Es ist ein weitverbreiteter Irrglaube, dass Notfallmanagement ausschließlich in der IT-Abteilung angesiedelt ist. Vielleicht, weil im modernen Unternehmertum die Technologie einfach allgegenwärtig ist. Doch wer sich allein auf die IT konzentriert, läuft Gefahr, das große Ganze aus den Augen zu verlieren. Business Continuity Management (BCM) ist nicht nur ein weiterer Fachbegriff aus der IT-Welt, sondern ein Werkzeug, das sicherstellt, dass ein Unternehmen auch in schwierigen Zeiten bestehen kann. In diesem Artikel gehen wir darauf ein, warum BCM weit mehr ist, als Technologie und warum es jeden Bereich eines Unternehmens betrifft.
Worum geht es beim Business Continuity Management (BCM)?
Wie der Name schon sagt: die Geschäftsfortführung. Das Geschäft mag gut laufen, weil alles verfügbar ist, um den reibungslosen Betrieb sicherzustellen. Denkt man hier den Begriff Geschäftsfortführung weiter stößt man vielleicht auf folgende Voraussetzungen, damit ein Unternehmen funktionieren kann:
- Mitarbeiter, die die Dienstleistungen erbringen oder Produkte herstellen
- Gebäude und Infrastruktur. Also die Umgebung, in der diese Mitarbeiter ihren Job erledigen können
- Dienstleister, die benötigte Services erbringen, die man selbst nicht erbringen kann oder will
- Bei produzierenden Unternehmen auch Waren und Rohstoffe für die Produktion
- Und natürlich IT: Anwendungen und Systeme, die von den Mitarbeitern für ihre wertschöpfende Tätigkeit verwendet werden
Was aber passiert, wenn eine dieser Ressourcen ausfällt, oder nicht mehr in vollem Umfang vorhanden ist? Die Geschäftstätigkeit kann beeinträchtig werden, vielleicht sogar vollständig zum Stillstand kommen. An dieser Stelle tritt das Business Continuity Management, auf Deutsch Geschäftsfortführungsplanung, in Aktion: Es stellt sicher, dass der Geschäftsbetrieb auch bei Ausfall wichtiger Ressourcen weiterläuft.
Notfallplanung versus Notfallbewältigung
Es geht also darum den Ausfall dieser Ressourcen zu verhindern und dem vorzubeugen. Aber auch für schnelle Wiederherstellungsmöglichkeiten zu sorgen. Genau das ist ein Teil des Notfallmanagements – nämlich die proaktive Notfallplanung. Viele denken dabei sofort an die IT – und das zu Recht. Es geht um Redundanzen, die Verteilung der IT-Systeme auf mehrere Rechenzentren, Cybersecurity-Maßnahmen und vieles mehr. Aber das ist lediglich ein Teil des Ganzen.
Neben der IT müssen auch andere Bereiche berücksichtigt werden:
- Wie schützt man Gebäude und Infrastruktur vor Schäden, etwa durch Brände oder Naturkatastrophen?
- Wie kann man den Ausfall zahlreicher Mitarbeiter, beispielsweise durch Krankheitswellen wie Covid oder Grippe, kompensieren?
- Und welche Strategien setzt man ein, wenn ein zentraler Dienstleister – vielleicht aufgrund einer Insolvenz – plötzlich seine Leistungen nicht mehr anbietet?
Die andere Seite des Notfallmanagements ist die Bewältigung von unvorhergesehenen Situationen, wenn trotz guter Maßnahmen eine dieser wichtigen Ressourcen ausfällt. In diesem Fall tritt die reaktive Notfallbewältigung in Aktion:
- Was ist zu tun, wenn ein wichtiges Firmengebäude plötzlich unter Wasser steht, oder die IT durch einen Cyberangriff für mehrere Tage lahmgelegt wurde?
- Wer übernimmt in solchen Situationen die Leitung und steuert diesen Notfall?
- Welche Verfahrensanweisungen und Prozesse gibt es für diesen Fall?
- Ist die Dokumentation verfügbar und aktuell?
- Wer ist für welche Aufgaben verantwortlich und wer hat was zu erledigen?
- Wer sorgt für die Kommunikation mit Mitarbeitern, Kunden, der Öffentlichkeit und den zuständigen Behörden?
- Und wie kann man sicherstellen, dass das Unternehmen trotz solcher Schäden zumindest in einem eingeschränkten Modus weiterarbeiten kann?
Um auf solche Situationen vorbereitet zu sein, ist es entscheidend, im Vorfeld verschiedene Szenarien durchzuspielen:
- Welchen potenziellen Risiken ist das Unternehmen ausgesetzt und wie wahrscheinlich ist es, dass eines dieser Risikoszenarien eintreten kann?
- Was sind die wichtigsten Prozesse des Unternehmens, also die „Geldbringer“, die bei Ausfall zu einem enormen, vielleicht sogar existenzbedrohenden Schaden führen würden?
Methoden und Werkzeuge für BCM
Die Werkzeuge dazu sind eine umfassende Risikoanalyse, eine Business Impact Analyse (BIA), ein Servicekatalog oder eine Asset-Datenbank zur Ableitung der Kritikalität von Systemen, Alarmierungstools und vieles mehr.
Das sind die Grundlagen, um Geschäftsfortführungspläne zu erstellen, damit man zum Beispiel auch ohne ein wichtiges IT-System oder ohne einen der wichtigen Dienstleister zumindest einen Notbetrieb des eigenen Unternehmens gewährleisten kann.
Fazit
Um auf den Titel des Artikels einzugehen: Nein – BCM ist weit mehr als nur ein reines IT-Thema. Es ist eine Managementdisziplin, die in der Verantwortung der Geschäftsführung liegt und Auswirkung auf das gesamte Unternehmen hat. Die IT-Maßnahmen sind nur ein Teil des großen Ganzen.
Eine ausgezeichnete Unterstützung bei der Etablierung und laufenden Verbesserung eines BCM-Systems ist der allgemein anerkannte Standard des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Standard BSI 200-4 wurde im Juni 2023 in einer überarbeiteten Version veröffentlicht und bietet eine Fülle an Dokumentation und Hilfsmittel.
Schon vor seiner endgültigen Veröffentlichung haben wir den 2022 vorgestellten Entwurf erfolgreich zur Gestaltung der BCM-Konzepte für unsere Kunden eingesetzt.
Seine klare Sprache erleichtert die Umsetzung in Unternehmen unterschiedlicher Größenordnungen.
Egal ob es sich um die Ersteinführung eines BCM-Systems handelt, die mit wenig internen Ressourcen umgesetzt wird, oder um vollumfängliche Lösungen mit hohen Reifegraden, welche in der Finanzbranche durch aufsichtsrechtliche Vorgaben wie etwa den gültigen EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken oder kommenden gesetzlichen Vorgaben, wie dem Digital Operational Resilience Act (DORA) oder der NIS2-Richtlinie vorgeschrieben werden.
Aber auch Unternehmen anderer Branchen tun gut daran, sich dem Thema BCM vollumfänglich zu widmen. Dazu ein Zitat aus einer Präsentation zur Vorstellung des neuen BSI 200-4 Standards: „Setzen Sie die IT-Brille ab!“