Was ist betriebliche Resilienz?

Betriebliche Resilienz ist die Fähigkeit, betriebliche Störungen zu vermeiden, zu erkennen, abzuwehren, sich davon zu erholen und daraus zu lernen. Für Unternehmen garantiert betriebliche Resilienz die Kontinuität und Stabilität des Geschäftsbetriebs in Gegenwart und Zukunft. Resiliente Unternehmen generieren höhere Erträge auch in Zeiten wirtschaftlichen Abschwungs.¹

Was ist für betriebliche Resilienz erforderlich? Sorgfältige Planung und eine Framework-Strategie, die Personen, Prozesse und Technologien (PPT) einbezieht. Effektive betriebliche Resilienz ist eine Strategie für Risikominderung und -management, die darauf abzielt, Abwehr und Wiederherstellungsprozesse zu verbessern. Störungen können Erträge schmälern, das Kundenvertrauen gefährden und die Reputation des Unternehmens beschädigen. Betriebliche Resilienz minimiert die Auswirkungen potenziell störender Ereignisse für ein Unternehmen sowie für dessen Partner und Kunden. Sie stellt also sicher, dass die Show weitergeht.

Die Grundpfeiler der betrieblichen Resilienz garantieren, dass Ihr Unternehmen auch im Störungsfall unterbrechungsfrei funktioniert. Betriebliche Resilienz beruht auf den folgenden fünf Grundpfeilern:

Risikoermittlung und -einschätzung: Das Ermitteln und Einschätzen von Risiken ist unverzichtbar für jede Risikomanagementstrategie, eine zentrale Initiative für betriebliche Resilienz. Skalierung und Wachstum sind mit Risiken verbunden! Sicherheitsverletzungen, wirtschaftliche Veränderungen, Störungen von Lieferketten und innerbetriebliche Umstrukturierungen sind nur einige Faktoren für potenzielle Gefahrenquellen.

Beispiele für das Ermitteln und Einschätzen von Risiken: Brainstorming, Dokumentationsprüfungen, Informationssammlung, SWOT-Analysen (Strength, Weakness, Opportunities and Threats, also eine Analyse der Stärken, Schwächen, Gelegenheiten und Gefahren), Ursachenanalysen, Annahmenanalysen und Risikoregister. Durch die Priorisierung von Risiken wird das Reaktionspotenzial verbessert. Betroffene Teams können mit minimalen oder ohne Unterbrechungen ihrer Geschäftstätigkeiten arbeiten.

Planung der Geschäftskontinuität: Wenn Ihr Unternehmen im Fall einer Störung wie gewohnt weiterlaufen soll, müssen Sie eine Reihenfolge der Operationen und eine Liste der Beteiligten für alle Störungsszenarien erarbeiten. Diese Planung der Geschäftskontinuität basiert auf Methoden zum Ermitteln und Beurteilen von Risiken und hat das Ziel, Lösungen für potenzielle Störungen bereitzustellen. Ein Planungskomitee aus IT, Sicherheit und Führungskräften bereitet die im Störungsfall zu ergreifenden Maßnahmen vor, um die Auswirkungen zu minimieren.

Ein erfolgreicher Geschäftskontinuitätsplan besteht aus mehreren Schritten: Informationssammlung (Risikobewertung), Entwicklung und Gestaltung des Plans, Implementierung, Tests sowie kontinuierliche Wartung und Aktualisierung. Das Umfeld ändert sich ständig – von externen Faktoren wie neuen Gesetzen und Vorschriften bis hin zu internen Faktoren wie neuen internen Technologien. Daher müssen Sie Ihren Geschäftskontinuitätsplan regelmäßig überprüfen, um seine Funktionstauglichkeit sicherzustellen.

Je nach Größe Ihres Unternehmens gibt es mehrere Elemente und verschiedene Risikofaktoren zu berücksichtigen. Ein guter Geschäftskontinuitätsplan ist möglichst einfach. Er identifiziert die wichtigsten Ressourcen, relevante Orte und zuständige Personen für einen durchgehenden Betrieb sowie potenzielle Kosten.

Incident-Response und Wiederherstellung: Für Unternehmen sind Cybersicherheitsverletzungen, -bedrohungen oder -angriffe im digitalen Zeitalter praktisch unvermeidbar. Incident-Response- und Wiederherstellungspläne sind formalisierte Prozesse und Technologien, die Cyberangriffe vermeiden und deren Auswirkungen minimieren, wenn sie doch auftreten. Häufige Arten von Sicherheits-Incidents sind Ransomware, Phishing und Social Engineering, DDoS-Angriffe (Distribute Denial-of-Service), Lieferkettenangriffe oder Insiderbedrohungen.

