Mit der Corona-Pandemie hat der Begriff «Resilienz» für Unternehmen eine neue und viel grössere Bedeutung bekommen. Die Geschäftstätigkeit auch in einer Krisensituation aufrechterhalten zu können, ist von einem hypothetischen zu einem sehr realen Szenario geworden.
Die Covid-19-Krise hat deutlich gezeigt, dass es sich heute kaum mehr ein Unternehmen oder eine Behörde erlauben kann, Services nicht aufrechtzuerhalten, nur weil die Mitarbeitenden von zuhause aus arbeiten. Die Infrastrukturen, die das Arbeiten von zuhause aus ermöglichen, haben sich zu einem kritischen Backbone der Wirtschaft entwickelt: Ohne funktionierende Remote-Verbindung lässt sich die Verfügbarkeit der Geschäftsanwendungen nicht mehr sicherstellen.
Je fortgeschrittener die Digitalisierung, desto wichtiger die IT-Resilienz
Während sich das Management auf die Digitalisierung des Geschäfts konzentriert, da hier Kosteneinsparungen winken, bleibt die IT-Resilienz oft auf der Strecke. Das ist heikel, denn gerade mit der zunehmenden Digitalisierung entwickeln sich Verfügbarkeit und Stabilität der Services zum entscheidenden Erfolgsfaktor.
Das Geschäft weiterzuentwickeln und Innovation zu fördern, sind wichtige Voraussetzungen, um den Erfolg am Markt zu sichern. Daneben dürfen aber die bestehenden Infrastrukturen nicht vernachlässigt werden, damit Kundinnen und Kunden die Services unterbruchsfrei nutzen können.
Mit der Komplexität steigt die Anfälligkeit auf Störungen
Die Digitalisierung macht Unternehmen aller Grössen und Branchen abhängiger, weil mit den heutigen Möglichkeiten, zum Beispiel der Einbindung von Cloud Services, die Komplexität der IT-Systeme zunimmt. Das Risiko einer Störung oder eines Ausfalls steigt exponentiell. Im Widerspruch dazu steht, dass in den meisten Unternehmen die IT-Kosten gesenkt werden sollen. So sind nicht nur laufend Effizienzsteigerungen erforderlich. Es fehlen auch die Zeit und das Geld für notwendige Investitionen in die Informationssicherheit, Vertraulichkeit, Verfügbarkeit und Integrität der Applikationen – obwohl sich kaum ein Unternehmen einen Ausfall eines oder mehrerer IT-Systeme leisten kann.
Mangelhafte IT-Resilienz kann existenzbedrohend sein
Untersuchungen zeigen: Fallen die IT-Systeme bei einem Unternehmen mit weniger als 500 Mitarbeitenden während einer Stunde aus, beläuft sich der Schaden auf mindestens 20'000 Franken. Bei einem Unternehmen mit mehr als 500 Mitarbeitenden steigt das Schadensausmass exponentiell.
Störungen und Ausfälle sind nicht nur ärgerlich, sondern können sich zur existenziellen Bedrohung entwickeln. Ein bekanntes Beispiel sind Krypto-Trojaner und Ransomware, d.h. wenn sich ein Angreifer durch einen gefälschten E-Mail-Zugriff Daten verschafft, diese verschlüsselt und vom Unternehmen Geld für die Freigabe erpresst.
Über Störungen und Ausfälle von IT-Systemen wird wenig bis gar nicht öffentlich berichtet. Als Kunde erfahren wir in der Regel davon, wenn eine Fehlermeldung erscheint wie «Aufgrund eines technischen Problems steht der Service leider im Moment nicht zur Verfügung. Unsere Spezialisten arbeiten mit Hochdruck an der Lösung.»
Wie sich die Widerstandsfähigkeit stärken lässt
Mit der zunehmenden Digitalisierung kommen Unternehmen nicht mehr umhin, IT-Resilienz zu einem Management-Thema zu machen. Das Thema ist per se nicht unendlich komplex, die notwendige Kompetenz muss sich indes über die Zeit entwickeln.
IT-Resilienz ist in der Regel nicht mit einer technischen Einzelmassnahme wie Backup-Rechner, Backup in der Cloud oder ausfallsicherem Storage zu erreichen. Es geht dabei vielmehr darum, sich einen Überblick über die Geschäftsprozesse, deren Prioritäten, die möglichen Auswirkungen von Störungen auf Kunden, die Produktion und die Administration (siehe BCM) zu verschaffen.
Bei der Betrachtung der einzelnen Services hinsichtlich Business Continuity Management (BCM) und IT-Resilienz ist es wichtig, sich nicht nur auf die technische Perspektive zu beschränken. Wohin der Investitionsfranken fliessen soll, hängt auch vom Nutzer der Services ab, der Business generiert. Anders gesagt: Jeder in die IT-Resilienz investierte Franken sollte den grösstmöglichen Geschäftsnutzen schaffen.
Werden die Produktmanager in die Thematik einbezogen, ergeben sich erfahrungsgemäss immer wertvolle Diskussionen, die zu einem gemeinsamen Verständnis von Business und IT führen, welche Applikationen respektive welcher Service Nutzen für das Unternehmen schafft. Applikationen, die über einen bestimmten Zeitraum in Betrieb sind, werden in der Regel weniger weiterentwickelt. Dabei laufen sie Gefahr, dass sie überaltern und sich aus Sicht der IT-Resilienz zu einem Risiko entwickeln. Eine frühzeitige Planung, Re-Engineering oder gar die Ablösung von Applikationen hilft dabei, das Geld gezielt zu investieren.
Wo ansetzen?
Als Einstiegspunkt in IT-Resilienz nach TechDebt (Technische Schuld) hat sich der Aufbau einer strukturierten Risikoanalyse bewährt, damit sich die Verantwortlichen der operativen Risiken bewusst werden. Dabei lassen sich einfach Risikobereiche bilden und einem Verantwortlichen zuweisen, der risikomindernde Massnahmen plant und umsetzt.
Werden die Risiken nach Wahrscheinlichkeit und potenziellem Schaden kategorisiert, können die definierten Massnahmen recht einfach nach Kosten und Wirkung priorisiert werden. Natürlich muss der Risikokatalog nach einem zu definierenden Prozess periodisch überprüft und an die aktuellen Verhältnisse angepasst werden.
Ein widerstandsfähiger IT-Betrieb ist nicht nur eine Management-Aufgabe, sondern ein unternehmensweites Thema. IT-Resilienz ist ein zu etablierender Prozess, der von der Unternehmensleitung periodisch angestossen werden und auf allen Ebenen in die Kultur des Unternehmens einfliessen muss.