Resilienz ist mehr als Redundanz: Warum Backups nicht ausreichen

Ein Rechenzentrum schaltet innerhalb von Sekunden auf Notstrom um.
Die redundanten Systeme greifen wie geplant. Die Versorgung bleibt stabil.

Wenige Minuten später beginnt die eigentliche Störung.

Ein Softwarefehler in der Steuerung führt zu einer Fehlpriorisierung von Lasten.
Gleichzeitig verzögert sich die Nachlieferung von Kraftstoff.
Die Kommunikation zwischen Leitstelle und Betrieb bricht teilweise ab.

Alle Systeme sind vorhanden.
Und dennoch verliert das Gesamtsystem schrittweise seine Stabilität.

Dieses Szenario ist kein Ausfall einzelner Komponenten.
Es ist ein Systemversagen.

Kernthese:
Wer Resilienz mit Redundanz verwechselt, plant für den Ausfall. Aber nicht für die Krise.

In kritischen oder militärischen Infrastrukturen treten Störungen selten isoliert auf.
Sie entstehen durch Wechselwirkungen:

• technische Fehler

• organisatorische Verzögerungen

• externe Einflüsse

• digitale Störungen

Diese Dynamik führt zu kaskadierenden Effekten.

Ein System fällt nicht aus, weil eine Komponente versagt.
Es fällt aus, weil das Zusammenspiel nicht mehr funktioniert.

Genau hier liegt die Grenze klassischer Redundanzkonzepte.

Redundanz bedeutet, dass eine Funktion durch alternative Komponenten abgesichert ist. Fällt ein System aus, übernimmt ein anderes.

Das ist notwendig. Aber eben nur die Grundlage.
Redundanz ist damit die Basis für Resilienz, braucht aber mehr Technologie-Diversität und einen ganzheitlichen Ansatz, um im Ernstfall handlungsfähig zu bleiben.

In der Praxis werden redundante Systeme häufig:

• baugleich

• gleich gesteuert

• identisch integriert

Damit teilen sie aber auch dieselben Schwachstellen:

• gleiche Softwarelogik

• gleiche Abhängigkeiten

• gleiche Schnittstellen

Fällt eine dieser Ebenen aus, betrifft das nicht ein System, sondern alle.
Redundanz repliziert in solchen Fällen ein Risiko und keine Sicherheit mehr.

Ein klassisches Beispiel wäre das Notstromaggregat.
Wenn alle kritischen und militärischen Infrastrukturen im Krisenfall auf ein Aggregat zurückgreifen, wird der benötigte Diesel bald nicht mehr für alle ausreichen.

Resilienz beschreibt nicht die Fähigkeit, Ausfälle zu überbrücken.
Sie beschreibt die Fähigkeit, unter veränderten Bedingungen einsatzfähig zu bleiben.
D.h. Störungen zu erkennen, zu absorbieren, sich anzupassen und im Ernstfall nahtlos und funktionsfähig zu bleiben.

Damit verschiebt sich die Perspektive:

• von Komponenten → auf Systeme

• von Verfügbarkeit → auf Anpassungsfähigkeit

• von Planung → auf Verhalten

Resilienz im Energiesektor ist mehrdimensional – ein Gesamtsystem:

• technologisch (Diversifizierung)

• organisatorisch (Prozesse, Übungen)

• regulatorisch (Standards)

• ökonomisch (Investitionslogik)

• sozial (Führung, Akzeptanz)

Ein rein technisches Redundanzkonzept adressiert maximal eine dieser Dimensionen.

Resilienz entsteht nicht im Design allein.

Sie entsteht durch:

• trainierte Abläufe

• getestete Szenarien

• klare Entscheidungsstrukturen

Simulation ist dabei die entscheidende Brücke zwischen Planung und Realität.
Ohne sie bleibt Resilienz eine Annahme.

Redundanz optimiert einzelne Komponenten.
Resilienz steuert das Verhalten des Gesamtsystems.

Dieser Unterschied ist entscheidend. 

Kritische und militärische Infrastrukturen funktionieren nicht als monolithische Systeme, sondern als System of Systems:

• autonome Teilsysteme

• interoperabel verbunden

• funktional abgestimmt

Diese Architektur ermöglicht:

• Entkopplung bei Störungen

• flexible Anpassung

• gezielte Priorisierung kritischer Lasten

Ein System bleibt funktionsfähig, auch wenn Teile ausfallen.

Durch emergentes Verhalten ist das Gesamtsystem so in der Lage, durch Interkation der Einzelkomponenten Fähigkeiten zu generieren, die kein Einzelsystem alleine besitzt.

Wenn Systeme isoliert optimiert werden:

• entstehen Abhängigkeiten

• fehlen Schnittstellenstandards

• wächst die Komplexität unkontrolliert

Das Gesamtsystem wird dadurch anfälliger – trotz lokaler Optimierung.

Redundanz ist greifbar:
Sie ist messbar.
Sie ist beschaffbar.
Sie ist technisch erklärbar.

Resilienz ist das Gegenteil:
Sie ist systemisch.
Sie ist dynamisch.
Sie ist nicht vollständig planbar.

Deshalb wird Redundanz häufig als Ersatz für Resilienz verwendet. Zu oft wird der Begriff „Resilienz“ mit Redundanz gleichgesetzt, also mit der bloßen Vorhaltung von Ersatzsystemen.
Nicht aus Unwissenheit, sondern aus struktureller Logik:
Organisationen optimieren das, was sie direkt kontrollieren können.

Der Übergang beginnt nicht mit neuer Technologie, sondern mit einer anderen Perspektive:

1. 1.

   Diversifikation statt Duplikation
   Unterschiedliche Technologien statt identischer Systeme

2. 2.

   Priorisierung statt Gleichverteilung
   Kritische Lasten müssen definiert und abgesichert werden

3. 3.

   Interoperabilität statt Insellösungen
   Systeme müssen zusammen funktionieren

4. 4.

   Simulation statt Annahmen
   Szenarien müssen getestet werden

5. 5.

   Organisation als Teil des Systems
   Prozesse und Entscheidungen sind integraler Bestandteil

Resilienz entsteht schrittweise.

1. 1.

   Systemtransparenz herstellen
   Erfassung aller Komponenten, Abhängigkeiten und kritischen Lasten

2. 2.

   Szenarien simulieren
   Blackout, Cyberangriff, Lieferausfall → Sichtbarkeit von Schwachstellen

3. 3.

   Architektur anpassen
   Modulare Systeme, Diversifikation, Inselbetriebsfähigkeit

4. 4.

   Organisation integrieren
   Notfallpläne, Entscheidungsstrukturen, Übungen

5. 5.

   Kontinuierliche Anpassung
   Monitoring, Tests und Weiterentwicklung

Diese Logik entspricht dem Übergang von statischer Sicherheit zu adaptiver Resilienz und damit zu Handlungsfähigkeit in jeder Situation.