Im ersten Teil der Aufsatzreihe wurde ein Überblick über die vier zentralen EU-Regelwerke zur Cyber- und Infrastrukturresilienz gegeben – NIS2, RCE, CRA und DORA – und deren Auswirkungen auf Unternehmen, insbesondere im deutschen Mittelstand, erläutert. Der vorliegende Beitrag skizziert nun die acht Phasen der Resilienz, um im Anschluss näher auf die erste Phase einzugehen.
Die geopolitischen und technologischen Entwicklungen machen deutlich, dass Resilienz nicht länger ein freiwilliger Wettbewerbsvorteil, sondern eine regulatorische Verpflichtung geworden ist. Die zunehmende Häufung geopolitischer Krisen, hybrider Bedrohungen und gezielter Cyberangriffe zwingt Organisationen dazu, ihre Widerstandsfähigkeit – ihre Resilienz – systematisch zu stärken. Vor allem für Betreiber kritischer Infrastrukturen (KRITIS) sowie für viele Mittelständler stellt sich die Frage:
Was bedeutet Resilienz wirklich?
Resilienz – ein Begriff, der mittlerweile in nahezu jedem Gesetzestext zur Cybersicherheit und kritischen Infrastruktur auftaucht – bleibt oft diffus. Die RCE-Richtlinie (EU) 2022/2557 gibt erstmals eine praxisnahe und umfassende Definition:
„Resilienz ist die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich davon zu erholen.“
Aus dieser Definition lassen sich acht Phasen der Resilienz ableiten:
- Verhindern
- Schützen
- Reagieren
- Abwehren
- Folgen begrenzen
- Auffangen
- Bewältigen
- Erholen
Eigene Abbildung
Wie kann Resilienz operationalisiert werden?
Die Antwort liegt in einem strukturierten Vorgehen, das auf den acht Phasen beruht. Sie liefern die Blaupause für ein ganzheitliches Resilienzmanagement, das sowohl präventive als auch reaktive Elemente integriert.
Resilienz ist damit kein statischer Zustand, sondern ein dynamischer, kontinuierlicher Prozess, der auf mehreren Ebenen – technisch, baulich, organisatorisch und kulturell – verankert werden muss.
Resilienz als Fundament für gesetzliche Anforderungen
Alle neuen EU-Vorgaben – NIS2, RCE, DORA, CRA – stellen zwar unterschiedliche Anforderungen an verschiedene Sektoren. Doch ihnen allen liegt Resilienz als verbindendes Prinzip zugrunde. Sie fordern:
- präventives Risikomanagement (z. B. NIS2 Art. 21),
- Krisenreaktionsfähigkeit (z. B. RCE Art. 10),
- Wiederanlaufstrategien (z. B. DORA Art. 11),
- sichere Produktentwicklung (z. B. CRA Art. 10).
Die Acht-Phasen-Logik der Resilienz liefert somit den einzigen praktikablen Rahmen, um diesen multidimensionalen Anforderungen ganzheitlich zu begegnen – egal ob in einer Kommune, einem Krankenhaus oder einem Industrieunternehmen.
Im Folgenden werden ausschließlich die erste Phase und die Vorbereitungsarbeiten dargestellt. In den nächsten Beiträgen werden die weiteren Phasen sukzessive eingebunden.
Phase 1: Verhindern – Antizipation als erste Verteidigungslinie
Resiliente Organisationen beginnen mit einer vorausschauenden Risikobetrachtung. Ziel ist es, Gefahren frühzeitig zu identifizieren und durch präventive Maßnahmen zu verhindern, dass es überhaupt zu einem Sicherheitsvorfall kommt.
Das hört sich sehr abstrakt an und ist aus meiner Erfahrung die größte Hürde für KMU, da sie nicht wissen, wie man am besten vorgeht.
Sinnvoll ist es, prozessorientiert zu starten. Die prozessorientierte Risikoanalyse ist ein integraler Bestandteil des modernen Prozess- und Risikomanagements. Durch die systematische Betrachtung von Risiken entlang der Prozesskette können Unternehmen proaktiv Schwachstellen identifizieren, steuern und damit die Resilienz ihrer Geschäftsprozesse erhöhen. Besonders in dynamischen und regulierten Branchen ist dieser Ansatz unverzichtbar.
