Leitfaden für Unternehmen: Auswirkungstoleranz in der betrieblichen Widerstandsfähigkeit

Operative Resilienz ist heute eine wesentliche Priorität für Unternehmen, insbesondere in stark regulierten Bereichen wie der Finanz- und Versicherungsbranche. Dies zeigt sich deutlich an regulatorischen Vorgaben in Europa und Großbritannien, wie den Rahmenwerken der Financial Conduct Authority (FCA), Prudential Regulation Authority (PRA) oder dem Digital Operational Resilience Act (DORA). Obwohl diese Regelungen Unterschiede aufweisen, existieren viele Überschneidungen und bewährte Methoden, die langfristig von anderen Branchen übernommen werden könnten, wenn sie sich als wirksam erweisen.

Doch auch abseits dieser regulierten Umfelder gewinnen Konzepte aus der Resilienz an Bedeutung, z. B. in der Pharma-, Gesundheits- oder Fertigungsindustrie. Angesichts fortwährend zunehmender Herausforderungen wie Cyberangriffen, Lieferkettenproblemen und sich verändernden regulatorischen Anforderungen müssen Unternehmen Lösungen finden, um kritische Dienstleistungen aufrechtzuerhalten und das Vertrauen der Kunden zu bewahren.

Ein zentrales Konzept in der operativen Resilienz ist die sogenannte „Impact Tolerance“ (Toleranz gegenüber Störungen). Sie steht im Mittelpunkt dieses Artikels, der erläutert, warum Störungstoleranz für Unternehmen relevant ist, wie sie definiert wird und welche Schritte zur erfolgreichen Implementierung beitragen.

Was sind Impact Tolerances?

Definition von Impact Tolerances

Impact Tolerances, auch „Toleranz gegenüber Störungen“ genannt, bezeichnen das maximale Ausmaß an Unterbrechungen, das eine Organisation aushalten kann, ohne unzumutbare Schäden an ihren Betriebsabläufen, Kundenbeziehungen, Marktposition oder ihrem Ruf zu erleiden. Anders als traditionelle Ansätze des Risikomanagements, die darauf abzielen, Gefahren vollständig zu vermeiden, anerkennt die Störungstoleranz, dass Unterbrechungen unvermeidlich sind. Stattdessen werden klare Grenzen für tolerierbare Störungen definiert, und Unternehmen bereiten sich gezielt darauf vor, diese Schwellen nicht zu überschreiten.

Ein Beispiel für eine Impact Tolerance könnte die maximale Betriebsunterbrechung eines IT-Systems sein, bevor erhebliche finanzielle Verluste oder Reputationsschäden entstehen. Ebenso könnten Metriken wie die Anzahl betroffener Kunden, finanzielle Schadensgrenzen oder Verstöße gegen Service Level Agreements (SLA) als Indikatoren dienen.

Impact Tolerance vs. Risikobereitschaft und RTO

Ein wichtiger Unterschied zwischen Impact Tolerances, Risikobereitschaft („Risk Appetite“) und Wiederherstellungszielen (RTO) besteht in ihrem Fokus:

• Die Risikobereitschaft gibt an, in welchem Maße ein Unternehmen Risiken in verschiedenen Bereichen eingehen will, z. B. bei Investitionen oder strategischen Entscheidungen.
• RTO (Recovery Time Objectives) definiert die maximale Zeitspanne, innerhalb der eine Funktion nach einer Unterbrechung wiederhergestellt sein muss.

Die „Toleranz gegenüber Störungen“ stellt hingegen einen ganzheitlicheren Ansatz dar. Sie misst die maximale Unterbrechung, die toleriert werden kann, bevor wesentliche Schäden eintreten. Dieser dynamische und flexible Ansatz konzentriert sich auf mehr als die bloße Wiederherstellung von Systemen – er überwacht die Belastungsgrenzen von Prozessen und leitet rechtzeitig Maßnahmen ein, um größere Auswirkungen zu verhindern.

Beispiele für Metriken der Störungstoleranz

Um die Resilienz zu messen und zu stärken, können Unternehmen diverse Metriken einsetzen, darunter:

• Systemausfallzeiten: Die maximale Zeit, die ein Service nicht verfügbar sein darf.
• Finanzieller Verlust: Die Grenze an Kosten, die im Falle einer Unterbrechung akzeptabel ist.
• Kundenauswirkungen: Die Zahl der betroffenen Kunden, bevor das Vertrauen nachhaltig geschädigt wird.
• Verzögerungen in Lieferketten: Zum Beispiel maximale Toleranz für verspätete Lieferungen oder Beschaffungen.
• SLA-Verstöße: Näherung oder Überschreitung der vereinbarten Service Level Agreements.
• NPS-Werte (Net Promoter Score) oder Kundenbeschwerden, die darauf hinweisen, dass die Kundenzufriedenheit gefährdet ist.

Warum sind Impact Tolerances – die Toleranz gegenüber Störungen – wichtig?

Schutz kritischer Geschäftsservices

Diskutiert werden Störungstoleranzen oft im Kontext kritischer Geschäftsservices, die für Kunden und regulatorische Vorgaben essenziell sind. Durch die Definition von akzeptablen Toleranzen können Unternehmen schneller auf Vorfälle reagieren, die Auswirkungen minimieren und die Kontinuität der wichtigsten Dienstleistungen gewährleisten.

