Zwischen dem angenommenen und dem tatsächlichen Aufwand für die Umstellung von zwei- auf vierstellige Jahreszahlen klafft eine große Lücke, das wissen nicht nur die Marktforscher von Forrester Research. Konzerne vernachlässigen ihre internationalen Tochtergesellschaften, unterschätzen das Gefahrenpotential in Netzwerken, Kommunikationsanlagen und Embedded Systems oder konzentrieren sich zuwenig auf ihre Lieferketten. Auch beim Test umgestellter Anwendungen dominiert eine gefährliche Arglosigkeit: Den Wechselbeziehungen zwischen internen und externen Applikationen gehen nur die wenigsten Unternehmen auf den Grund, so Forrester Research.
Wer in diesen Tagen über die Sicherheit seiner technischen Infrastruktur nachdenkt, darf sich keinen Illusionen hingeben. "Das Ford-Kiekert-Desaster ist ein Paradebeispiel, was passieren kann", sagt Helmut Renz, Chefingenieur der Münchner Tela-Versicherungs AG. Mitte Juni konnte der Kfz-Zulieferer und Autoschloßspezialist Kiekert AG, Heiligenhaus, seinen Hauptkunden nicht mehr beliefern. Ein Blitzschlag ins Stromnetz hatte die DV-Systeme schachmatt gesetzt. Heute sieht sich Kiekert mit einer millionenschweren Schadensersatzklage konfrontiert und muß sich mit besorgten Aktionären herumschlagen.
Nicht Fließbänder diktieren den Produktionsrhytmus, sondern Computer. Heute steuern komplexe Leitsysteme den reibungslosen Fluß digitaler Information. "An vielen Stellen geben Mikrochips den Takt an, von deren Existenz jedoch viele Anwender nichts wissen", mahnt Martin Zorn, Risikospezialist bei der Kölnischen Rückversicherungs AG. Die britische Institution of Electrical Engineers (IEE) rechnet damit, daß drei von 1000 Mikrochips in den Produktionssystemen ausgetauscht werden müssen. Sie könnten zu massiven Sach- und Betriebsunterbrechungsschäden beitragen. Vor allem die Chemie- und Pharmaindustrie muß auf das Schlimmste gefaßt sein.
Doch den DV-Leitern die Schuld in die Schuhe zu schieben ist der falsche Ansatz eines professionellen Risiko-Managements. "Zwei Drittel der Probleme", weiß Andy Kyte, Jahr-2000-Spezialist der Gartner Group in London, "liegen nicht bei der IT, sondern in den Geschäftsprozessen." Kyte empfiehlt Unternehmen, sogenannte Business-Continuity-Pläne aufzustellen. Dem Management obliege dabei die Aufgabe, alle Maßnahmen zu kontrollieren und eine proaktive Strategie zu verfolgen.
Laut Kyte zeichnet ein vorausschauendes Management aus, daß es mit Fehlern umgeht, bevor sie eintreten. Zieht es mögliche Fehler ins Kalkül, kann es sich rechtzeitig anhand detaillierter Projekt- oder Notfallpläne auf das Schlimmste einstellen. "Wo Fehler allerdings grundsätzlich nicht vorhersehbar sind, handelt es sich in der Regel um reaktive Organisationen." Ihnen werde es kaum gelingen, die Jahr-2000-Umstellung - "die bisher größte Herausforderung des Projekt-Managements" - zu bewältigen.
"Nur in den seltensten Fällen beobachten wir eine geordnete Planung", kritisiert Frank Sempert, Chef der Sempert Euro Consulting GmbH in Frankfurt. Seiner Beobachtung zufolge verfügen nur hochempfindliche Branchen wie Banken und Versicherungen über hinreichende Eventual- und Notfallkonzepte. Dies sei Ergebnis der frühzeitigen Jahr-2000-Initiativen, zu denen die klassischen Informationsdienstleister gezwungen waren.
In der Industrie hingegen bietet sich ein anderes Bild. Die möglichen Auswirkungen von fehlerhaften Embedded Systems auf Produktionsprozesse schlagen sich Sempert zufolge nur unzureichend in Notfallplänen nieder. Sein Rat: "Wer Krisen-Management-Konzepte in der Schublade hat, sollte sie auf Jahr-2000-Kompatibilität überprüfen."
Sich endlich an die Planung für den Notfall zu machen, empfiehlt auch Forrester-Research-Analystin Waverly Deutsch. Sie hat gleich einen ganzen Handlungskatalog aufgestellt, an dem sich Anwender orientieren können. "Bricht das System eines Carriers zusammen, sollte ein Backup-Provider zur Verfügung stehen. Fällt die Stromversorgung aus, müssen Aggregate einspringen. Erwischt es einen Lieferanten, muß eine Alternative aus der Schublade gezogen werden."
Daß fehlerhafte Embedded Systems und Telekommunikationsanlagen den Unternehmen den Boden unter den Füßen wegziehen können, wissen auch die Experten der International Telecommunication Union (ITU). Ron Balls, Chairman der Year 2000 Task Force in London, macht sich zunehmend Sorgen um das Problembewußtsein der Wirtschaft: "Vielen Konzernen ist nicht klar, daß ihre Corporate Networks von Schnittstellen zwischen TK- und Softwaresystemen nur so wimmeln."
Von besonderer Brisanz sind Knotenpunkte zwischen internen und externen Systemen der Lieferanten. Jeder dritte deutsche Konzernchef rechnet nicht mehr mit der Jahr-2000-Fähigkeit seiner Geschäftspartner, hat ein Dienstleister per Umfrage ermittelt.
