Ein IT-Ausfall, Mitarbeiterengpässe oder Ereignisse wie Feuer oder Hochwasser – Unternehmen sind nicht zuletzt aufgrund der zunehmenden Digitalisierung, Globalisierung und extremeren Umweltbedingungen mit steigenden Risiken konfrontiert. Risiken, die funktionierende Geschäftsprozesse innerhalb von Sekunden lahmlegen und den Geschäftsbetrieb der gesamten Firma gefährden können. Darauf müssen Unternehmen vorbereitet sein. Das heißt: Mögliche Bedrohungsszenarien identifizieren und Maßnahmen definieren, mit denen im Notfall schnell und effektiv reagiert werden kann. Genau das ist der Charakter des Notfall- bzw. Business Continuity Managements (BCM).
Wie sieht ein Business Continuity Management aus?
Das Business Continuity Management ist ein systematischer Ansatz zur Vorsorge gegen und Bewältigung von Krisen und Notfällen in Unternehmen. Dafür verfolgt das BCM einerseits das Ziel, kritische Geschäftsprozesse gegenüber Krisensituationen robuster und widerstandsfähiger zu machen.
Andererseits sorgt es im Falle einer Unterbrechung der Prozesse für eine schnelle und reibungslose Wiederaufnahme. So soll sichergestellt werden, dass entscheidende Geschäftsprozesse selbst in Krisensituationen nicht oder nur temporär unterbrochen sind und die wirtschaftliche Existenz des Unternehmens nicht gefährdet ist.
Notwendig dafür ist der Aufbau eines Notfallmanagement-Prozesses. Orientiert man sich hier am Umsetzungsrahmenwerk zum Notfallmanagement nach dem BSI-Standard 100-4 werden dabei insgesamt sechs Phasen unterschieden:
Am Anfang steht neben einer strategischen Zielsetzung und der Festlegung grundlegender organisatorischer Strukturen vor allem die Identifikation kritischer Geschäftsprozesse und deren Bewertung anhand einer Risikoanalyse. Sprich: Welche Systeme und Geräte besitzen die geringste tolerierbare Ausfallzeit oder welche Daten dürfen keinesfalls verfälscht werden oder verloren gehen?
Daraufhin lässt sich ein entsprechendes Vorsorgekonzept entwickeln, das alle Maßnahmen beinhaltet, um die Risiken für ein Unternehmen zu minimieren. Die Maßnahmen, Verantwortlichkeiten und Prioritäten, die als Reaktion auf einen konkreten Notfall bis zur Wiederaufnahme des Geschäftsbetriebes erforderlich sind, werden außerdem im Notfallhandbuch geregelt.
Einmal festgelegt, gilt es, Vorsorgekonzepte und Notfallpläne zu testen und zu üben. So können mögliche Mängel am Prozess festgestellt werden. Außerdem ist das Verhalten für den Notfall trainiert. Im letzten Schritt folgt das Business Continuity Management – wie das ISMS von Unternehmen auch – dem Plan-Do-Check-Act-Zyklus. Dabei wird das BCM immer wieder auf seine Funktions- und Leistungsfähigkeit überprüft und kontinuierlich verbessert.
Risikobereich IT
Mit der zunehmenden Abhängigkeit von Informationstechnik stellt vor allem der IT-Betrieb in Unternehmen einen essenziellen Risikobereich dar. Denn sämtliche kritische Systeme müssen vor möglichen Gefahren und Bedrohungen geschützt werden.
Angefangen von den Servern, die das Funktionieren der gesamten IT-Infrastruktur einer Firma verantworten, über verschiedene Clients bis hin zu Programmen, die für den täglichen Geschäftsbetrieb notwendig sind – wie beispielsweise E-Mail-Programme. Gleichzeitig müssen die Schutzmaßnahmen auch externe Gefahren wie Hacker und Social Engineering Attacken oder aber auch höhere Gewalt wie etwa Stromausfälle oder Naturkatastrophen berücksichtigen.
Und auch das Personal ist in IT-Abteilungen entscheidend: Was passiert, wenn wichtige Mitarbeiter krankheitsbedingt ausfallen oder das Unternehmen verlassen? In einer vollumfänglichen BCM-Strategie müssen alle diese Punkte mitgedacht werden.
BCM muss Teil der Gesamtstrategie des Unternehmens sein
Das Business Continuity Management ist ein komplexes Thema und kann nur funktionieren, wenn es in die Gesamtstrategie des Unternehmens integriert ist.
Voraussetzung ist außerdem auch, dass Unternehmen bei der Risikoanalyse ehrlich mit sich selbst sind und mögliche Schwachstellen nicht allzu optimistisch bewerten. Nur so lassen sich effektive Sicherheitsmaßnahmen etablieren.
Denn oberstes Ziel des BCM ist es, das Restrisiko so weit wie möglich zu minimieren und bestenfalls überhaupt nicht zum Einsatz kommen zu müssen.
