Business Continuity Management: damit Firmen Krisenfälle besser überstehen

Bei der Notfallplanung sollten Unternehmen ihr Kerngeschäft auch vor wenig wahrscheinlichen Ereignissen absichern. Allerdings dürfen die Vorbereitungen nicht zum Selbstzweck werden. Im Gastbeitrag für ZDNet erklären Experten von Detecon, wie sich Nutzen und Aufwand in ein vernünftiges Verhältnis bringen lassen.

Die Aufgabe des Business Continutity Management (BCM) ist es, Notfallpläne für Krisensituationen zu erstellen ist, denn Unternehmen müssen vor katastrophalen Szenarien und der damit oft einhergehenden Existenzbedrohung geschützt werden. Hierzu zählen beispielsweise Überflutungen, Pandemien, Naturkatastrophen oder auch Terroranschläge. Je nach Betrachtung innerhalb des Unternehmens können als Existenzbedrohung aber auch durchaus wahrscheinlichere Ereignisse wie Stromausfälle und Feuer gelten, die den Geschäftsbetrieb empfindlich stören und daher eine Notfallplanung erfordern.

Die große Unsicherheit hinsichtlich des Eintritts BCM-relevanter Szenarien sorgt bei der Bewertung der Aufwände für das Notfallmanagement für viel Ungewissheit. Was aber sicher benötigt wird, ist eine klare und strukturierte Herangehensweise, um die wirklich schützenswerten Bereiche des Unternehmens zu identifizieren und Maßnahmen zum Schutz vor wenig wahrscheinlichen, aber katastrophalen Ereignissen zu gewährleisten oder eben bewusst zu unterlassen – und nicht einfach zu vergessen.

BCM ist Teil des sogenannten operationellen Risikomanagements. Ziel ist es, präventiv mögliche Gefahren für den Geschäftsbetrieb zu identifizieren, zu bewerten und Maßnahmen zur Verringerung des Risikos zu treffen oder das Restrisiko zu akzeptieren. BCM bildet hierbei den Sonderfall ab, bei dem es um Notfallmaßnahmen für Geschäftsfunktionen geht, die ab einer bestimmten zeitlichen Nichtverfügbarkeit zu existenzbedrohlichen Folgen für das Unternehmen führen würden. Dabei berücksichtigt man vor allem die “Worst Case”-Szenarien, zum Beispiel den kompletten Verlust des Betriebsstandorts, und setzt Notfallmaßnahmen in allen Bereichen des Unternehmens um: von der (Notfall)Organisation über Beschäftigte, die IT und Technik, bis hin zu Gebäuden und Standorten.

Business-Impact-Analyse identifiziert kritische Bereiche

Das Vorgehen für die Ableitung der richtigen Kontinuitätsmaßnahmen lässt sich in zahlreichen Standards und Rahmenwerken nachvollziehen, zum Beispiel im meistzitierten Standard BS 25999 “Business Continuity Management. Code of Practice” oder im anschaulich geschriebenen Grundschutz-Standard BSI 100-4 “Notfallmanagement” (PDF) des Bundesamts für Sicherheit in der Informationstechnik.

Welches Rahmenwerk man auch zugrunde legt, charakteristisch bleibt das Vorgehen entsprechend eines strengen Top-Down-Ansatzes: Im ersten Schritt, der sogenannten Business-Impact-Analyse (BIA), besteht die Aufgabe darin, das Unternehmen zu verstehen, die Kernprodukte und Leistungen zu identifizieren und hinsichtlich maximaler Ausfallzeiten oder Störungen zu bewerten. Grund dafür ist, dass man die Aufwände für Kontinuitätsmaßnahmen auf die Bereiche beschränken möchte, deren mangelnde Verfügbarkeit bedeutende Einschnitte für das Unternehmen zur Folge hätte und somit dessen Existenz gefährden könnte.

Je nach Handhabung des Themas können aber auch weniger kritische Bereiche für Notfallmaßnahmen vorgesehen werden. Die BIA dient damit zur Identifikation derjenigen Unternehmensbereiche, die zu definierten Zeiten unter allen Umständen verfügbar sein müssen.