Incident-Response- und Wiederherstellungspläne werden üblicherweise von einem dedizierten CSIR-Team (Computer Security Incident Response) erstellt. Zu diesem Team gehören meistens ein Chief Information Security Officer (CISO) des Unternehmens, das Security Operations Center (SOC), IT-Mitarbeiter, Beteiligte aus der C-Suite, Geschäfts- und Personalabteilung, Risikomanagement sowie gesetzliche Compliance. Diese Pläne definieren die Rollen und Verantwortlichkeiten aller Beteiligten im Fall eines Incidents. Sie umreißen Protokolle für die Wiederherstellung betroffener Systeme bei einem Ausfall, ausführliche Schritte als Reaktion auf einen Incident, ein Kommunikationsprotokoll zum Informieren aller betroffenen Parteien und Datensammlungsmethoden für Nachuntersuchungen und zukünftige Erkenntnisse.

Ein Incident-Response- und Wiederherstellungsplan muss auch Schritte für Erkennung und Analyse, Eindämmungsprotokolle und Beseitigungslösungen enthalten. Nachdem eine Bedrohung von den Cybersicherheitsteams erkannt und analysiert wurde, muss sie eingedämmt werden, um die Schäden zu begrenzen. Kurzfristige Eindämmungsmaßnahmen zielen darauf ab, die Bedrohung sofort zu neutralisieren, und langfristige Eindämmungsmaßnahmen konzentrieren sich darauf, die Verteidigung nicht betroffener Systeme zu stärken. Sobald eine Bedrohung eingedämmt wurde, können Teams das Problem beheben, indem sie es komplett beseitigen. Erst dann beginnt die Wiederherstellung: Teams stellen den Normalbetrieb wieder her, indem sie Systeme patchen oder wieder online bringen.

Krisenmanagement: Krisenmanagement definiert sich dadurch, wie Unternehmen aller Größen auf bestimmte Krisen reagieren. Wenn ein störendes Ereignis auftritt, reagiert das Unternehmen und beginnt, seinen Geschäftskontinuitätsplan in die Praxis umzusetzen. Das nennt man Krisenmanagement. Effektive Führung, effiziente Protokolle und eine zügige Mobilisierung bedeuten den Unterschied zwischen einer erfolgreichen und einer gescheiterten Krisenmanagementoperation.

Adaptive Governance und Kultur: Für ein effektives Krisenmanagement müssen Unternehmen agil und anpassbar sein. Schnelle Reaktionen auf Störungen sind nur ein Teil dessen, was für betriebliche Resilienz erforderlich ist. Für eine adaptive Governance und Kultur ist es auch wichtig, dass Unternehmen aktiv von ihrem Umfeld und von Incidents lernen, um zukünftige Entscheidungen zu beeinflussen. Dabei geht es darum, eine wachstumsorientierte Mentalität auf Unternehmensebene zu pflegen.

Betriebliche Resilienz ist wichtig für den Gesamterlös jedes Unternehmens. Wenn Services langsam reagieren oder gehackt werden, sind die Kunden und deren Sicherheit davon betroffen. Je nach Branche reichen die Folgen von Unannehmlichkeiten bis hin zu lebensbedrohlichen Situationen, wie etwa im Gesundheitswesen. Dies kann sich auf das Kundenvertrauen auswirken und strafrechtliche Folgen haben – Datenpannen können sogar Verstöße gegen Compliance-Vorschriften bedeuten. Auf kurze Sicht? Sie sind durch Bemühungen zur Auflösung ausgelastet. Langfristig steht jedoch Ihre Reputation auf dem Spiel.

Durch betriebliche Resilienz können IT-Teams Ausfallzeiten minimieren, eine schnelle Wiederherstellung garantieren, Betriebsunterbrechungen reduzieren und ihre Produktivität sicherstellen. Durch das Verhindern oder schnelle Beheben von Ausfällen werden auch das Vertrauen der Kunden und die Reputation des Unternehmens gestärkt. Dies wiederum schützt das Unternehmen vor Ertragsausfällen und der resultierenden finanziellen Instabilität.

Geschäftskontinuität und betriebliche Resilienz werden manchmal synonym verwendet, unterscheiden sich jedoch im Hinblick auf Umfang und Herangehensweise. Geschäftskontinuität ist ein Grundpfeiler der betrieblichen Resilienz und bezieht sich auf einen formellen und spezifischen Planungstyp, mit dem sichergestellt wird, dass der Geschäftsbetrieb bei einer Störung reibungslos und zügig weiterläuft.

Betriebliche Resilienz ist ein allumfassender, proaktiver Ansatz, der Unternehmen dabei hilft, während und nach Störungen zu widerstehen, sich anzupassen und weiter zu wachsen. Dazu gehören auch fortlaufende Beurteilungen für ständige Erweiterungen. Dabei werden alle Aspekte des Unternehmens neu bewertet, inklusive Lieferketten, Technologien, Kommunikationsmethoden und Belegschaft.

