Business Continuity Management: Darauf kommt es an

  • Fabian Sinner
  • März 4, 2020

Inhaltsverzeichnis

    Business Continuity Management: Darauf kommt es an

    Geringes Risiko, aber ein enormer Schaden: Ein betriebliches Worst-Case-Szenario gilt es in jedem Fall zu vermeiden. Falls es doch eintritt, ist die Gegenmaßnahme oftmals ein Spiel gegen die Zeit, um das betroffene Unternehmen vor erheblichen Einbußen oder sogar dem Bankrott zu bewahren. Genau mit diesen Notfallstrategien und Maßnahmen befasst sich das Business Continuity Management.

    Was bedeutet Business Continuity Management?

    Business Continuity Management (kurz: BCM) ist die Antwort auf die Frage: Was tun, wenn ein betrieblicher Notfall eintritt? Es beinhaltet Notfall-Konzepte für verschiedene Krisenszenarien, um einerseits potenzielle Krisenherde zu finden und Ereignissen gezielt vorzubeugen. Andererseits dient es im dazu, die Auswirkungen von Notfällen einzudämmen und möglichst effizient zu bewältigen. Ziel ist es, die Weiterführung des Unternehmens trotz Ausnahmesituation zu gewährleisten. Die jeweiligen Szenarien verbindet, dass die Wahrscheinlichkeit ihres Eintritts gering ist, aber der Schaden für das Unternehmen sehr groß wäre. Die Planung und Aufbau eines Kontinuitätsmanagements werden häufig an externe Spezialisten ausgelagert.

    Welche Notfälle deckt ein Business Continuity Management ab?

    Zu denkbaren Betriebsstörungen, die ein Business Continuity Management abdeckt, gehören beispielsweise:

    • Sensible personelle Ausfälle durch Krankheit oder Sterbefall
    • Technische Ausfälle
      • Zugriff auf Cloud-Dienste
      • Hardware (z. B. Rechenzentrum)
      • Software (z. B. Netzwerk)
      • Zusammenbruch der gesamten oder Teilen der IT-Infrastruktur
    • Stromausfall
    • Naturkatastrophen wie Brände, Stürme, Überflutungen, Erdbeben, Epidemien
    • Cyber-Attacken (z. B. DDoS-Angriff)
    • Infizierung mit Schadprogramm
    • Terroristische Anschläge
    • Politische Unruhen
    • Vandalismus
    • Betriebsunfälle

    Da sich die Auswirkungen der einzelnen Szenarien sehr stark unterscheiden, sind individuelle Notfallpläne unabdingbar, um auf jedes Problem optimal reagieren zu können. Natürlich ist nicht jedes der oben gelisteten Notfälle auch für jedes Unternehmen zutreffend. Die denkbaren Risiken werden vor dem Entwerfen von Kontinuitätsstrategien ermittelt.

    Wie wird ein BCM erstellt?

    Der Ablauf für die Konzipierung eines Business Continuity Managements ist nicht immer gleich. Je nach Größe, Branche und Risiken des individuellen Unternehmens ergeben sich besondere Kriterien bei der Erstellung. Dennoch folgt die Gestaltung diesem Grundschema:

    1. Identifizieren möglicher Krisenszenarien
    2. Bewertung von betrieblichen Risiken für jedes Szenario
      1. Materielle Vermögensgegenstände
      2. Immaterielle Vermögensgegenstände
    3. Lokalisierung wichtiger bzw. kritischer Infrastrukturen und Geschäftsprozesse
    4. Bewertung der einzelnen Worst-Case-Szenarios
      1. Finanzielle Auswirkungen
      2. Rechtliche Auswirkungen
    5. Kosten- und Nutzenrechnung von präventiven und Notfall-Maßnahmen
    6. Entwicklung von strategischen Maßnahmen
      1. Prävention und Risikomanagement (langfristig und proaktiv)
      2. Notfallpläne (akut und reaktiv)
    7. Planungsphase
      1. Ansprechpersonen, Verantwortlichkeiten und Hierarchie
      2. Krisenkommunikation
      3. Steuerung und Überwachung