Mehr denn je suchen Unternehmen nach einem integrierten Ansatz, um das globale Problem in den Griff zu kriegen. Im Unterschied zur bisherigen Praxis kommen nun die Geschäftsprozesse auf den Prüfstand. Wie lange können wir ohne Telefon auskommen, wie lange den Ausfall von Intranets oder Mail-Systemen verkraften?
Was passiert, wenn das gesamte Telefonnetz ausfällt und Leitstellen von Sicherheitsunternehmen, Polizei und Feuerwehr auf dem Schlauch stehen? "Fallen Energieversorgung und Telekommunikation aus, wird die Nabelschnur der Informationsgesellschaft gekappt", orakelt Sempert.
Um sich vor dem Schlimmsten zu bewahren, besteht absoluter Handlungszwang. Gartner-Group-Experte Kyte favorisiert dabei einen entscheidungsorientierten Ansatz. Demnach seien Unternehmen gut gerüstet, die eine klare Entscheidungskultur pflegen und nichts auf die lange Bank schieben. "Wer sich jedoch vor Entscheidungen drückt, ist unter Streß völlig ausgeliefert", so Kyte. Deshalb müsse das Management Krisensituationen beschreiben, Handlungsszenarien festlegen und die Organisation darauf vorbereiten.
Risiko-Management muß Prioritäten setzen. Nachdem sich Anwender in den letzten Jahren vor allem auf die reine DV-Umstellung konzentriert haben, rücken nun andere Bereiche ins Fadenkreuz. Weil Milliardenverluste, Bankrott und Konkurs drohen, hat man sich nunmehr die Lieferantenketten vorgeknöpft.
So auch im Daimler-Benz-Konzern, wo Projektleiter Wolfgang Dischler die Fäden zieht. Seit die Jahreszahlenumstellung hausintern weitgehend abgeschlossen ist, sagt er, insbesondere die Maschinen der Lieferanten hätten es in sich.
Weil alle derselben Gefahr ausgesetzt sind und um Synergien nutzen zu können, haben sich Daimler-Benz und alle anderen deutschen Autobauer, Zulieferer und der Verband der Automobilindustrie (VDA) zu einer Aktion zusammengeschlossen. Gemeinsam wollen sie die drohende Krise bekämpfen. Daß sie aufeinander zugehen, war überfällig. Doch bis zuletzt hatte man Beschwichtigungsformeln parat, wie Ekkehart Saager vom VDA zugibt. "Jahr-2000-Sicherheit - kein Problem", hieß es zu lange.
Schließlich führte der VDA eine Umfrage unter den Zulieferern durch. Nur 60 Prozent der Firmen beteiligten sich daran und von diesen erklärten viele freimütig, daß sie mit der Umstellung noch gar nicht begonnen hätten.
Um den Spieß umzudrehen, einigten sich die führenden Häuser auf ein Assessment-Verfahren, das laut VDA zwischen November und März über die Bühne gehen soll. Um Doppelarbeit zu vermeiden, wird jeder Zulieferer nur einmal geprüft, wozu man sich die Dienste eines deutschen Spezialisten sicherte. "Wenn man bedenkt, daß die größten Zulieferer der Automobilindustrie ihrerseits mit 5000 bis 12000 Zulieferern kooperieren, müßte jedem ein Licht aufgehen", argumentiert Saager.
Der Testaufwand ist größer als der für Umstellungen
"Wer die Existenz des Unternehmens im Auge hat", schließt sich Luis Praxmarer von der Meta Group in Ismaning bei München an, "muß sich auf seine Lieferketten konzentrieren." Er empfiehlt Onsite-Audits, die sich auf die wichtigsten Lieferanten beschränken sollen. Dies sei aber nur die halbe Miete, denn insbesondere Konzerne sollten sich zunächst mit ihren internen Supply-Chains befassen.
Unternehmen mit 500 bis 700 Töchtern seien heute keine Ausnahme mehr. Zur Hausaufgabe zählen dabei die Anpassung von Konzernrichtlinien und rechtlichen Bestimmungen. Jeder Unternehmensbereich stünde in der Pflicht. Praxmarer: "Im Vergleich zu den reinen Umstellungsarbeiten liegt der Aufwand für den internen Audit um das Dreifache höher."
Aber das soll sich lohnen. Komme es zu rechtlichen Konflikten, zum Beispiel zu Regreßansprüchen, so Praxmarer, sei ein lupenreiner Audit-Trail die beste Versicherung. ABC-Analysen, die Bildung interner und externer Audit-Teams sowie ein klares Projekt-Management geben zumindest fürs erste den nötigen Rückhalt. Nicht nur die Meta Group empfiehlt, rechtzeitig Notfallteams zu rekrutieren und für eine Urlaubssperre zu sorgen. Auch dafür gibt es angesichts der Komplexität zu erwartender Krisenszenarien keine Alternative.
Angeklickt
Das Risiko hat einen Namen: Problem 2000. Zahlreiche Unternehmen haben sich spät, aber mit großem Einsatz um Lösungen gekümmert. Nun befürchten sie, daß alles nicht viel nützen wird, weil die Lieferanten, ohne die bei den großen Konzernen nichts geht, ihre DV-Umstellungen nicht schaffen werden. Jetzt hat sich zum Beispiel die Automobilindustrie zusammengetan, um mit vereinten Kräften gegen Probleme in den sensiblen Lieferketten anzugehen. Von Krisen-Management redet öffentlich allerdings bisher nur die Finanzbranche.
Winfried Gertz ist freier Journalist in München.