Unternehmensresilienz bringt Menschen zusammen

Im Rahmen der Cybersicherheitsdebatte wird vermehrt von «Business Resilience» gesprochen. Was versteht man genau darunter?

Das Prinzip stammt aus der Wirtschaftstheorie und beschreibt die Fähigkeit von Unternehmen, auf Störungen und Bedrohungen zu reagieren. Dabei geht es nicht nur darum, einfach zu überleben – sondern auch in einem anspruchsvollen Umfeld weiter zu gedeihen. Das ist deshalb entscheidend, weil das heutige Wirtschaftsumfeld reich an Risiken ist: Die Bandbreite reicht von Cyberangriffen bis hin zu globalen Pandemien. Angesichts solcher Ereignisse die eigene Geschäftskontinuität sicherstellen zu können, ist ein wesentlicher Aspekt von Business Resilience. Bei Aveniq gehen wir in diesem Zusammenhang über das traditionelle Sicherheitsdenken hinaus und streben für uns selbst sowie unsere Kunden einen proaktiven Umgang mit Risiken an. Wir wollen uns also nicht nur an Risiken anpassen, sondern aus schwierigen Situationen gestärkt hervorgehen. Hierfür ist es essenziell, dass man sich sowohl der langfristigen Risiken als auch der plötzlich auftretenden Gefahren bewusst ist.

Welche Aspekte umfasst denn ein ganzheitlicher Business-Resilience-Ansatz?

Hier steht klar das Risikomanagement im Fokus. Organisationen müssen sich stets überlegen, wie gross die Wahrscheinlichkeit eines Angriffs ist und entsprechende Szenarien bedenken: Wie lange kann ich beispielsweise ohne IT überleben? Oder wie adressiere ich ein plötzliches Lieferkettenproblem? Die ehrliche und transparente Beantwortung solcher Fragen hat viel mit Resilienz zu tun. Orientierung liefern auch internationale Standards, unter anderem zwei ISO-Normen. Entscheidend ist ferner, dass einzelne Massnahmen und Teilaspekte nicht losgelöst im luftleeren Raum stehen, sondern wie Puzzlestücke ineinandergreifen. Auch Business Resilience an sich sollte nicht als alleinige Sache angesehen werden, sondern muss vielmehr Teil einer lebendigen Firmenkultur sein. Wir erachten Business Resilience als einen Zyklus, bestehend aus den Elementen «Vorbereitung und Analyse», «Vorsorge», «Schutz», «Reaktion» sowie «Regeneration». Diese Elemente bilden die Blaupause dafür, wie Unternehmen gestärkt aus Krisen hervorgehen können.

Wie unterstützen Sie Unternehmen bei der Konzeption und Umsetzung eines umfassenden Business-Resilience-Frameworks?

Am Anfang der Zusammenarbeit steht eine umfassende Unternehmensanalyse, ein Assessment. Auf diese Auslegeordnung folgt eine Impact- und Risikoanalyse. Hier geht es um Fragen wie: Welche Aspekte müssen und wollen wir dringend schützen? Welche Risiken betreffen uns am wahrscheinlichsten? Wie steht es um unsere Lieferkette – und lagern wir auch Daten in der Cloud? Diese Informationen helfen uns dabei, potenzielle Sicherheitslücken zu identifizieren und Massnahmen zu entwickeln, die sie direkt adressieren. Unter anderem entstehen dabei konkrete Notfall- und Reaktionskonzepte, die wir im Rahmen einer ganzheitlichen Business-Resilience-Strategie zusammenbringen. Wir verfolgen dafür einen agilen «Business Resilience as a Service»-Ansatz, wodurch wir Kundinnen und Kunden die Schwarmintelligenz unserer Teams bedarfsgerecht zur Verfügung stellen.

Können Sie uns die konkreten Vorzüge dieses Ansatzes erläutern?

Ein grosser Vorteil dieses Vorgehens besteht darin, dass auf diese Weise pragmatische Konzepte entstehen – und keine Papiertiger. Denn bereits bei der Analyse regen wir erste Handlungen an und ergreifen Sofortmassnahmen. Anschliessend begleitet Aveniq Unternehmen nicht nur auf der methodischen Ebene, sondern auch auf der operativen.

Welche Rolle spielen Führungskräfte von Unternehmen für eine erfolgreiche Entwicklung und Umsetzung von Business-Resilience-Strategien?

Eine wesentliche! Denn sie stehen für die Haltung und Kultur des jeweiligen Betriebs. Sowohl die Firma als auch ihre Leader müssen agil unterwegs sein und schnell auf Veränderungen reagieren können. Dabei steht gar nicht die fachliche Massnahmenumsetzung im Vordergrund, sondern das Fällen von Leit-Entscheidungen, welche wiederum die Fachabteilungen zum Handeln befähigen. Darum setzen wir als Business-Resilience-Partner bewusst beim C-Level an. Doch natürlich beschränken wir uns nicht auf diese Hierarchiestufe, sondern schaffen auch Awareness in der Belegschaft. Denn klar ist: Ein schleichendes oder abrupt eintreffendes Cybersecurity-Problem wird wahrscheinlich nicht zuerst vom CEO erkannt, sondern von einer Mitarbeiterin oder einem Mitarbeiter. Nur wenn die Angestellten Achtsamkeit an den Tag legen und wissen, was im Notfall zu tun und wer zu alarmieren ist, kann die angesprochene Agilität erreicht werden. Hierfür setzen wir auf Schulungen zur Vermittlung einer Business-Resilience-Kultur über alle Abteilungen hinweg.

