"Wenn Krise ist, muss man Krise managen", soll Gerhard Schröder einmal gesagt haben. Ganz so einfach ist der Umgang mit Krisen allerdings nicht. Die meisten Notfälle sind Situationen, in denen ein Unternehmen plötzlich und unvorhersehbar seinen Geschäften nicht mehr nachgehen kann. Dabei muss es nicht gleich eine Katastrophe der Größenordnung der Terroranschläge in New York und Washington sein. Flächendeckende Stromausfälle, Naturereignisse oder einfach nur ein Streik im öffentlichen Nahverkehr können dafür sorgen, dass eine ganze Konzernzentrale mit mehreren tausend Arbeitsplätzen nicht mehr einsatzbereit ist. Wer sich allerdings erst im Ernstfall Gedanken über sein Krisen-Management macht, ist reichlich spät dran.
Funktionierende Geschäftsprozesse auch in Ausnahmesituationen können für Unternehmen lebenswichtig sein. Bei Banken kommt hinzu, dass ein Minimum an Betriebsbereitschaft gesetzlich gefordert und in den "Mindestanforderungen für das Betreiben von Handelsgeschäften" (MaH) festgelegt ist. Die MaH fordert unter anderem explizit eine Notfallplanung und kurzfristig einsetzbare Ersatzlösungen, falls die für das Handelsgeschäft erforderlichen Systeme ausfallen sollten. Um diesen Anforderungen gerecht zu werden und auch im Notfall die wichtigsten Geschäftsprozesse aufrechterhalten zu können, startete die Düsseldorfer WestLB Mitte vergangenen Jahres ein Business-Continuity-Projekt. Die Notfallplanung wurde konzernübergreifend erstellt und umfasst sämtliche Betriebsstellen der Bank weltweit.
Ziel war es, Standards im Konzern zu schaffen, um auch im Fall einer globalen Krise zweierlei zur Verfügung zu haben: zum einen alle unbedingt notwendigen Daten, zum anderen die weltweiten Schnittstellen. Zur Koordination des Projekts installierte die Projektleitung in jeder Betriebsstelle einen verantwortlichen "Business Continuity Coordinator". Zusätzlich hat jeder Geschäftsbereich einen entsprechenden Koordinator bestimmt. Der Vorteil dieser Matrix-Lösung sei, so Uwe Naujoks, Beauftragter für die Notfallplanung des Bankkonzerns, dass sie die Sicht sowohl über eine Niederlassung als auch über einen Geschäftsbereich hinweg ermöglicht. Beide Anforderungen - die Betriebsbereitschaft einer räumlichen Einheit und die Aufrechterhaltung eines Geschäftsprozesses - können so optimal unterstützt werden.
Wichtige Prozesse ermittelnBeim Aufstellen der globalen Standards orientiert sich die WestLB nicht nur daran, die Unternehmens-IT abzusichern. Vielmehr ständen die Geschäftsabläufe im Mittelpunkt der Planung, erläutert Naujoks. So begann das Projekt auch mit einer auf das Projektziel ausgerichteten Analyse dieser Prozesse. Die einzelnen Geschäftsbereiche und Betriebsstellen waren im ersten Schritt aufgefordert, alle ihre Geschäftsprozesse aufzuzeichnen: Welche Art von Aufgabe ist zu erfüllen? Wo wird eine Aufgabe erledigt? Wie viele Mitarbeiter sind daran beteiligt? Anhand dieser Angaben wurden die als "Mission Critical" und "Important" eingestuften Prozesse ermittelt.
Im Global-Continuity-Projekt verfolgte die Bank zunächst nur die nach MaH relevanten Prozesse weiter. Zunächst galt es, die von diesen Aufgaben erzeugten Datenströme zu erkennen. Da viele Geschäftsbereiche ineinander verzahnt sind, musste genau analysiert werden, welche Daten wohin weitergereicht werden und vor allem, welche dieser Datenströme unverzichtbar sind.
