Im Zentrum von Durbins Argumentation steht die Governance. Tritt ein Sicherheitsvorfall ein, müssen mehrere Funktionen gleichzeitig handeln: Sicherheitsteams begrenzen die Ausbreitung, die IT stellt Systeme wieder her, die Rechtsabteilung klärt mögliche rechtliche Folgen, die Kommunikation informiert Kunden, Analysten und zentrale Stakeholder, und der Vorstand muss die Auswirkungen auf Umsatz, Betrieb, Leistungserbringung und Reputation einschätzen. Entscheidungsbefugnisse, Eskalationswege, Risikoappetit und Wiederherstellungsprioritäten werden so zum Fundament der Governance.
Ein weiterer Kernbegriff ist das „Minimum Viable Business“ – analog zum bekannten Minimum Viable Product, jedoch auf der Ebene des Geschäftsbetriebs. Es benennt die geschäftskritischen Prozesse, Informationswerte, Personen, Lieferanten und Infrastrukturen, die verfügbar bleiben müssen, damit eine Organisation trotz eines störenden Vorfalls arbeitsfähig bleibt. Durbin betont, dass jede Abhängigkeit konkret abgebildet werden müsse statt in generischen Listen. Ein Zahlungsprozess etwa hängt von Identitäts- und Zugriffsverwaltung, Betrugsüberwachung, Kundenservice und Cloud-Infrastruktur ab – diese Elemente seien nicht verhandelbar.
Systemresilienz beschreibt Durbin als die neue Geschäftsresilienz. Backups, Wiederherstellungszeiten, Service-Level-Vereinbarungen, Kapazitätsplanung und Änderungsmanagement seien keine rein technischen, sondern geschäftliche Resilienzfragen. Kontinuität bleibe ein leeres Versprechen, wenn kritische Systeme nicht innerhalb der vereinbarten Fristen wieder anlaufen. Kritische Infrastruktur und Anwendungen brauchten Alternativen, da ein einzelner Ausfall eine Kette von Unterbrechungen auslösen könne; Leistung und Kapazität seien regelmäßig zu überwachen.
Incident Response und Business Continuity müssten zusammenrücken. Bei einem schweren Cyber-Vorfall liefen Eindämmung, Untersuchung, rechtliche Bewertung, Kundenkommunikation, betriebliche Behelfslösungen, Lieferantenkoordination und Systemwiederherstellung parallel ab. Kontinuität könne nicht warten, bis der Sicherheitsvorfall abgeschlossen sei – nötig sei ein Rahmen, der Sicherheit, IT, Recht, Kommunikation, Betrieb, Lieferantenmanagement und Vorstand unter einer gemeinsamen Reaktionsstruktur zusammenführt.
Besonderes Gewicht legt Durbin auf Lieferanten- und Cloud-Abhängigkeiten. Organisationen stützten sich auf Cloud-Plattformen, SaaS-Werkzeuge, Managed-Provider, Softwarelieferanten, KI-Werkzeuge, Datenverarbeiter und externe Partner; falle nur einer davon aus, sei die Kontinuität nahezu sofort betroffen. Verträge mit externen Anbietern sollten realistische Erwartungen an Resilienz und Sicherheit festschreiben, abgestimmt auf den Continuity- und Risikorahmen. Kritische Dritte gehörten in die Kontinuitätsszenarien und dürften nicht als Randabhängigkeiten behandelt werden.
Abschließend hebt Durbin die Bedeutung von Tests hervor: Selbst der beste Plan sei wertlos, wenn er nicht gegen realistische Szenarien erprobt werde. Getestet werden sollten Ransomware, langanhaltende Cloud-Ausfälle, Lieferantenstörungen, kompromittierte Identitäten, Zweifel an der Datenintegrität und Störungen kundennaher Dienste. Der Schwerpunkt liege auf den Fähigkeiten im Krisenmanagement, der Widerstandsfähigkeit der technischen Infrastruktur und der Fähigkeit, kritische Prozesse innerhalb festgelegter Fristen wieder aufzunehmen.
