Was ist geschäftliche Resilienz?
„Geschäftliche Resilienz“ bezeichnet ein Unternehmen, das sich an unerwartete Störungen anpassen kann, ohne den Betrieb zu unterbrechen, und dabei die Sicherheit seiner Mitarbeitenden, Vermögenswerte und den Ruf der Marke gewährleistet.
Definition von geschäftlicher Resilienz
„Geschäftliche Resilienz“ bezeichnet ein Unternehmen, das sich an unerwartete Störungen anpassen kann, ohne den Betrieb zu unterbrechen, und dabei die Sicherheit seiner Mitarbeitenden, Vermögenswerte und den Ruf der Marke gewährleistet.
Ein Plan für geschäftliche Resilienz unterscheidet sich von einem Disaster-Recovery-(DR)- und Business-Continuity-Plan. Geschäftliche Resilienz bedeutet, nach einem Ereignis Strategien bereitzuhalten, um kostspielige Ausfallzeiten zu vermeiden, Schwachstellen zu stärken und den Geschäftsbetrieb auch bei künftigen unvorhergesehenen Vorfällen aufrechtzuerhalten. Im modernen Kontext umfasst geschäftliche Resilienz auch, regulatorische Änderungen, Cyberangriffe und technologische Fortschritte in den Planungsprozess eines Unternehmens einzubeziehen.
Geschäftliche Resilienz wird zunehmend wichtiger, da die Unvorhersehbarkeit globaler Ereignisse häufiger geworden ist. Unternehmen sollten ihre Organisationen proaktiv gegen unerwartete Störungen schützen und für Worst-Case-Szenarien planen. Unternehmen müssen Pläne entwickeln, um Störungen schnell zu erkennen und zu beheben, die Auswirkungen von Ereignissen auf den Geschäftsbetrieb zu bewerten und Strategien zur Minderung dieser Störungen zu erstellen.
Digitale Transformation steht im Zentrum geschäftlicher Resilienz, da Unternehmen agiler werden und auf jede Bedrohung reagieren können. Fortschrittliche Analysen unterstützen Unternehmen zudem im Planungsprozess, indem sie Einblicke liefern und ein besseres Verständnis des Risikoumfelds ermöglichen.
Dieses Glossar definiert geschäftliche Resilienz im modernen Kontext und skizziert die Schritte, die Unternehmen unternehmen sollten, um einen Plan für geschäftliche Resilienz zu erstellen und umzusetzen. Außerdem werden zentrale Technologien erläutert, die Organisationen dabei unterstützen können, resilienter zu werden, sowie Möglichkeiten, wie Unternehmen ihre Resilienz messen können.
Nach der Lektüre dieses Artikels sollten Sie ein solides Verständnis von geschäftlicher Resilienz haben und in der Lage sein, mit der Erstellung Ihres eigenen Resilienzplans zu beginnen.
Was ist geschäftliche Resilienz?
Geschäftliche Resilienz ist die Fähigkeit eines Unternehmens, disruptive Ereignisse zu antizipieren, sich darauf vorzubereiten, darauf zu reagieren und sich davon zu erholen. Sie ermöglicht es Unternehmen, Risiken im Zusammenhang mit potenziellen Störungen und Schwachstellen besser zu managen.
Damit Organisationen unerwarteten Ereignissen standhalten können, ist es wichtig, Geschäftsprozesse und die Standardisierung von Workflows zu priorisieren. Eine Herausforderung bei der Planung geschäftlicher Resilienz besteht darin, Mitarbeitende darauf vorzubereiten, in chaotischen Situationen angemessen zu reagieren.
Ein Plan für geschäftliche Resilienz ist dasselbe wie ein Business-Continuity-Plan (BCP). Resilienz wird durch mehrere Bereitschaftsansätze erreicht, etwa durch Disaster Recovery für Technologie, Krisenmanagement, Risikomanagement und Incident Management.
Geschäftliche Resilienz umfasst mehrere Aspekte der Gesamtresilienz, darunter organisatorische, operative, Cyber- und Lieferkettenresilienz. Diese breitere Definition unterstreicht die Bedeutung von Resilienz für Unternehmen, Regierungen und andere Organisationen.
Die Bedeutung der Planung geschäftlicher Resilienz
Organisationen müssen mehr tun, als nach einer Naturkatastrophe oder einem Cyberangriff lediglich den Betrieb und kritische Anwendungen wiederherzustellen. Sie müssen darauf vorbereitet sein, sich an veränderte Umstände anzupassen. Die COVID-19-Krise hat diesen Bedarf verdeutlicht, da Unternehmen sich schnell an neue Arbeitsumgebungen anpassen mussten, darunter Remote-Arbeit und hybride Arbeitsmodelle.
Von Organisationen wird von ihren Aktionären und Stakeholdern erwartet, dass sie betriebsfähig bleiben und am Markt bestehen, sofern nicht außergewöhnliche Umstände wie Fusionen dies unmöglich machen. Selbst wenn das Unternehmen Gefahr läuft, von einem disruptiven Ereignis betroffen zu sein, wird erwartet, dass es seinen Betrieb fortsetzt.
Deshalb ist die Planung geschäftlicher Resilienz so wichtig. Sie ermöglicht es Unternehmen, potenzielle Störungen zu antizipieren, sich darauf vorzubereiten und schnell zu reagieren, sich zu erholen und sich an neue Bedingungen anzupassen.