Und welche Technologien und Lösungen bieten Sie an, um die Business Resilience Ihrer Kunden zu stärken?

Gerade im Feld der Cybersicherheit verfügen wir als IT-Dienstleisterin über modernste Technologien, die wir für unsere Kundschaft einsetzen. Doch Business Resilience geht über diese Aspekte hinaus und ist daher nicht wirklich eine Tool- oder Technologiefrage. Wie gesagt, sollten vor allem die getroffenen Massnahmen ineinandergreifen, wie bei einem Uhrwerk. Zu diesem Zweck muss man das «Gärtchen-Denken» aufbrechen und abteilungsübergreifende Kooperationen anregen. Das Zusammenbringen von Menschen steht immer im Fokus der Resilienz.

Können Sie Beispiele nennen, bei denen die Vernachlässigung eines bestimmten Aspekts der Business Resilience zu Problemen geführt hat?

Bei unseren Kunden führen wir unter anderem konkrete Penetrationstests durch, mit denen wir die Reaktion auf reale Vorkommnisse testen. Dabei fällt immer auf, dass elementare Bausteine fehlen. Vor allem, wenn keine Incident Response definiert wurde, wird es im Ernstfall schnell kritisch. Viele Betriebe wiegen sich in der falschen Sicherheit, dass ihnen nicht zustossen wird. Doch bei Cyberangriffen geht es nicht mehr um die Frage, ob man betroffen sein wird – sondern wann. Und gerade bei Ereignissen wie Ransomware-Angriffen ist es entscheidend, wie man in den ersten 15 bis 20 Minuten reagiert. Ein Beispiel ausserhalb der Cybersicherheit betrifft die Strommangellage, die viele Unternehmen im Jahr 2022 umtrieb.

Welche Schwierigkeiten ergaben sich daraus?

Ein grosses Schweizer Spital stellte sich die Frage, wie es den eigenen Betrieb trotz Strommangel aufrechterhalten könnte. Die scheinbar einfache Lösung bestand darin, bei Bedarf die Notstromaggregate anzuwerfen. Doch die Spitalleitung versäumte es, einen Krisenplan aufzustellen und diesen mit den anderen Abteilungen und Partnerbetrieben zu teilen. Hier wurde nicht über bestehende Schnittstellen hinausgedacht, was im Ernstfall ein Scheitern des Vorhabens hätte bedeuten können. Kommunikation ist ein wesentliches Element von Business Resilience.

Wie unterstützt die Aveniq ihre Kunden in einem Ernstfall?

Wie schon angesprochen, stellen wir Unternehmen die Schwarmintelligenz unserer verschiedenen Teams zur Verfügung. Unter anderem können wir sogar die Rolle des Stabchefs stellen – der Person also, die im Ernstfall den Krisenstab managt und die fristgerechte Massnahmenumsetzung der Fachbereiche koordiniert. Denn dies kann im Ernstfall für ungeübte Personen schnell überwältigend werden. Ferner treten wir während eines Vorfalls bedarfsgerecht als Sparringpartner auf, ziehen den roten Faden durch die Prozesse und agieren als Coach. Fällt eine Mitarbeiterin oder ein Mitarbeiter im Krisenstab aus, können wir diese zwar ersetzen, streben aber primär eine Hilfe zur Selbsthilfe an. Und da Aveniq nicht nur Beratung anbietet, sondern auch Managed Services, sind wir oft auch eine kritische IT-Dienstleisterin von Unternehmen und können unsere technischen Kompetenzen ebenfalls einbringen.

Und wie stellen Sie sicher, dass aus einem Sicherheitsvorfall die richtigen Lehren gezogen werden?

Nach der Krise ist vor der Krise. Gemäss diesem Credo schauen wir im Nachgang, welches Optimierungspotenzial wir für künftige Situationen nutzen können. Wir betrachten gemeinsam mit den Unternehmensverantwortlichen die möglichen Lektionen, die sich aus dem Vorfall ziehen lassen, um die künftigen operativen Prozesse zu verbessern. Zudem folgt nach jedem Vorfall oder jeder Übung im Sinne des Zykluselements «Regeneration» ein umfassendes Debriefing. Was waren die Stärken der Situationsbewältigung, wo lagen ihre Schwächen? Konnten die definierten Pläne genutzt werden? Wie war die Kommunikation zwischen Krisenstab und den anderen Stakeholdern? Solche und weitere Kernfragen stehen im Fokus, wobei eine offene Feedbackkultur wesentlich ist, um Reflexion und damit Optimierung zu ermöglichen.

Wie bewerten Sie die Entwicklung von Business Resilience mittel- bis langfristig und welche Rolle wird Künstliche Intelligenz dabei spielen?

Business Resilience ist im Kern Risikomanagement. Aus diesem Blickwinkel erkennt man, dass KI ein zweischneidiges Schwert ist. Einerseits wird die Technologie zunehmend von Angreifern genutzt, doch sie bietet auch Chancen für die Erhöhung von Resilienz. Wir werden letztlich passende Methoden im Rahmen einer ganzheitlichen Business Resilience entwickeln müssen, um den grössten Nutzen aus der Technologie zu ziehen und gleichzeitig ihr Gefahrenpotenzial zu minimieren.