Pandemie: Drei Dinge, die Business-Continuity- und Krisenmanager jetzt unbedingt beachten sollten

27 März, 2020

Von Franziska Hain und Benedict Gross. Durch den Ausbruch von COVID-19 dominiert die Pandemieplanung gegenwärtig die Agenda von Business-Continuity-, Krisen- und Risikomanagern.

Zeit, einen Blick auf drei Faktoren zu werfen, die in der aktuellen Situation beachtenswert sind.

1. Die Gefahr des „Second Hit“

Aktuell liegt viel Aufmerksamkeit auf der Verlagerung des Geschäftsbetriebs ins Homeoffice und dem Schutz der Mitarbeiter, die im Unternehmen präsent sein müssen. Doch was ist mit den Bereichen, auf die sich Organisationen gerade nicht fokussieren können? Die aktuelle Lage wissen auch Cyberangreifer für sich zu nutzen, sodass eine verstärkte Gefahr durch Hacking-Angriffe besteht. Doch nicht nur aus dem Internet droht erhöhte Gefahr – auch Täter in der Organisation haben es im gegenwärtigen Trubel leicht, was Betrug und Manipulation angeht. Solange Chaos herrscht und die Regeln des Arbeitsalltags außer Kraft gesetzt oder unkontrolliert sind, müssen Unternehmen zwei Herausforderungen bewältigen: Sie müssen sich nicht nur um das augenscheinliche Problem des Pandemiemanagements kümmern, sondern gleichzeitig auch alte und neue Angriffsflächen schützen. Schließlich sind Dienstleister und Infrastrukturbetreiber im gleichen Maße betroffen, sodass traditionelle Business-Continuity-Management(BCM)-Szenarien – Ausfall von IT, von Dienstleistern oder von Infrastrukturen – in den nächsten Wochen wahrscheinlicher werden.

2. Pandemie – ein Spezialfall im Business-Continuity-Management

Bislang finden sich Projekte und Prozesse, die nicht zum Kerngeschäft gehören, selten in Business-Impact-Analysen wieder. In der Praxis zeigt sich allerdings aktuell, dass Unternehmen nicht nach der Maxime handeln, die überlebenswichtigen Kernprozesse in einen Minimalbetrieb zu bringen, sondern stattdessen versuchen, den Alltagsbetrieb so lange wie möglich voll aufrechtzuerhalten. Sie folgen hier dem Maximalprinzip: mit den gegebenen Mitteln den größtmöglichen Teil des Tagesgeschäfts ins Homeoffice zu verlagern – inklusive der Projekte und der „nicht kritischen“ Prozesse.

Im Normalbetrieb mag ein Projektverzug von wenigen Tagen nicht kritisch erscheinen. Doch wenn große und bedeutsame Projekte einen mehrwöchigen Verzug erleiden, droht nicht nur unmittelbarer wirtschaftlicher Schaden. Auch mittelfristige Folgen sind absehbar, etwa durch verstrichene Fristen, verzögerte Produkteinführungen oder Vertragsstrafen, die sich erst Monate nach der Pandemie zeigen können. Das Pandemieszenario ist insofern ein Spezialfall im BCM.

3. Frühzeitige Planung der Wiederaufnahme

Während zum heutigen Zeitpunkt der Gipfel der Pandemie bei Weitem noch nicht überwunden scheint, müssen Unternehmen schon jetzt mit der Planung des Wiederanlaufs beginnen. Dazu gehört nicht nur, Prozesse und den Betriebsablauf wieder in den Normalbetrieb zu überführen, sondern auch die Notfallorganisation für die Zukunft zu optimieren.

Eine große Lehre aus dem COVID-19-Ausbruch ist heute schon, dass BCM und Krisenmanagement zu überlebenswichtigen Funktionen eines Unternehmens gehören. Wirkungsvoll sind sie jedoch nur Hand in Hand, sodass BCM und Krisenmanagement unbedingt integriert gestaltet werden müssen. Auch eine nächste Krise wird nicht ausbleiben. Es wäre fahrlässig, nicht die Lehren aus der aktuellen Situation zu ziehen und in ein übergreifendes Business-Resilience–Konzept zu investieren.

Unsere Handlungsempfehlungen im Überblick

  • Bedenken Sie die Gefahr eines „Second Hit“ wie zum Beispiel durch einen Cyberangriff. Sie sollten sich dafür ein gutes Bild der gegenwärtigen Situation verschaffen und dabei auch die Lage jenseits der Pandemie im Blick behalten, damit sich im Schutz von blinden Flecken keine weitere Bedrohung entfalten kann.
  • Haben Sie die gegenwärtige Phase mithilfe von Ad-hoc-Maßnahmen unter Kontrolle, wird eine vorausschauende Szenarioplanung wichtig. Die Folgen der Pandemie werden unter Umständen noch lange spürbar sein. Viele davon lassen sich schon jetzt antizipieren.
  • Beginnen Sie schon heute mit der Wiederanlaufplanung. Wie sieht die geordnete Rückkehr in den Normalbetrieb aus? Wie kann ein Stufenplan des Wiederanlaufs gestaltet werden und anhand welcher Trigger entscheiden Sie, wann welcher Teil des Betriebs wieder aufgenommen werden kann? In Kombination mit der Szenarioplanung können Sie so auch ermitteln, welche Ressourcen wann verfügbar sein müssen. So können Sie zusammen mit Dienstleistern und Zulieferern vorausschauend planen und die Gefahr von Problemen beim Wiederanlauf verringern. Nicht zuletzt gehört dazu eine angemessene Kommunikationsstrategie.
  • Lernen Sie aus der Krise! Der Preis, den viele Unternehmen im Moment zahlen, ist zu hoch, um die Erkenntnisse nicht zu sichern und in die Verbesserung und den Ausbau eines intelligenten Business-Resilience-Managements umzuwandeln. Die COVID-19-Pandemie wird zurzeit mit vielen Superlativen beschrieben. Eins ist sie jedoch nicht: die letzte Krise, mit der Sie sich beschäftigen müssen.

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Weitere Inhalte und Artikel finden Sie hier.

Contact us

Franziska Hain

Franziska Hain

Director, PwC Germany

Tel.: +49 221 2084-273

Dr. Benedict Gross

Dr. Benedict Gross

Senior Manager, PwC Germany

Tel.: +49 89 5790-5575

Follow us