Wie man einen Business Continuity Plan erstellt
Foto: Vitalii Vodolazskyi - shutterstock.com
Katastrophen kommen meist unangekündigt. Selbst mit einer gewissen Vorlaufzeit können zahlreiche Dinge schiefgehen, denn jeder Vorfall ist einzigartig und entwickelt sich unvorhersehbar. Ein Business Continuity Plan sorgt dafür, dass ein Unternehmen dennoch möglichst wenig Schaden davon trägt.
Alle Mitarbeiterinnen und Mitarbeiter, die Aufgaben innerhalb des Business-Continuity-Plans übernehmen, sollten eine aktuelle, getestete Fassung griffbereit haben. Andernfalls sinken die Chancen, die Katastrophe erfolgreich zu überstehen. Dann braucht das Unternehmen womöglich länger als nötig, um sich von dem Vorfall zu erholen oder muss im schlimmsten Fall das Geschäft aufgeben.
Was ist Business Continuity - Definition
Business Continuity (BC) bedeutet, im Katastrophenfall die Geschäftsfunktionen aufrechtzuerhalten oder schnell wieder aufzunehmen. Beispielsweise Brände, Überschwemmungen oder Cyberangriffe können solche Betriebsstörungen verursachen. Ein Business Continuity Plan legt Verfahren und Anweisungen fest, die ein Unternehmen im Ernstfall befolgen muss. Er deckt unter anderem Geschäftsprozesse, Vermögenswerte, Personal, Geschäftspartner ab.
Ein Disaster-Recovery-Plan (DR) ist ein Teil des Business-Continuity-Plans. Ein DR-Plan konzentriert sich darauf, IT-Infrastruktur und -Betrieb nach einer Krise wiederherzustellen. Ein BC-Plan berücksichtigt dagegen die Kontinuität des gesamten Unternehmens. Er befasst sich damit, die Personalabteilung, die Produktion, den Vertrieb und den Support wieder in Gang zu bringen, damit das Unternehmen weiterhin Geld verdienen kann.
Ein Beispiel: Das Gebäude, in dem der Kundendienst untergebracht ist, wird von einer Überschwemmung zerstört. Wie können trotzdem Kundenanrufe bearbeitet werden? Arbeiten die Servicekräfte vorübergehend von zu Hause oder einem anderen Standort aus? Der BC-Plan beantwortet genau solche Fragen.
Die Business Impact Analyse (BIA) gehört ebenfalls zu einem BC-Plan. In ihr werden alle Prozesse des Unternehmens betrachtet, um zu bestimmen, welche davon die wichtigsten sind. Eine BIA ermittelt, welche Auswirkungen es hat, wenn Geschäftsfunktionen plötzlich ausfallen, und wie viel dies das Unternehmen kostet. Sie hilft darüber hinaus zu beurteilen, ob Aktivitäten im BC-Plan, die nicht das Kerngeschäft betreffen, ausgelagert werden sollten. OutsourcingOutsourcing kann aber wiederum eigene Risiken mit sich bringen. Alles zu Outsourcing auf CIO.de
Warum ein Business Continuity Plan wichtig ist
Vom KMU bis zum Großkonzern ist das das wichtigste, wettbewerbsfähig zu bleiben. Es gilt, bestehende Kunden zu halten und gleichzeitig neue zu gewinnen.
Die IT wieder aufzubauen, ist für die meisten Unternehmen ein wichtiger Schritt nach einem Vorfall. Daher gibt es zahlreiche Disaster-Recovery-Lösungen, die IT-Teams fachgerecht implementieren und einsetzen. Doch was ist mit den übrigen Business-Funktionen? Die Wettbewerbsfähigkeit, Kundenbindung und damit die Zukunft des Unternehmens hängt auch von Mitarbeitern und Prozessen ab. Wenn es jeden Vorfall effektiv bewältigen kann, wirkt sich das meist positiv auf den Ruf, den Marktwert und das Vertrauen der Kunden aus.
