Business Continuity Management
Im Mai 2023 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den BSI-Standard 200-4 „Business Continuity Management“ veröffentlicht. Dieser wurde von Experten und AnwenderInnen durch Feedbackrunden mitgestaltet und zeigt Synergiepotentiale zu weiteren Managementsystemen wie dem IT-SCM (IT Service Continuity Management), ISMS (Information Security Management System) und den BSI-Standards 2001-1 bis 200-3 auf. Außerdem ist dieser durch ein 3-Stufenmodell für alle Größen, Branchen und Arten von Organisationen anwendbar. Mit dieser praxisnahmen Anleitung haben nun nicht nur Experten, sondern auch Anfänger die Chance langsam in ein BCMS (Business Continuity Management System) reinzuwachsen.
Was ist Business Continuity Management?
Business Continuity Management (kurz: BCM, oder auch Krisenmanagement) ist ein ganzheitlicher Managementprozess, der zum Ziel hat, das Überleben eines Unternehmens im Krisenfall sicherzustellen. Das geschieht durch Definition der überlebensnotwendigen Geschäftsprozesse (systemrelevante Prozesse), Erarbeiten von Notfalllösungen sowie deren Dokumentation (Notfallpläne), regelmäßige Tests der Notfallpläne und Updates der Dokumentation. Diesen Zyklus nennt man PDCA-Zyklus:
- Plan (nachvollziehbare Planung)
- Do (Durchführung der Tests)
- Check (Überwachung und Dokumentation der Schwachstellen)
- Act (laufende Verbesserung und Updates der Pläne)
Warum sind Notfallpläne wichtig?
Nehmen wir ein Beispiel: Sie kommen nach Hause und stellen fest, dass Ihre Wohnung wegen einer undichten Wasserleitung überschwemmt ist. Oft, kommen dann viele kleine Problemchen zusammen: Wo ist der Hauptwasserhahn? Und wo habe ich nochmal den Schlüssel dazu hingelegt? Da war doch ein Installateur ums Eck, wie hat der nochmal geheißen? Mist, Handyakku leer…
In einem Notfallplan werden genau diese Dinge genau durchdacht und organisiert. In diesem Beispiel könnte der Plan beinhalten, dass es einen Plan gibt, wo der Hauptwasserhahn zu finden ist plus genau definiert, wo der Schlüssel hinterlegt ist. Es könnte ein Ersatzhandy geben oder jederzeit geladenes Akkupack sowie einen eingespeicherten Installateurkontakt. Der Vorteil liegt auf der Hand: man muss in einer Ausnahmesituation nicht nachdenken was zu tun ist und durch die Tests der Notfallpläne, kommt auch eine gewisse Routine in die Situation. Die Chance auf Panik-Fehlentscheidungen sinkt.
In einem Unternehmen mit vielen verschiedenen Bereichen, Personen und benötigen Ressourcen ist es noch komplexer und der Notfallplan stellt sicher, dass jede/r Beteiligte ganz genau weiß, was wer macht, um einen reibungslosen Ablauf im Fall einer Krise sicherzustellen.
Der Aufbau eines BCM-Prozesses
Management Kommittment zum BCM Prozess
Da BCM das gesamte Unternehmen betrifft, ist es wichtig vom Management das Kommittment zu haben, die BCM-Strategie umzusetzen. Ohne Zusammenarbeit aller Abteilungen ist eine erfolgreiche Umsetzung unmöglich. Weiters ist der Aufwand nicht zu unterschätzen und die Verfügbarkeit der Beteiligten zwingend erforderlich.