AUTOR

Die Autoren

Andrej Demko arbeitet als Consultant bei der Detecon (Schweiz) AG. Internationale Projekterfahrung sammelte er im Umfeld von IT- und Security Management sowie BCM. Seine thematische Ausrichtung umfasst das operationelle Risikomanagement und die Analyse von Geschäftsprozessen. Beate Meiß arbeitet seit 2006 als Managing Consultant bei Detecon. Zu ihren Kernthemen zählen Projekt-, Prozess- und Qualitätsmanagement, die kundenspezifische Umsetzung von Frameworks und Best Practices wie COBIT, CMMI, ITIL sowie Business Continuity Management. Frank Hebestreit ist Senior Consultant im Bereich Risk & Security Management bei Detecon. Neben zahlreichen Projekten im Umfeld der Security Governance und Cloud Security gehört das Notfallmanagement zu seinen Kompetenzen.

Die Inhalte der BIA ähneln auf den ersten Blick der klassischen Risikoanalyse, da sie zur Begründung aller Folgemaßnahmen und zur anschließenden Priorisierung immer auch nach den möglichen negativen Auswirkungen, also dem “Business Impact”, einer Nichtverfügbarkeit des Geschäftsbereichs, Prozesses oder Services fragen. Die Kriterien für diese Bewertung sind typischerweise finanzielle Auswirkungen, Reputation sowie vertragliche oder gesetzliche Auswirkungen. Je nach Unternehmensumfeld werden diese gewichtet, um ihre Bedeutung auszudrücken.

Die beschriebene Einschätzung der möglichen Schäden dient beim BCM jedoch nicht dem reinen Reporting, um zum Beispiel die finanziellen Auswirkungen im Worst Case abschätzen zu können, sondern zur Ableitung der für die verschiedenen Unternehmensbereiche kritischen Ausfallzeiten, ab denen die Auswirkungen die Existenz der Unternehmung gefährden würden. Im Fall der IT Services sind dies beispielsweise die angestrebte Wiederanlaufzeit (Recovery Time Objectives) und die maximal tolerierbare Datenverlustzeit (Recovery Point Objectives).

Darüber hinaus werden in der BIA auch die für die geforderte Leistungserbringung benötigten Assets und Ressourcen identifiziert und sowohl für den Normalbetrieb als auch für den vorübergehenden Ausnahmebetrieb definiert. Dies kann zum Beispiel die Anzahl speziell qualifizierter Mitarbeiter sein, welche eine bestimmte Abteilung samt Computer-Arbeitsplatz braucht, um eine Leistung erbringen zu können.

Festlegen einer BCM-Strategie

Im Idealfall erhält man nach der Durchführung einer BIA eine Übersicht über alle kritischen Geschäftsfunktionen mit den zugehörigen Assets und Ressourcen. Es empfiehlt sich, nach diesem Schritt eine grundlegende BCM-Strategie für die analysierten Geschäftsbereiche festzulegen.

Allgemein will man damit die Frage beantworten, wo man Risiken vermeiden, mindern, akzeptieren oder versichern soll. Im Speziellen bedeutet das, Geschäftsfunktionen zu priorisieren und Maßnahmen für bestimmte Szenarien zu definieren oder bestimmte Szenarien bewusst außen vor zu lassen, etwa weil der Aufwand zur Risikoverminderung in keinem Verhältnis zum Nutzen steht. In diesem Kontext unterscheidet man folgende Maßnahmen:

Disaster Recovery umfasst IT-bezogene Maßnahmen, um im Fall eines vollständigen Betriebsstandortverlusts IT-Services aus anderen Quellen und Standorten weiterbetreiben zu können.

Disaster-Recovery-Pläne sind detaillierte Anleitungen, um bei Wegfall eines Betriebsstandorts die Weiterführung der IT Services im gesetzten zeitlichen Rahmen durch deren Bereitstellung von einem Ausweichstandort zu gewährleisten.

Zu den organisatorischen Maßnahmen zählt die Einrichtung eines Krisenmanagements samt Kommunikationskanälen. Das Krisenmanagement-Team besteht zumeist aus dem oberen Management sowie Fachexperten aus verschiedenen Bereichen und Sicherheitsbeauftragten. Es wir im Fall einer Krise aktiv und übernimmt die operative Steuerung des Unternehmens. Hierfür müssen die Kommunikationskanäle sowohl zum Krisenmanagement-Team hin definiert werden, um Vorfälle adäquat adressieren zu können, als auch die Wege vom Krisenmanagement-Team zu den Beschäftigten, um diese im Notfall mit Informationen und Anweisungen versorgen zu können.

