BCM

Abhängigkeiten von Informations- und Kommunikationstechniken, Bedrohungen kritischer Infrastrukturen durch Terrorismus, Cyberkriminalität oder außergewöhnlichen Krisen wie der aktuellen COVID-19 Pandemie sowie auch Bedrohungen der Energieversorger erfordern auf diese Situation optimal vorbereitete Systeme. Nur so ist es sowohl kleinen, mittelständigen und großen Unternehmen möglich, auf Notfälle und Krisen angemessen reagieren zu können. So befinden sich bedingt durch die aktuelle Pandemie auch viele Unternehmen im aktiven Krisenmanagement und versuchen kurzfristig auf die Folgen der Krise zu reagieren. Zugleich stärkt ein passendes Krisenmanagement auch mittel- und langfristig die Widerstandsfähigkeit eines Unternehmens. Das Business Continuity Management (BCM) bietet einen Handlungsrahmen zur Beibehaltung der Arbeitsfähigkeit eines Unternehmens während und nach einer unvorhergesehenen Betriebsunterbrechung. BCM ist ein ganzheitlicher Management Prozess, der a) mögliche Bedrohungen für ein Unternehmen durch unvorhergesehene Ereignisse identifiziert und b) ein Framework zur Verbesserung der Widerstands- und Reaktionsfähigkeit eines Unternehmens bei solchen Ereignissen zum Schutz der Interessen der Anteilseigner, des Images des Unternehmens und der Wertschöpfungskette bildet. Nach dieser Definition geht der Begriff BCM also weit über die Erhaltung der Geschäftsprozesse bei Katastrophen oder ähnlichen Vorfällen hinaus.

 

Was macht ein funktionsfähiges BCM aus?

Ein funktionsfähiges BCM ist dadurch gekennzeichnet, dass es unternehmens- und branchenspezifisch anhand allgemeingültiger externer nationaler und internationaler Standards entwickelt, implementiert und aufgebaut ist. International geltend ist der Standard ISO 22301:2020-6. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Standard BSI 100-4 Notfallmanagement veröffentlicht. Zusätzlich sind die Good Practice Guidelines des British Continuity Instituts (BCI) ebenfalls erwähnenswert. Während heute bereits konkrete gesetzliche Anforderungen, z.B. in der Finanz- und Versicherungsbranche, bestehen, ist die Umsetzung von BCM gemäß aktueller Entwicklungen für die Betreiber kritischer Infrastrukturen, wie z.B. die Energiebranche, die Kommunikationsbranche und teilweise auch die pharmazeutische Industrie, durch das IT-Sicherheitsgesetz des Bundesamtes für Sicherheit in der Informationstechnik eine gesetzlich fixierte Anforderung. Doch ebenso wird auch eine Empfehlung für KMU ausgesprochen, da diese ebenfalls betroffen sein können.

 

Die 6 wichtigsten Elemente eines Business Continuity Management Systems:

| BCM Policy & Governance

| Durchführung einer Business Impact Analyse (BIA) – identifiziert mittels unternehmensspezifisch festgelegter Bewertungskriterien die kritischen Geschäftsprozesse

| Erstellung einer Notfallkonzeption – setzt sich aus den Kontinuitätsstrategien der ressourcenbereitstellenden Prozesse (Personal, IT, etc.) und den geschäftsprozessbezogenen Strategien zusammen

| Krisenmanagement – präventive Maßnahmen: Definition von Rollen und Verantwortlichkeiten im Krisenfall, Implementierung von Alarmierungswegen und Krisenkommunikationswegen zu Steuerung und Überwachung einer Krise

| Durchführung regelmäßiger Übungen

| Kontinuierliche Verbesserung

 

Bestandteile des Business Continuity Managements
Abbildung 1: Bestandteile des Business Continuity Managements

 

Mögliche Szenarien für den Business Continuity Krisenfall

| Ausfall von Hardware

| Ausfall von Software

| Ausfall des Netzwerks

| Ausfall von IT-Prozessen

| Gebäudeausfall

| Hackerangriff

| Naturkatastrophen

| Stromausfall

| Infektion durch Malware

| Ausfall von Personal (Krankheit oder Weggang)

| Ausfall von Partnern und Dienstleistern

 

Wichtige (IT-) Standards und Best Practices

Die Thematik der Notfallplanung findet sich im Fokus diverser Standards und Best Practices wieder. Je nach Herkunft sind diese eher IT-orientiert oder beschreiben Notfallplanungen aus der Sicht der Geschäftsprozesse. Die ISO 27002:2017-6 „Code of practice for information security management“ beschreibt die Einbindung der Informationssicherheit in das BCM. Dabei wird allerdings die Existenz eines übergeordneten BCM Prozesses im Unternehmen bereits vorausgesetzt.