"Die Erwartungen der Verbraucher und der Behörden an die Sicherheit sind gestiegen", erklärt Lorraine O'Donnell, Global Head of Business Continuity bei Experian. Organisationen müssten die Prozesse innerhalb des Business kennen und verstehen, wie es sich auswirkt, wenn sie unterbrochen werden. Dazu zählen finanzielle, rechtliche, rufschädigende und regulatorische Folgen. Gehe ein Unternehmen etwa das Risiko ein, dass eine Aufsichtsbehörde ihm die "Betriebslizenz" entzieht oder Auflagen stellt, kann sich das negativ auf den Marktwert und das Vertrauen der Verbraucher auswirken. Unternehmen sollten ihre Recovery-Strategie deshalb auf die zulässige Ausfallzeit für diese Prozesse ausrichten, so O'Donnell.
Einen Business Continuity Plan erstellen
Der erste Schritt auf dem Weg zu einem BC-Plan ist, die Geschäftsprozesse in einer Business-Impact-Analyse zu bewerten und zu ermitteln, welche Bereiche anfällig sind. Darüber hinaus sollte das Unternehmen die potenziellen Verluste ermitteln, wenn diese Prozesse für einen Tag, mehrere Tage oder eine ganze Woche ausfallen. Der nächste Schritt besteht darin, einen Plan zu entwickeln. Dieser umfasst sechs Stufen:
den Umfang des Plans bestimmen;
die wichtigsten Geschäftsbereiche identifizieren;
zentrale Funktionen identifizieren;
Abhängigkeiten zwischen verschiedenen Geschäftsbereichen und Funktionen ermitteln;
akzeptable Ausfallzeiten für jede zentrale Funktion bestimmen;
einen Plans zur Aufrechterhaltung des Betriebs erarbeiten.
Ein gängiges Tool für Business-Continuity-Planung ist eine Checkliste, die Güter und Ausstattung auflistet und angibt, wo sich Daten-Backups und Backup-Standorte befinden. Zudem gibt sie den Ort an, wo der BC-Plan verfügbar ist und wer ihn haben sollte. Schließlich enthält die Liste Kontaktinformationen für Notfallhelfer, Schlüsselpersonal und die Betreiber der Backup-Standorte.
Falls es noch keinen Disaster-Recovery-Plan gibt, sollte er zu einem Teil des Prozesses gemacht werden. Existiert bereits ein DR-Plan, rät O'Donnell dazu, zu überprüfen, ob er tatsächlich alle Anforderungen abdeckt. Ein Unternehmen sollte sich beispielsweise vergewissern, dass die Wiederherstellungszeit definiert ist, und sicherstellen, dass sie an den Erwartungen des Business ausgerichtet ist.
Geht es an die Ausarbeitung des Plans, kann es helfen, Schlüsselpersonal im Unternehmen zu befragen, das bereits erfolgreich einen Krisenfall überstanden hat. Die meisten erzählen gerne ihre "Kriegsgeschichten" inklusive der wirksamsten Maßnahmen, Vorgehensweisen oder cleverer Ideen, die das Unternehmen am Ende gerettet haben.
Den Business Continuity Plan testen
"Natürlich ist ein echter Vorfall die wirkliche Feuertaufe und der beste Weg, um zu verstehen, ob etwas funktioniert," sagt O'Donnell. Eine kontrollierte Teststrategie biete jedoch die Möglichkeit, Lücken zu finden und Verbesserungen vorzunehmen. Laut O'Donnell sollten Unternehmen sogar versuchen, den Plan auszuhebeln, indem man ein schwieriges, aber glaubwürdiges Testszenario wählt. Zudem gelte es, anspruchsvolle Ziele für den Test zu stecken und die Ergebnisse messbar zu machen. Das Minimum zu tun und damit 'durchzukommen' führe zu einem schwachen Plan, der dem Ernstfall nicht standhält.
