Geringes Risiko, aber ein enormer Schaden: Ein betriebliches Worst-Case-Szenario gilt es in jedem Fall zu vermeiden. Falls es doch eintritt, ist die Gegenmaßnahme oftmals ein Spiel gegen die Zeit, um das betroffene Unternehmen vor erheblichen Einbußen oder sogar dem Bankrott zu bewahren. Genau mit diesen Notfallstrategien und Maßnahmen befasst sich das Business Continuity Management.
Business Continuity Management (kurz: BCM) ist die Antwort auf die Frage: Was tun, wenn ein betrieblicher Notfall eintritt? Es beinhaltet Notfall-Konzepte für verschiedene Krisenszenarien, um einerseits potenzielle Krisenherde zu finden und Ereignissen gezielt vorzubeugen. Andererseits dient es im dazu, die Auswirkungen von Notfällen einzudämmen und möglichst effizient zu bewältigen. Ziel ist es, die Weiterführung des Unternehmens trotz Ausnahmesituation zu gewährleisten. Die jeweiligen Szenarien verbindet, dass die Wahrscheinlichkeit ihres Eintritts gering ist, aber der Schaden für das Unternehmen sehr groß wäre. Die Planung und Aufbau eines Kontinuitätsmanagements werden häufig an externe Spezialisten ausgelagert.
Zu denkbaren Betriebsstörungen, die ein Business Continuity Management abdeckt, gehören beispielsweise:
Da sich die Auswirkungen der einzelnen Szenarien sehr stark unterscheiden, sind individuelle Notfallpläne unabdingbar, um auf jedes Problem optimal reagieren zu können. Natürlich ist nicht jedes der oben gelisteten Notfälle auch für jedes Unternehmen zutreffend. Die denkbaren Risiken werden vor dem Entwerfen von Kontinuitätsstrategien ermittelt.
Der Ablauf für die Konzipierung eines Business Continuity Managements ist nicht immer gleich. Je nach Größe, Branche und Risiken des individuellen Unternehmens ergeben sich besondere Kriterien bei der Erstellung. Dennoch folgt die Gestaltung diesem Grundschema:
Die Herangehensweise ist immer ganzheitlich auf das gesamte Unternehmen ausgerichtet, damit sich lokale Bedrohungen nicht weiter ausbreiten können. Jede Maßnahme wird genau definiert und zeitlich mit einer Phase des Ereignisses verknüpft. Zum Beispiel werden erste und sofort notwendige Maßnahmen abgetrennt von der Herstellung eines Notfallbetriebes und der Aufarbeitung eines Notfalls betrachtet. Ein Beispiel dafür sind Maßnahmen der Cyber-Resilienz, die der Härtung von IT-Infrastrukturen dienen. In diesen Bereich der betrieblichen Business Continuity fallen Konzepte, Prozesse und Handlungen, mit denen das Unternehmen vorbereitet und schnell auf Cyber-Attacken reagieren, ihnen entgegenwirken und gleichzeitig die Steuerbarkeit des Geschäftes erhalten kann.
Weiterhin enthält das Business Continuity Management definierte Zeiträume für jedes Ereignis, innerhalb derer ein Ausnahmezustand tolerierbar ist.
Wenn die Pläne für ein Business Continuity Management entworfen sind, müssen sie dem Praxistest standhalten. In der Regel werden dazu Simulationen entworfen, auf welche die vorliegenden Kontinuitätsstrategien angewendet werden. Nach den Tests schließt sich eine Optimierungsphase an: Durch Testprotokolle können im Nachgang notwendige Anpassungen getätigt werden.
Experten empfehlen außerdem, regelmäßige Simulationen durchzuführen, um veränderliche Kriterien, wie z. B. neue IT-Risiken, zu berücksichtigen und den Verantwortlichen die Möglichkeit einer Übung zu bieten. Falls neue Szenarien dem BCM hinzugefügt werden, sollte auch für diese eine Testphase stattfinden. Dies steigert im Ernstfall die Schnelligkeit und Effizienz der beteiligten Mitarbeiter und Führungskräfte.
Je mehr wir Systeme digital miteinander vernetzen und global verfügbar machen, umso anfälliger werden (oftmals unbekannte) Schwachstellen für Störungen. Krisen haben in diesem Zusammenhang unterschiedliche mögliche Quellen: Neben Verbrechen aus den Bereichen Wirtschaftsspionage und Cybercrime gehören technisches oder menschliches Versagen zu den häufigsten Ursachen für den Ausfall eines Systems.
Für das Business Continuity Management existiert ein internationaler, genormter Standard. Die aktuelle Version ist ISO 22301:2019. Das ISO-Zertifikat enthält einen Anforderungskatalog für das betriebliche Kontinuitätsmanagement.