Business Continuity Management (BCM) in Zeiten von Covid-19: Lessons Learned und jetzt erforderliche Maßnahmen zur Konservierung der Lernkurve

PrintMailRate-it

veröffentlicht am 19. Mai 2020

 

Die erste Welle der Covid-19 Pandemie hat Unternehmen weltweit vor enorme Herausforderungen gestellt. Unternehmensprozesse waren unterbrochen oder mussten stark verändert werden, personelle oder andere Ressourcen standen plötzlich nur noch eingeschränkt oder aus dem Home Office zur Verfügung. Die aktuellen Lockerungsmaßnahmen bieten eine Verschnaufpause, die für einen kritischen Rückblick auf die eigenen Maßnahmenpläne und zur Sicherung der bisherigen Lernkurve genutzt werden sollte.

Die meisten Unternehmen der deutschen Versorgungswirtschaft haben sich gezwungenermaßen schnell an die neuen (Arbeits-)Bedingungen unter Covid-19 angepasst. Dabei hatten trotz KRITIS-Verordnung und anderer Anforderungen an die Betreiber kritischer Infrastrukur nicht alle Energieversorger gleich einen passenden Maßnahmenplan in der Schublade. Zu vielfältig waren die Herausforderungen (Home Office, Schließung von Kundencentern und Bädern, etc.) und der Eintritt eines derartigen Ereignisses schien zu unwahrscheinlich. Vielfach waren deshalb die Maßnahmenpläne eher durch den „gesunden Menschenverstand” geleitet und auf eine möglichst schnelle Wiederherstellung der Handlungsfähigkeit gerichtet. Rückblickend wurden viele Dinge richtig gemacht und einige hätte man vielleicht auch besser machen können bzw. sollen. Umso wichtiger ist es, nun einen kritischen Rückblick zu wagen. Denn einerseits soll die Lernkurve genutzt werden, um zukünftig auf eine zweite Covid-19 Welle oder auf andere Krisen- und Notfälle besser, schneller und professionell gerüstet zu sein. Andererseits sollten erkannte oder bislang noch nicht so offenkundige Verbesserungspotenziale zeitnah angegangen werden.
 

BCM und andere Notfallpläne bei Energieversorgern

Die fachlichen Kenntnisse zu Reaktionen auf die Covid-19 Pandemie sind bei den meisten Energieversorgern inzwischen vorhanden. Doch die methodischen Grundlagen zu deren Dokumentation und der Ableitung konkreter Maßnahmenpläne (Konservierung der Lernkurve) scheinen vielfach zu fehlen. Eine methodische Herangehensweise an diese Aufgabenstellung bietet das Business Continuity Management (BCM). Das BCM befasst sich mit Aktivitäten, um auf notfall- oder krisenbedingte, kritische Betriebsunterbrechungen derart zu reagieren, dass der Betrieb in einem akzeptablen Zeitrahmen wiederhergestellt wird. Das BCM soll damit sicherstellen, dass Unternehmen auch in Krisen- oder Notfällen in der Lage sind, ihre zeitkritischen Tätigkeiten auf einem zuvor festgelegten Mindestniveau (Notbetrieb) fortzusetzen und eine schnelle Wiederherstellung eines Normalbetriebs gewährleistet wird.

Die Methoden des BCM sind den meisten Energieversorgern nicht oder zumindest nicht gänzlich unbekannt, sondern regelmäßig als IT-Notfallmanagement oder Informationssicherheits-Management (ISO 27001) bereits in Teilbereichen vorhanden. Insoweit stellt sich auch die Frage, welche methodischen Grundlagen aus dem IT-Notfallmanagement auf das allgemeine BCM übertragen werden können und wie dieser Ansatz im Hinblick auf eine erfolgreiche Konservierung der Covid-19 Lernkurve vergleichsweise einfach genutzt werden kann. Die methodischen Grundlagen sind weitgehend identisch und können auf die Dokumentation eines Pandemie-Notfallplans oder andere Notfallpläne innerhalb des unternehmensweiten BCM übertragen werden.