Eine prozessorientierte Risikoanalyse ist ein systematisches Verfahren zur Identifikation, Bewertung und Steuerung von Risiken, die im Zusammenhang mit den Geschäftsprozessen einer Organisation stehen. Anders als klassische Risikoanalysen, die oft auf Organisationseinheiten oder Projekte (Assets/Werte) fokussiert sind, richtet sich die prozessorientierte Risikoanalyse konsequent an den Abläufen (Prozessen) eines Unternehmens aus. Sie ist ein zentrales Element des proaktiven Risikomanagements und unterstützt die kontinuierliche Verbesserung der Prozessqualität.
Beispiel: Maschinenbau Müller GmbH
Die Maschinenbau Müller GmbH produziert hochspezialisierte Anlagen für die Automobilindustrie. Das Unternehmen beschäftigt rund 250 Mitarbeitende und vertreibt seine Produkte europaweit. Um die eigene Risikotragfähigkeit zu verbessern, startet das Unternehmen ein Projekt zur Identifikation kritischer Geschäftsprozesse.
Zielsetzung der prozessorientierten Risikoanalyse
Das Ziel besteht darin, die Risiken entlang der gesamten Prozesskette zu identifizieren, um
- Fehler zu vermeiden oder frühzeitig zu erkennen,
- Auswirkungen auf Qualität, Zeit, Kosten, Reputation und Kundenzufriedenheit zu minimieren,
- die Compliance sicherzustellen
- und insgesamt die Prozesseffizienz und -sicherheit zu verbessern.
Ermittlung der Geschäftsprozesse
Zunächst müssen die kritischen Geschäftsprozesse identifiziert werden. Ein kritischer Geschäftsprozess im Rahmen der prozessorientierten Risikoanalyse ist ein Prozess, dessen Ausfall, Unterbrechung oder ineffiziente Durchführung erhebliche negative Auswirkungen auf die Zielerreichung, Wertschöpfung oder sogar die Existenz eines Unternehmens haben kann.
Zur strukturierten Betrachtung kritischer Geschäftsprozesse erfolgt eine Einteilung in Kernprozesse und Hilfsprozesse.
Kernprozesse
Kernprozesse sind unmittelbar an der Erstellung von Produkten oder der Erbringung von Dienstleistungen beteiligt. Sie stehen im direkten Zusammenhang mit der Unternehmensstrategie und dem Kundennutzen.
Beispiele für Kernprozesse sind unter anderem:
- die Produktion,
- der Vertrieb,
- die Auftragsbearbeitung,
- die Logistik.
Ein Ausfall eines dieser Prozesse kann direkte finanzielle Schäden verursachen, zu Kundenunzufriedenheit, Vertragsverletzungen oder dem Verlust von Marktanteilen führen. Daher gelten diese Prozesse aus Sicht der Risikoanalyse als besonders kritisch.
Hilfsprozesse
Im Gegensatz dazu umfassen Hilfsprozesse jene Abläufe, die nicht unmittelbar zur Wertschöpfung beitragen, jedoch die Durchführung der Kernprozesse maßgeblich unterstützen.
Hierzu zählen beispielsweise:
- das Personalmanagement,
- die IT-Infrastruktur,
- das Rechnungswesen,
- das Facility Management.
Störungen können gravierende Auswirkungen auf die Leistungsfähigkeit der Kernprozesse haben. So kann etwa ein Ausfall der IT-Services die gesamte Produktion oder den Vertrieb zum Stillstand bringen. Auch Hilfsprozesse können somit – je nach Abhängigkeit der Kernprozesse – als kritisch eingestuft werden.
