Je mehr die Unternehmen Anwendungen und Daten aus ihrer unmittelbaren Obhut geben, desto stärker wachsen auch die Gefahren, dass die Mechanismen der unternehmensübergreifend miteinander verwachsenden IT nicht immer vollständig funktionieren. Auch mögliche Cyber-Angriffe können die technische Infrastruktur beeinträchtigen.
Dies gilt etwa auch für die Industrie 4.0- und IoT-Entwicklung. Beide Technologieperspektiven werden den digitalen Vernetzungsgrad noch wesentlich komplexer gestalten und im Falle der IoT-Devices auch die privaten Haushalte einbeziehen.
Foto: Maksim Kabakou - shutterstock.com
So geht eine Studie im Auftrag von DHL und Cisco davon aus, dass bis 2020 weltweit 50 Milliarden Geräte vernetzt sein werden, die jeweils automatisiert Bestellungen und damit auch logistische Anforderungen auslösen können. Damit drängen aber auch eine Vielzahl Konsumergeräte ins Netz, die über keinerlei oder nur geringe Sicherheitsfunktionen verfügen.
Die steigenden Risiken lassen sich beispielsweise an den Erkenntnissen des Microsoft Security Intelligence Reports sehr deutlich ablesen. Demnach sind die Cyberangriffe auf Nutzerkonten in der Cloud binnen Jahresfrist um 300 Prozent gestiegen. Aber auch wer seine Daten weiterhin in der eigenen Obhut hält, befindet sich in einer fragilen Situation.
So haben in der ersten Jahreshälfte Dax-Unternehmen wie Thyssen Krupp oder Beiersdorf die erheblichen Folgen von Cyberattacken schmerzlich erfahren müssen. Und nicht zuletzt durch die Schadsoftware WannaCry wurden im Frühsommer dieses Jahres weltweit rund 250 Konzerne und große Institutionen infiziert, darunter Daimler Benz und die Post AG.
Wie lassen sich digitale Attacken schnell bewältigen?
Natürlich wird inzwischen deutlich mehr für die Informationssicherheit getan, nicht zuletzt auch infolge der rechtlichen Erfordernisse durch das IT-Sicherheitsgesetz. Doch durch den allseits forcierten Ausbau der Digitalisierung stehen die Unternehmen vor ständig neuen Anforderungen.
So erfordert Cloud Computing veränderte Datensicherungskonzepte und Wiederanlaufprozesse, aber auch die Kontrollmechanismen bei Vendor-Management-Strategien mit Einsatz mehrerer Cloud- und Outsourcing-Provider müssen angepasst werden. Zudem diversifizieren sich die digital gesteuerten Lieferketten, was neue Risikofelder entstehen lässt.
Das Kernproblem in solchen Situationen lautet: Wie lassen sich die Schäden möglichst schnell in den Griff bekommen? Schließlich geraten in einer digitalisierten Welt die Prozesse und Geschäftsmodelle der Unternehmen in eine vollständige Abhängigkeit von der Verfügbarkeit ihrer IT-Systeme. Werden in kritischen Situationen wichtige Unternehmensfunktionen nur zeitweise unterbrochen, können erhebliche wirtschaftliche Konsequenzen drohen. Wie gravierend sie sein können, zeigt das Beispiel Beiersdorf: Das Unternehmen hatte nach dem Cyberangriff weltweite Produktionsausfälle zu verzeichnen.
Die Antwort auf diese Frage lautet zwangsläufig: Business Continuity Management (BCM). Darunter wird ein unternehmensweiter Ansatz verstanden, der Unternehmen systematisch auf die Bewältigung von Schadensereignissen vorbereitet und mit dem die kritischen Geschäftsfunktionen bei Bedrohungssituationen beispielsweise durch Naturkatastrophen, Wirtschaftskriminalität oder die genannten Cyber-Angriffe aufrechterhalten oder zeitnah wiederhergestellt werden können. Zumal auch neue rechtliche Anforderungen wie das IT-Sicherheitsgesetz (IT-SiG ) und die europäische Datenschutzverordnung (EU-DSGVO) eine hohe Verfügbarkeit der technischen Systeme verlangen.
Darauf müssen sie bei BCM achten...
Worauf sollten Sie bei BCM achten
Dessen Umsetzung beginnt mit der Business Impact-Analyse, also der Identifikation der kritischen Prozesse in dem definierten Scope. Sie ermittelt die Prozesse, Systeme und Ressourcen, die für das Überleben des Unternehmens eine existentielle Rolle spielen und für den Wiederanlauf notwendig sind. Diese - später dann regelmäßig zu wiederholende - Analyse muss den notwendigen Umfang und die erforderliche Detailtiefe aufweisen, da ihre Ergebnisse essentiell für die BCM-Ausrichtung und den Erfolg im Schadensfall sind.
Gleichzeitig ist die Entwicklung und Einführung einer Unternehmensrichtlinie notwendig. Sie sollte nicht nur von der Geschäftsführung mitgetragen werden, sondern auch in Abstimmung mit den Verantwortlichen der Bereiche Compliance, Risikomanagement und Informationssicherheitsmanagement entstehen. Nur dann ist ein konsistenter Überbau über alle BCM-relevanten Themen hinweg möglich.
Foto: ArtHead - shutterstock.com
Hilfreich ist aber auch, das Business Continuity Management als Stabsstelle unterhalb der Geschäftsführung einzurichten, die sich primär mit unternehmensbedrohenden Worst-Case-Szenarien und deren Bewältigung beschäftigt. Damit wird die Schlagkraft von BCM erhöht und die Voraussetzungen verbessert, um mögliche Notfälle und Krisen gut zu überstehen.
Sowieso sollte man sich bewusst sein, dass diese Aufgaben in erster Linie ein strategisches Thema auf der Geschäftsführungsebene darstellen. Auch wenn im Notfall natürlich der IT-Betrieb einen wesentlichen Anteil an einem erfolgreichen Wiederanlauf hat, kann er dies nur sicherstellen, wenn die richtigen Vorsorgestrategien in den Fachabteilungen und der IT erarbeitet wurden. Denn was nutzen die besten Vorsorgemaßnahmen in der IT, wenn beispielsweise der Ausfall von Lieferanten, Fabrikationsgebäuden oder Providern unberücksichtigt geblieben ist.
Dabei gilt es jedoch zu beachten, dass nicht starre Standards zur Grundlage des Business Continuity Managements gemacht werden, sondern es aus den unternehmensspezifischen Erfordernissen abgeleitet wird. Entgegen einer solchen formalen Ausrichtung sollten zunächst die eigenen Bedürfnisse identifiziert werden, um sie anschließend zum Maßstab des Projekts zu machen.
Dabei dürfen die Herausforderungen nicht aus den Augen verloren werden, die mit der unternehmensindividuellen Gestaltung des BCM-Prozesses einher gehen. Denn er besteht aus vielen kleinen Prozessen, die sich unabhängig voneinander mit unterschiedlichen Geschwindigkeiten bewegen. Diese Teilprozesse liegen mal im strategischen und mal im operativen Bereich. Die Herausforderung besteht darin, sie trotzdem so miteinander zu verbinden, dass die Informationen konsistent fließen und jeder Bereich seiner Verantwortung nachkommt. Deshalb ist auch zu empfehlen, ein BCM-Projekt im Kleinen zu beginnen, indem man es in handhabbare Bausteine aufteilt. Damit wird zudem eine Überforderung der Organisation vermieden.
Über das Projekt hinaus denken
Eine weitere Empfehlung besteht darin, frühzeitig das häufig zu beobachtende Kompetenzproblem zu lösen. Es resultiert daraus, dass die BCM-Einführung in der Regel nur einmal vorgenommen wird. Daher können sich die Unternehmen typischerweise nicht auf bestehende kompetente Ressourcen mit ausreichendem Erfahrungswissen stützen. Wird das fachliche Defizit jedoch nicht über Ressourcen mit entsprechender Expertise beseitigt, entstehen zwangsläufig Schwächen in der Ergebnisqualität und Robustheit der BCM-Lösung, aber ebenso Verzögerungen und Kostensteigerungen.
Und im Hinblick auf die Ressourcen gilt es auch, rechtzeitig über den Projektverlauf in Richtung Regelbetrieb hinaus zu denken. Bereits in der Anfangsphase der Einführung sollte der Bedarf an Mitarbeitern für den Zeitpunkt thematisiert werden, wenn die Projektübergabe in die Linienorganisation erfolgt. Dabei ist jedoch nicht nur an den operativen Betrieb zu denken. Denn benötigt werden ebenso Ressourcen für die regelmäßige Durchführung einer Auswirkungsanalyse mit den Fachbereichen sowie für die regelmäßigen Überprüfungen der Vorsorge- und Wiederanlaufstrategie.
Foto: Rawpixel.com - shutterstock.com
Wesentliche Etappen von BCM-Projekten
BCM-Police erarbeiten: Dazu gehört einerseits die Festlegung der Ziele von Business Continuity und für welche Unternehmensbereiche BCM gelten soll. Andererseits sind die erforderlichen Verantwortlichkeiten und Rollen zu definieren.
Business Impact Analyse: Sie stellt die Basis für ein BCM dar, weil darin die kritischen Geschäftsprozesse und Ressourcen mit ihren Kenngrößen für deren Wiederanlauf nach Unterbrechungen ermittelt werden. Dazu gehört auch eine Schadensanalyse, in der bewertet wird, welchen Schaden der Ausfall einzelner Geschäftsprozesse verursachen kann.
Risikoanalyse durchführen: Es wird geprüft, wodurch die Kontinuität und Verfügbarkeit der als kritisch definierten Prozesse und Ressourcen gefährdet werden könnte. Hierbei werden die Risiken zunächst identifiziert und dann bewertet, anschließend erfolgen eine Gruppierung von Risiken und die Wahl der Risikostrategien.
Kontinuitätsstrategien entwickeln: Im Hinblick auf das Notfallmanagement sind wirkungsvolle alternative Prozessabläufe zu erarbeiten, mit denen sich die kritischen Geschäftsprozesse für den Notfall absichern lassen. Dazu gehört auch die Implementierung von Krisenkommunikationswegen zur Steuerung und Überwachung einer kritischen Situation.
Tests und kontinuierliche Verbesserung: Weil Unternehmen gerade auch durch die Effekte der Digitalisierung einer fortlaufenden organisatorischen Veränderung unterliegen, müssen die BCM-Regelungen immer wieder mittels Übungen und Tests überprüft werden. Gleichzeitig sind Optimierungsverfahren zu implementieren.