der Webhoster oder der IT-Dienstleister. Ausfälle oder Insolvenzen können jedes Unternehmen treffen, auch die „Großen“.
Jeder Geschäftsführer sollte sich bewusst sein, inwieweit seine Geschäftsprozesse gegen bestimmte Notfallszenarien geschützt sind. Zur Initiierung eines Notfallmanagements empfiehlt es sich zunächst die Kerntätigkeiten des Unternehmens aufzulisten und die wirtschaftlich wichtigsten Prozesse näher zu betrachten. Neben monetären Aspekten, kann dabei auch die Vertraulichkeit von bestimmten verarbeiteten Informationen eine Rolle spielen – Stichwort DSGVO. Im nächsten Schritt muss ermittelt werden, welche konkreten Ressourcen für den jeweiligen Prozess benötigt werden, dabei kann es sich um technische, infrastrukturelle, personelle Abhängigkeiten oder solche von externen Stellen handeln. Die Ressourcen sind dem Prozess zu zuordnen, bestenfalls in einer Liste, die regelmäßig aktualisiert wird. Sobald die Liste komplettiert ist, sollte festgelegt werden, wie lange ein Ausfall maximal toleriert werden kann, ohne dass der entstehende Schaden existenzvernichtende Wirkung entfaltet. Im Anschluss ist festzustellen, ob die tatsächliche Wiederbeschaffung, Wiederinbetriebnahme oder Wiederherstellung den vorgegeben maximalen Ausfallzeiten entspricht. Wurden Differenzen festgestellt, muss dringend durch entsprechende Maßnahmen sichergestellt werden, dass Ausfallzeiten im tolerierten Bereich bleiben.
Die weiteren Schritte unterscheiden sich stark von der Unternehmensgröße und könnten von grundlegenden Betrachtungen bis hin zu detaillierten Plänen für alle denkbaren Szenarien reichen. Dennoch sollte, unabhängig von der Größe, mit einer Risikoanalyse fortgefahren werden, um ein Bewusstsein und einen Fahrplan für weitere Entscheidungen zu entwickeln. Dazu werden die wichtigsten Ressourcen herangezogen und ihnen ein bestimmter Risikograd zugewiesen.
Das Risiko errechnet sich aus der Multiplikation von Eintrittswahrscheinlichkeit eines Schadens mit dessen Höhe.
Eintrittswahrscheinlichkeit X Schadenshöhe = Risiko
Die Einstufung sollte in 4 unterschiedliche Kategorien erfolgen, wobei sich folgende Parameter bewährt haben:
Eintrittswahrscheinlichkeit
1= Sehr gering, der Eintritt wird alle 10 Jahre oder seltener erwartet
2= gering, kann ca. einmal im Jahr auftreten
3= mittel, wird monatlich erwartet
4= hoch, wird einmal oder mehrmals in der Woche geschehen
Schadenshöhe:
1= Leicht, Zahlung aus der Portokasse
2= Mittelschwer, der Schaden ist spürbar
3= Schwer, der Schaden schmerzt, Liquiditätsengpässe entstehen aber nicht
4= Katastrophal, der Schaden kann das Unternehmen in die Insolvenz treiben
Anhand von einer Matrix kann man nun feststellen, wie hoch das Risiko ist und an welchen Stellen präventive Maßnahmen ausgeweitet werden sollten und zu welchen Sachverhalten konkrete Notfallpläne erstellt werden müssen.
Die einzelnen Notfallmaßnahmen sollten ab und an getestet werden, ob diese im Fall der Fälle auch greifen und den gewünschten Effekt erzielen. Damit die erstellten Dokumente auch bei einem Komplettausfall der IT-Systeme verfügbar sind, sollte diese in ausgedruckter Form schnell zur Hand sein.
