Business Continuity Management

In Krisenzeiten müssen die Geschäftsprozesse widerstandsfähig gegen innere sowie äußere Einflüsse sein, um so den Geschäftserfolg zu gewährleisten. Genau hier greift das Business Continuity Management (BCM). Das BCM stellt sicher, dass bei unvorhersehbaren Betriebsunterbrechungen die betroffenen Aktivitäten in einem akzeptablen Zeitrahmen wiederhergestellt werden.

Die jüngsten Erfahrungen mit der Verwundbarkeit von Gesellschaft und Wirtschaft durch Erreger, wie Covid-19, machen uns die Abhängigkeiten von (IT-)Technik, Organisation und Personal mehr als deutlich. Der in der Vergangenheit oftmals im Fokus stehende „Wasserrohrschaden” im Serverraum tritt deutlich in den Hintergrund. Dies ist nicht nur durch Covid-19 begründet, sondern insbesondere auch aufgrund zunehmender Cybersecurity-Risiken und der wachsenden Abhängigkeit von digitalisierten Geschäftsprozessen und der zunehmenden Regulatorik (z.B. EU NIS-2-Richtlinie, KRITIS-Dachgesetz, usw.).

Ein wirksames und praktikables BCM soll sicherstellen, dass Unternehmen in (IT-)Notfällen und Krisen in der Lage sind, ihre zeitkritischen Aktivitäten zunächst auf einem Mindestniveau (Notbetrieb) fortzusetzen und eine schnelle Wiederherstellung des Normalbetriebs zu erreichen – verlässlich, routiniert und im Idealfall ohne Folgeschäden.

In Zeiten hoher Digitalisierung sind das Informationssicherheits-Management-System (ISMS), das (IT-)Notfallmanagement und das Krisenmanagement die wichtigsten Bausteine eines umfassenden unternehmensweiten BCM zur Stärkung der Gesamt-Resilienz einer jeden Organisation.

ANFORDERUNGEN AN DAS BUSINESS CONTINUITY MANAGEMENT

Ein unternehmensweites BCM muss auch bestehende (IT-)Notfall-Risiken umfassen, da diese für das Unternehmen existenzgefährdend sein können.

Die drei folgenden wesentlichen Zielsetzungen haben dabei höchste Priorität:

Prävention: gut geplante und strukturierte BCM-Prozesse erhöhen die Widerstandsfähigkeit einer Organisation gegen bestehende Gefahren,
Reaktion: zielgerichtete und gut geplante Maßnahmen zur Notfallbewältigung sowie
Wirksamkeit: die schnellstmögliche Wiederherstellung der “lebensnotwendigen” Geschäftstätigkeiten, nachdem ein (IT-)Notfall oder eine Krise eingetreten ist.

DIE VORGEHENSWEISE ZUR ETABLIERUNG EINES GANZHEITLICHEN BUSINESS CONTINUITY MANAGEMENTS

Die Ziele und Strategien werden durch die Unternehmensführung in einer BCM-Leitlinie beschrieben, gleichzeitig übernimmt sie die Gesamtverantwortung und verpflichtet sich, die erforderlichen Ressourcen für ein anforderungskonformes ganzheitliches BCM bereitzustellen. Auf dieser Basis erfolgt der Aufbau der (IT-)Notfallvorsorge, bestehend aus Richtlinien, Konzepten und vorbereitenden Maßnahmen. Darin ist u. a. auch die (IT-)Notfallorganisation zu beschreiben.

Ein weiterer kritischer Erfolgsfaktor ist die Business Impact Analyse (BIA). Sie ermittelt für welche kritischen Geschäftsprozesse ein BCM zu etablieren ist, welche Ressourcen hierfür benötigt werden und welche (IT-)Notfallpläne deshalb erstellt werden müssen. Die (IT-)Notfallpläne stellen – zusammen mit Geschäftsfortführungs- oder Wiederanlaufplänen – die (IT-)Notfallbewältigung sicher und unterstützen den Notfallstab oder die Krisenteams in ihren Handlungen. Über einen PDCA-Zyklus (Plan-Do-Check-Act) wird sichergestellt, dass das BCM getestet, angepasst und weiterentwickelt wird. Methodisch bietet sich die Orientierung an anerkannten Standards, wie z. B. ISO 22301/ ISO 2236, an.