Bisher hat das Thema Business Continuity nur wenig Aufmerksamkeit erregt, doch das ist in Zeiten wie diesen anders.

Selbst Unternehmen mit vorausschauender Planung entdecken Schwachstellen, die durch die rasche Verbreitung des neuartigen Coronavirus (SARS-CoV-2) und die damit verbundene globale Pandemie offengelegt werden. Wohl kaum jemand hätte mit dem gewaltigen Ausmaß und der Geschwindigkeit der Disruptionen gerechnet, die zur Fragmentierung globaler Lieferketten oder Ausgangssperren geführt und aus Unternehmensmitarbeitern quasi über Nacht eine Remote-Belegschaft gemacht haben.

Welche Lektionen können Unternehmen jetzt daraus lernen, die ihnen helfen, sich auf noch mehr Ungewissheit in der nahen und fernen Zukunft vorzubereiten? So beunruhigend die aktuellen Ereignisse auch sein mögen – jetzt ist es für Unternehmen an der Zeit, ihre Ausfallsicherheit zu verbessern. Die Geschichte zeigt, dass Pandemien wie COVID-19 in Schüben auftreten; es ist also von weiteren Disruptionen auszugehen.

Aus unserer Erfahrung in der Business-Continuity-Planung und -Vorbereitung wissen wir, dass es eine Reihe von Maßnahmen gibt, die Unternehmen jetzt einleiten können:

  • Risikobewertungsanalyse: Bei dieser Analyse handelt es sich um eine Untersuchung, anhand derer Unternehmen ermitteln können, welche ihrer Prozesse und Ressourcen für den Kernzweck des Unternehmens entscheidend sind – ähnlich wie bei der Triage von Patienten in einem Krankenhaus. Ohne diese Grundlage wird das Unternehmen im Fall einer Verschlimmerung der Krise nicht wirklich wissen, auf was es seine Ressourcen konzentrieren soll.
  • Befehlskettenplanung: Jedes Unternehmen sollte zudem ein Krisenmanagementteam einrichten und in allen kritischen Bereichen eine Befehlskette festlegen. In gewöhnlichen Zeiten ist es üblich, dass ein Vorstand für wichtige Führungskräfte eine Nachfolgeplanung aufstellt. Die Einrichtung einer Befehlskette reicht weiter und tiefer in das Unternehmen hinein, denn es werden Personen ausgewählt, die funktionale Schlüsselrollen einnehmen sollen. Auf diese Weise können Unternehmen in Situationen wie der aktuellen, in der viele Personen unter Umständen plötzlich nicht mehr zur Verfügung stehen, Führungslücken vermeiden.
  • Überwachungs- und Maßnahmenkoordination: Weltweit tätige Unternehmen sollten auch prüfen, wie sie Warnungen überwachen und darauf reagieren. Während einer Pandemie, bei der umfassende Störungen möglich sind, kann die Aktivierung eines Kontinuitätsplans auf der Grundlage des frühesten auslösenden Ereignisses dem Unternehmen helfen, Ressourcen zu sichern, die für den Betrieb entscheidend sind und deren Sicherung bei sich verschlechternden Bedingungen schwieriger werden könnte. Wenn Büros, Callcenter oder andere gemeinsam genutzte Einrichtungen geschlossen oder verlegt werden müssen, kann er auch dazu beitragen, die Mitarbeiter vorzubereiten, um Störungen zu minimieren. In diesem Zusammenhang sei darauf hingewiesen, dass viele Unternehmen Kontinuitätsvereinbarungen mit Serviceanbietern eingehen, die auch Vorkehrungen für Remote-Büroumgebungen vorsehen, die in Notfällen genutzt werden können. Dabei kann es sich um spezielle Einrichtungen oder gemeinsam mit anderen Mietern genutzte Räume handeln. In Situationen wie der aktuellen können Unternehmen, die Verträge für spezielle Einrichtungen abgeschlossen haben, auf diese Ressource zurückgreifen. Gemeinsam genutzte Einrichtungen wären im Fall einer Pandemie nicht nur weniger attraktiv, sondern könnten auch schlicht nicht verfügbar sein.
  • Überlegungen zur Cybersicherheit: Unternehmen sollten in jeder Krise auf einen Anstieg einhergehender Bedrohungen wie beispielsweise Cyberangriffen vorbereitet sein. Laut Schätzungen des DXC Global Threat Intelligence Report vom April nutzt ein Anteil von 80 Prozent der aktuellen Bedrohungen COVID-19 als Hintergrund für einen Angriff. Besonders gefährdet sind Unternehmen, die sehr plötzlich zu Remote-Arbeitsumgebungen gewechselt sind. Mitarbeiter, die daran gewöhnt sind, in einer geschützten Unternehmensumgebung zu arbeiten, sind das Ziel ausgeklügelter Phishing-Angriffe und anderer Machenschaften, die darauf abzielen, Zugangsdaten zu stehlen und in Unternehmenssysteme einzudringen. Die Mitarbeiter über diese Gefahren aufzuklären ist ein wichtiger Schritt, der verhindern kann, eine schon schwierige Situation noch zu verschlimmern.
  • Disaster-Recovery-Planung: In ähnlicher Weise sollten Unternehmen auch ihre Desaster Recovery-Pläne überdenken, einschließlich der Schritte, die sie unternommen haben, um „Gold Images“ zu erstellen – Kopien kritischer Daten und Anwendungen, die remote und offline gesichert werden. Im Falle einer Kompromittierung bilden diese geschützten Daten die zentrale Komponente der Desaster-Recovery-Planung für das Rechenzentrum und können zur Wiederherstellung von Produktionssystemen und beschädigten Daten verwendet werden.

In der gegenwärtigen Zeit gibt es noch viele unbekannte Faktoren, und einige Unternehmen könnten den Eindruck haben, sie müssten sich ganz auf das grundlegende Überleben konzentrieren. Aber es lohnt auch, sich ein wenig Zeit zu nehmen, um zu überlegen, welche Antwort Ihr Unternehmen auf eine einfache, zukunftsweisende Frage hat: Was könnte als Nächstes passieren?