Mit zunehmender Digitalisierung steigt die Abhängigkeit von IT-Systemen. Gleichzeitig steigt das Risiko, dass diese IT-Funktionen nicht bereitstehen, zumindest nicht im gleichen Ausmaß. Dazu kommt, dass wir uns in einer VUCA-Welt befinden, in der alles immer volatiler, unbeständiger, komplexer und mehrdeutiger wird. Antizipiert man aus diesen Entwicklungen die potenziellen Risiken, Krisen und Katastrophen, dann ist Schluss mit Trial-and-Error und „Wird schon nix passieren!“. Mit Resilienz-Engineering kann man fundiert das Überleben sichern.
Es pfeifen die sprichwörtlichen Spatzen von den Dächern: Keine Frage – Digitalisierung ist heute die Antwort auf die Frage, wie wir künftig leben werden. Im privaten (Facebook, WhatsApp, Amazon, usw.) wie auch im unternehmerischen Umfeld (CRM, ERP, Cloud-Dienste, Mobile Apps, usw.) ist die Digitalisierung, also der Einsatz von Informations- und Kommunikationstechnik, um Abläufe effizienter zu machen und die Wirtschaftlichkeit zu steigern, der Ansatz für die Zukunft. Es gibt kaum noch Bereiche, die ohne Berücksichtigung von Digitalisierungsmöglichkeiten über weitere Wachstums- und Entwicklungsperspektiven nachdenken. Dabei sind Politik und alteingesessene Unternehmen – insbesondere im nicht-amerikanischen Umfeld – tendenziell überfordert („Wie sollen wir das wirklich angehen?“), aber das ist eine andere Geschichte.
Ist Digitalisierung riskant?
Seit dem Millenniumswechsel haben wir in der IT architektonisch viele Neuerungen eingeführt, die unsere IT-Systeme mehr und mehr exponieren. Wie in der folgenden Tabelle zusammengestellt sind Vernetzung, Integration, Devices, die miteinander sprechen, und Datensammlungen die Quelle für eine Vielzahl von Risiken.
Abbildung 1: (Quelle: SEQIS GmbH)
Ist also Digitalisierung riskant? Meiner Meinung nach: Ja. Es kommen einfach neue transparente bzw. vernetzte Möglichkeiten ins Spiel, die wir z.B. in einer „altmodischen offline Silo-Lösung“ nicht hätten. Zum Guten, aber auch zum Bösen.
VUCA – Problem und Lösung
Kennen Sie „Bullshit-Bingo“? Im Kern geht es darum, eine vorgegebene Sammlung von Buzzwords z.B. in einer Präsentation oder einem Fachartikel zu identifizieren. Hat man alle Wörter der Sammlung abgehakt, hat man gewonnen und darf sich durch ein lautstarkes „Bullshit!“ melden. Stellen wir mal eine Sammlung solcher Buzzwords zusammen: ich hätte hier: „Digitalisierung“, „Scrum“, „Kanban“, „agiles Vorgehen“, „Industry 4.0“, „Disruption“ und „Demokratisierung von Führung“. Kaum ein aktueller Business Talk kommt ohne diese Begriffe aus. Hier geht es allerdings nicht nur um Buzzwords, sondern um die Basis für grundlegende Veränderungen, die durch die technischen Möglichkeiten gestützt bzw. gepushed werden.
Diese Wandlungsfähigkeit wird durch das Akronym VUCA („Volatility“, „Uncertainty“, „Complexity“, „Ambiguity“) gut beschrieben. Und ein Haupttreiber dafür ist die Digitalisierung.
Ursprünglich ist VUCA ein Ergebnis aus einer Analyse aus dem militärischen Umfeld: Die Kontrahenten in den letzten Kriegen in Afghanistan und dem Irak, und dem damit einhergehenden Terrorismus, haben sich nicht mehr am Schlachtfeld gegenübergestanden, sondern haben in der Auseinandersetzung auf andere Strategien gesetzt. Dadurch mussten Gegenmaßnahmen entwickelt werden, wie mit dieser Art von Auseinandersetzung umgegangen werden kann.
Abbildung 2: (Quelle: SEQIS GmbH)
(8) Frei nach Ulrich Lenz, „Coaching in Kontext der VUCA-Welt: Der Umbruch steht bevor“
Zusammengefasst: Das Umfeld ist VUCA – und das wird sich wohl noch steigern. Die technische Exposition wird durch die fundamentalen Entscheidungen der Digitalisierung noch wesentlich verschärft. Dagegenhalten kann man mit einer Vision, Verstehen und Klarheit auf der Basis von Ausschnitten der Gesamtsituation sowie agilem Vorgehen. Und mit Resilienz.
