| Werner Stocker | E-Mail
Business Continuity Management
In der heutigen Zeit der Vernetzung und Digitalisierung können wir uns einen Ausfall von unseren IT-Systemen kaum noch vorstellen. Unvorhergesehen Risiken wie ein Cyberangriff können jedoch jedes Unternehmen und dessen Geschäftsprozesse treffen. Ohne ihre IT können die meisten Firmen nur zwischen 3 – 15 Tagen überleben. Entsprechend wichtig ist es, sich vorzubereiten. Mit dem Business Continuity Management erkennen Sie potenzielle Risiken und daraus resultierende Schäden frühzeitig. Sichern Sie sich vor möglichen Risiken ab.
Mit einem etablierten Business Continuity Management wird der laufende Betrieb nach störungsbedingten Ausfällen so rasch wie möglich wiederhergestellt. Es werden konkrete Massnahmen und Prozesse im Falle einer Krise festgelegt, anhand derer entweder die Krise abgewendet werden kann oder die Schäden minimiert werden. Je schneller der laufende Betrieb wieder aufgenommen wird, desto geringer fallen die finanziellen und strukturellen Schäden aus. Entsprechend wird im Rahmen des Business Continuity Management jedes System, welches mit dem Netz verbunden ist als Risiko analysiert und im Konzept aufgenommen. Ziehen Sie eine Zertifizierung Ihres BCM nach ISO-Norm 22301 in Erwägung. Es kann insbesondere in der Finanzbranche ein ausschlaggebendes Verkaufsargument sein und von potenziellen Kunden für eine Zusammenarbeit vorausgesetzt werden. Falls Sie bereits über ein Information Security Management System verfügen, können Sie das Business Continuity Management als integraler Bestandteil des ISMS betrachten.
Sechs Schritte zum Business Continuity Management System
1) Business Impact Analyse
Mit der Business Impact Analyse werden sämtliche Geschäftsprozesse in einem Gremium analysiert und deren potenzielle Risiken identifiziert. Betrachten Sie sämtliche Systeme und Infrastrukturen und stellen Sie sich die Frage «Was passiert, wenn…?». Die identifizierten Risiken werden in einen Kriterienkatalog aufgenommen. Dabei gilt: je höher das Risiko für den gesamten Geschäftsprozess ist, desto kritischer wird das Risiko eingestuft. Es kann hilfreich sein, gewisse Szenarien im Gremium theoretisch durchzuspielen.
2) Massnahmen zur Risikominderung
Die kritischen Risiken sind identifiziert. Nun gilt es die passenden Massnahmen zur Verhinderung eines möglichen Ausfalls der Geschäftsprozesse oder zur Risikominimierung getroffen werden. Entscheiden Sie anhand einer Kosten-Nutzen-Analyse, wie stark die Risiken abgesichert werden. Dabei ist wichtig, das Risiko und die möglichen Massnahmen umfassend zu betrachten und gegeneinander abzuwägen. Beispielsweise kann als Massnahme definiert werden, dass Systeme redundant ausgelegt werden oder eine Backup-Offline-Kopie besteht, um eine rasche Wiederherstellung nach einem Angriff sicherzustellen.
3) Notfallplan
Nicht alle Risiken können restlos abgesichert werden. Für den Ernstfall wird ein Notfallplan erstellt. Kommt es zur Krise, müssen Sie innert kürzester Zeit Sofortmassnahmen treffen, den Notfallbetrieb aufnehmen, den Übergang zurück zum Normalbetrieb einleiten und schliesslich die Prozessabläufe der Regeneration durchlaufen. Mit dem Notfallplan sind Sie für die Krise gerüstet.
4) Krisenmanagement
Der beste Notfallplan scheitert, wenn kein BCM-Kernteam festgelegt wurde. Jeder Mitarbeiter muss seine Rolle und Verantwortlichkeit im Krisenfall kennen und ausführen können. Bilden Sie ein entsprechendes Mindset innerhalb des Unternehmens und sensibilisieren Sie ihre Mitarbeitenden auf mögliche Risiken. Legen Sie die Alarmierungswege fest und setzen Sie Richtlinien für die interne sowie externe Krisenkommunikation.
5) Tests und Übungen
Übung macht den Meister! In der Theorie sind so manche Massnahmen perfekt, doch sie müssen, wenn möglich, dem Praxistest unterzogen werden. Mittels Tests und Übungen werden Sie Lücken und Fehler in den Prozessabläufen aufdecken. Weiterhin zeigen solche Tests, wo durch veränderte Systeme und Infrastruktur die Dokumentationen für die Notfallpläne nachgeführt werden müssen. Setzen Sie dabei auf einen externen Prüfer. Die Ergebnisse und der Erfolg der Umsetzung des Notfallplans können durch eine externe Person objektiver beurteilt werden.
6) Weiterführung
Integrieren Sie das aus den Tests hervorgehende Verbesserungspotential in den Notfallplan. Berücksichtigen Sie aber auch neue Technologien und sich verändernde Branchen- und Markttrends. Somit gilt: Das BCM muss kontinuierlich weiterentwickelt werden.
Betrachten Sie jeden Schritt stets ganzheitlich und übergreifend. Obwohl ein BCM-Kernteam definiert wird, müssen sämtliche Mitarbeiter unabhängig deren Kaderstufe oder Aufgabe sensibilisiert werden. Ein Plan auf dem Blatt Papier reicht nicht aus, um eine Krise abzuwenden oder gestärkt aus ihr hervorzugehen. Er muss in den Köpfen des BCM-Kernteams und der Mitarbeiter sein. Denn erfolgreich ist nicht der Plan selbst, sondern das Mindset, das er generiert.