Viele Unternehmen testen ihren Business-Continuity-Plan zwei- bis viermal pro Jahr. Der Zeitplan hängt von der Art des Unternehmens, der Fluktuation des Personals und der Anzahl der Geschäftsprozesse und IT-Änderungen ab, die seit der letzten Testrunde stattgefunden haben. Zu den üblichen Tests gehören Table-Top-Übungen, strukturierte Walkthroughs und Simulationen. Die Testteams setzen sich in der Regel aus einem Recovery-Koordinator und Mitgliedern jeder Funktionseinheit zusammen.
Eine Table-Top-Übung findet in der Regel in einem Konferenzraum statt. Das Team bespricht den Plan, sucht nach Lücken und stellt sichr, dass alle Geschäftsbereiche darin vertreten sind.
In einem strukturierten Walkthrough geht jedes Teammitglied seine Elemente des Plans im Detail durch, um Schwachstellen zu finden. Oft arbeitet die Gruppe den Test anhand eines bestimmten Vorfalls durch. Einige Unternehmen beziehen zudem Katastrophen-Übungen und Rollenspiele mit ein. Das Ziel ist es, Schwachstellen auszubügeln und am Ende einen aktualisierten Plan an alle zuständigen Mitarbeiter zu verteilen. Mindestens einmal im Jahr sollte zudem eine vollständige Evakuierungsübung stattfinden. So lässt sich feststellen, ob besondere Vorkehrungen für Mitarbeiterinnen und Mitarbeiter mit körperlichen Einschränkungen getroffen werden müssen.
Zu guter Letzt sollte jedes Jahr ein Katastrophensimulation durchgeführt werden, die mitunter recht aufwändig sein kann. Für diesen Test wird eine Umgebung geschaffen, die eine tatsächliche Katastrophe nachahmt. Das schließt sämtliche Ausrüstung, Vorräte und Personal, einschließlich Geschäftspartner und Zulieferer, ein, die in einem solchen Fall benötigt würden. Der Zweck dieser Simulation ist es, festzustellen, ob selbst während eines Vorfalls kritische Geschäftsfunktionen weiter ausgeführt werden können.
Zu jeder Testphase des Business-Continuity-Plans sollten einige neue Mitarbeiter in das Team aufgenommen werden. Ein "frischer Blick" könnte Informationslücken oder -defizite aufdecken, die erfahrene Teammitglieder übersehen.
Den Business Continuity Plan verbessern
Technologien entwickeln sich weiter, Kollegen kommen und gehen, und auch der Business Continuity Plan muss aktualisiert werden. Mindestens einmal im Jahr sollten deshalb alle Schlüsselpositionen zusammenkommen, um den Plan zu überprüfen und notwendige Änderungen zu besprechen.
Auch das Feedback der Mitarbeiter sollte in den Plan mit einfließen. Alle Abteilungen und Geschäftsbereiche sollten die Möglichkeit haben, das Ergebnis zu prüfen. Dies gilt auch für Niederlassungen oder andere dezentrale Einheiten.
Hat ein Unternehmen den Plan bereits in Zuge einer Katastrophe eingesetzt, gilt es, die Erfahrungen und Lessons Learned einzuarbeiten. Viele Firmen nutzen für das Review eine Table-Top-Übung oder einen strukturierten Walkthrough.
Das Management ist der Schlüssel
Jeder Business Continuity Plan muss von der Führungsebene unterstützt werden, damit er von der Belegschaft ernstgenommen wird. Daher sollte das Management immer vertreten sein, wenn der Plan erstellt und überarbeitet wird. Zudem ist es wichtig, dem Plan Priorität einzuräumen, indem die Unternehmensleitung Zeit für angemessene Reviews und Tests veranschlagt.
Das Management ist auch der Schlüssel, um die User Awareness zu fördern. Auch wenn die Fachbereichsleiter oder HR-Mitarbeiter die Übungen durchführen und Pläne verteilen, sollte jemand aus dem Top-Management zumindest einleitende Worte sprechen. So demonstriert die Unternehmensleitung, wie wichtig das Thema für den Betrieb ist und verleiht dem Plan selbst mehr Glaubwürdigkeit und Gewicht.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CIO.com.