Das BSI hat in seinem eigenständigen Standard (BSI-Standard 100-4 „Notfallmanagement“) zusätzlich einen Grundschutzkatalog mit dem Baustein: „B 1.3 Notfallvorsorge-Konzept“ der Gefährdungen und Maßnahmen für die Notfallvorsorge im IT-Bereich zusammengefasst.

Die Kategorie „Service Delivery” der IT Infrastructure Library (ITIL) befasst sich im Abschnitt „IT Service Continuity Management” mit dem gesamten Prozess der IT-Notfallplanung, den Teststrategien, der Sensibilisierung und den Verantwortlichkeiten. Zielsetzung ist hier die Aufrechterhaltung von IT-Prozessen aus Sicht der Erbringung eines IT-Services.

Ähnlich strukturiert, aber noch ausführlicher, ist die amerikanische NIST Special Publication 800-34 „Contingency Planning Guide for Information Technology Systems”.

Alle diese Standards haben allerdings ausschließlich die IT-Notfallplanung und deren Beitrag zur Aufrechterhaltung der Geschäftsprozesse zum Gegenstand. Weiter gefasst und ohne speziellen Fokus auf die IT ist der British Standard (BS) 25999. Der Standard unterteilt sich dabei nach der bei Management Standards üblichen Gliederung in BS 25999-1:2006 „Code of practice for business continuity management” und BS 25999-2:2007 „Specification for business continuity management“. Daraus entstanden ist letztlich auch die ISO 22301 „Societal security – Business continuity management systems – Requirements“.

 

Business Continuity Management im IT-Bereich

Die folgenden Punkte einer Notfall- oder Katastrophenvorsorge sind insbesondere für den IT-Bereich relevant:

IT-CONTINGENCY PLAN (IT-NOTFALLPLAN)

Ein IT-Notfallplan wird für die Aufrechterhaltung der Betriebsbereitschaft wesentlicher Applikationen erstellt. Daher existieren in Unternehmen mehrere Notfallpläne für die unterschiedlichen Anwendungen. Oft werden solche Pläne bereits durch externe Systembetreuer oder die Anwendungs- und Systemhersteller mitgeliefert und gewartet. So kann eine IT-Abteilung getrennte Notfallpläne für die Finanzapplikationen, das ERP-System oder den Mailserver haben.

IT-DISASTER RECOVERY PLAN

Hierbei handelt es sich um die Vorbereitung auf Katastrophen und ähnliche Ereignisse, die einen IT-Betrieb in den bisherigen Räumlichkeiten mittelfristig unmöglich machen. Im Regelfall handelt es sich um Pläne, die eine Wiederaufnahme des IT-Betriebes an einem Ausweichstandort zum Gegenstand haben. Es kann hierbei an einigen Stellen zu Überschneidungen mit den IT-Notfallplänen kommen, obwohl diese im Allgemeinen keine schwerwiegenden Ereignisse behandeln, die auch eine Verlagerung von IT erforderlich machen.

CYBER INCIDENT RESPONSE PLAN (CIRP)

Auch der Ausbruch von Computer Viren in einem Netzwerk oder der vorsätzliche Angriff eines Hackers können die Verfügbarkeit von IT-Anwendungen stören. Ein CIRP dient zur frühzeitigen Erkennung solcher Vorfälle, der schnellen und angemessenen Reaktion und der Schadensbegrenzung.

 

Phasen des Business Continuity Managements

Nachfolgend werden die einzelnen Phasen des Business Continuity Management beschrieben. Das Modell ist angelehnt an das Vorgehensmodell für IT Service Continuity Management aus dem ITIL Service Delivery Handbuch.