Erfüllung regulatorischer Anforderungen

Regulierungsbehörden wie die FCA oder PRA im Vereinigten Königreich schreiben Unternehmen vor, ihre Impact Tolerances im Rahmen der operativen Resilienz zu definieren. Während der Digital Operational Resilience Act (DORA) der Europäischen Union solche Anforderungen nicht explizit nennt, fördert er ähnliche Ansätze, insbesondere in Bezug auf Abhängigkeiten von kritischen Technologien, Prozessen und Lieferketten.

Geschäftsvorteile und Risikoabsicherung

Ein guter Umgang mit Störungstoleranz gibt Unternehmen eine bessere Grundlage für strategische Entscheidungen und stärkt das Vertrauen von Stakeholdern. Gleichzeitig optimiert die Fokussierung auf Störungstoleranz die Nutzung von Ressourcen durch gezielte Maßnahmen in besonders kritischen Bereichen. Unternehmen mit soliden Resilienzrahmen verringern nicht nur die Häufigkeit von Störungen, sondern begrenzen auch die potenziellen Kosten – sowohl finanziell als auch reputativ.

Schritte zur Implementierung von Störungstoleranz in der Resilienz

Die Umsetzung einer wirksamen Störungstoleranz erfordert systematische Vorbereitung und Koordination aller relevanten Abteilungen. Zu den wichtigsten Schritten gehören:

1. Kritische Geschäftsservices identifizieren
   Analysieren Sie die wichtigsten Dienstleistungen Ihres Unternehmens, die regulatorische Vorgaben erfüllen oder essenziell für die Kundenzufriedenheit sind, wie beispielsweise Zahlungssysteme.
2. Abhängigkeiten bewerten
   Erfassen Sie technologische, organisatorische oder externe Abhängigkeiten, die diese Services unterstützen.
3. Bewertung von Bedrohungsszenarien
   Berücksichtigen Sie interne und externe Risiken, wie Cyberangriffe, Stromausfälle oder Naturkatastrophen, und priorisieren Sie diese basierend auf Schadenspotenzial und Eintrittswahrscheinlichkeit.
4. Definieren Sie Schwellenwerte
   Erstellen Sie klare und umsetzbare Grenzwerte, etwa maximale Ausfallzeiten, akzeptable Verluste oder Obergrenzen betroffener Kunden.
5. Test und Anpassung
   Simulieren Sie Szenarien, die die Grenzen Ihrer Toleranz auf die Probe stellen, und passen Sie Ihre Strategien und Parameter an auf Basis der Testergebnisse.
6. Bereichsübergreifende Abstimmung
   Stellen Sie sicher, dass alle Stakeholder im Unternehmen – von der Führungsebene bis zu externen Partnern – die definierten Schwellenwerte verstehen und unterstützen.

Herausforderungen und Lösungsansätze im Rahmen der Auswirkungstoleranz

Die Definition und Überwachung von Impact Tolerances (Toleranz gegenüber Störungen) stellt viele Unternehmen vor komplexe Herausforderungen. Diese hindern nicht nur daran, effektive Grenzen für Störungen zu setzen, sondern erschweren auch die Umsetzung einer umfassenden operativen Resilienz.

Häufige Hindernisse

• Fehlende Daten
  Ohne zuverlässige Metriken oder historische Daten wird es schwierig, fundierte Schwellenwerte für den Umgang mit Störungen zu definieren. Diese Datenlücke kann dazu führen, dass Unternehmen reale Bedrohungen und deren Auswirkungen unterschätzen.
• Widersprüchliche Prioritäten
  Verschiedene Abteilungen haben oft unterschiedliche Vorstellungen davon, was als „kritisch“ gilt. Dies kann die Koordination erschweren und dazu führen, dass Ressourcen ineffizient verteilt werden.
• Starre Ansätze
  Statische und unflexible Methoden zur Risikobewertung beeinträchtigen die Fähigkeit eines Unternehmens, sich an neue oder sich entwickelnde Bedrohungen anzupassen. Dies blockiert Innovation und verschärft Probleme bei der Resilienzplanung.
• Technologische Lücken
  Der Einsatz von Tools, die nicht effizient Daten sammeln oder Risikoanalysen automatisieren können, erhöht die Wahrscheinlichkeit, dass Bedrohungen gravierendere Auswirkungen haben als nötig.

Lösungsansätze

• Bereichsübergreifende Zusammenarbeit
  Eine enge Abstimmung zwischen Abteilungen hilft, widersprüchliche Prioritäten aufzulösen und eine einheitliche Strategie zu schaffen. Dies stärkt die Konsistenz und Effektivität bei der Resilienzplanung.
• Externe Expertise nutzen
  Unabhängige Analysen durch Dritte können blinde Flecken identifizieren und unvoreingenommene Einblicke liefern. Dies schafft die Grundlage für präzisere und umsetzbare Impact Tolerances.
• Automatisierung einsetzen
  Mithilfe moderner Technologien und Softwarelösungen können wichtige Prozesse wie Datenerfassung, Analyse und Berichterstattung automatisiert werden. Dadurch wird die Effizienz gesteigert und die Reaktionszeit bei aufkommenden Bedrohungen verkürzt.

Fazit

Die Festlegung und Verfolgung von Toleranzen gegenüber Störungen erfordert eine Mischung aus sorgfältiger Planung, innovativen Technologien und Zusammenarbeit. Indem Unternehmen diese Herausforderungen proaktiv angehen, können sie robuste Resilienzstrategien entwickeln und ihr Risiko- und Krisenmanagement deutlich verbessern.