Organisatorische Resilienz: Deshalb ist sie für die Unternehmens-IT so wichtig

Lesedauer: 10 Minuten | 960 Wörter | Autoren: Dominique Schröder & Dirk Strohbücker

Damit Ihnen der Begriff »Resilienz« begegnet, müssen Sie weder im Untergrund aktiv sein noch das kleine Latinum besitzen. »Resilienz« wird von Psychologen und nun im zunehmenden Maße von Unternehmensberaten sowie IT-Experten verwendet. Das Wort hat seinen Ursprung im lateinischen »resilire« – abprallen. Die naheliegendste Übersetzung in den allgemeinen Sprachgebrauch, wäre »Widerstandsfähigkeit«. Gemeint ist damit die Widerstandfähigkeit gegen externe Stressfaktoren.

Diese Stressfaktoren haben sich im letzten Jahr verdichtet. Die Pandemie hat viele Unternehmen binnen kürzester Zeit gezwungen, die Arbeitsweise seiner Mitarbeiterinnen und Mitarbeiter umzustellen: Remote-Work, Vertrauensarbeitszeiten und flexible Personaleinsatzplanung beherrschten 2020 die Unternehmen und sorgten dafür, dass sich selbst die konservativsten Unternehmen diesen Themen öffnen. Ein wichtiger Schritt, um unter diesen neuen Bedingungen weiter handlungsfähig – resilient –zu sein.

Organisatorische Resilienz – eine Definition

Organisatorische Resilienz (OR) beschreibt die Fähigkeit einer Organisation, auf Veränderungen zu reagieren und sich daran anzupassen. Insbesondere in betrieblichen Stresssituationen, wie Störungen, Notfällen oder gar Krisen, demonstrieren Organisationen mit hoher Resilienz ihre Widerstandsfähigkeit sowie Belastbarkeit. Je besser die Resilienzfähigkeit ausgebaut ist, desto besser kann sie Risiken und Chancen aus plötzlichen und langsam eintretenden Veränderungen erkennen sowie flexibel auf diese reagieren.

Experten bestätigen, dass die meisten Stressfaktoren für Unternehmen im Bereich der IT liegen. Daher wird eine widerstandfähige IT das Digitalsierungs-Überthema der nächsten Jahre sein. Wenig verwunderlich, denn ein Großteil der unternehmenskritischen Geschäftsprozesse ist ohne den Einsatz von IT kaum noch denkbar. Durch die Zunahme von Sicherheitsrisiken gewinnt die Widerstandsfähigkeit einer Organisation und ihrer IT stark an Bedeutung. Gesamtwirtschaftliche Krisen verstärken die Bedrohungslage sowie deren Auswirkungen. Dennoch scheinen einige Unternehmen dem Trend zu trotzen oder gar zu erstarken, während andere wie gelähmt reagieren.

Was führt zur Resilienz im Unternehmen?

Jene Unternehmen, die erstarken, haben die Fähigkeit erworben, nach einer Störung, einem Notfall oder einer Krise weiter oder wieder arbeitsfähig zu sein. Diese Unternehmen zeichnen sich dadurch aus, dass sie über Kapazitätsreserven verfügen und flexibel genug sind, ihre Fähigkeiten an neue Bedingungen anzupassen. Diese Unternehmen haben es also geschafft, auf neue Situationen mit neuen Lösungen zu reagieren. Neue Lösungen sind meist neue Technologien. Erfolgreiche Unternehmen setzen auf eine hybride IT. Diese Unternehmen stellen Teile ihrer IT im eigenen Data Center bereit, der andere Teil wird von Cloud-basierten Services betrieben. Diese Strategie erlaubt es dem Unternehmen, IT-Governance sehr zentralistisch anzugehen. Manche Unternehmen gehen einen Schritt weiter und migrieren komplett in die Cloud oder lassen Applikationen von unterschiedlichen Cloud- oder Rechenzentrums-Anbietern betreiben.

Die notwendigen Schritte, die neuen Technologien einzusetzen und auch zu betreiben, sind von vielen Unternehmen nicht mehr alle intern zu lösen. Denn gänzlich ohne zusätzliche Kosten und Ressourcen lässt sich Widerstandfähigkeit nicht aufbauen. Sourcing-Strategien von Managed Services Providern können solche zusätzlichen Kapazitäten liefern.

Technologien – auch wenn sie ausgelagert werden – kosten Ressourcen. Zwei wichtige Komponenten, die Resilienz herstellen, sind zum einen, die Ressourcen zu haben, schnell auf Technologien und das nötige Know-how zugreifen zu können sowie zum anderen auch für Ressourcen-Transparenz zu sorgen. Daher ist zielführendes Cost & Performance Modelling mit Ziel, IT-Budget-Effizienz durch Kosten-, Leistungs- und Kapazitäts-Transparenz zu erreichen, so wichtig. Unternehmen, die dabei nicht für Transparenz bei allen benötigten Ressourcen, Services und Kosten sorgen, tappen nicht nur im Dunklen, sondern auch in die falsche Richtung. Diese Posten zu beleuchten, ist keine Kür, sondern notwendige und elementare Pflicht – denn ansonsten wird das Unternehmen nicht resilienter, sondern die IT bloß teurer.

Zum Aufbau und Ausbau der Resilienzfähigkeit sollten Organisationen:

  • auf IT-Budget-Effizienz durch Transparenz setzen
  • bewusst Redundanzen anlegen
  • über breit gestreute Ressourcen verfügen
  • sich selbst organisieren können
  • auch mit unvorhergesehenen Ereignissen rechnen
  • sich auf die eigenen Fähigkeiten und Stärken fokussieren
  • und dazu fähig sein, ihre Prozesse zu flexibilisieren

Wie können Sie Resilienz ermitteln?

Indem Sie herausfinden, wie performant das System oder die Organisation während einer größeren Unterbrechung oder Krise weiter funktioniert. Im Best-Case mit möglichst minimalem Auswirkungsgrad auf Geschäfts- und Betriebsprozesse. Denn die verbundenen Risiken für die Geschäftskontinuität können sich beispielsweise in Produktivitätsminderungen, unterbrochenen Lieferketten oder verschobenen Kundenkontaktpunkten manifestieren.

Die Aufrechterhaltung der IT bei Störungen oder (Teil-)Ausfällen, um Services oder Produkte weiterhin auf einem akzeptablen Niveau anbieten zu können, kann als Resultat des Business Continuity Managements (BCM) bzw. genauer des IT Service Continuity Managements (ITSCM) gewertet werden. Dabei handelt es sich um einen ganzheitlichen Prozess. Er identifiziert Risiken für die Prozesse und Ressourcen einer Organisation und analysiert ihre Auswirkungen im Eintrittsfall.

Der geläufigere Begriff Cyber-Resilienz kann zwar synonym verwendet werden, setzt aber einen anderen Schwerpunkt. Damit werden die Gefahren aus dem Netz, also Cyber-Attacken, in den Vordergrund stellt. Die Risikopotenziale sind jedoch vielfältig und können ebenso durch interne Faktoren, wie das Fehlen strategischer Assets oder Kulturfaktoren begünstig werden. Ihre Strategie sollte unbedingt die Themen Backup, Restore und Desaster Recovery berücksichtigen. Sie decken allerdings nur Teil der wirkungsvollen Maßnahmen ab.

Im Fokus der Betrachtung: Das Risiko

Die Entwicklung risikominimierender Maßnahmen aus einem Verbund von Managementdisziplinen erhöht die organisatorische Resilienz entscheidend. Normen können dabei unterstützen, die wichtigsten Aspekte zu berücksichtigen. So beschreibt beispielsweise die Norm ISO 22316 Sicherheit und Resilienz - Resilienz von Organisationen - Grundsätze und Attribute die grundlegenden Prinzipien, Attribute und Aktivitäten sowie die Evaluation der Resilienzfaktoren. Auch kulturelle Faktoren, wie den Austausch von Wissen, eine gemeinsame Vision oder die Bedeutung einer unterstützenden Führungskultur werden darin beschrieben. Des Weiteren wird die Entwicklung und Koordination von Managementdisziplinen empfohlen.

Durch einen interdisziplinären Ansatz lassen die mittlerweile etablierten Managementsystemnormen für

  • ein Business Continuity Managementsystem (BMCS) gemäß ISO 22301
  • ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001
  • und ein Datenschutzmangementsystem (DCMS) auf Grundlage der EU-DSGVO

miteinander verbinden. Dieser Ansatz wird damit Geschäftsprozessen gerecht, die ohne Einbeziehung der IT mittlerweile undenkbar wären. Die Standards verbindet über die gemeinsame Grundstruktur hinaus, dass sie den risikobasierten Ansatz, sprich den richtigen Umgang mit Risiken und Chancen verfolgen. Auch andere Disziplinen, wie das IT Service Continuity Management (ITSCM), legen das Risiko in den Fokus der Betrachtung und können im interdisziplinarischen Verbund die Resilienz von Unternehmen und ihren IT-Abteilungen stärken. Getreu dem Motto: Das Ganze ist mehr als die Summe seiner Teile.

Das könnte Sie auch interessieren:

Der risikobasierte Ansatz – Definition

Der risikobasierte Ansatz: Trauen Sie sich was

Unternehmerische Risikobewertung: Durch den risikobasierten Ansatz wirtschaftliche Vorteile ziehen und eine stabile Risiko-Mentalität aufbauen.

Datenschutz: Remote-Work und Videokonferenzen

»Remote-Work und Videokonferenzen: Schon an eine DSFA gedacht?«

Videokonferenzsysteme sind inzwischen kaum mehr wegzudenken, um auch in Krisenzeiten die Kommunikation beizubehalten. Doch wie datenschutzkonform sind Meeting-Tools?

ihr kontakt
Dominique Schröder, Technical Consultant, DextraData GmbH
ihr kontakt
Dirk Strohbücker, Manager Client Consulting West, DextraData GmbH
Dirk Strohbücker

Manger Client Consulting West

E dirk.strohbuecker[at]dextradata[dot]com

Kontaktieren Sie Uns

DextraData GmbH
Girardetstraße 4
45131 Essen
T +49 201 959750
E info@dextradata.com

Folgen Sie Uns
FacebookXingLinkedInDextraData YouTube Channel
Abonnieren Sie Uns
Zum Newsletter anmelden
Karriere DatenschutzAGBImpressumSitemap