Business Continuity Management (BCM)

Tragfähige Konzepte im Notfallmanagement

Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Compliance, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 zunächst bei SSW, heute bei Witzel Erb Backu & Partner in München tätig.
Vor allem der Finanzsektor ist gezwungen, Geschäftsabläufe an eine Vielzahl von Gesetzen und Vorgaben anzupassen, wenn es um Risiko- und Notfallmanagement geht. Ein Überblick.
  • Definition Business Continuity Management und Notfallmanagement
  • Anforderungen an das Notfallmanagement
  • Vertragsgestaltung im Notfallmanagement
Auch ein Feuermelder kann Teil eines Notfallplans sein - in diesem Fall für die Stadt San Francisco.
Auch ein Feuermelder kann Teil eines Notfallplans sein - in diesem Fall für die Stadt San Francisco.
Foto: ImagenX - shutterstock.com

Das Thema wurde lange belächelt, wenn nicht ignoriert. Schließlich sind Erdbeben und Tsunamis in unseren Breiten eher selten und auch die letzte Pandemie vor Corona hat uns nicht erreicht. Viele Dienstleister unterlagen auch dem Irrtum, dass Notfallmanagement nur bei Betriebsleistungen relevant ist. Seit Beginn der aktuellen Pandemie zeigt sich, dass die regulatorischen Vorgaben nicht nur theoretischer Natur sind, sondern eine Notfallplanung branchenübergreifend essenziell ist und auch reine Entwicklungshäuser und Berater trifft. Auch diese konnten ihre Projekte nur fortsetzen, wenn es für den Notfall einen funktionierenden Plan gab.

Dienstleister in der Finanz- und Versicherungswirtschaft fluchen zudem seit Jahren über die Anforderungen der Aufsichtsbehörden nach Notfallmanagement und Business Continuity Management (BCM).

Vermehrte aufsichtsrechtliche Anforderungen

Neben den gesetzlichen Regelungen wird von Unternehmen auch durch Institutionen und Behörden einiges verlangt, wenn es um IT-Notfallplanung und -Management geht. Zu beachten sind hierbei zum Beispiel:

Mindestanforderungen an das Risikomanagement (MaRisk)
Bankenaufsichtsrechtliche Anforderungen an die IT (BAIT)
Versicherungsrechtliche Anforderungen an die IT (VAIT)

Sie verlangen Konzepte zum Notfallmanagement, die nicht nur auf dem Papier bestehen, sondern auch getestet und zwischen Institut und Dienstleister abgestimmt sind. Es sind jedoch nicht nur regulierte Branchen wie die Finanz- und Versicherungswirtschaft betroffen.

Für alle Unternehmen gelten rechtliche Anforderungen an eine IT-Notfallplanung. Kritische Aktivitäten und Prozesse können zum Beispiel sein:

  • technische Störungen in Rechenzentren,

  • Stromausfall,

  • Brand,

  • Wassereintritt,

  • Naturkatastrophen,

  • Pandemien und

  • Hackerantriffe.

Risikomanagement und IT-Notfallmanagement sind Aufgabe der Geschäftsführung

Als Teil des notwendigen Risikomanagements ist der Aufbau und die Aufrechterhaltung einer IT-Notfallplanung ständige Aufgabe der Geschäftsführung eines Unternehmens. Zunehmende Bedeutung wird auch die IT-Sicherheit bekommen, denn die Sicherheit der in einem Betrieb eingesetzten IT-Systeme ist von deren Verfügbarkeit auch im Rahmen eines Notfalls nicht zu trennen.

Die Konzeption, Realisierung und Aktualisierung von Notfallmanagement und Business Continuity Management im Allgemeinen sowie das IT-Notfallmanagement im Besonderen sind mit nennenswertem finanziellen und zeitlichen Aufwand verbunden. Aber wer daran spart, spart an der falschen Stelle, das haben die vergangenen drei Monate mit einer Pandemie gezeigt. Glück im Unglück hatten die Unternehmen, die schnell vom Home Office aus weiterarbeiten konnten, deren Systeme und Prozesse auf einen unerwarteten Wechsel der Arbeitsabläufe eingestellt waren. Wer gut vorbereitet war, konnte seine Projekte und seinen gesamten Geschäftsbetrieb auch weitgehend reibungslos fortsetzen.

Lesetipp: Home Office fordert die Cybersecurity

Was steht hinter den Begrifflichkeiten?

Ein Business Continuity Management (BCM) ist, in Abhängigkeit von der Art des Unternehmens, zentrale Pflicht der Geschäftsleitung. Das BCM bezeichnet alle Konzepte, Planungen und Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität, die die Fortführung der Geschäftstätigkeit eines Unternehmens unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichern (ähnlich wie das Risikomanagement). Unter BCM fallen somit alle Maßnahmen, die ein Unternehmen durch eine Krisensituation bringen sollen.

Ein Teil des BCM ist das Notfallmanagement. Ziel des Notfallmanagements ist es, die schädigende Wirkung eines Ereignisses rechtzeitig einzudämmen, um Störungen des operativen Geschäfts, bis hin zum wirtschaftlichen Ruin, zu vermeiden. Die Zielsetzung ist demzufolge die Fortführung der Geschäftstätigkeit mit Hilfe von definierten Verfahren. Beispiele für solche Verfahren sind: Geschäftsfortführungs- bzw. Wiederaufnahmeplänen, sowie der Schutz von Personen und Sachen sowie Vermögen.
Der Inhalt einer Notfallplanung ist insbesondere die Darstellung sämtlicher risikobehafteter Prozesse, wie zum Beispiel maximal tolerierbare Ausfallzeiten und deren Gewichtung. Im Bereich IT liegen die Schwerpunkte bei der Gewährleistung der Informationssicherheit und der IT-Notfallplanung.

Anforderungen an das Notfallmanagement

Bei Konzeption, Etablierung und Aufrechterhaltung eines tragfähigen Notfallmanagements sind folgende Aspekte zu beachten:

  • Verantwortlich für das operative Notfallmanagement ist die Geschäftsleitung des Unternehmens.

  • Sämtliche Mitglieder der Geschäftsleitung müssen der Notfallplanung zustimmen.

  • Alle im Unternehmen Verantwortlichen müssen die Notfallpläne kennen.

  • Die Verfügbarkeit der Notfallpläne muss auch im Notfall sichergestellt sein.

  • Notfallpläne sind für diejenigen Bereiche und Prozesse zu erstellen, bei denen der Eintritt einer unvorhergesehenen Störung die Fortführung der Geschäftstätigkeit gefährden kann.

  • Auch auslagerte Bereiche und Prozesse sind im Notfallmanagement zu berücksichtigen.

  • Angemessenheit und Wirksamkeit der Notfallpläne sind sicherzustellen. Um die Wirksamkeit zu prüfen, sind den Risiken des jeweiligen Bereiches bzw. Prozesses entsprechend regelmäßig Testläufe und Übungen durchzuführen. Notfallpläne nur auf dem Papier nutzen nichts.

  • Die den Notfallplänen zugrunde liegenden Notfallszenarien haben dem jeweils ermittelten Risikoprofil Rechnung zu tragen.

  • Die Notfallplanung sowie der Umgang mit einem Notfall müssen angemessen in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein.

  • Aufgaben, Verantwortlichkeiten, Informationspflichten und Eskalationsprozesse im Notfallmanagement sind klar und nachvollziehbar festzulegen und zu dokumentieren.

Mit einem wirksamen Notfallmanagement soll die Widerstandsfähigkeit der Prozesse eines Unternehmens erhöht werden, um in möglichen Krisensituationen die Fortführung der Geschäftstätigkeit durch festgelegte Verfahren zu gewährleisten.

Notfallmanagement bei der Vertragsgestaltung von IT-Verträgen

Entsprechende Anforderungen an das Notfallmanagement sind auch in Verträgen - vor allem - aber nicht nur Outsourcing-Verträgen zu vereinbaren. Bei der Gestaltung sollte nicht nur das Verhältnis der Vertragspartner, sondern gegebenenfalls auch das Verhältnis zu Subunternehmern und deren Einbeziehung in das Notfallmanagement geklärt werden. Das gilt insbesondere dann, wenn Leistungen des Subunternehmers von entscheidender Bedeutung sind, zum Beispiel bei Anbietern von Cloud-Infrastrukturen.

Die jeweils beteiligten Geschäftsbereiche auf Seiten beider Vertragspartner sind verantwortlich für die Erstellung von geschäftsbezogenen Notfallplänen, wobei sie durch eine zentrale Stelle unterstützt werden sollten. Wichtig hierbei ist, dass die im Notfall verantwortlichen Mitarbeiter, auch von externen Dienstleistern, oder die entsprechenden Institutionen allen Beteiligten bekannt sind. Hierzu sieht das BSI die Einrichtung eines Alarmierungsplanes vor, in dem beschrieben wird, wer im Falle eines Notfalls wen benachrichtigt.

Bestandteil einer vertraglichen Regelung zum Notfallmanagement sind zunächst die Kriterien, anhand derer beurteilt werden kann, ob ein Notfall vorliegt. Anschließend wird das organisatorische Vorgehen zwischen den Beteiligten geregelt. Die Berichts- und Anzeigepflichten sind vertraglich zu regeln. Mit Hilfe eines im Vorfeld abgestimmten Notfallmanagements soll genau das gespart werden, was weder Unternehmen noch Dienstleister in einer kritischen Situation haben, nämlich Zeit zur Problemlösung.

Jede tragfähige Notfallplanung sollte daher die wesentlichen Aktivitäten einbeziehen, die den vertraglichen Leistungen zugrunde liegen. Zudem ist die Wirksamkeit und Angemessenheit der Notfallplanung regelmäßig zu überprüfen. Derartige Tests sollten zum einen an der Häufigkeit der Gefährdungslage ausgerichtet werden, zum anderen können sich die Tests auf einzelne Teilbereiche der zu erbringenden Leistungen beziehen. Das BSI empfiehlt eine jährliche Überprüfung.

Lesetipp: Disaster Recovery - So kommt Ihre IT wieder auf die Beine

Ausblick

Insbesondere die im Zuge von IT-Outsourcing- und Business Process Outsourcing Projekten wachsende Abhängigkeit der Unternehmen von fremden IT-Systemen und fremden Leistungen wird die Durchsetzung und Verbreitung von Standards für das Notfallmanegement fördern, denn der Kostendruck auf Seiten der Dienstleister erfordert die kostengünstige Realisierung solcher IT-Notfallplanungen in "genormter" Qualität. Allerdings kann die Einhaltung solcher Standards stets nur Indiz für pflichtgemäßes Verhalten sein, die Verantwortlichkeit der Unternehmensleitungen wird bleiben.

Zur Startseite