  1. PHASE: INITIALISIERUNG

Hier gilt es, die genauen Ziele zu definieren, sowie den Umfang und die Vorgehensweise zu bestimmen. Gerade für diesen Prozess werden finanzielle und personelle Ressourcen benötigt, die in der ersten Phase der Planung thematisiert werden müssen. Folgende Punkte sind wichtige Ergebnisse der ersten Phase:

| zu erwartende Kosten, benötigte Ressourcen, geplante Dauer sind bekannt

| die Projektorganisation (Teamzusammensetzung, Rollen, Befugnisse, Reporting) ist abgestimmt

| ein Projektplan mit Meilensteinen existiert

| die Business Continuity – Policy mit Zielen und Umfang wurde vom Management genehmigt

  1. PHASE: ANALYSE UND STRATEGIE

In einer Business Impact Analyse (BIA) werden wichtige Geschäftsprozesse identifiziert und die Auswirkungen möglicher Unterbrechungen analysiert. Die Auswirkungen sind dabei nicht nur wirtschaftlicher Art und müssen in verschiedener Hinsicht bewertet werden. Wichtig ist dabei auch die Darstellung der Auswirkungen in Abhängigkeit der Dauer der Unterbrechung.

Die Bewertung einer sog. Mission Critical Activity (MCA), wie etwa die finanziellen Auswirkungen oder rechtlichen Konsequenzen, kann mit Hilfe eines Scoring-Verfahrens die Auswirkungen einer Unterbrechung durch definierte Kennzahlen beschreiben. Anhand dieser Auswertung und anderer Kenntnisse über den jeweiligen Geschäftsprozess ergeben sich dann auch die Recovery Time Objective (RTO – Zeitrahmen, innerhalb dessen ein Prozess wiederhergestellt sein muss) und Recovery Point Objective (RPO – Maximaler Datenverlust). Nun müssen mögliche Bedrohungen identifiziert und bewertet werden. In Abhängigkeit der Ergebnisse der BIA und der organisatorisch/technischen Möglichkeiten erfolgt nun die Festlegung der Strategie zur Aufrechterhaltung der jeweiligen Geschäftsprozesse.

  1. PHASE: IMPLEMENTIERUNG

Die Implementierung eines Notfallkonzeptes erfolgt in drei Stufen: Der Festlegung einer geeigneten Notfallorganisation, der Erarbeitung von Alarmierungsketten und Ablaufplänen sowie der Planung und Durchführung von Tests.

  1. PHASE: WARTUNG UND BETRIEB

Regelmäßig wiederkehrende Tests und Reviews stellen die fortlaufende Aktualität und Anwendbarkeit der Notfallpläne sicher.

Phasen im BCM
Abbildung 2: Phasen im BCM

Hervorzuheben ist auch die Integration in andere Prozesse. Das Notfallkonzept muss z.B. auch in den Change Management Prozess eingebunden werden, sodass erfolgte Änderungen in einer Systemumgebung umgehend in das Notfallkonzept eingearbeitet werden. Die Ergebnisse der BIA sind ebenfalls nicht statisch. So werden sich ändernde Grundprinzipien in den Geschäftsprozessen oder eine neue Risikosituation auch auf die dazugehörige Notfallplanung auswirken.

Alle bisher genannten Punkte müssen jedoch auch die Mitarbeiter kennen und umsetzten können. Daher sind kontinuierliche Schulungs- und Sensibilisierungsmaßnahmen für alle Mitarbeiter unabdingbar.

 

Fazit

Business Continuity Managements legt den Fokus auf die Fähigkeit, den Betrieb auch unter besonderen Bedingungen soweit wie möglich aufrechtzuerhalten und den Prozess der Wiederinbetriebnahme schnellstmöglich wieder aufzunehmen. Im Krisenfall leistet ein BCM einen bedeutsamen Beitrag zum Fortbestand des Unternehmens, wodurch das Unternehmen ein Maß an Betriebsfähigkeit entwickeln kann, das der Größe und Art der Auswirkungen angemessen ist, die nach einer Störung akzeptiert werden können oder nicht. Kennzeichnend bringen Krisen weitgehende Veränderungen und einen tiefgreifenden Wandel im Unternehmen mit. Ein Weg aus der Krise in die alte und gewohnte Normalität ist fast ausgeschlossen. Daher sollten Unternehmen sowohl aus den positiven als auch negativen Erfahrungen lernen und das Gelernte für ein stetig zu verbesserndes Krisenmanagement nutzen.