Die Business Impact Analyse (BIA)
Im ersten Schritt werden alle Geschäftsprozesse aufgelistet, die anschließend step-by-step analysiert werden. Dabei werden folgende Aspekte pro Prozess bewertet:
- Unterstützende Prozesse
Welche Ressourcen (Personen, Systeme, Infrastruktur, Informationen, etc.) werden für diesen Prozess benötigt? - Schadenspotential und -kategorie
Wie hoch ist der zu erwartende Schaden, wenn der Prozess über eine bestimmte Zeit stillstehen würde? Daraus ergibt sich das Untragbarkeitsniveau: ab welchem Zeitpunkt hat die Unterbrechung dieses Geschäftsprozesses untragbare negative Auswirkungen auf das Unternehmen. - Daraus leiten sich folgende Kennzahlen ab:
- RTO = Recovery Time Objective (benötigte Wiederanlaufszeit des Prozesses)
- RPO = Recovery Point Objective (maximal zulässiger Datenverlust; v.a. in der IT wichtig für den Datensicherungszyklus)
- MTPD = Maximum Tolerable Period of Disruption (abgeleitet vom Untragbarkeitsniveau)
- MBCO = Minimum Business Continuity Objective
Was ist das Notbetriebsniveau, um den Prozess im Krisenfall am Laufen zu halten.
Anhand dieser Informationen können systemrelevante Geschäftsprozesse definiert werden, die im Notfall abgesichert werden müssen.
Das Risk Assessment (RA)
Grundsätzlich muss man verstehen, dass man Risiken bzw. Krisen nicht verhindern kann! Aber man kann definieren, wie wahrscheinlich die Bedrohung ist und wie im Ernstfall damit umgegangen wird. Darum geht’s beim BCM.
Bei der Risikoanalyse werden Bedrohungspotentiale bewertet. Wie hoch ist die Eintrittswahrscheinlichkeit, welche Ressourcenkategorien sind davon betroffen, wie hoch wäre der Schaden?
Aus der BIA ist bekannt, welche Prozesse systemrelevant sind. Diese Prozesse werden nun mit den Informationen der Risikoanalyse kombiniert.
Es gibt vier Entscheidungsmöglichkeiten zum Umgang mit potenziellen Bedrohungen:
- Mitigate
Was kann ich tun, um das Risiko zu minimieren? zB Notfallpläne für diesen Prozess erstellen - Avoid
Gibt es Möglichkeiten das Risiko zu verhindern? - Accept
Das Risiko ist so gering, bzw. die Bedrohung so unwahrscheinlich, dass ich das Risiko der Prozessunterbrechung akzeptiere. - Transfer
Gibt es eine Möglichkeit das Risiko auszulagern? z.B. Outsourcing zur IT-PS (von Managed bis Cloud Service)
Als Ergebnis der RA stehen nun die Geschäftsprozesse sowie deren mögliche Bedrohungen und Wahrscheinlichkeiten fest.
Erstellen der Notfallpläne
Das Ergebnis der BIA und der RA sind nun definierte systemrelevante Geschäftsprozesse, die für verschiedene BCM-Szenarien abgesichert werden müssen. Die Definition der Szenarien können je Unternehmen unterschiedlich sein. Oft werden die Szenarien „Ausfall von…
- Personal
- IT
- Infrastruktur & Dienstleistungen
- Gebäude
herangezogen.
Notfallorganisation & Kommunikation
Um im Krisenfall schnell agieren zu können wird eine BAO (besondere Aufbauorganisation) benötigt, die kleiner und somit effizienter ist. Schnelle Entscheidungen und klare Kommunikationswege sind in einer Krise entscheidender Erfolgsfaktor. Das Krisenkommitee (besteht aus Entscheidungsträgern der betroffenen/entscheidenden Bereiche sowie dem Business Continuity Manager) trifft Entscheidungen und ruft die Krise aus. Dort laufen alle Informationen zusammen. Der BC-Manager koordiniert die Emergencyteams. Eine Kontaktliste aller Betroffenen definiert, wer wen in welchem Fall worüber informieren muss, damit die Krise gemeinsam effizient bewältigt werden kann.
Notfallpläne je Geschäftsprozess
Für jeden Geschäftsprozess wird nun je Ausfallsszenario definiert, was zu tun ist.
Ausfall von Strom beispielsweise wird viele Geschäftsprozesse betreffen. Die Implementierung eines Notstromaggregats könnte eine Lösung sein.
Für den Ausfall eines Gebäudes, kann Homeoffice eine Lösung sein oder auch das Anmieten von Notfallbüros, die im Krisenfall schnell bezogen werden können.
Um den Ausfall von Personal zu reduzieren (zB Kantinenessen war schlecht, Pandemie) könnte eine Abteilung auf zwei verschiedene Bürostandorte aufgeteilt werden, damit im Notfall "nur" die Hälfte des Personals betroffen ist.
Bei Ausfall der IT gibt es redundante Rechenzentren, speziell abgesicherte Zugänge, entsprechende Datensicherheit sowie Backupprozesse, etc. um hier schnell reagieren zu können oder auch den Ernstfall einer Downtime gar nicht entstehen zu lassen.
Für jedes einzelne Szenario wird nun ganz genau definiert, was bei einer Krise passieren muss. Wer ruft die Krise aus, wer ruft wen an. Welche Mitarbeiter sind nicht Team des Emergency-Teams und was tun die (nach Hause fahren?). Das ET (Emergency Team) weiß ganz genau, dass sie zB nun ihren Laptop schnappen und in die Alternativbüroräume fahren, die IT-Kollegen fahren sofort ins Rechenzentrum, um das Problem zu beheben, die Alternativdienstleister werden aktiviert, und und und.
Sobald der Notfallbetrieb behoben, und die Geschäftsprozesse nicht mehr gefährdet sind, wird die Krisenorganisation offiziell aufgelöst und die Steuerung wieder an die Normalorganisation übergeben.
All das und noch vieles mehr steht in einem guten BC-Plan.
Tests & Review
Um sicherzustellen, dass alles funktioniert und nichts vergessen wurde, werden diese Notfallpläne regelmäßig getestet. Dabei gibt es mehrere Arten von Tests: Vom theoretischen Test (Durchgehen der Pläne in einem Meetingraum) bis zur unternehmensweiten Simulation eines Szenarios. Empfohlen wird ein Test pro Jahr (bzw. für systemrelevante Unternehmen gesetzlich vorgeschrieben) auf unterschiedlichen Detailgraden. Das wichtige Ergebnis daraus sind die „lessons learned“ was gut bzw. nicht gut funktioniert hat und woran man die Pläne noch nachbessern kann.
IT-Ausfall als Albtraum
Business Continuity Management ist viel Arbeit, aber zur Absicherung des Unternehmens unverzichtbar. Gerade in Zeiten von Digitalisierung und Co hat das Szenario des IT-Ausfalls eine enorme Wichtigkeit. Deshalb geben immer mehr Unternehmen ihre IT in professionelle Hände. So wie unsere zufriedenen Outsourcing-Kunden, deren IT wir betreuen dürfen. Als Experten in diesem Bereich ist unsere IT-Infrastruktur krisensicher aufgebaut. Unsere Mitarbeiter haben viel Erfahrung und wissen ganz genau, wie die Infrastruktur aktuell gehalten wird, und was im Notfall zu tun ist um den Ausfall so gering wie möglich zu halten.
Durch unsere jahrzehntelangen Erfahrungen im IT-Bereich (auch in Großkonzernen), wissen wir ganz genau worauf es in der IT ankommt. Damit verringern wir das Risiko auf ein minimales Level.
Zur permanenten Überwachung unserer IT-Infrastruktur verwenden wir beispielsweise TRIN[IT]Y, unser eigenes Performance Monitoring Tool. Damit sehen wir ganz genau, wo es Bottlenecks oder andere Probleme gibt, und wir können eingreifen, bevor ein Problem entsteht.
Wenn Sie ihr IT-Risiko auslagern wollen kontaktieren Sie uns für ein unverbindliches Gespräch.
Wenn Sie einen zuverlässigen IT-Partner suchen, kontaktieren Sie uns. Gerne stellen wir Ihnen unsere Services in einem unverbindlichen Gespräch vor oder stellen eine Trialversion von TRIN[IT]Y zur Verfügung.