Strategien


Business Continuity Management

Sind Sie auf den Ernstfall vorbereitet?

30.10.2013
Von Stanislav  Wittmann
Stunden, Minuten, ja sogar Sekunden entscheiden über Erfolg oder Versagen von Unternehmen. Um Ausfälle zu kompensieren, investieren diese zunehmend ins Notfallmanagement, auch Business Continuity Management (BCM) genannt.
Haben Sie alle Risiken im Blick?
Haben Sie alle Risiken im Blick?
Foto: Monkey Business Images - shutterstock.com

Eine BCM-Strategie verfolgt zwei Ziele: Zum einen sollen kritische Geschäftsprozesse im Falle einer Störung nicht beeinträchtigt werden, zum anderen soll im Fall einer Unterbrechung deren rechtzeitige Wiederaufnahme sichergestellt sein. Um beide Aufgaben erfüllen zu können, müssen Unternehmen eine gewisse Vorarbeit leisten. Ein erster Schritt ist die Identifizierung von kritischen Geschäftsprozessen: Welche Geräte besitzen die am geringsten tolerierbare Ausfallzeit? Welche Daten dürfen niemals verfälscht werden? Diese Fragen müssen in einer Risikoanalyse geklärt sein.

Neben Zeit und Geld stellt Personal die dritte tragende Säule dar.
Neben Zeit und Geld stellt Personal die dritte tragende Säule dar.
Foto: Stanislav Wittmann

Kritische Geschäftsprozesse aufzuspüren, ist aber nur die halbe Miete. Denn ohne Unterstützung der Geschäftsleitung wird es schwer, ein BCM aufzubauen. Es braucht Zeit, Geld und eventuell auch neues Personal. Ein uneinsichtiges Management lässt sich vielleicht mit den Haftungsrisiken überzeugen, die es im Schadensfall eingeht. Sicherheitsbeauftragte, die weitere Argumente brauchen, können auch eine Business Impact Analyse (BIA) vornehmen. Dabei spielen sie potenzielle Schadensszenarien im Unternehmen durch, um die Bedeutung einer Notfallvorsorge zu unterstreichen. Die kritischen Prozesse, die Schäden verursachen könnten, sollten bereits im Rahmen der Risikoanalyse bekannt sein.

Plan-Do-Check-Act

Der PDCA-Zyklus - Fundament eines jeden Qualitätsmanagementzyklus. Nur durch Einhaltung des Kreislaufes kann ein kontinuierlicher Verbesserungsprozess (KVP) gewährleistet werden.
Der PDCA-Zyklus - Fundament eines jeden Qualitätsmanagementzyklus. Nur durch Einhaltung des Kreislaufes kann ein kontinuierlicher Verbesserungsprozess (KVP) gewährleistet werden.
Foto: Stanislav Wittmann

Ohnehin ist eine BIA sinnvoll, um zielgerichtet Lösungen für ein BCM zu finden. Reicht das zur Überzeugung des Managements immer noch nicht, hilft vielleicht das Argument, dass eine (Re-)Zertifizierung nach ISO 27001 scheitern kann. Denn der Demingkreis (Plan-Do-Check-Act-Zyklus) im Sinne des kontinuierlichen Verbesserungsprozesses ist auch beim BCM ein Muss.

Ist das Management überzeugt, geht es an die Einrichtung eines BCM. Hilfestellungen dazu finden sich beispielsweise in den Dokumentation der ISO 2700+-Reihe. So führt der Anhang A14 der ISO 27001 Anforderungen für ein BCM auf. Konkreter ist die ISO 27002, in der der Leitfaden für ein ISMS (Information SecuritySecurity Management System) samt BCM deutlicher beschrieben ist. Kostenfreie Informationen zum Thema Notfallmanagement stellt auch das Bundesamt für Sicherheits- und Informationstechnik (BSI) bereit, unter anderem im Grundschutzkatalog 100-4. Alles zu Security auf CIO.de

"Derzeit sind zudem verschiedene Normen für BCM in der Entwicklungsphase", so Ernst Döbbeling, Professor für Security Engineering an der Hochschule Furtwangen und Vorsitzender des betreffenden DIN-Spiegelausschusses. Die Entwicklung spreche dafür, dass das Thema in Zukunft eine größere Relevanz erhalten werde. Zumal nicht mehr nur Großunternehmen, sondern zunehmend auch Mittelständler von der Sinnhaftigkeit des BCM überzeugt seien.

Bleibt die Frage: Wie sieht ein funktionierendes Business-Continuity-Management aus? Im Folgenden werden dafür einige Beispielszenarien aufgezeigt, die besonders der IT-Abteilung im Unternehmen als Checkliste dienen können - gemäß der Frage "Sind Sie auf den Ernstfall vorbereitet?"

Zur Startseite