Anforderungen an das BCM

Die Verfügbarkeit unterbrechungsfreier Geschäftsprozesse ist für viele Unternehmen in der aktuellen Pandemie wichtiger denn je: Die teilweise schlagartige Digitalisierung von Geschäftsprozessen, flächendeckende Home-Office-Regelungen oder die Notwendigkeit Geschäftstätigkeiten ohne direkten Kontakt – und somit häufig „online” – abzuwickeln sind nur möglich, wenn sich Geschäftsprozesse und IT als krisenfest beweisen. Sowohl das unternehmensweite BCM als auch das IT-Notfallmanagement müssen bestehende Risiken adressieren, die für das Unternehmen existenzgefährdend sind oder werden können. Diese gilt es frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren. Der Notfallmanagementprozess muss dabei drei wesentliche Zielsetzungen sicherstellen:

  • die Prävention, die ein geplantes und strukturiertes Vorgehen zur Erhöhung der Widerstandsfähigkeit einer Organisation gegen bestehende Gefahren beinhaltet,
  • die zielgerichtete und gut geplante Reaktion auf Schadensereignisse sowie 
  • die schnellstmögliche Wiederherstellung der Geschäftstätigkeiten, nachdem ein Notfall oder eine Krise eingetreten ist.

 

Die Vorgehensweise zur Etablierung eines BCM

Die Ziele sowie Strategien im BCM werden durch die Unternehmensführung in einer Notfallmanagement-Leitlinie beschrieben, gleichzeitig übernimmt sie die Gesamtverantwortung und verpflichtet sich, die erforderlichen Ressourcen für ein anforderungskonformes Notfallmanagement bereitzustellen. Auf dieser Basis erfolgt der Aufbau der Notfallvorsorge, bestehend aus Richtlinien, Konzepten und vorbereitenden Maßnahmen. Darin ist u.a. auch die Notfallorganisation zu beschreiben. Ein weiterer kritischer Erfolgsfaktor ist die Business Impact Analyse (BIA). Sie ermittelt für welche kritischen Geschäftsprozesse das Notfallmanagement zu etablieren ist, welche Ressourcen hierfür benötigt werden und welche Notfallpläne deshalb erstellt werden müssen. Die Notfallpläne stellen – zusammen mit Geschäftsfortführungs- oder Wiederanlaufplänen – die Notfallbewältigung sicher und unterstützen den Notfallstab oder die Krisenteams in Ihren Handlungen. Über einen PDCA-Zyklus (Plan-Do-Check-Act) wird sichergestellt, dass das Notfallmanagement getestet, angepasst und weiterentwickelt wird. Methodisch bietet sich die Orientierung an anerkannten Standards wie z.B. ISO 22301 an.

Den aktuellen Umsetzungsgrad des eigenen BCM ermitteln

Ist noch kein vollständiges BCM etabliert, sollte zunächst der Umsetzungsgrad hinsichtlich erfolgskritischer Faktoren für das Unternehmen untersucht werden. Dies kann z.B. über eine Checkliste erfolgen und sollte mindestens die folgenden Bereiche abdecken:

  • Umsetzungsgrad des Notfallmanagement-Prozesses
  • Regelungsbedarfe bezüglich Personal und Organisation
  • Regelungsbedarfe im Hinblick auf Technik und Dokumentation
  • Regelungsbedarfe hinsichtlich kritische Dienstleister
  • Umgang mit Cloud und Outsourcing
  • Umgang mit IT-Projekten

 

Auf dieser Grundlage kann die Planung der weiteren Maßnahmen erfolgen und das BCM schrittweise ausgebaut werden.

Fazit

Die Covid-19 Pandemie hat den meisten Energieversorgern im Hinblick auf das Notfallmanagement eine steile Lernkurve beschert. Diese Lernkurve gilt es nun zeitnah zu konservieren und in eine replizierbare Methodik zu überführen. Dies gilt insbesondere im Hinblick auf eine mögliche zweite Welle der Covid-19 Pandemie. Darüber hinaus kann und sollte das positive Momentum aber auch genutzt werden, um das BCM auf eine methodische Grundlage zu stellen und weiter auszubauen. Viele methodische Grundlagen sind bei Energieversorgern bereits vorhanden und können nun für die Dokumentation der Lessons Learned aus Covid-19 und den Ausbau des BCM genutzt werden.

Als kritischer Erfolgsbegleiter unterstützen wir Sie beim Aufbau oder Weiterentwicklung Ihres (IT-)Notfallmanagements mit 

  • tiefgreifendem methodischem Know-How im Aufbau von (IT-)Notfallmanagementsystemen, 
  • konkreten Mustern, Konzepten und Checklisten sowie 
  • unserer Expertise in der Ausarbeitung von Notfallplänen, Wiederanlaufszenarien oder Geschäftsfortführungsplänen.

 

 

Sie können uns gerne bei weiteren Fragen kontaktieren, wir helfen Ihnen gerne weiter!

 

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Einwilligung *
Datenschutzerklärung *


Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



Folgen Sie uns

LinkedIn Banner

Aus dem Newsletter

kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu