Von der Störung zur unternehmensweiten Resilienz

Führungskräfte und die mangelnde Awareness


Von der Störung zur unternehmensweiten Resilienz: Führungskräfte und die mangelnde Awareness Comment

Jüngst wütete der Trojaner "WannaCry" in der digitalen Welt. Die Folge waren unzählige infizierte Rechner weltweit, nicht mehr funktionierende Infrastrukturen von Krankenhäusern und der Bahn sowie eine Autoproduktion, die im Nachbarland Frankreich empfindlich gestört war. Der Fall zeigt wie verwundbar unsere digitale und eng vernetzte Welt ist. Cyberangriffe, Spionage oder einfach nur Unachtsamkeit von Führungskräften und Mitarbeitern setzen der Politik, dem öffentlichen Sektor, Wirtschaft und Wissenschaft mächtig zu. Die Bandbreite der möglichen Einfallstore für digitale Provokateure, Hacker und Diebesbanden – ganz gleich ob von Staaten gelenkt oder aus dem Wirtschaftsumfeld kommend – sind vielfältig. Ein kritischer Faktor für Organisationen, weil die Geschäftsgrundlage vieler Firmen auf digitalen und zugleich wackeligen Beinen steht. Das Fatale: ein einzelner Klick auf den falschen Anhang eines Mitarbeiters genügt, um ein ganzes Firmenimperium in Schieflage zu bringen. Das müssen Firmenlenker wissen. Doch sie wissen es meist nicht besser.

Führungskräfte und die mangelnde Awareness

Freitag, im Mai 2017: Speisewagen der Bahn. Fahrt Richtung Linz, Österreich. Der Zug ist voll. Trubel, Bestellungen und Kellner im Gastronomiebereich. Plötzlich wird es laut. Am Tresen ein Geschäftsmann mit Feierabendbier. Kein Grund zur Sorge, würde er nicht lauthals über den heutigen Termin in München am Smartphone inklusive aller Details schwadronieren – sprich Firmennamen, die beteiligten Personen, das Budget sowie die folgenden Schritte und Ziele. "Setzen sechs", denkt man sich bei einem solchen Verhalten. Und doch ist das Ganze kein Einzelfall. Ein Blick auf Zugnachbars Laptop, ein offenes Ohr am Bahnsteig oder in der U-Bahn genügt, um teils wichtige Geschäftsinformationen frei Haus geliefert zu bekommen.

An dieser Stelle zeigt sich, dass die Sensibilität (Awareness) vieler Führungskräfte im Umgang mit wichtigen Informationen nicht zur Kerndisziplin gehört. Mehr noch, sind Entscheider damit kein gutes Beispiel für die eigenen Mitarbeiter. Vor allem, wenn sie sich nicht an die selbst beschlossenen Spielregeln zur Informationssicherheit halten oder die Abmachungen beim Verlassen der Firma in selbiger vergessen.

Erklären, Aufklären und Vermitteln

Die Chefetagen müssen genau hinschauen, was sich in der eigenen Organisation verbirgt. Stimmt die Firmenkultur mit den digitalen Herausforderungen unserer Zeit überein? Wie und wo gibt es Verbesserungspotenzial bei den geliebten Prozessen? An welchen Stellen müssen die Mitarbeiter umfassend mit ins Boot? Und werden diese überhaupt verstanden und verstehen sie die eingeschlagene Marschrichtung der Unternehmung und ihrer strategischen Ausrichtung?

Fragen, die Entscheider nicht einfach beantworten können. Aber für die sie Lösungswege bereitstellen sollten. Leitplanken, an denen sich Mitarbeiter orientieren können. Erklären, Aufklären und Vermitteln. Die Digitalisierung nicht dem Zufall überlassen und vor allem maßvoll begleiten; eine Offenheit, die Mitarbeiter schätzen. Das in vielen Geschäftsberichten und Strategiepapieren hoch und runter beschriebene "Wir-Gefühl" muss erst einmal einen Nährboden – eine Basis – erhalten. Und dafür braucht es die Geschäftsleitung, die diesen Gesamtprozess offen und transparent initiieren sowie begleiten muss.

Die Widerstandsfähigkeit der eigenen Organisation stärken

Die Flughäfen von London bis Frankfurt boten im Mai 2017 ein peinliches Bild. Der Grund: Die Fluglinie "British Airways" hatte aufgrund eines IT-Problems mit massiven Flugausfällen sowie Verspätungen zu kämpfen. Den vielen tausend gestrandeten Passagieren an den Flughäfen dieser Welt dürfte die Ursache für das Chaos relativ egal gewesen sein. Den Verantwortlichen der britischen Airline weniger. Klagen, Entschädigungen und ein großer Imageverlust dürften die Folge sein. Scheinbar gab es weder ein funktionierendes Business Continuity Management (BCM) geschweige denn, dass die Widerstandsfähigkeit der Organisation im Vorfeld getestet wurde. "Organisational Resilienz" heißt das nicht mehr ganz so neue Schlagwort. Hinter Resilienz verbirgt sich nach Definition des Dudens allgemein die "Fähigkeit, schwierige Lebenssituationen ohne anhaltende Beeinträchtigung zu überstehen". Übertragen auf Organisationen geht es also darum, plötzlich auftretende Veränderungen –  sprich Krisen und Chancen – bereits im Vorfeld abzufangen und damit umzugehen. Die Bandbreite ist groß und reicht von der alltäglichen Störung im Unternehmen bis zur weitreichenden Krise – wie eben der genannte Stromausfall. Dass nun der Ausfall des Stroms ein solches Debakel hervorrufen konnte, irritiert. Einerseits bestehen nicht nur in der Luftfahrt klare Regeln, Normen und Standards. Auch sollten Unternehmen, ganz gleich ob in der Luftfahrt oder sonst einer Branche, auf die eigene Widerstandsfähigkeit achten und darauf hinarbeiten. Und das nicht nur aufgrund möglicher finanzieller Folgen und Reputationsschäden. Denn die Sicherheit für Leib und Leben von Mitarbeitern und Kunden steht vielfach auf dem Spiel.

Vom Plan zum Handeln

Im vorliegenden Fall zeigt sich, dass IT-Unterbrechungen ein sensibler Bereich im Luftfahrtgeschäft sind. Übrigens in den meisten Industrie- und Dienstleistungsbereichen. Denn ohne Digitalisierung und Vernetzung würde unsere eng verzahnte Welt nicht mehr funktionieren. Dies gilt es zu beachten, sprich es braucht einen umfassenden Plan, wie mit Krisen aber auch Chancen umzugehen ist. Bestehen Unsicherheiten und Störungen, so muss die Führungsmannschaft den Prozess aktiv steuern. Es braucht einen konkreten Plan, wie im Fall der Fälle schnell gehandelt werden kann. Hierzu ist die klare Kommunikation im Führungsgremium sowie mit den Mitarbeitern unerlässlich. Zudem gilt es bereits im Vorfeld mögliche Schwachstellen in der Organisation zu erkennen und nach Möglichkeit zu beheben. Dass solche Maßnahmen nicht vom Himmel fallen ist klar. Ergo braucht es Schulungen sowie Sensibilisierungsmaßnahmen auf allen Hierarchiestufen – also auch auf der Managementebene. An dieser Stelle können zudem Methoden weiterhelfen. Eine Möglichkeit: Planspiele und Simulationen. Damit lässt sich der Ernstfall proben, die klare Antworten auf die Frage liefern sollte: Was wäre wenn?

Hilfreich ist es zudem, die Schwachstellen in einer Organisation mithilfe von Frühwarnsystemen zu lokalisieren und in die Gesamtplanung einzubeziehen. Vielen negativen sowie positiven Störungen in einem Unternehmen gehen sogenannte Vorläufer voraus. Ein Beispiel: der aktuelle technologische Wandel hin zu digitalisierten Prozessen und Abläufen bedeutet für viele Unternehmen einen Struktur- und Wertewandel – ohne, dass sich die betroffenen Unternehmen vielfach darüber bewusst sind. Aber genau diese Faktoren gilt es früh aufzuspüren und in Prognosen abzuleiten. Mithilfe des Vorgehens erhalten Unternehmen eine klare Vorstellung über die Ursache-Wirkungs-Zusammenhänge für die eigene Organisation.

Es zeigt sich, dass die Definition des Begriffs "Resilienz" hier zu kurz greift. Ein Standard, der sich mit "Organizational Resilience" beschäftigt, hat die beiden Begriffe "Survive and prosper" verwendet, um das Grundprinzip zu beschreiben. Resilienz ist eben nicht nur das "überleben können" einer Störung, eines kritischen Ereignisses. Es geht vielmehr darum, als Organisation Mittel, Wege und Methoden zu haben, um sich in vulnerablen Zeiten durch die vielen Veränderungen zu manövrieren und dabei zu prosperieren.

Es ist kein einfacher Weg von der Behandlung einzelner Störfälle hin zu einer resilienten Organisation, aber ein lohnender, wie die aufgeführten Beispiele zeigen. Dabei zählt vor allem das Unternehmen als Ganzes zu betrachten, Zusammenhänge zu erkennen und vor allem die Mitarbeiter mitzunehmen. So kann durch gezielte und langfristig angelegte Verbesserungen die Widerstandsfähigkeit eines Unternehmens zunehmend erhöht werden. Und das ist im schnelllebigen digitalen Zeitalter von immenser Bedeutung. Wichtig dabei: Organizational Resilience fängt in den Köpfen der Entscheider an!

Autor

Uwe Rühl, Gründer und Gesellschafter der RUCON Gruppe. Die RUCON Gruppe ist ein Beratungs-, Trainings- und Auditspezialist für alle Aspekte der Organizational Resilience (Widerstands- und Innovationsfähigkeit). Diese reichen vom Informationssicherheitsmanagement über das Datenschutzmanagement und Risikomanagement bis zum Business Continuity Management.

Uwe Rühl, Gründer und Gesellschafter der RUCON Gruppe. Die RUCON Gruppe ist ein Beratungs-, Trainings- und Auditspezialist für alle Aspekte der Organizational Resilience (Widerstands- und Innovationsfähigkeit). Diese reichen vom Informationssicherheitsmanagement über das Datenschutzmanagement und Risikomanagement bis zum Business Continuity Management.

[ Source of cover photo: © jdwfoto - Fotolia.com ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.