Eine weitere Frage war, nach welcher Zeit eine Aufgabe im Notfall wieder erfüllbar sein muss. Damit verbunden ist, welche Hilfsmittel für die jeweilige Aufgabe benötigt werden. Die Geschäftsbereiche stellten zusammen, welche Mittel im Normalbetrieb genutzt werden und welche davon auch im Notbetrieb unverzichtbar sind. Damit sollten die "kritischen Pfade" herausgefunden werden, so Naujoks: Welche Aufgaben können nicht mehr erfüllt werden, wenn zum Beispiel eine bestimmte Applikation ausfällt? Daraus erstellt das Projektteam den Anforderungskatalog, der genau definiert, nach welchen Zeitintervallen der interne IT-Dienstleister der WestLB bestimmte Applikationen wieder bereitstellen muss. Ein Nebeneffekt dieser aufwändigen Analyse sei, so Naujoks, "dass Konsolidierungspotenziale erkannt werden".
Die Analysen der lokalen Betriebsstellen und der Geschäftsbereiche wurden im weiteren Projektverlauf zuammengetragen und konsolidiert. Hier kam die Frage nach der Wirtschaftlichkeit ins Spiel. Da innerhalb der WestLB auch lokale Systeme verbreitet sind, musste beispielsweise geprüft und im Projektteam diskutiert werden, welche Server, die unter Umständen nur von einer Stelle des Konzerns als wichtig erachtet werden, gespiegelt werden müssten. Im Anforderungskatalog wurde dokumentiert, was zur Aufrechterhaltung der jeweiligen Geschäftsabläufe notwendig ist: Zahl der benötigten Mitarbeiter, Zeitrahmen und Anforderungen an die IT. Diese Analysephase benötigte wegen der hohen Komplexität und der großen Zahl an Beteiligten mehr Zeit als ursprünglich geplant.
Bei der Umsetzung dieser Anforderungen ging der Finanzkonzern von einem Szenario aus, bei dem ein Gebäude für maximal vier bis sechs Wochen nicht nutzbar sei. Es galt also, alternative Arbeitsplätze zu finden, von denen aus im Notfallbetrieb die Kerngeschäfte der Bank aufrechterhalten werden können. Dafür gebe es zwei Möglichkeiten, erklärt Naujoks: Zum einen könne eine Ausweichlokation vorgehalten werden, die entweder selbst zu betreiben wäre oder von einem Drittanbieter angemietet werden müsse.
Der externe Anbieter ist dann für die Räumlichkeiten und die notwendige Hardware zuständig. Sofern es noch andere Interessenten gibt, können sich auch mehrere Unternehmen die Notfallräume teilen. Auch kann ein "Hot Standby" vereinbart werden, bei dem eine Notfalllokation ausschließlich für ein Unternehmen reserviert ist und die Infrastruktur immer auf demselben Stand wie am normalen Arbeitsplatz vorgehalten wird. Mit den Anforderungen steigt der Preis.
Innerhalb der WestLB sind Ausweichlokationen durchaus verbreitet, neben London nutzen unter anderen auch die Niederlassungen in New York, Hongkong oder Warschau diese Möglichkeit.
Umverteilung der ArbeitsplätzeAls zweite Notfalloption sieht der Projektleiter die Absicherung durch eine Umverteilung vorhandener Arbeitsplätze im Krisenfall. Falls ein Konzerngebäude aus irgendwelchen Gründen nicht mehr zu betreten sei, könnten betroffene Mitarbeiter mit besonders kritischen Aufgaben in einem anderen Gebäude des Unternehmens im Notfall nicht zwingend benötigte Arbeitsplätze nutzen, um ihre Aufgaben zu erfüllen. Für den Standort Düsseldorf, an dem die WestLB viele Gebäude in teilweise nur wenigen hundert Metern Entfernung unterhält, präferieren die Projektverantwortlichen die zweite Lösung.
Bei diesem Modell wird jedem als "Mission Critical" und "Important" eingestuften Arbeitsplatz ein anderer Platz in einem anderen, möglichst weit entfernten Gebäude zugeordnet, der in einer Krisensituation vorübergehend nicht benötigt wird. Im Idealfall belegt ein Geschäftsbereich bereits Plätze in mehreren Gebäuden. Dann sei meist auch die Ausstattung dieser Arbeitsplätze ähnlich, so Naujoks. Das sei aber in vielen Fällen nicht gegeben.
Deswegen müssen die entsprechenden Mitarbeiter in der Regel auf die Arbeitsplätze anderer Geschäftsbereiche zurückgreifen. In diesem Fall ist wichtig, dass die IT-Infrastruktur einschließlich Netzwerkkomponenten und Datentransfer des normalen Arbeitsplatzes und des Krisenplatzes abgeglichen werden: Im Notfall sollten nicht erst große Softwarepakete zu installieren oder Sever-Verbindungen herzustellen sein.
Gegenseitige AbsicherungBei dieser Vorgehensweise kommt der Bank die enge Verbindung im Handelsbereich zwischen den Standorten Düsseldorf und London entgegen. Beide Niederlassungen greifen weitgehend auf dieselben Ressourcen zu, so Naujoks, "die es ermöglichen, beidseitig die Arbeitsplätze aufrechtzuerhalten". Da das Trading besonders wichtige Geschäftsbereiche umfasst, muss es im Notfall auch besonders schnell wieder betriebsbereit sein. Für den Ausfall der Düsseldorfer Handelsräume bedeutet das: London übernimmt, so weit möglich, das Geschäft allein. Damit liege die Ausfallzeit nahe Null, erläutert Naujoks. Im nächsten Schritt könnten Mitarbeiter aus Düsseldorf nach London reisen und dort einige Arbeitsplätze nutzen. Da die englische Konzernniederlassung über eine eigene Ausweichlokation verfügt, ist es auch möglich, eine größere Anzahl Düsseldorfer Mitarbeiter von London aus arbeiten zu lassen.
Datenbankgestütztes Krisen-ManagementDa jeder Geschäftsbereich selbst für seine Notfallabsicherung aufkommen muss, kann auch eine Mischlösung innerhalb des Unternehmens entstehen. Zwar muss jeder Konzernteil die definierten Standards einhalten, kostengünstigere Alternativen können aber im Rahmen des Gesamtkonzeptes eingebracht werden.
Tritt der Notfall ein, wird das Krisen-Management von einer Lotus-Notes-basierenden Datenbank unterstützt. Das jeweilige Szenario, zum Beispiel "Gebäude 3 in Düsseldorf kann nicht betreten werden", ist mit den davon betroffenen Geschäftsabläufen verknüpft. Alle Aktivitäten, die zum Wiederanlaufen dieser Aufgaben notwendig sind, werden beim Start des Szenarios angezeigt: Welche Server müssen wieder hergestellt werden, wer muss seinen Notfallarbeitsplatz beziehen und so weiter. Gleichzeitig wird das Krisen-Management einberufen. Der Leiter des Krisenstabs ist gegenüber den betroffenen Geschäftsbereichen weisungsbefugt. Ob in den Szenarien alle Details korrekt bedacht wurden, müssen nun noch abschließende Tests zeigen. Dabei werden die Abläufe von dem eingesetzten Tool auch revisionssicher dokumentiert - das ist notwendig, da das Business-Continuity-Projekt auf gesetzlichen Vorgaben beruht. Auch für die interne Versionskontrolle der Notfallpläne ist eine sichere Dokumentation erwünscht. Durch das eingesetzte Tool ist auch dies gewährleistet.
Projektbegleitend wurde auch ein internes Marketing betrieben, um das Interesse der Mitarbeiter zu wecken. Auf den Intranet-Seiten und in der Mitarbeiterzeitschrift stellte die Projektleitung das Business-Continuity-Planning vor und präsentierte die Ergebnisse. "Die interne Information ist wesentlich", so Naujoks, um die Zustimmung der Mitarbeiter zu gewinnen. Diese Akzeptanz beurteilt der Projektleiter als sehr gut.
Das Projekt der WestLB wird in Deutschland zum 31. Dezember 2001 im Wesentlichen abgeschlossen sein. Der Auslandsteil endet planmäßig am 30. Juni des kommenden Jahres. Die Notfallplanung geht damit als Linienfunktion in den Geschäftsbereich "Konzerninformations-Management" über. Um für bleibende Qualität des Notfallkonzepts zu sorgen, ist zurzeit ein strukturiertes Berichtswesen in Vorbereitung. Dabei berichten die verschiedenen Betriebsstellen an den zentralen Notfallbeauftragten auf Basis eines Self-Assessments. Diese Bewertung wird auch in die Reportings über die operationalen Risiken der WestLB einfließen.