Was ist nun Resilienz – und wie kann das helfen?
Resilienz ist allgemein gesprochen ein dynamischer Anpassungsprozess. Es bedeutet, sich erfolgreich an Herausforderungen anzupassen und diese zu meistern. Dabei darf man keinen Schaden nehmen und sollte – bestenfalls – aufgrund dieser Erfahrungen wachsen und reifen.
Die Basisüberlegungen zur Resilienz kommen aus der Human-Medizin und beschäftigen sich mit der Leistungsfähigkeit von Menschen in Krisenfällen.
Die Mechanismen zwischen Menschen und IT-Systemen sind diesbezüglich vergleichbar. Es stellen sich generell die gleichen Fragen:
- Was ist die Ausgangsposition vor der Krise – und welche Abwehrmechanismen sind bereits vorhanden/etabliert?
- Wie tiefgreifend wirkt die Krise?
- Wie rasch kann man diese Krise überwinden, wie schnell läuft die Wiederherstellung der vollen Leistung?
- Gibt es eine Steigerung gegenüber der vorhergehenden Leistungsfähigkeit?
Relevant sind mehrere Faktoren, die eine Beurteilung beeinflussen: Zwar kann man eine Krise generell immer nur im Nachhinein betrachten, aber es ist relevant, ob man die Situation vor, in oder nach der Krise betrachtet. Darüber hinaus ist es auch schwieriger, wenn mehrere Krisen parallel auf das System (oder den Menschen) wirken. Wesentlich ist auch, wie das Umfeld (= soziales Umfeld, Unternehmen) sich hinsichtlich gelebter Führung und Wertehaltung real verhält – können / dürfen / müssen wir aus Fehlern lernen, oder ist eine Verdeckung von Fehlern taktisch? Einen großen Einfluss hat natürlich auch die Krisendauer: Besteht diese kurzfristig, oder dauerhaft?
Krise – oder doch Katastrophe?
Resilienzbetrachtungen beziehen sich letztendlich immer auf Krisen. Eine Krise („entscheidende Wendung“) ist – laut Duden.de – definiert als eine schwierige Situation, die Höhe und Wendepunkte einer gefährlichen Entwicklung darstellt. Da es sich um einen Wendepunkt handelt, kann diese Krise immer erst ex-post, d.h. wenn sie abgewandt oder beendet wurde, als solche festgestellt werden.
Nimmt die Entwicklung einen dauerhaft negativen Verlauf, so spricht man von einer Katastrophe („Niedergang“).
Allen Krisen gleich stehen folgende Herausforderungen gegenüber: Welche Basismerkmale sind etabliert, die der potenziellen Krise entgegenhalten? Wie kann man Krisen frühzeitig erkennen? Welche Standards, wie Notfallpläne, Checklisten und Interventionscenter (= Hilfe von außen), sind etabliert, um Krisen rasch zu beenden? Welche Standards sind vorgesehen, um aus Krisen gestärkt / verbessert hervorzugehen und einen höheren Level an Leistungsbereitstellung zu erreichen?
Resilienz – Engineering
Abbildung 3: (Quelle: SEQIS GmbH)
Im Kern geht es darum, im Standard der Leistungsfähigkeit zu bleiben („Vorhersehen“, „Standhalten“) und, wenn Krisen notwendig sind (Krise = entscheidende Wendung), gilt es, die Leistungsfähigkeit früher und schneller wiederherzustellen („Wiederherstellen“) und dabei im Idealfall mit einem Lerneffekt die Leistungsbereitstellung noch zu steigern („verbessern“).
Nun, wie kann man das am besten angehen? Es hängt wie so oft am richtigen Mix – hier ein Ausschnitt aus einem möglichen Lösungs-VUCA (bei der Lösung bedeuten die 4 Buchstaben: „Vision“, „Understanding“, „Clarity“, „Agility“):
Abbildung 4: (Quelle: SEQIS GmbH)
Diese Zusammenstellung ist natürlich nur ein Auszug hinsichtlich möglicher und sinnvoller Aktivitäten. U.a. wurden nur Teile des „Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems“ gelistet und andere essenzielle Bereiche hinsichtlich Kriseninterventionscenter, interner und externer Mitarbeiter als Akteure im jeweiligen Systemkontext usw. gar nicht erwähnt.