Zu den Business-Continuity-Plänen können beispielsweise die vom Arbeitsschutz geforderten Evakuierungspläne gezählt werden. Diese haben allerdings keinen Bezug zur Aufrechterhaltung des Geschäftsbetriebs, sondern dienen in erster Linie der Sicherheit der Mitarbeiter. Daneben sind die eigentlichen Business-Continuity-Pläne dafür gedacht, die Abläufe für die Wiederaufnahme der Geschäftsprozesse sicherzustellen, und zwar unmittelbar nach dem Ereignis in einem möglicherweise reduzierten Umfang und ebenfalls zur Wiederherstellung des Normalbetriebs.

Unabdingbar: Austausch zwischen Fachseite, IT und Sicherheitsbeauftragten

In der Theorie sollten Verantwortliche für Geschäftsprozesse oder Produkte, also Abteilungs-, Bereichsleiter oder Produktmanager, dafür Sorge tragen, dass die Verfügbarkeit dem Bedarf entsprechend gegeben ist und dabei auch Extremsituationen berücksichtigen. In der Praxis jedoch haben diese Personengruppen aufgrund des ohnehin fordernden Tagesgeschäfts meist wenig Zeit und Muße, sich in die ihnen komplett fremde Materie der Notfallvorsorge und -planung einzuarbeiten.

Anders sieht es hingegen bei den Geschäftsbereichen Sicherheit und IT aus. Die ersteren sind für die Ausgestaltung von Sicherheitsthemen im Unternehmen verantwortlich und müssen sich auch mit diesen Aspekten befassen. Sie haben andererseits nicht die volle Einsicht in die Geschäftsprozesse oder die Funktionsweise von Services für Kunden, um die Notfallplanung selbst durchzuführen. Sie sind somit auf die Mitarbeit oder gar Durchführung der operativen Unternehmensbereiche angewiesen.

Die IT steht wiederum in der Pflicht, Service Continuity Management für ihre bereitgestellten Anwendungen und Services zu betreiben. Dafür benötigt sie Vorgaben der Fachseiten zur Ausfallsicherheit in Form von Recovery Time und Point Objectives und darin abzudeckende Szenarien. Für die IT-Organisation ist es daher zweckmäßig, die Fachseiten bezüglich deren Anforderungen im Rahmen von BIA-Workshops an einen Tisch zu holen und die Notwendigkeit der Verfügbarkeit der Systeme und Aktualität der Daten abzufragen. Diese Daten reichen dann für die Ausarbeitung von alternativen technischen Konzepten aus, welche, je nach verfügbaren Mitteln, allen oder einem Teil der Anforderungen genügen.

Die nicht-IT-bezogenen Maßnahmen konzentrieren sich neben der Einrichtung und des Betriebs einer Krisenmanagementorganisation im Allgemeinen auf die Verfügbarkeit von Mitarbeitern, so zum Beispiel bei der Pandemieplanung, und anderen Business-Continuity-Plänen für die Aufrechterhaltung von Geschäftsprozessen.

Für die Anforderungen an die Verfügbarkeit von Mitarbeitern können ebenfalls zentral initiierte Abfragen an alle Unternehmensbereiche, zumeist entlang der Organisation, durchgeführt werden. Bei den Business-Continuity-Plänen hingegen müssen sich als kritisch eingestufte Abteilungen selbst Konzepte überlegen, wie sie den Geschäftsbetrieb im Rahmen der an sie gestellten Anforderungen auch in Krisensituation aufrechterhalten oder wiederaufnehmen können. Sicherheitsbeauftragte könnensie dabei lediglich bei den abzuklärenden Inhalten unterstützen, die eigentlichen Konzepte müssen jedoch durch die Fachabteilungen selber erbracht werden.

Neueste Kommentare 

Eine Kommentar zu Business Continuity Management: damit Firmen Krisenfälle besser überstehen

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *