Business Continuity Management (BCM)
Katastrophen wie Hochwasser, Stromausfälle, Brände oder auch Cyberangriffe, das alles sind Ereignisse, die immer öfter vorkommen und den Geschäftsbetrieb stören können. Viele Unternehmen sind hierauf nicht bzw. nur schlecht vorbereitet. Betriebsausfälle, hohe Kosten bis hin zu irreparablen Schäden können die Folge sein. Das Business Continuity Management (betriebliches Kontinuitätsmanagement) oder auch Notfallmanagement genannt, kann helfen, Risiken frühzeitig zu erkennen und Unternehmen auf solche Situationen vorzubereiten. Hierzu habe ich mit unserem IT-Business Architekten Jan Wichmann gesprochen.
Guten Morgen Jan, heute wollen wir über das Thema Business Continuity Management (BCM) bzw. Notfallmanagement für Unternehmen sprechen. Was ist das genau?
Beim Business Continuity Management (BCM) handelt es sich um einen ganzheitlichen Managementprozess zur Vorsorge gegen Notfälle und Krisen in Organisationen. Um das Risiko eines Geschäftsausfalls im Katastrophenfall zu minimieren und die Ausfallsicherheit der Geschäftsprozesse zu erhöhen, ist ein schnelles und zielgerichtetes Reagieren nötig. Hier kommt das BCM ins Spiel. Einfach ausgedrückt werden alle IT-Services eines Unternehmens, die für die Aufrechterhaltung des Geschäftsbetriebs wichtig sind, dokumentiert. Anschließend werden Konzepte entwickelt, die eine rasche Reaktion auf Notfälle und die Fortsetzung zumindest der wichtigsten Geschäftsprozesse ermöglichen.
Von was für IT-Services sprechen wir denn hier? Kannst Du uns ein Beispiel nennen?
Hierbei geht es im Prinzip um alle IT-Services, die von den Mitarbeitern eines Unternehmens benötigt und genutzt werden. Das können z. B. Mail Programme oder Verwaltungssoftwares mit der entsprechenden Infrastruktur dahinter sein. Fallen diese Systeme z. B. aufgrund eines Wasserschadens im Rechenzentrum aus, ist im Notfallplan dokumentiert, wie Daten und Systeme wieder hergestellt und in Betrieb genommen werden.
Ok, das verstehe ich. Was sind denn dann die konkreten Vorteile vom BCM?
Wir leben in einer Zeit, in der man es gewohnt ist, jederzeit Zugriff auf all seine Systeme zu haben. Im täglichen Gebrauch ist es schwer vorstellbar, dass diese Systeme auch mal ausfallen und IT-Prozesse versagen können. Doch weltweit nehmen unvorhersehbare Naturkatastrophen zu und auch immer mehr Unternehmen fallen Cyberkriminalität zum Opfer. Wie verwundbar eine Organisation dadurch wird, ist vielen nicht bewusst. BCM kann diese Ereignisse nicht verhindern, mithilfe eines guten Notfallmanagements kann es aber gelingen, die Risiken und Kosten hierfür zu minimieren. Das ist ein großer Vorteil. Im Zweifel ist der Betrieb eines Unternehmens dann vielleicht nur für ein paar Stunden statt für ein paar Tage lahmgelegt.
Angenommen, ich bin Unternehmer und möchte ein Notfallmanagement in meinem Betrieb implementieren. Wie sieht dieser Prozess aus?
Wir teilen das Business Continuity Management in vier Phase: die Analyse-, Implementierungs- und Testphase sowie die Inbetriebnahme. In der Analysephase wird erst mal geschaut, welche Prozesse es im Unternehmen gibt, diese werden dann bewertet. Mithilfe einer Risiko- oder Business Impact Analyse schätzen wir die Risiken für einen Betriebsausfall ein und dokumentieren diese. Es wird geprüft, welche Notfallmaßnahmen bereits vorhanden sind und in welcher Form eine System-Dokumentation vorliegt. Auf Grundlage dieser Daten entsteht in der Implementierungsphase ein genauer Notfallplan für das Unternehmen. Er umfasst ein Notfallhandbuch sowie Wiederanlauf- bzw. Wiederherstellungspläne.
Die Testphase ist erfolgsentscheidend
In der anschließenden Testphase wird der Ernstfall geprobt. Systeme werden abgestellt und nachdem mit dem Unternehmen erstellten Notfallmanagement wieder in Betrieb genommen. Diese Testphasen werden dann analysiert, bewertet und gegebenenfalls angepasst. Abschließend kann der Notfallplan in Betrieb genommen werden. Hierfür ist es wichtig, alle Mitarbeiter entsprechend zu informieren und zu schulen. Für den langfristigen Erfolg des Business Continuity Managements sind kontinuierliche Anpassungen aufgrund von Test- und Prozessoptimierungsphasen von besonderer Bedeutung.
Puh, das klingt kompliziert und umfangreich. Wie sieht denn so ein Notfallhandbuch aus?
So kompliziert ist das gar nicht, aber klar, es ist wichtig alle entscheidenden Schritte zu dokumentieren, sodass jeder Mitarbeiter im Ernstfall in der Lage ist zu handeln. Das Notfallhandbuch ist übersichtlich und leicht verständlich aufgebaut. Als Erstes wird die Notfallorganisation mit den entsprechenden Rollen und Verantwortlichkeiten definiert. Anschließend werden Ablageorte von Systemen und Unterlagen dokumentiert und die verschiedensten IT-Notfallszenarien und Wiederanlaufpläne runtergeschrieben. Für besonders kritische Komponenten gibt es noch einmal gesonderte Wiederanlaufpläne.
Gibt es besondere Regelungen, wie so ein Notfallhandbuch aussehen muss oder auch wie das BCM selber sein sollte?
Wir orientieren uns immer an den aktuellsten Empfehlungen und Studien des Bundesamts für Sicherheit in der Informationstechnik und deren Umsatzrahmenwerks BSI-Standard 100-4.
Für welche Unternehmen ist BCM besonders wichtig?
Im Prinzip ist BCM für alle Unternehmen notwendig, da nicht nur die IT durch die verschiedenen Pläne geschützt werden muss, sondern auch mal eine externe Prüfung durch unabhängige Auditoren im Haus anstehen kann. Hier könnte es im Zweifelsfall zu Strafen kommen. Generell gilt aber, je mehr IT im eigenen Unternehmen betrieben wird und umso weniger Wissensträger im Haus involviert sind, desto wichtiger werden gute Notfallpläne.
Das heißt im Umkehrschluss, dass ich mit IT-Outsourcing das Risiko eines Betriebsausfalls im Katastrophenfall minimieren kann. Ist das richtig?
Im Prinzip kann man das so sagen. Voraussetzung ist natürlich, dass das Systemhaus, an das die IT-Prozesse ausgelagert werden, selber ein gutes BCM hat.
Wie sieht das bei den Wichmann IT-Services aus? Sind wir gut auf den Katastrophenfall vorbereitet?
Wir haben eine sehr große Verantwortung unseren Kunden gegenüber, da steht es außer Frage, dass wir Systeme, Programme und Infrastrukturen von Kunden bestmöglich sichern und auf den Ernstfall vorbereitet sind.