Den Begriff «Coffin-Corner-Prinzip» gibt es wahrscheinlich gar nicht, aber der Coffin Corner ist allen Pilotinnen und Piloten bekannt: die Zone, in der man gerade noch fliegen kann. Normalerweise kann man in der Passagierfliegerei viel Pech haben und mehrere Fehler machen, ohne dass etwas Schlimmes passiert. Doch wenn sich im Coffin Corner Pech akkumuliert, kann ein einziger Fehler zum Absturz führen. Deshalb gilt das Prinzip: möglichst schnell und sicher raus aus der Gefahrenzone!
Ähnlich ist es beim Bergsteigen in hohen Höhen. Einem Kollegen ist es passiert, dass er allein im Biwak auf 6200 Metern über Nacht eingeschneit wurde. Am nächsten Morgen entdeckte er, dass er den Eispickel vor dem Zelt liegen gelassen hatte und die Batterien im Satellitentelefon leer waren. Sein Glück: Er fand den Eispickel beim verzweifelten Graben im Schnee zufällig wieder. Dafür stürzte er beim Abstieg in eine Gletscherspalte und stellte fest, dass er besser einen Kurs in Selbstbefreiung aus Gletscherspalten besucht hätte. Er hat es trotzdem ins Basislager geschafft, raus aus dem Coffin Corner, runter auf 4800 Meter, wo die Luft genügend Sauerstoff zum längerfristigen Überleben hat.
Ähnlich auch das wiederkehrende Muster der Fernsehserie Dr. House: Der Gesundheitszustand der Patientin verschlechtert sich immer schneller, bis es dem Team gelingt, die Krankheit richtig zu diagnostizieren. Dann greifen die Routinen, die High-End-Technik und die High-End-Pharmazie retten die Patientin. Raus aus dem Coffin Corner heisst hier: die richtige Diagnose finden, so schnell wie möglich. Danach kann man sich auf die medizinische Maschinerie verlassen.
Das Coffin-Corner-Prinzip besagt also: Es gibt Gefahrenzonen, in denen die Akkumulation von Pech existenzbedrohend ist und in denen man sich im Ernstfall ganz auf das Entkommen aus der Zone konzentrieren muss, ohne Gedanken auf das Danach zu verschwenden.
«Auch die Geschäftsleitung braucht eine Cybersecurity-Schulung.»
Schnell, aber nicht kopflos handeln
Daraus können wir für Cybersecurity dreierlei lernen: Erstens braucht es gut funktionierende Routinen. Man sollte nicht erst in der Krise den Schulungsbedarf erkennen. Ein Unternehmen muss sich darauf verlassen können, dass seine IT die Lage im Normalfall gut im Griff hat und im Notfall reaktive Sicherheitsmassnahmen souverän beherrscht. Zweitens braucht es Wissen über die Gefahren und die Fähigkeit, gefährliche Krisen sofort zu erkennen und zu begreifen, dass der nächste Fehler das Ende sein könnte. Drittens gilt im Fall, dass es kritisch wird, die oberste Priorität: raus aus der Gefahrensituation, rein in einen halbwegs sicheren Zustand. Denn die Zeit läuft ab. Bei andauernder Krise wächst nicht nur schnell der Schaden, sondern die eintretende Erschöpfung erhöht die Fehlerwahrscheinlichkeit.
Das Coffin-Corner-Prinzip anzuwenden, bedeutet, nicht kopflos zu handeln. Ganz im Gegenteil: Es bedeutet, auf das Krisenmanagement vorbereitet zu sein und die Fähigkeit zum schnellen Reagieren zu besitzen. Konsequenz: Auch die Geschäftsleitung braucht eine Cybersecurity-Schulung.
«Zwischen 0 und 1»
Zwischen 0 und 1
Coffin-Corner-Prinzip: Get me out!
Reinhard Riedl erklärt in seiner Kolumne «Zwischen 0 und 1», weshalb sich auch die Geschäftsleitungen im Bereich Cybersecurity weiterbilden lassen sollten.
Cybersecurity ist im Alltag für die Geschäftsleitung selten ein Thema. Sie muss aber darauf vorbereitet sein, bei einem schweren Angriff schnell die richtigen Entscheide zu treffen.