Business Continuity Management: damit Firmen Krisenfälle besser überstehen

Das folgende Projektbeispiel schildert, wie ein BCM-Projekt bei einem mittelständischen Unternehmen im Dienstleistungssektor mit zirka 1000 Mitarbeitern und einem Unternehmensstandort durchgeführt werden kann. Das Unternehmen war angehalten, eine Sicherheitszertifizierung nach ISO 27001 zu erreichen. Für dieses Ziel wurde ein eigenes Projektteam mit internen Mitarbeitern und externen Beratern aufgestellt. Ein internes Voraudit ergab, dass insbesondere das Notfallmanagement den Anforderungen an die Zertifizierung nicht standhalten würde. Die zertifizierungsfähige Erweiterung des Notfallmanagements wurde daher als Projektziel definiert.

Das Unternehmen hatte in der Vergangenheit bereits einige Notfallmaßnahmen umgesetzt, kontinuierlich weiterentwickelt und betrieben. So ist zum Beispiel ein Backup-Rechenzentrum vorhanden, redundante Strom- und Kommunikationsleitungen sind verlegt, eine redundante Klimaanlage, eine unterbrechungsfreie Stromversorgung und Notstromdiesel aufgebaut sowie Einbruchs- sowie Branderkennungsanlagen im Einsatz. Als Ausgangssituation in der organisatorischen Umsetzung des Notfallmanagements wurden ein rudimentäres Notfallhandbuch, -richtlinien und -rollenkonzepte vorgefunden. Die neugeschaffene Rolle des Notfallbeauftragten wurde besetzt.

Im Projekt wurde zunächst ein neues Notfallmanagementkonzept erstellt, das sich im Wesentlichen an den BSI Standard 100-4 anlehnt, gleichfalls die Vorgaben für das BCM aus der ISO-27001-Norm abdeckt und die Eigenheiten des Unternehmens berücksichtigt. Das Notfallhandbuch wurde überarbeitet.

Schwerpunktmäßig wurden die Kommunikationswege gestrafft, Eskalationsprozeduren definiert sowie die einzelnen Notfallpläne nach einem einheitlichen Template aufbereitet. Darüber hinaus wurden neue Notfallpläne für Pandemie, für Kontamination und für die Königsdisziplin „Auslagerung der gesamten Produktion und Verwaltung bei totalem Ausfall des Hauptstandorts“ erstellt. Der neue Notfallbeauftragte wurde eingewiesen und unterstützt, der Krisenstab auf das Verhalten in der Notfallbewältigung geschult und Notfallübungen geplant und durchgeführt.

Wesentliche Voraussetzung für die weitere Notfallmanagementkonzeption war die Erstellung einer BIA: Es existierte im Unternehmen eine mehrere Jahre alte BIA. Die detaillierte Betrachtung der Anforderungen der einzelnen Geschäftsprozesse wurde hierin jedoch nicht durchgeführt. Die Priorität für den Wiederanlauf war für alle Geschäftsprozesse gleich hoch eingestuft worden, die alte BIA ging von einer Wiederanlaufzeit von vier Stunden für alle Geschäftsprozesse aus.

Schnell war klar: Dieser Wert ist für diese Art von Unternehmen nicht realistisch. Hier gibt es deutliche Unterschiede in den offensichtlichen Anforderungen, im Gegensatz beispielsweise zu einem Unternehmen aus der Finanzbranche. Zunächst galt es also, die tatsächlich kritischen Geschäftsprozesse mit realistischen Anforderungen an die Wiederanlaufzeiten zu ermitteln.

Zuerst wurde daher ein Überblick über die Geschäftsprozesse und deren zugrundeliegende Services hergestellt. Eine Geschäftsprozessdokumentation mit Beschreibungen der Abhängigkeiten zwischen Geschäftsprozessen, den Serviceprozessen und den zugrundeliegenden Ressourcen, wie zum Beispiel IT-Infrastruktur, Anwendungen, Personal, Arbeitsplätze, war im Unternehmen nicht vorhanden. Für eine Übersicht der Geschäfts- und Serviceprozesse wurde deshalb der Geschäftsbericht herangezogen sowie die Geschäftsführung und einzelne Geschäftsprozesseigner befragt. Weitere Informationen ergaben sich aus Gesprächen mit der Abteilung Geschäftssteuerung, Risiko- und Assetmanagement.