Prozessinventarisierung
| Prozesstyp | Prozessname | Beschreibung | Bedeutung für das Unternehmen | Beispielhafte Tätigkeiten |
|---|---|---|---|---|
| Kernprozess | Produktion der Anlagen | Fertigung und Montage kundenspezifischer Maschinen und Anlagen | Zentrale Wertschöpfung; Ausfall führt direkt zu Umsatz- und Reputationsverlust | Bauteilfertigung, Montage, Endprüfung, Qualitätssicherung |
| Hilfsprozess | IT-Betrieb und Support | Bereitstellung und Wartung der IT-Infrastruktur | Unterstützt alle Geschäftsbereiche; Ausfall kann gesamten Betrieb stilllegen | Serverbetrieb, IT-Support, Datensicherung, IT-Sicherheitsmaßnahmen |
| Hilfsprozess | Einkauf/Lieferantenmanagement | Beschaffung aller notwendigen Materialien und Dienstleistungen | Versorgungssicherheit für Produktion; Verzögerungen können Liefertermine gefährden | Bedarfsermittlung, Bestellungen, Preisverhandlungen, Lieferantenbewertung |
| Hilfsprozess | Personalwesen | Betreuung und Entwicklung der Mitarbeitenden | Sichert langfristige Leistungsfähigkeit durch Fachkräftebindung und -gewinnung | Bewerbermanagement, Gehaltsabrechnung, Schulungsplanung |
Schauen wir uns den Kernprozess an. Es muss nun herausgefunden werden, wie lange der Kernprozess höchstens unterbrochen sein darf, ohne dass ein irreversibler Schaden für das Unternehmen entsteht. Es ist also die maximal tolerierbare Ausfallzeit (MTA) zu bestimmen.
Bestimmung der Maximalen Ausfallzeit
Vorgehensweise zur Bestimmung:
- Analyse der Prozessabhängigkeiten: Welche Folgeprozesse und Lieferketten hängen von der Produktion ab?
- Bewertung der Auswirkungen: Was passiert, wenn die Produktion für Stunden/Tage stillsteht? (z. B. Vertragsstrafen, Umsatzverluste, Imageverlust)
- Abstimmung mit Fachabteilungen: Fachliche und wirtschaftliche Expertise einbeziehen, um einen realistischen Grenzwert festzulegen (z. B. 24 Stunden).
- Dokumentation: Festhalten der MTA als verbindlicher Richtwert für Notfall- und Wiederanlaufpläne.
Bestimmung der Wiederherstellungszeit (RTO)
Die Wiederherstellungszeit (Recovery Time Objective, RTO) beschreibt den Zeitraum, innerhalb dessen der Produktionsprozess nach einem Ausfall wieder funktionsfähig sein muss. Die RTO muss immer kürzer oder gleich der MTA sein.
Um tatsächlich eine Risikoanalyse und entsprechende Maßnahmen definieren zu können, um die RTO zu gewährleisten, sind allerdings noch weitere Schritte notwendig.
Was sind Assets?
Ein primäres Asset ist das zentrale Gut oder die Ressource, das bzw. die direkt den geschäftlichen oder betrieblichen Wert erzeugt. Es steht im Mittelpunkt eines Prozesses und ist entscheidend für dessen Funktion. In der Produktion ist dies beispielsweise die steuernde Information wie Fertigungsanweisungen, Stücklisten oder Steuerprogramme – ohne diese läuft der Produktionsprozess nicht oder fehlerhaft. Der Verlust oder die Beeinträchtigung des primären Assets führt unmittelbar zu einem Stillstand oder zu erheblichen Störungen.
Ein sekundäres Asset hingegen unterstützt oder ermöglicht das primäre Asset, erzeugt aber selbst keinen direkten geschäftlichen Wert. Es handelt sich um begleitende Ressourcen wie IT-Systeme, Netzwerke, Energieversorgung, Gebäude oder auch Personal. Diese Assets sorgen dafür, dass das primäre Asset zugänglich, nutzbar oder geschützt ist. Fällt ein sekundäres Asset aus, ist die Folge in der Regel indirekt – etwa dadurch, dass das primäre Asset nicht mehr genutzt werden kann.
Das Zusammenspiel von primären und sekundären Assets ist wesentlich für die Funktionsfähigkeit eines Unternehmensprozesses. Deshalb ist es wichtig, im Rahmen der Informationssicherheit und des Risikomanagements beide Arten klar zu identifizieren. Nur so lassen sich geeignete Schutzmaßnahmen und Wiederherstellungsstrategien gezielt planen und umsetzen.
Das primäre Asset im Prozess „Produktion der Anlagen“ sind Informationen, wie:
- Produktionspläne, Stücklisten, Maschinendaten
- Betriebsgeheimnisse und Rezepturen
- Steuerungsinformationen (z. B. SCADA- oder MES-Daten)
Diese Informationen müssen besonders geschützt werden, da sie für die Aufrechterhaltung und Steuerung der Produktion unverzichtbar sind.
Als nächstes sind die Schutzziele zu definieren. Allerdings werden die nächsten Schritte und Phasen in den folgenden Beiträgen vertieft.
(Eigene Darstellung)