    Die Herangehensweise ist immer ganzheitlich auf das gesamte Unternehmen ausgerichtet, damit sich lokale Bedrohungen nicht weiter ausbreiten können. Jede Maßnahme wird genau definiert und zeitlich mit einer Phase des Ereignisses verknüpft. Zum Beispiel werden erste und sofort notwendige Maßnahmen abgetrennt von der Herstellung eines Notfallbetriebes und der Aufarbeitung eines Notfalls betrachtet. Ein Beispiel dafür sind Maßnahmen der Cyber-Resilienz, die der Härtung von IT-Infrastrukturen dienen. In diesen Bereich der betrieblichen Business Continuity fallen Konzepte, Prozesse und Handlungen, mit denen das Unternehmen vorbereitet und schnell auf Cyber-Attacken reagieren, ihnen entgegenwirken und gleichzeitig die Steuerbarkeit des Geschäftes erhalten kann.

    Weiterhin enthält das Business Continuity Management definierte Zeiträume für jedes Ereignis, innerhalb derer ein Ausnahmezustand tolerierbar ist.

    Testphase: Simulation und Anpassung

    Wenn die Pläne für ein Business Continuity Management entworfen sind, müssen sie dem Praxistest standhalten. In der Regel werden dazu Simulationen entworfen, auf welche die vorliegenden Kontinuitätsstrategien angewendet werden. Nach den Tests schließt sich eine Optimierungsphase an: Durch Testprotokolle können im Nachgang notwendige Anpassungen getätigt werden.

    Experten empfehlen außerdem, regelmäßige Simulationen durchzuführen, um veränderliche Kriterien, wie z. B. neue IT-Risiken, zu berücksichtigen und den Verantwortlichen die Möglichkeit einer Übung zu bieten. Falls neue Szenarien dem BCM hinzugefügt werden, sollte auch für diese eine Testphase stattfinden. Dies steigert im Ernstfall die Schnelligkeit und Effizienz der beteiligten Mitarbeiter und Führungskräfte.

    Welche Vorteile haben Business Continuity Managements Systems (BCMS)?

    • Identifikation möglicher Risikoquellen
    • Bewusstsein schärfen für präventives Verhalten
    • Überwachung von Risiken
    • Steigerung der Effizienz im Ernstfall durch Simulationen
    • Reduzierung der Ausfallzeiten
    • Beschleunigte Wiederherstellung des Status Quo
    • Strategische Absicherung der wichtigsten Ressourcen
    • Minimierung des Kostenrisikos
    • Minderung der Attraktivität für Cyber-Kriminelle durch Außenkommunikation der Resilienz-Maßnahmen
    • Steigerung der Attraktivität für Investoren, Geschäftspartnerschaften, Lieferanten und Kunden

    Wachsendes Risiko für Betriebsausfälle

    Je mehr wir Systeme digital miteinander vernetzen und global verfügbar machen, umso anfälliger werden (oftmals unbekannte) Schwachstellen für Störungen. Krisen haben in diesem Zusammenhang unterschiedliche mögliche Quellen: Neben Verbrechen aus den Bereichen Wirtschaftsspionage und Cybercrime gehören technisches oder menschliches Versagen zu den häufigsten Ursachen für den Ausfall eines Systems.

    Zertifizierung des BCM: ISO 22301

    Für das Business Continuity Management existiert ein internationaler, genormter Standard. Die aktuelle Version ist ISO 22301:2019. Das ISO-Zertifikat enthält einen Anforderungskatalog für das betriebliche Kontinuitätsmanagement.

    Aktuelle Informationen zur Weiterentwicklung der deutschen BSI-Standards zu Notfallmanagement und Business Continuity finden Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

    Link11 ernennt neuen Regional Director Nordics und Baltics
    Link11 stellt Partner-Programm vor
    X