Business Continuity Management

Cyberrisiken zwingen zur systematischen Vorsorge

21.11.2017
Von 
Siegfried Riedel gründete im Jahr 2000 ein Beratungshaus, aus dem die ITSM Group hervorgegangen ist. Vorher war er von 1987 bei einer führenden Hypothekenbank beschäftigt, wo er zuletzt als Abteilungsdirektor weltweit die dezentralen Systeme und Benutzerbetreuung verantwortete. Sein Fokus lag bereits zu dieser Zeit auf dem qualitätsgesteuerten IT Service Management und der Umsetzung komplexer technischer Projekte im ITSM-Umfeld.

Worauf sollten Sie bei BCM achten

Dessen Umsetzung beginnt mit der Business Impact-Analyse, also der Identifikation der kritischen Prozesse in dem definierten Scope. Sie ermittelt die Prozesse, Systeme und Ressourcen, die für das Überleben des Unternehmens eine existentielle Rolle spielen und für den Wiederanlauf notwendig sind. Diese - später dann regelmäßig zu wiederholende - Analyse muss den notwendigen Umfang und die erforderliche Detailtiefe aufweisen, da ihre Ergebnisse essentiell für die BCM-Ausrichtung und den Erfolg im Schadensfall sind.

Gleichzeitig ist die Entwicklung und Einführung einer Unternehmensrichtlinie notwendig. Sie sollte nicht nur von der Geschäftsführung mitgetragen werden, sondern auch in Abstimmung mit den Verantwortlichen der Bereiche Compliance, Risikomanagement und Informationssicherheitsmanagement entstehen. Nur dann ist ein konsistenter Überbau über alle BCM-relevanten Themen hinweg möglich.

Setzen Sie sich mit dem Worst-Case-Szenario auseinander - und wie Sie dieses bewältigen können.
Setzen Sie sich mit dem Worst-Case-Szenario auseinander - und wie Sie dieses bewältigen können.
Foto: ArtHead - shutterstock.com

Hilfreich ist aber auch, das Business Continuity Management als Stabsstelle unterhalb der Geschäftsführung einzurichten, die sich primär mit unternehmensbedrohenden Worst-Case-Szenarien und deren Bewältigung beschäftigt. Damit wird die Schlagkraft von BCM erhöht und die Voraussetzungen verbessert, um mögliche Notfälle und Krisen gut zu überstehen.

Sowieso sollte man sich bewusst sein, dass diese Aufgaben in erster Linie ein strategisches Thema auf der Geschäftsführungsebene darstellen. Auch wenn im Notfall natürlich der IT-Betrieb einen wesentlichen Anteil an einem erfolgreichen Wiederanlauf hat, kann er dies nur sicherstellen, wenn die richtigen Vorsorgestrategien in den Fachabteilungen und der IT erarbeitet wurden. Denn was nutzen die besten Vorsorgemaßnahmen in der IT, wenn beispielsweise der Ausfall von Lieferanten, Fabrikationsgebäuden oder Providern unberücksichtigt geblieben ist.

Dabei gilt es jedoch zu beachten, dass nicht starre Standards zur Grundlage des Business Continuity Managements gemacht werden, sondern es aus den unternehmensspezifischen Erfordernissen abgeleitet wird. Entgegen einer solchen formalen Ausrichtung sollten zunächst die eigenen Bedürfnisse identifiziert werden, um sie anschließend zum Maßstab des Projekts zu machen.

Dabei dürfen die Herausforderungen nicht aus den Augen verloren werden, die mit der unternehmensindividuellen Gestaltung des BCM-Prozesses einher gehen. Denn er besteht aus vielen kleinen Prozessen, die sich unabhängig voneinander mit unterschiedlichen Geschwindigkeiten bewegen. Diese Teilprozesse liegen mal im strategischen und mal im operativen Bereich. Die Herausforderung besteht darin, sie trotzdem so miteinander zu verbinden, dass die Informationen konsistent fließen und jeder Bereich seiner Verantwortung nachkommt. Deshalb ist auch zu empfehlen, ein BCM-Projekt im Kleinen zu beginnen, indem man es in handhabbare Bausteine aufteilt. Damit wird zudem eine Überforderung der Organisation vermieden.

Über das Projekt hinaus denken

Eine weitere Empfehlung besteht darin, frühzeitig das häufig zu beobachtende Kompetenzproblem zu lösen. Es resultiert daraus, dass die BCM-Einführung in der Regel nur einmal vorgenommen wird. Daher können sich die Unternehmen typischerweise nicht auf bestehende kompetente Ressourcen mit ausreichendem Erfahrungswissen stützen. Wird das fachliche Defizit jedoch nicht über Ressourcen mit entsprechender Expertise beseitigt, entstehen zwangsläufig Schwächen in der Ergebnisqualität und Robustheit der BCM-Lösung, aber ebenso Verzögerungen und Kostensteigerungen.

Und im Hinblick auf die Ressourcen gilt es auch, rechtzeitig über den Projektverlauf in Richtung Regelbetrieb hinaus zu denken. Bereits in der Anfangsphase der Einführung sollte der Bedarf an Mitarbeitern für den Zeitpunkt thematisiert werden, wenn die Projektübergabe in die Linienorganisation erfolgt. Dabei ist jedoch nicht nur an den operativen Betrieb zu denken. Denn benötigt werden ebenso Ressourcen für die regelmäßige Durchführung einer Auswirkungsanalyse mit den Fachbereichen sowie für die regelmäßigen Überprüfungen der Vorsorge- und Wiederanlaufstrategie.

Vom Erarbeiten einer Police bis zu regelmäßigen Tests: Darauf müssen Sie bei BCM-Projekten achten.
Vom Erarbeiten einer Police bis zu regelmäßigen Tests: Darauf müssen Sie bei BCM-Projekten achten.
Foto: Rawpixel.com - shutterstock.com

Wesentliche Etappen von BCM-Projekten

  • BCM-Police erarbeiten: Dazu gehört einerseits die Festlegung der Ziele von Business Continuity und für welche Unternehmensbereiche BCM gelten soll. Andererseits sind die erforderlichen Verantwortlichkeiten und Rollen zu definieren.

  • Business Impact Analyse: Sie stellt die Basis für ein BCM dar, weil darin die kritischen Geschäftsprozesse und Ressourcen mit ihren Kenngrößen für deren Wiederanlauf nach Unterbrechungen ermittelt werden. Dazu gehört auch eine Schadensanalyse, in der bewertet wird, welchen Schaden der Ausfall einzelner Geschäftsprozesse verursachen kann.

  • Risikoanalyse durchführen: Es wird geprüft, wodurch die Kontinuität und Verfügbarkeit der als kritisch definierten Prozesse und Ressourcen gefährdet werden könnte. Hierbei werden die Risiken zunächst identifiziert und dann bewertet, anschließend erfolgen eine Gruppierung von Risiken und die Wahl der Risikostrategien.

  • Kontinuitätsstrategien entwickeln: Im Hinblick auf das Notfallmanagement sind wirkungsvolle alternative Prozessabläufe zu erarbeiten, mit denen sich die kritischen Geschäftsprozesse für den Notfall absichern lassen. Dazu gehört auch die Implementierung von Krisenkommunikationswegen zur Steuerung und Überwachung einer kritischen Situation.

  • Tests und kontinuierliche Verbesserung: Weil Unternehmen gerade auch durch die Effekte der Digitalisierung einer fortlaufenden organisatorischen Veränderung unterliegen, müssen die BCM-Regelungen immer wieder mittels Übungen und Tests überprüft werden. Gleichzeitig sind Optimierungsverfahren zu implementieren.