IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Zweifel am Notfallmanagement ?

Der August war ein ereignisreicher Monat. Die Hurrican-Saison hat begonnen. Im Westpazifik und im Chinesischen Meer starteten die Taifune. In Japan gab es mehrere Erdbeben mit Stärke 5 oder mehr, von denen hier kaum berichtet wurde. Kollegen aus Tokyo bestätigten, dass sie dort Erdbeben bis zur Stärke 4 als Teil des Alltags verspüren. In Norwegen ist man in großen Feiern dem Mord an etwa 100 jungen Leuten entgegen getreten.

Zwei Ereignisse haben mich an den guten Gründen für ein BCM zweifeln lassen, sozusagen eine skeptische Kraft des Faktischen entfaltet.

Das Eine war fast trivial: Für ein Großunternehmen wurde ein zweiter Notfallstandort für die Tokioter Niederlassung aufgebaut. Sehr gut. Mitarbeitern sollte die Gelegenheit gegeben werden, in sicherer (es geht nur um die Relation) Entfernung von Fukushima zu arbeiten. Alle Konzepte wurden vom Zaun gebrochen. Das zentrale Risk Management ist nicht eingebunden. Das lokale Compliance nur zur Prüfung einzelner Fragen. BCM mit eigener Stelle scheint es nicht zu geben. Dann die Information über informelle Kanäle, dass eine kollektive Meinung es den japanischen Kollegen verbietet, die Option zu nutzen. Wer es dennoch tut, wird emotional ausgeschlossen. Passend dazu wurden technische Arbeiten und Aufträge während eines Kurzaufenthalts von einem Mitglied des Vorstands gestoppt, auch dies, ohne RM oder BCM zu fragen. Notfallvorsorge und Krisenreaktion scheinen zum größtenteil nach Erfahrung und psychischer Disposition einzelner Entscheider gesteuert zu werden. Und – das Unternehmen existiert weiter.

Das Zweite war sehr dramatisch, nämlich der Mord in Oslo im Juli, und die bewundernswerte Reaktion, bzw. öffentliche Umsetzung der Reaktion, der Staatsführung und der Presse. Auf den Schock folgte keine Aufgeregtheit, sondern ein Wille zur Selbstbehauptung. Während des Dramas sind wohl schwere Fehler geschehen. Die Polizei war nicht gut vorbereitet, und hat in mehreren Punkten Fehlentscheidungen getroffen. (Mit dem Vorbehalt, dass ich mich nur auf dürftige Berichte stütze.) Jedoch kam der Zweifel auf, ob es richtig ist, hier von Fehlern zu sprechen. Das aus Norwegen so wenig Spektakuläres zu hören ist, liegt vielleicht daran, dass man nicht auf Alles vorbereitet ist. Die Vorbereitungen in einer sozialen Umwelt ziehen ja die Übel auch an. Be prepared ist der Wahlspruch des Kollegen Matthias Hämmerle.

Viel spricht dafür. Un homme averti en vaut deux heißt ein französisches Sprichwort. Ein vorgewarnter Mann ist soviel wert wie zwei (nicht gewarnte) Männer. Ja, das gilt für vorhersehbare Fälle, also für Ereignisse, für die man auf Erfahrung zurückgreifen kann. Im BCM und im RM heißt es, dass RM sich um die Fälle mit planbarer Wahrscheinlichkeit kümmert, dass BCM sich nur um sehr bedrohliche Risiken kümmert, und dann ohne Beachtung der Eintrittswahrscheinlichkeit. Ein Massenmord eines einzelnen Durchgedrehten gehört da nicht dazu. Aber Schulen haben Amokpläne entwickelt und in Einzelfällen auch schon genutzt, durchaus mit dem Erfolg, dass es weniger Opfer gab, als hätte es die Pläne nicht gegeben.

Nun, diese grundlegenden Zweifel, das Hin und Her über Sinn und Nutzen des Notfallmanagement, bestärken mich letztlich darin, dass es zu allererst um die bewusste Wahrnehmung geht, um bewusste Vorsorge, und um die Fähigkeit, mit außerordentlichen Situationen erfolgreich umzugehen. Technische Notfallpläne helfen, aber nur wenig. Wir kennen die Beispiele aus der Luftfahrt, so die erfolgreiche Wasserung einer Passagiermaschine auf dem Hudson im Januar 2009, die zeigen, wie sinnvoll Übung und Vorbereitung sind, wie diese durch gründliche Analyse jeden Vorfalls ermöglicht werden. Es gibt inzwischen auch die Geschichte des Airbus der AirFrance, der im Juni 2010 abstürzte, weil die Piloten mit den widersprüchlichen Daten des Bordcomputers nicht richtig umgingen.

Aber die Luftfahrt gilt als spezielle Branche, in der es tatsächlich wirtschaftlich darauf ankommt, Betriebssicherheit täglich zu dokumentieren, nachzuweisen, vorzuführen, weil sonst die Kundschaft ausbleibt. In den meisten Unternehmen gibt es aber keinen direkten Zusammenhang. BP hat die Explosion einer Raffinerie in Texas überlebt, und nun auch die Verseuchung des Golfes von Mexico vor einem Jahr. Da wird Notfallmanagement doch überlagert: Überleben wird nicht unbedingt wer gut vorbereitet ist, sondern wer das größte Finanzpolster hat.

Wir bleiben dran, und wir bleiben dabei: Notfallmanagement ist wichtig und richtig. Verantwortliches wirtschaftliches Handeln schließt die Vorsorge ein. Es ist ein Element der guten Unternehmensführung. Es muss aber immer wieder auch kritisch beleuchtet werden, damit der Sinn wieder im jeweiligen Kontext deutlich wird.

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.