Betriebliche Resilienz erfordert anpassbare Governance und fortlaufende Verbesserungen zur Ergänzung von Wiederherstellungsprozeduren. Für nachweisbare Resilienz in einem Unternehmen sind sowohl Geschäftskontinuitätsplanung als auch Methoden für betriebliche Resilienz erforderlich.

Betriebliche Resilienz ist immer schwieriger zu erreichen, da neue Technologien aufkommen, bevor die Unternehmen Zeit hatten, sich auf deren vorherige Iteration einzustellen. Cyberbedrohungen sind ebenfalls immer raffinierter und zwingen Unternehmen zu beträchtlichen Investitionen in Cybersicherheits-Fachkräfte und -Technologien. Lieferketten waren noch nie so komplex wie heute und basieren auf einem filigranen Netz aus globalen Akteuren, die jeweils unterschiedlichen gesetzlichen Anforderungen unterliegen.

Die Schaffung eines Ausgleichs zwischen Kosten und Resilienz ist für jedes Unternehmen eine beständige Herausforderung. Immerhin hat die betriebliche Resilienz beträchtliche Auswirkungen auf die Produktivität des Unternehmens und daher auf dessen finanzielle Überlebensfähigkeit. Unternehmen müssen ihre Prioritäten identifizieren, um ihre Mittel und Ressourcen so einsetzen zu können, dass Stabilität und Wachstum gewährleistet werden.

Für die Abwehr von Cyberbedrohungen und Datenpannen waren ebenfalls noch nie so viele Ressourcen erforderlich. Angreifer sind besser ausgestattet und Unternehmen haben größere Angriffsflächen, was die Anzahl der Schwachstellen erhöht. Erweiterte digitale Umgebungen verleihen den Unternehmen zwar mehr Flexibilität und ein höheres Entwicklungstempo, führen aber auch zu beträchtlichen Herausforderungen im Bereich der betrieblichen Resilienz.

Um die betriebliche Resilienz zu verbessern, muss zunächst ein umfassendes Resilienz-Framework entwickelt werden. Unternehmen benötigen eine strukturierte Herangehensweise und müssen Resilienz-Frameworks in alle Unternehmensaspekte integrieren, von der strategischen Planung bis zum alltäglichen Betrieb.

Für mehr Resilienz im Bereich der Cybersicherheit müssen Unternehmen robuste Maßnahmen implementieren und regelmäßige Tests und Übungen durchführen. Eine proaktive Herangehensweise ist bereits die halbe Miete für ein Cyber-resilientes Unternehmen. Damit wird auch sichergestellt, dass gründliche und relevante Incident-Response- und Wiederherstellungspläne existieren. Eine gute Vorbereitung ist der Schlüssel.

Resilienz ist letztendlich eine Frage der Unternehmenskultur. Effektive Kommunikation und eine Selbstverpflichtung der Führungsebene, sich ständig weiterzubilden, sind entscheidend für die Verbesserung der betrieblichen Resilienz.

Mit zunehmendem Budget für KI und Machine Learning in vielen Unternehmen werden diese Technologien möglicherweise eingesetzt, um die betriebliche Resilienz zu verbessern. Prädiktive Resilienzmodelle auf Basis von Data Analytics und Machine Learning können Risikomanagementinitiativen fördern, indem sie potenzielle Störungen schneller und umfassender vorhersagen, als dies für Analysten möglich ist.

Globale Zusammenarbeit und Informationsweitergabe werden ebenfalls entscheidend zur Verbesserung der Unternehmensresilienz beitragen. Angesichts grenzübergreifender Lieferkette und multinationaler Unternehmen ist die internationale Zusammenarbeit in Bereichen wie gesetzliche Compliance, neu gefundene Bedrohungen und Sicherheitsstrategien entscheidend, um Unternehmen bei ihren Resilienzbemühungen zu unterstützen.

Um das Unerwartete zu erwarten, müssen Unternehmen nachhaltige und langfristige Resilienzstrategien entwickeln. Angesichts der sich zuspitzenden Klimakrise, die Naturereignisse von immer größeren Ausmaßen verursacht, sind Resilienz und Nachhaltigkeit nicht mehr voneinander zu trennen. Dabei geht es nicht nur um Schutzmaßnahmen – echte betriebliche Resilienz erfordert vielmehr neue Erfindungen und Innovationen.

• Achieve operational resilience with a flexible data store
• From vision to reality: Your guide to using generative AI to improve operational resilience
• Improve operational resilience with generative AI
• Generative AI for business observability: What IT leaders need to know
• Mehr betriebliche Resilienz mit Lösungen für unsichtbare Datenherausforderungen
• DORA: A paradigm shift in cybersecurity and operational resilience
• GovLoop playbook: Strengthening operational resilience

McKinsey, Resilience for sustainable, inclusive growth. 2022.