Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

30.10.1998 - 

Krisen-Management/Risikoanalyse und Krisen-Management in der DV

Wer mit dem Faktor Zeit spielt, hat im Ernstfall schon verloren

30.10.1998

Am Anfang aller Überlegungen gilt es, die richtige Definition für den Krisenbegriff zu finden. Was ist eine Krise und was nicht? Die Antwort dient zugleich der thematischen Abgrenzung. Eine mögliche Definition: Eine Krise stellt eine Situation dar, die eine erhebliche Abweichung von einem Normalzustand widerspiegelt. Ihr Eintreffen gilt in der Regel als unerwünschter Zustand.

Diesen zu verhindern, bedarf es einer Zielformulierung in Etappen. Die Ziele des Krisen-Managements (KM) lassen sich folgendermaßen beschreiben: An erster Stelle sollte die Vermeidung stehen. An zweiter die Minimierung der negativen Folgen aus nicht oder zu spät erkannten Krisen.

KM erfordert nicht gleich eine eigenständige Unternehmensabteilung. Dazu müßte eine Firma schon ziemlich groß sein. Man kann KM als Teilbereich des Strategie-Managements sehen.

Wenn Krisen-Management nicht solchermaßen funktional definiert ist, müssen die Organisationen diese Aufgabe verankert haben, und zwar mit genügend Freiraum und Handlungsfähigkeit. Ernste Probleme und ihre Bewältigung in der Organisation nicht vorgesehen zu haben wird im Falle eines Falles seinen Tribut fordern.

Ein zentrales Krisen-Management kann keine Person allein bewältigen, denn die möglichen Auslöser sind viel zu zahlreich, als daß sie sich von einer einzelnen Warte aus überblicken ließen.

Eine Aufgabe kann allerdings nur eine zentrale Stelle erfüllen: den Aufbau eines KM-Systems. Nur wer die richtigen Fragen stellt, kann die richtigen Antworten erhalten. Nur wer die richtigen Antworten findet, kann gewinnen: Diese Erkenntnis ist die "einfache" Leitlinie des Krisen-Managements.

Die erste Frage ist, welche Krisen wann auftreten können. Dieses Basisproblem kann nicht statischer Natur sein, denn Risikofaktoren wie zweistellige Jahreszahlen zum Jahrtausendwechsel kommen nur einmalig oder sporadisch in Betrachtung, während andere eine ständige Bedrohung darstellen.

Eine erste Bestandsaufnahme führt zum Grundgerüst der in Frage kommenden Risikofaktoren, wobei unterstellt sei, daß diese zugleich Krisenfaktoren sind. Beispiele sind Daten-Crash, Euro, Problem 2000, Trend verschlafen, Management-Wechsel, Informationssystemwechsel, Computerviren, Wirtschaftsspionage, Liquidität oder Kosten.

Das Auffällige an einer derart wahllosen Aufstellung ist die Heterogenität. Die Risikofaktoren befinden sich zum Beispiel auf unterschiedlichen Abstraktionsniveaus. Der Faktor "Trend verschlafen" ist ein allgemeines, permanentes Risiko, das noch auf mögliche Betrachtungsobjekte herunterzubrechen ist. Der Wechsel eines Informationssystems ist ein Krisenrisiko, das sich ein Unternehmen nur einmal in zehn Jahren aufbürdet, während die ausreichende Liquidität ein tägliches Risiko darstellt.

Manche Faktoren werden endogen, andere exogen ausgelöst, und wieder andere haben sowohl endogene als auch exogene Auslöser. Diese und noch mehr Aspekte sind in einem Krisen-Management-System zu berücksichtigen.

Aus Struktur und Verhalten lassen sich grundsätzlich alle wissenswerten Details eines Systems ableiten, sofern die nötige Transparenz, also ein Modell, herstellbar ist. Man kann daraus für das KM die Notwendigkeit zur Typisierung ableiten. Eine sinnvolle Einordnung ist mit folgenden Attributen zu erreichen:

-Eintrittswahrscheinlichkeit, mit der das Eintreffen der erwarteten Krise bewertet werden kann;

-Erkennungsmöglichkeiten, um die zu untersuchende Krise rechtzeitig zu orten;

-Vermeidungsaufwand, der ständig oder zeitweise betrieben werden muß, um eine eventuelle Krisensituation zu umgehen;

-Abwehraufwand, der nach dem Eintreten einer Krisensituation betrieben werden muß, um diese zu meistern, sowie

-Schadenshöhe, mit der beim Eintreten einer Krise zu rechnen ist.