Für jeden Geschäftsprozess wurden die folgenden Daten erfasst:

• • die Geschäftscharakteristik
• • die Spitzenlastzeiten mit besonderen Terminen oder Ereignissen
• • der qualitative Schaden für Personen, Imageverlust, Kosten und Umsatz über die Zeit
• • der quantitative Schaden für Kosten und Umsatz über die Zeit
• • die aus dem Schadensverlauf absehbare Wiederanlaufzeit
• • die maximal tolerierbare Datenverlustzeit
• • die Abhängigkeiten zu anderen Geschäfts- oder Serviceprozessen
• • die Anforderungen an Personal, Infrastruktur, Anwendungen
• • und die verwendeten Daten

 
In den Interviews mit den jeweiligen Geschäftsprozesseignern, den Verantwortlichen für die Serviceprozesse, gegebenenfalls hinzugezogenes Fachpersonal und der Geschäftsführung wird ein Worst Case-Schadensszenario angenommen. Die tatsächliche Schadensursache ist dabei nicht ausschlaggebend. Wesentlich wichtiger ist der zeitliche Schadensverlauf, der nach dem Schadenseintritt zu erwarten ist, zum Beispiel: Welchen Umsatzausfall hat das Unternehmen, wenn der gesamte Geschäftsprozess für vier Stunden, einen Tag, drei Tage oder gar eine Woche ausfällt?

Bei den Interviews ist außerdem darauf zu achten, dass möglichst realistische Angaben eingeholt werden können. Oft halten manche Geschäftsprozesseigner ihren Geschäftsprozess für den wichtigsten im Unternehmen und sehen nach einer Stunde Ausfall schon katastrophale Auswirkungen für das gesamte Unternehmen oder halten sogar dessen Existenz für bedroht. Hier hilft es, nach bereits zurückliegenden Ausfällen nachzufragen – zum Beispiel „Da war doch vor einem Jahr dieser Stromausfall für einen Tag – welche Auswirkungen hatte dieser Vorfall?“ – oder auf eingerichtete Wartungsfenster zu verweisen.

Sehr gut ist es, wenn konkrete Zahlen für mögliche Umsatzausfälle und daraus resultierende Zusatzkosten für die quantitative Schadensermittlung vorliegen. Diese Zahlen werden später in der Notfallmanagementstrategie benötigt, um geeignete Notfallmaßnahmen und deren Business Cases zu errechnen: Natürlich sollten die Notfallmaßnahmen nicht teurer werden als der mögliche Schaden, den man versucht abzudecken.

Ein BIA-Dokument fasst die Ergebnisse für alle Geschäftsprozesse zusammen, so dass sie vergleichbar sind. Daraus resultiert eine Abstufung der einzelnen Geschäftsprozesse. Man erkennt die „sehr kritischen“ und die „weniger kritischen“ Geschäftsprozesse. „Weniger kritisch“ bedeutet in diesem Zusammenhang nicht, dass sie für das Unternehmen unwichtig wären, sondern dass sie in der Notfallbewältigung eine geringere Priorität haben. In der Notfallbewältigung sind die sehr kritischen Geschäftsprozesse mit höchster Priorität zu behandeln, um sehr schnell einen hohen Schaden für das Unternehmen abzuwenden.

Die Ergebnisse werden mit der Geschäftsführung nochmals besprochen und hierbei wird identifiziert, welcher Schaden für die Geschäftsführung maximal noch akzeptabel wäre. Aus dieser Aussage und den Interviewdaten kann dann die benötigte Wiederanlaufzeit festgelegt werden. Aus der Wiederanlaufzeit für den Geschäftsprozess lassen sich die Wiederanlaufzeit für die Serviceprozesse und die einzelnen Ressourcen ableiten. Hierbei sind jedoch die jeweiligen Abhängigkeiten untereinander zu beachten. Die geschäftlichen Anforderungen an die Wiederanlaufzeiten, die in der BIA dokumentiert sind, sind die Grundlage für die weitere Konzeption der Notfallvorsorge- und -bewältigungsmaßnahmen.

Es sind geeignete Maßnahmen auszuwählen, die die benötigten Wiederanlaufzeiten ermöglichen. Dadurch wird zum Beispiel auf technischer Ebene vorgeschlagen, welche Art von Hochverfügbarkeit das Unternehmen benötigt. Als Beispiel wird hier auf Hot- oder Cold-Backup-Rechenzentren, Datenspiegelung oder Datentransfer per Bandsicherung verwiesen. Diese Maßnahmen sind unterschiedlich teuer und in einem Business Case zu evaluieren.

Aus den BIA-Ergebnissen beziehungsweise Anforderungen lassen sich gleichfalls Service Level Agreements mit externen Dienstleistern oder Operational Level Agreements zwischen den Fachabteilungen und der internen IT ableiten.

Fazit

BCM ist ein interdisziplinäres Thema, das der Vielfalt der möglichen Anwendungsbereiche, betroffenen Unternehmensteile und resultierenden Notfallmaßnahmen geschuldet ist. Dennoch lässt sich ein Mindestmaß an Notfallvorsorge mit vertretbarem Aufwand umsetzen und somit die Wahrscheinlichkeit für das Überleben eines Unternehmens im Krisenfall erheblich steigern.