Wenn Unternehmen wissen möchten, wie wertvoll ein Business-Continuity-Plan ist, müssen sie nur das Ausmaß des Schadens einschätzen, den ein Betriebsausfall verursachen würde. Allerdings unterschätzen viele Unternehmen die Auswirkungen von Ausfallzeiten und die damit einhergehenden Auswirkungen auf ihre Organisation. Statt die Bedrohung ernst zu nehmen und dem Schadensfall vorzubeugen, beschränken sie sich darauf, erst dann zu reagieren, wenn der Schaden schon angerichtet ist und sie die Folgen nur noch schwer eindämmen können. Angesichts der aktuellen Bedrohungslandschaft, in der die Zahl der Cyberangriffe exponentiell steigt, ist das eine riskante und potenziell existenzgefährdende Herangehensweise.
Mithilfe einer umfassenden Risikoanalyse können Unternehmen die Bedrohungslage sowie die Wahrscheinlichkeit und mögliche Folgen von unvorhergesehenen Vorfällen realistisch einschätzen. Dabei berücksichtigt die Analyse nicht nur externe Angriffe oder Serverausfälle, sondern nimmt auch Naturkatastrophen, menschliches Versagen sowie branchen- und unternehmensspezifische Faktoren in die Bewertung auf. Unter Berücksichtigung einer solchen umfassenden Einschätzung können Unternehmen einen auf ihre Organisation maßgeschneiderten Business-Continuity-Plan erstellen, mit dem sie Auswirkungen von unvorhergesehenen Vorfällen auf ihren Betriebsablauf minimieren.
Neben den Auswirkungen, die ein Betriebsausfall auf die Finanzen eines Unternehmens hat, können auch die Mitarbeitenden und der Ruf des Unternehmens Schaden davontragen, die nur schwer zu quantifizieren sind. Bei einer Datenschutzverletzung können beispielsweise der Gewinnausfall, die regulatorischen Konsequenzen oder der Rückgang der Kundenzahl leicht festgestellt werden, doch wie verhält es sich in einer solchen Situation mit der Entwicklung der Motivation und Arbeitsmoral der Mitarbeitenden? Zwar stehen diese Faktoren in Verbindung zur Produktivität, konkrete Aussagen über die Entwicklung der Auswirkungen lassen sich jedoch nicht treffen. Das gilt ebenfalls für das Ansehen des Managements und den möglichen Eindruck eines schlecht geführten Unternehmens, der schwer zu korrigieren ist.
Viele Unternehmen, die sich der Bedrohungslage bewusst sind, schließen eine Versicherung für bestimmte Vorfälle ab. Auch wenn diese Entscheidung in Notsituationen das Überleben eines Unternehmens sichern kann, ist sie nicht vergleichbar mit einem Business-Continuity-Plan. Zwar kann eine Versicherung erlittene Umsatzeinbußen ausgleichen, Auswirkungen auf Mitarbeitende oder auf den Ruf der Marke verhindert eine solche Rückerstattung jedoch nicht.
Im Gegensatz zu einer Versicherung, die ausschließlich bei der Bewältigung eines Schadens eingreift, setzt ein Business-Continuity-Plan schon vorher an und leitet Maßnahmen ein, die die Auswirkungen im Schadensfall minimieren. Die Umsetzung der Maßnahmen erfolgt dementsprechend nicht erst, wenn der Schaden schon entstanden ist und die Folgen kaum einzugrenzen sind. Stattdessen implementiert ein gut ausgearbeiteter Business-Continuity-Plan schon vor dem Eintreten eines Notfalls Prozesse und Lösungen, die die Auswirkungen unvorhergesehener Ereignisse minimieren.
Die Corona-Pandemie und die damit einhergehenden Maßnahmen der Regierung, die in kurzer Zeit Kontaktbeschränkungen, die Verlegung zahlreicher Arbeitsplätze ins Homeoffice und anfänglich eine zweiwöchige Quarantäne für Infizierte vorsahen, waren ein solches unvorhergesehenes Ereignis. Unternehmen mit Business-Continuity-Plan konnten auf die neuen Anforderungen schnell und effektiv reagieren, da sie im Rahmen der Vorsorge auf Notfälle ihre Systeme und Plattformen mithilfe der Cloud umfassend geschützt und Smart-Working-Projekte ausgearbeitet haben. Diese Vorbereitung auf das Unvorhersehbare und die Nutzung der Cloud für die Vereinfachung und Beschleunigung der Transformation hat die Voraussetzungen für reibungslose Arbeit aus dem Homeoffice für die meisten Führungskräfte und Mitarbeitenden geschaffen, bevor die Unternehmen darauf angewiesen waren.
Nicht jedes Unternehmen hat jedoch an einem Business-Continuity-Plan gearbeitet und stattdessen an Investitionen und organisatorischem Aufwand gespart. Als dann jedoch das Unvorhersehbare – die Pandemie mit all ihren Begleiterscheinungen – wirklich passierte, waren diese Organisationen mit den neuen Herausforderungen überfordert, was zu einer verringerten Leistung der Mitarbeitenden und infolgedessen auch zu Umsatzverlusten führte.
Die Corona-Pandemie hat uns ein weiteres Mal vor Augen geführt, dass es nicht ausreicht, auf Vorfälle zu reagieren. Cyberversicherungen oder Rücklagen, mit denen Betroffene eines Cyberangriffs Lösegelder für Daten aufbringen können, helfen nicht dabei, Betriebsausfälle zu vermeiden. In Zeiten, in denen die digitalen Assets von Unternehmen an Menge und Wert zunehmen, ist es für Unternehmen besonders wichtig, sich auf alle Eventualitäten vorzubereiten – egal, wie unwahrscheinlich sie scheinen. Mit einem umfassenden und individuell angepassten Business-Continuity-Plan sind Unternehmen auf alles vorbereitet.