Setzt man diese fünf Hauptattribute in Beziehung, so läßt sich ein Modell (wie in Abbildung 1) erstellen. Es ist durch vier direkte Beziehungen gekennzeichnet:

-Je höher die Eintrittswahrscheinlichkeit, desto größer dürfte der Vermeidungsaufwand sein.

-Je weiter die Erkennungsmöglichkeiten, desto umfangreicher kann der Vermeidungsaufwand sein.

-Je höher der zu erwartende Schaden, desto größer darf der Vermeidungsaufwand sein.

-Je höher die Schadenserwartung, desto größer darf der Abwehraufwand sein.

Es ist nutzbringend, das Beziehungsgeflecht eingehender zu analysieren. Dazu lassen sich aus den genannten Beziehungen folgende Portfoliomatrizen konstruieren (vgl. Abbildung 2). Ein Unternehmen kann eine individuelle Risikoaufstellung vornehmen und diese anhand der Matrizen auswerten.

Daraus lassen sich auch vier Strategien ableiten. Bei hoher Eintrittswahrscheinlichkeit sollte ein niedriger bis mittlerer Vermeidungsaufwand umgehend Aktivitäten zur Folge haben. Für den gegenteiligen Fall - in der Matrix 1 die Korrelationen H1 und F1 - gilt entsprechend, keinen Aufwand zu betreiben.

Eine derartige Festlegung der Handlungsmaximen aus einer Matrix liegt auf der Hand. Andere Strategien lassen sich aus den Werten mehrerer Matrizen ableiten. So sollte man nur dann bei hoher Wahrscheinlichkeit einer Krise entsprechend massiv in ihre Vermeidung investieren, wenn gleichzeitig entweder die Erkennungsmöglichkeiten oder die Schadenserwartung hoch sind.

Werden alle vier Matrizen isoliert betrachtet, kann es zu widersprüchlichen Ableitungsstrategien kommen, die dann weiter zu analysieren wären. Die Verknüpfung aller Matrizenergebnisse erfordert zwar einen hohen, aber auch nur einmal anfallenden Analyseaufwand, der normalerweise mit eindeutigen Ableitungsstrategien über alle Matrizen belohnt wird.

Ein extremes Beispiel in dieser Hinsicht ist das Problem 2000. Eintrittswahrscheinlichkeit, Erkennungsmöglichkeiten und Schadenserwartung dürften die meisten Anwender als hoch bezeichnen. Diese Häufung reicht für unverzügliche Prävention, auch wenn sie den Vermeidungs- beziehungsweise Abwehraufwand als hoch klassifizieren.

Weitere interessante Erkenntnisse zur Folge einer eventuellen Krise lassen sich durch die Abbildung entlang einer Zeitachse gewinnen (vgl. Abbildung 3; je nach Charakter der Krise kommen unterschiedliche Schaubilder zustande). Dieses vereinfachte Beispiel geht von einem kontinuierlichen Vermeidungsaufwand (1) aus, der notwendig ist, um eine eventuelle Krise nach Möglichkeit auszuschließen.

Käme es dennoch dazu, würde sie von ihrem Eintritt (am Punkt 2) bis zu ihrer Bewältigung (am Punkt 5) einen konstant hohen Schaden (3) verursachen. In diesem Beispiel ist das Volumen des Vermeidungsaufwands (Kosten) erheblich kleiner als das des möglichen Schadens (3).

Als Beispiel für dieses Krisenszenario wäre ein Netzausfall vorstellbar. In diesem Fall würde der First-Level-Support im Unternehmen zuerst mit zunehmendem Aufwand (a) versuchen, der Situation Herr zu werden. Wenn das nicht gelingt, tritt die nächste Eskalationsstufe (b) ein: Externe Ressourcen, die sich ein Unternehmen per Wartungsvertrag skalierbar gesichert hat, werden dazugeschaltet. Schließlich kann es in einer letzten Eskalationsstufe (c) notwendig werden, noch mehr Mittel für weitere Notfallmaßnahmen aufzuwenden.

Die gesamte Dauer der Aktivitäten, die über den hauseigenen First-Level-Support hinausgehen, läßt sich durch Hot-stand-by-Maßnahmen des Second-Level-Supports begrenzen. (Die gestrichelten Linien in Abbildung 3 sollen verdeutlichen, daß der Aufwand des Second-Level-Supports nur für einen begrenzten Zeitraum entsteht, während die Kosten, vertikale Linie, kontinuierlich als Wartungsaufwand anfallen.)

