Damit Ihnen der Begriff »Resilienz« begegnet, müssen Sie weder im Untergrund aktiv sein noch das kleine Latinum besitzen. Entweder Sie haben ab und an etwas mit Psychologen zu tun, Sie haben unser Whitepaper »IT-Resilienz« gelesen oder Sie bewegen sich unter IT-Experten. Das Wort hat seinen Ursprung im lateinischen »resilire« – abprallen. Die naheliegendste Übersetzung in den allgemeinen Sprachgebrauch, wäre »Widerstandsfähigkeit«. Gemeint ist damit die Widerstandfähigkeit gegen externe Stressfaktoren.
Diese Stressfaktoren haben sich im letzten Jahr verdichtet. Die Pandemie hat viele Unternehmen binnen kürzester Zeit gezwungen, die Arbeitsweise seiner Mitarbeiterinnen und Mitarbeiter umzustellen: Remote-Work, Vertrauensarbeitszeiten und flexible Personaleinsatzplanung beherrschen 2020 und 2021 die Unternehmen und sorgen dafür, dass sich selbst die konservativsten Unternehmen diesen Themen öffnen. Ein wichtiger Schritt, um unter diesen neuen Bedingungen weiter handlungsfähig – resilient – zu sein.
Organisatorische Resilienz – eine Definition
Organisatorische Resilienz (OR) beschreibt die Fähigkeit einer Organisation, auf Veränderungen zu reagieren und sich daran anzupassen. Insbesondere in betrieblichen Stresssituationen, wie Störungen, Notfällen oder gar Krisen, demonstrieren Organisationen mit hoher Resilienz ihre Widerstandsfähigkeit sowie Belastbarkeit. Je besser die Resilienz ausgebaut ist, desto besser können sie Risiken und Chancen aus plötzlichen und langsam eintretenden Veränderungen erkennen sowie flexibel auf diese reagieren.
Experten bestätigen, dass die meisten Stressfaktoren für Unternehmen im Bereich der IT liegen. Daher wird eine widerstandfähige IT das Digitalisierungs-Überthema der nächsten Jahre sein. Wenig verwunderlich, denn ein Großteil der unternehmenskritischen Geschäftsprozesse ist ohne den Einsatz von IT kaum noch denkbar. Durch die Zunahme von Sicherheitsrisiken gewinnt die Widerstandsfähigkeit einer Organisation und ihrer IT stark an Bedeutung. Gesamtwirtschaftliche Krisen verstärken die Bedrohungslage sowie deren Auswirkungen. Dennoch scheinen einige Unternehmen dem Trend zu trotzen oder gar zu erstarken, während andere wie gelähmt reagieren.
Was führt zur Resilienz im Unternehmen?
Jene Unternehmen, die erstarken, haben die Fähigkeit erworben, nach einer Störung, einem Notfall oder einer Krise weiter oder wieder arbeitsfähig zu sein. Diese Unternehmen zeichnen sich dadurch aus, dass sie über Kapazitätsreserven verfügen und flexibel genug sind, ihre Fähigkeiten an neue Bedingungen anzupassen.
Sie haben es also geschafft, auf neue Situationen mit neuen Lösungen zu reagieren. Neue Lösungen sind meist neue Technologien. Erfolgreiche Unternehmen setzen auf eine hybride IT. Diese Unternehmen stellen Teile ihrer IT im eigenen Data Center bereit, der andere Teil wird von Cloud-basierten Services betrieben. Diese Strategie erlaubt es dem Unternehmen, IT-Governance sehr zentralistisch anzugehen.
Manche Betriebe gehen einen Schritt weiter und migrieren komplett in die Cloud oder lassen Applikationen von unterschiedlichen Cloud- oder Rechenzentrums-Anbietern betreiben.
Die notwendigen Schritte, die neuen Technologien einzusetzen und auch zu betreiben, sind von vielen Unternehmen nicht mehr alle intern zu lösen. Denn gänzlich ohne zusätzliche Kosten und Ressourcen lässt sich Widerstandfähigkeit nicht aufbauen. Sourcing-Strategien von Managed Services Providern können solche zusätzlichen Kapazitäten liefern.