Checkliste für einen Plan zur geschäftlichen Resilienz
Dies sind die verschiedenen Elemente, die in einem Plan zur geschäftlichen Resilienz enthalten sind:
- Analyse der potenziellen Auswirkungen auf das Unternehmen
- Bewertung potenzieller Risiken
- Management identifizierter Risiken
- Testen und Üben von Notfallverfahren
- Erstellung eines Plans für die Kommunikation in Notfällen
- Entwicklung eines Business-Continuity-Plans (BCP)
- Entwicklung eines Disaster-Recovery-Plans (DR)
- Erstellung eines Incident-Response-Plans (IRP)
- Erstellung eines umfassenden Notfallmanagementplans
Obwohl jede Komponente unabhängig funktionieren kann, wirken sie zusammen, um einen Rahmen für die Entwicklung eines umfassenden Resilienzplans zu schaffen.
Die Definition des Zielzustands der Organisation nach Abschluss der Wiederherstellungs- und Wiederaufnahmeprozesse ist entscheidend, um geschäftliche Resilienz sicherzustellen. Allein die Wiederaufnahme des Betriebs bedeutet nicht zwangsläufig, dass sich das Unternehmen vollständig erholt hat. Daher ist es wesentlich, festzulegen, was Resilienz für die Organisation bedeutet, um nach einem Vorfall den gewünschten Zielzustand zu erreichen.
So erstellen Sie einen Plan zur geschäftlichen Resilienz
Sie können einen Plan zur geschäftlichen Resilienz erstellen, indem Sie Ihr bestehendes Business-Continuity-Management, Disaster Recovery und andere Pläne zusammenführen. Sehr wahrscheinlich werden viele der in diesen Plänen enthaltenen Aufgaben in den Resilienzplan übernommen.
Im Folgenden finden Sie vier zentrale Schritte in einem Plan zur geschäftlichen Resilienz:
- Legen Sie fest, wie die Organisation nach einem ungeplanten Ereignis funktionieren soll.
- Definieren Sie, wie sie das Potenzial für einen Vorfall antizipiert und sich darauf vorbereitet.
- Finden Sie alternative oder vorübergehende Möglichkeiten, den Geschäftsbetrieb aufrechtzuerhalten.
- Bestimmen Sie, wie die Unternehmenskultur die Erholung des Unternehmens beeinflusst.
In den aktuellen Resilienzstandards gibt es keine spezifischen Frameworks, die die Entwicklung von Resilienzplänen vorgeben. Stattdessen benennen sie vor allem die Komponenten, die in einem umfassenden Plan enthalten sein müssen.
Das bedeutet, dass Organisationen ihren Resilienzbedarf bewerten und einen auf sie zugeschnittenen Plan erstellen müssen.
So wählen Sie eine verantwortliche Person für geschäftliche Resilienz aus
Viele Organisationen haben Schwierigkeiten zu entscheiden, wer die Leitung der Aktivitäten im Management geschäftlicher Resilienz übernehmen sollte. Einige verfügen über eigene Abteilungen für Business Continuity und Disaster Recovery (BCDR), während andere diese Verantwortlichkeiten Führungskräften in unterschiedlichen Bereichen wie IT, Recht, HR, Top-Management, Compliance, Risikomanagement, Notfallmanagement und Facility Management zuweisen.
Bundesbehörden müssen zwei Bundesstandards einhalten:
- Federal Continuity Directive 1 (FCD 1)
- Federal Continuity Directive 2 (FCD 2)
Die Befolgung dieser Richtlinien hilft Behörden, Pläne zur Aufrechterhaltung des Betriebs zu entwickeln und resilienter zu werden.
Die Einhaltung von FCD 1 und 2 ist für die meisten Bundesbehörden erforderlich, insbesondere für diejenigen der Exekutive. In der Regel sind Verwaltungseinheiten dafür verantwortlich, die Einhaltung der FCD sicherzustellen, auch wenn dies je nach Behörde variieren kann.
Standards und Richtlinien zur geschäftlichen Resilienz
Zwei Standards definieren Resilienz und zeigen Wege auf, sie zu erreichen:
ASIS SPC.1-2009 bietet den umfassendsten Satz an Richtlinien und Best Practices für das Design und die Entwicklung sicherer Systeme. Der Standard gibt Hinweise zu einer Vielzahl von Themen, darunter Authentifizierung, Autorisierung, Verschlüsselung, Datenintegrität, Datenschutz, sichere Coding-Praktiken, sichere Softwarearchitektur und Designprinzipien, Härtung der Infrastruktur sowie Monitoring der Systemsicherheit.
Durch die Befolgung der in ASIS SPC.1-2009 bereitgestellten Leitlinien können Organisationen sichere Systeme entwickeln, die ihre Daten und Anwendungen vor böswilligen Akteuren schützen. Und durch die Umsetzung dieser Best Practices können Organisationen die Einhaltung von Branchenvorschriften und Standards wie PCI DSS und HIPAA sicherstellen.
ISO 22316:2017 bietet Leitlinien für die Entwicklung eines organisatorischen Rahmens zur Aufrechterhaltung der Informationssicherheit. Dieser Standard beschreibt die vier Kernprinzipien eines robusten Sicherheitsprogramms: Organisation und Governance, sicheres Design und Architektur, operative Wirksamkeit sowie Nachhaltigkeit. Diese Kernprinzipien bieten einen umfassenden Ansatz für das Design, den Aufbau und den Betrieb sicherer Systeme, die vor Datenlecks, böswilligen Akteuren, Betrug und anderen Cybersicherheitsrisiken schützen.
Durch die Befolgung der in ISO 22316:2017 bereitgestellten Leitlinien können Organisationen sichere Systeme entwerfen und betreiben, die ihre Daten, Anwendungen und Infrastruktur vor böswilligen Akteuren schützen. Dieser Standard bietet außerdem Leitlinien zur Schaffung eines organisatorischen Rahmens, der auf langfristige Tragfähigkeit ausgelegt ist und fortlaufend Sicherheit und Compliance gewährleistet.