Im Wesentlichen müssen wir die richtigen Maßnahmen richtig priorisieren, instrumentalisieren und deren Zusammenspiel testen. Öfters müssen wir auch im Produktionssystem einzelne Krisen bewusst provozieren, um den Status Quo des Systems, auch über die Zeit, immer wieder kennenzulernen und uns die Gelegenheit zu geben, aus bestehenden Schwächen zu lernen und Resilienz zu entwickeln.
Weiterführende Informationen:
[1] 16.8.2013 – Ausfall eines einzigen Unternehmens: Google. Und damit rund 40% des globalen Internet-Verkehrs
- Tim Worstall, “Analyzing Friday’s Google Outage”, https://www.forbes.com/sites/timworstall/2013/08/19/analysing-fridays-google-outage/#72fbcd0f6ede , 14.7.2019, 09:17
- Simon Tabor, “Google’s downtime caused a 40% drop in global traffic”, https://engineering.gosquared.com/googles-downtime-40-drop-in-traffic, 14.7.2019, 08:15
[2] Oktober 2013 – Ausfall von Microsoft’s Azure Plattform – zweimal in zwölf Monaten
- https://www.theregister.co.uk/2013/10/30/windows_azure_global_fail/, 12.7.2019, 20:05
[3] 2013 auf der Defcon Hacker’s conference – Nachweis, wie leicht die Lenkung oder Bremsen eines Toyota Prius übernommen werden können
- https://www.computerworld.com/article/2484616/researchers-reveal-methods-behind-car-hack-at-defcon.html, 1.7.2019, 12:05
[4] Ende 2012 – Cisco’s mobile BYOD strategy: “Mobile at Cisco is now BYOD, period.” Brett Belding, senior manager Cisco IT Mobility Service.
- https://blogs.cisco.com/security/standing-up-to-threats-the-cisco-2013-annual-security-report-and-security-intelligence-operations?dtid=osscdc000283 , 26.6.2019, 15:05
[5] Die mobile Version von FinSpy/FinFisher loggt für Angreifer eingehende und ausgehende Anrufe.
[6] Mobile Malware kann auch in Form von SMS Nachrichten kommen: Der User wird über die Zustellung von DHL Paketen informiert, klickt auf den Tracker Link… .
[7] Social Engineering – der Mitarbeiter als Angriffsziel
- https://www.wko.at/Content.Node/blogs/it-safe/Social-Engineering.html, 17.3.2019, 12:03
[8] Coaching im Kontext der VUCA-Welt: Der Umbruch steht bevor, Ulrich Lenz, © Springer Fachmedien Wiesbande GmbH; J. Heller (Hrsg.), Resilienz für die VUCA Welt, https://doi.org/10.1007/978-3-658 -21044-1_4
Mehr von Alexander Weichselberger
Ten more things – IT Fachwebinar zum Thema Change Management.
Haben Sie Schwierigkeiten, Ihre Mitarbeiter:innen und Stakeholder:innen bei IT Projekten ins Boot zu holen? Am 5.5.2022 von 16:00 – 17:10 stellt Ihnen Alexander Weichselberger dazu 10 Praxis-Patterns vor.
Alexander Weichselberger: „CM ist die begleitende Maßnahme erfolgreicher Projekte. Change, also Änderung, passiert auf alle Fälle – es stellt sich lediglich die Frage, ob Sie das aktiv managen.”
Erfahren Sie mehr und melden Sie sich an: https://www.seqis.com/de/events/change-management-in-projekten-darauf-kommt-es-an
Alexander Weichselberger – Vita
Alexander Weichselberger ist Managing Partner
Mag. (FH) Alexander Weichselberger hat seine Einsatzschwerpunkte in den Bereichen Projekt-, Change- und Testmanagement – in operativen Rollen oder als Coach. Als Change Manager hat er in den letzten 10 Jahren Projekte begleitet und auch Linienaufgaben übernommen. Dieses Wissen gibt er auch gerne in Form von Coaching, Methodentraining und Fachvorträgen weiter.
Zahlreiche, erfolgreich abgeschlossene IT-Projekte führten ihn in verschiedenste Branchen und Länder. Er ist Mitglied der SEQIS Geschäftsleitung sowie Initiator des Agile Circles, einer Verbindung von Innovations- und Digitalisierungsinteressierten.