Der Vorteil grafischer Krisenszenarien wird noch plastischer, wenn man mit kritischen Schadensgrößen (KS) arbeitet. Diese zeigen die Schadenshöhe je Zeiteinheit auf, die das jeweilige Unternehmen gerade noch verkraften kann, wobei Abstufungen möglich sind.

Der Wert der KS ist eine flexible Größe, die Veränderungen unterworfen ist. Ist der maximale Schaden, der im obigen Beispiel auftreten kann, höher als der KS-Wert, wird es notwendig, das Zeitfenster des Second-Level-Support zu reduzieren, um dieses Krisenszenario finanziell durchstehen zu können.

In und durch die Informationstechnologie kann man schnell in eine Krise geraten. Ein Faktor liegt in der rasenden Innovationsgeschwindigkeit des IT-Markts, mit der es Schritt zu halten gilt. Wer die Weichen nicht richtig und rechtzeitig stellt, findet sich schnell auf den Abstellgleis wieder. Das Wesen und die Zusammenhänge in der Informationstechnologie dürfen zweifelsfrei als hochkomplex und schwer überschaubar beschrieben werden.

Eine Erhöhung der Postleitzahlen von vier auf fünf Stellen kann eine Volkswirtschaft schnell mal um 15 Milliarden Mark erleichtern. Was die Tarifpartner und der Gesetzgeber mit einem unüberschaubaren Tarifgeflecht an gesamtwirtschaftlichem Schaden anrichten, dürfte sich nur in Milliarden ausdrücken lassen.

Bei vielen Gelegenheiten fallen Entscheidungen, die die Auswirkungen auf die Informationsverarbeitung nicht berücksichtigen. Dieses Verhalten läßt sich durchaus als schleichende Krise bezeichnen, weil es eine Volkswirtschaft schwächt, ohne an anderer Stelle Nutzeneffekte zu erzeugen. Schleichende Krisen werden immer viel zu spät erkannt und führen daher zu höheren Schäden.

Die Indikatoren für Chancen im Krisenfall

Gegen dieses Phänomen gibt es die Aufforderung, Ursache und Wirkung in den richtigen Zusammenhang zu stellen. Diese Erkenntnis ist zwar nicht neu, ihre Durchführung allerdings offenbar schwierig. Ein wesentlicher Anstoß liegt in der selbstkritischen Analyse.

Und die verlangt an erster Stelle, sich in den Organisationen Fragen zu stellen: Wie krisensicher ist das eigene Unternehmen? Wie ernst werden Krisen aufgearbeitet und analysiert? Sind alle Faktoren bekannt, die eine Krise auslösen können? Welche Krisenintervalle sind zu verzeichnen? Wie liegt die eigene Quote zwischen vermeidbaren und unvermeidbaren Krisen?

Der Weg zu einer besseren Krisenabwehr kann ein Indikatorenkatalog aufzeigen. Die Möglichkeiten zur Abwehr oder Bewältigung von Krisen steigen, je ausgeprägter die Corporate Identity ist (Faktor Mitarbeiter), je transparenter die Abläufe in der Organisation (Faktor Organisation) und je besser die Mitarbeiter ausgebidet sind (Faktor Mitarbeiter), je geringer die Abhängigkeit des Unternehmens von einzelnen Mitarbeiter ist (Faktor Strategie), je besser das Krisen-Management-System ist (Faktor Strategie) und je größer das Potential der Mitarbeiter ist (Faktor Mitarbeiter).

Krisenanfälligkeit ist kein aus Zufällen geborenes Risiko. Der Faktor Zeit gilt als entscheidend. Es geht um die Zeit, die verbleibt bis zur nächsten Krise und die dazu genutzt werden sollte, um diese zu umgehen oder bestmöglich zu überstehen. Wer nicht in Not geraten will, der wird etwas dagegen tun müssen.

Angeklickt

Krisen kommen und gehen in den seltensten Fällen von allein. Aktives Krisen-Management heißt, im Vorfeld die Wirkung von Maßnahmen oder Ereignissen zu beurteilen. Es gibt Methoden, das Risiko zu kalkulieren. Daraus läßt sich auch ableiten, welche Mittel gegebenenfalls prophylaktisch gegen negative Entwicklungen wirken können. Solche Vorbereitung schließt Krisen nicht endgültig aus, zeigt in der Regel aber schon die geeigneten Gegenmaßnahmen für den Notfall auf.

Peter Klukas ist Mitarbeiter im Bereich Organisation und IV der AEG Lichttechnik im Algermissen.