Technologien – auch wenn sie ausgelagert werden – kosten Ressourcen. Zwei wichtige Komponenten, die Resilienz herstellen, sind zum einen, die Ressourcen zu haben, schnell auf Technologien und das nötige Know-how zugreifen zu können sowie zum anderen auch für Ressourcen-Transparenz zu sorgen. Eine Asset-Analyse nach ITFM-Methode kann dabei helfen. Unternehmen, die dabei nicht für Transparenz bei allen benötigten Ressourcen, Services und Kosten sorgen, tappen nicht nur im Dunklen, sondern auch in die falsche Richtung. Diese Posten zu beleuchten, ist keine Kür, sondern notwendige und elementare Pflicht – denn ansonsten wird das Unternehmen nicht resilienter, sondern die IT bloß teurer.
7 Tipps, um Ihre Resilienz auf- und auszubauen
- auf IT-Budget-Effizienz durch Transparenz setzen
- bewusst Redundanzen anlegen
- über breit gestreute Ressourcen verfügen
- sich selbst organisieren können
- auch mit unvorhergesehenen Ereignissen rechnen
- sich auf die eigenen Fähigkeiten und Stärken fokussieren
- und dazu fähig sein, die eigenen Prozesse flexibel zu gestalten
Wie können Sie Ihre Resilienz ermitteln?
Indem Sie herausfinden, wie performant das System oder die Organisation während einer größeren Unterbrechung oder Krise weiter funktioniert. Im Best-Case mit möglichst minimalem Auswirkungsgrad auf Geschäfts- und Betriebsprozesse. Denn die verbundenen Risiken für die Geschäftskontinuität können sich beispielsweise in Produktivitätsminderungen, unterbrochenen Lieferketten oder verschobenen Kundenkontaktpunkten manifestieren.
Die Aufrechterhaltung der IT bei Störungen oder (Teil-)Ausfällen, um Services oder Produkte weiterhin auf einem akzeptablen Niveau anbieten zu können, kann als Resultat des Business Continuity Managements (BCM) bzw. genauer des IT Service Continuity Managements (ITSCM) gewertet werden. Dabei handelt es sich um einen ganzheitlichen Prozess. Er identifiziert Risiken für die Prozesse und Ressourcen einer Organisation und analysiert ihre Auswirkungen im Eintrittsfall.
Mehr zu Business Conitinuity Management
Der geläufigere Begriff Cyber-Resilienz kann zwar synonym verwendet werden, setzt aber einen anderen Schwerpunkt. Damit werden die Gefahren aus dem Netz, also Cyber-Attacken und auch Datenschutz-Themen, in den Vordergrund stellt. Die Risikopotenziale sind jedoch vielfältig und können ebenso durch interne Faktoren, wie das Fehlen strategischer Assets oder Kulturfaktoren begünstig werden. Ihre Strategie sollte unbedingt die Themen Backup, Restore und Desaster Recovery berücksichtigen. Sie decken allerdings nur einen Teil der wirkungsvollen Maßnahmen ab.
Im Fokus der Betrachtung: Das Risiko
Die Entwicklung risikominimierender Maßnahmen aus einem Verbund von Managementdisziplinen erhöht die organisatorische Resilienz entscheidend. Normen können dabei unterstützen, die wichtigsten Aspekte zu berücksichtigen. So beschreibt beispielsweise die Norm ISO 22316 Sicherheit und Resilienz – Resilienz von Organisationen – Grundsätze und Attribute die grundlegenden Prinzipien, Attribute und Aktivitäten sowie die Evaluation der Resilienzfaktoren. Auch kulturelle Faktoren, wie den Austausch von Wissen, eine gemeinsame Vision oder die Bedeutung einer unterstützenden Führungskultur werden darin beschrieben. Des Weiteren wird die Entwicklung und Koordination von Managementdisziplinen empfohlen.
Durch einen interdisziplinären Ansatz lassen sich die mittlerweile etablierten Managementsystemnormen für
- ein Business Continuity Managementsystem (BMCS) gemäß ISO 22301
- ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001
- und ein Datenschutzmanagementsystem (DCMS) auf Grundlage der EU-DSGVO
miteinander verbinden. Dieser Ansatz wird damit Geschäftsprozessen gerecht, die ohne Einbeziehung der IT mittlerweile undenkbar wären. Die Standards verbindet über die gemeinsame Grundstruktur hinaus, dass sie den risikobasierten Ansatz, sprich den richtigen Umgang mit Risiken und Chancen verfolgen. Auch andere Disziplinen, wie das IT Service Continuity Management (ITSCM), legen das Risiko in den Fokus der Betrachtung und können im interdisziplinarischen Verbund die Resilienz von Unternehmen und ihren IT-Abteilungen stärken. Getreu dem Motto: Das Ganze ist mehr als die Summe seiner Teile.