Was bedeutet Resilienz für Unternehmen und welche Beiträge kann der Datenschutz leisten, Unternehmen krisenfester aufzustellen?
Wer sich intensiver mit dem Thema „Resilienz“ beschäftigt, wird feststellen, dass der Begriff fast zu einem Modewort mutiert ist. Leider verschwimmen dabei oftmals Konturen, so dass der Erkenntniswert für den Leser recht begrenzt bleibt. In der Physik bedeutet Resilienz die Fähigkeit eines Körpers nach Einwirkung einer Kraft, den ursprünglichen Zustand wieder herstellen zu können. Das Stockholm Recilience Center der dortigen Universität definiert Resilienz:
…The problem is that too many of us seem to have disconnected ourselves from nature and forgotten that our economies and societies are fundamentally integrated with the planet. Resilience is therefore an attempt to create a new understanding of how humans and nature interact, adapt and impact each other amid change. That is why we argue there is a need to reconnect to the biosphere, that sphere that embraces all air, water and land on the planet in which all life is found.
https://www.stockholmresilience.org/research/research-news/2015-02-19-what-is-resilience.html
Ursprünglich entstand die Resilienzforschung außerhalb von Physik und Technik im Bereich der Psychologie. In den 70er Jahren des vorigen Jahrhunderts untersuchten Wissenschaftler, warum manche Menschen traumatische Ereignisse besser als andere verarbeiten können. Resilienz wurde als Prozess verstanden, derartige traumatische Ereignisse ohne oder mit geringer darauffolgender Erkrankung zu verarbeiten.
Resilienz im Unternehmen
Im Kontext von Unternehmen und Organisationen kann Resilienz als die Fähigkeit verstanden werden, eine einschneidende, kurzfristig auftretende Krise zu meistern, das Überleben der Organisation zu sichern und im besten Fall sogar eine besseren Zustand als vor der Krise herzustellen. Resilienz unterscheidet sich somit von der Bewältigung systemischer Krisen vor allem durch:
- die Kurzfristigkeit des Eintretens eines Schadensereignisses,
- die Heftigkeit und Tiefe des Ereignisses und
- den Mangel an Vorhersagbarkeit im Vergleich zu systemischen Krisen
Wir alle wissen, von Ausnahmen abgesehen, dass die Klimakrise globale Auswirkungen haben kann und wird. Flutkatastrophen wie die Ahrtalkatastrophe werden zwar wahrscheinlicher, sind aber dennoch disruptiv und überraschend bei ihrem Eintreten.
Im Kontext von Unternehmen und Organisationen macht die Unterscheidung von systemischen und Krisen, die Resilienzfähigkeiten erfordern, Sinn, auch wenn systemische Krisen mitunter zu akuten, heftigen Krisen führen können. Umgekehrt kann nicht jede akute und heftige Krise auf ein systemisches, längerfristiges Geschehen zurückgeführt werden.
Disruptive Schadensereignisse in Unternehmen und Organisationen
Wir alle haben in den letzten Jahre erlebt, wie rasch nicht erwartete Krisen Unternehmen und Organisationen treffen können. Exemplarisch zu nennen hier vor allem die Auswirkungen der Corona-Krise und der Überfalls Russlands auf die Ukraine mit der Energiekrise in der Folge. In der Retrospektive kann man gerne darüber philosophieren, ob beide Krisen vorhersehbar gewesen sein mögen oder nicht. Die Mehrheit der Verantwortlichen in Unternehmen und Behörden haben jedenfalls diese beiden Krisen nicht vorhergesehen, vielleicht auch nicht vorhersehen können. Prognosen sind immer dann schwierig, wenn sie die Zukunft betreffen…
Ein Versuch der Klassifizierung, könnte folgende mögliche Schadensereignisse in Bezug auf Unternehmen und Organisationen umfassen:
- Ökonomische Krisen, Weltwirtschaftskrisen
- Energiekrisen
- Krisen, ausgelöst durch Naturkatastrophen oder Kriege
- Krisen aufgrund unerwarteter individueller Ereignisse wie beispielsweise Krankheit oder Tod verantwortlicher Personen
- Krisen aufgrund von individuellem Fehlverhalten, beispielsweise Verlust geheim zu haltender Unterlagen
- Krisen aufgrund von kriminellen Aktionen und Aktivitäten, die entweder das Unternehmen als Ganzes oder Teile betreffen. Ein mögliches Beispiel sind Ransomwareangriffe auf die Unternehmens-IT.
Die Aufzählung mag unvollständig sein, in Bezug das Thema dieses Aufsatzes werden Bezüge zu einzelnen Krisenarten deutlich, betrachten wir Dimensionen von Krisenfolgen. Deutlich wird, dass sowohl exogene als auch endogene Faktoren disruptive Krisen auslösen können.
Unternehmen und Organisationen sind datengetrieben
Unternehmen und Organisationen moderner Volkswirtschaften sind datengetrieben. Die Gewährleistung von Sicherheit, Vertraulichkeit und Integrität der Datenverarbeitung ist ein zentrales Element der Überlebens- und Reslienzfähigkeit von Unternehmen und Organisationen. Wer sich ernsthaft mit Resilienz beschäftigen möchte, geht vom Grundsatz aus, dass ein derartiges, schwer vorhersehbares Schadensereignis jederzeit eintreten kann. Es geht also nicht um Prävention im Sinne der Abwehr eines Schadensereignisses, sondern um die Fähigkeit, ein Schadensereignis
- in seinen Auswirkungen zeitlich und inhaltlich zu begrenzen,
- Strukturen zu schaffen, die die Funktionsfähigkeit des gesamten Systems auch im Krisenfall bestmöglich sichern können,
- die Funktionsfähigkeit von Systemen und Teilsystemen soweit möglich zu sichern bzw. rasch wiederherzustellen.
Krisen können nicht verhindert, aber vorausschauend gemildert werden. In diesem Sinne sind Investitionen in Datensicherheit und Datenschutz ein Beitrag neben anderen, Unternehmen und Organisationen resilienter zu machen. Die Gewährleistungsziele des Datenschutzes und der Datensicherheit im Unternehmen bieten einen, wenn auch nicht den einzigen, Leitfaden. Gut aufgestellte Unternehmen sind resilienter und eher in der Lage, Schadensereignisse in ihren Auswirkungen zu begrenzen.