Grundlagenwissen Was müssen Unternehmen beim Business Continuity Management beachten?

Redakteur: Nick Luhmann

Überschwemmungen, Pandemien, Cyberangriffe: Solche Katastrophen sind für Unternehmen längst nicht mehr nur eine abstrakte Gefahr. Wie Business Continuity Management ihnen dabei hilft, sich auf den Fall der Fälle vorzubereiten.

Anbieter zum Thema

Business Continuity Management: Nicht erst auf die Katastrophe warten, sondern vorbereitet sein.
Business Continuity Management: Nicht erst auf die Katastrophe warten, sondern vorbereitet sein.
(Bild: ©Vitalii Vodolazskyi - stock.adobe.com)

Business Continuity Management ist ein Prozess, der sicher stellt, dass ein Unternehmen während einer Katastrophe den Geschäftsbetrieb mit minimalen Unterbrechungen aufrecht erhalten kann.

Was ist Business Continuity Management?

Sprechen Experten von Business Continuity Management, meinen sie die Planung eines Unternehmens, um die Geschäftsprozesse nach einer Katastrophe aufrecht zu erhalten oder schnell wieder aufzunehmen. Neben Naturkatastrophen wie Feuer, Überschwemmungen, medizinischen Desastern wie Epidemien gelten dabei auch Cyberangriffe als Katastrophe.

Zu den Aufgaben der Unternehmensleitung gehört es, potenzielle Krisen zu erkennen und Lösungen bereitzustellen - ohne, dass bereits eine Krise eingetreten ist. Die dabei angewandten Verfahren werden regelmäßig überprüft und getestet, um sicherzustellen, dass sie funktionieren und auf dem neusten Stand sind.

Beim Business Continuity Management geht es um mehr, als nur auf eine Naturkatastrophe oder einen Cyberangriff reagieren zu können. Zu Beginn des Verfahrens werden Richtlinien entwickelt und getestet, bevor der Ernstfall eintritt. In den Richtlinien wird der Umfang des Programms festgelegt, die beteiligten Parteien und die Struktur des Managements. Dabei bestimmen die Verantwortlichen, warum die Geschäftsprozesse im Falle einer Katastrophe aufrecht erhalten werden sollen und wer in dieser Phase das Sagen hat.

Unternehmen sollten sich Fragen stellen wie: „Welche Anwendungen oder Maschinen müssen betriebsbereit, welche Produkte oder Dienstleistungen verfügbar sein?“ oder „Welche Daten, Personen und Standorte müssen besonders geschützt werden?“

In dieser Phase werden Rollen und Verantwortlichkeiten zugewiesen. Manche Rollen sind aufgrund einer Jobfunktion offensichtlich, andere eher spezifisch. In allen Fällen müssen die Einsatzpläne kommuniziert und Politik und Verwaltung unterstützt werden.

3 Fragen an Matthias Rosenberg, FBCI, Vorstand Controllit AG

Warum sollten auch Fertigungsunternehmen in ein Business Continuity Management investieren?
Fertigungsunternehmen sind in vielerlei Hinsicht verwundbar. Beim BCM ist es allerdings zweitranig, warum es zu einer Unterbrechung kommt. Man fokussiert sich auf die Auswirkung und macht sich im Vorweg Gedanken über mögliche Alternativen. Ein etabliertes, getestetes und immer wieder verbessertes BCM kann in einem Ereignisfall die möglichen Schäden deutlich reduzieren und so das Überleben des Unternehmens sichern. BCM ist ein wirklich gutes Investment für Fertigungsunternehmen.
Gegen welche Bedrohungen müssen sich speziell Fertigungsunternehmen absichern?
Es gibt zum einen vier typische Szenarien, zu denen der Gebäude-, Personal-, IT- sowie Dienstleister- und Lieferantenausfall zählen. Ein spezifisches Bedrohungsszenario sehe im Verlust von Produktionsanlagen, und was den Dienstleister- beziehungsweise Lieferantenausfall betrifft, gibt es eine Ausweitung hin zu einem Supply Chain Continuity Management. Gerade bei den Lieferketten nehmen die Bedrohungen zu, sodass hier eine Absicherung mehr als angeraten ist.
Wie lange dauert es für ein Fertigungsunternehmen, ein Business Continuity Management zu implementieren?
Das ist nicht ganz einfach zu beantworten und hängt natürlich vom angestrebten Umfang, der Anzahl Standorte und so weiter ab. Ich würde empfehlen, den Scope so zu wählen, dass man zunächst in einem Pilotprojekt innerhalb eines Jahres einen BCM-Lifecyle aus Analyse, Design, Implementierung und Validierung durchläuft. In diesem Pilotprojekt werden dann die Werkzeuge geschärft und erste Erfahrungen eingearbeitet bevor der eigentliche Rollout startet.

Folgenabschätzung für das Unternehmen

Zur Abschätzung der Folgen wird ein Katalog mit Informationen erstellt, um die Daten eines Unternehmens zu identifizieren und festzustellen, wo sie erfasst und gespeichert sind und wie auf sie zugegriffen werden kann. Auch wenn Unternehmen eine 100-prozentige Betriebszeit anstreben, ist diese Rate selbst bei redundanten Systemen und Speicherkapazitäten nicht immer möglich. In dieser Phase ist deshalb zu berechnen, welche Zeit benötigt wird, um Anwendungen im Falle eines plötzlichen Ausfalls, wieder in einen funktionsfähigen Zustand zu versetzen.

Unternehmen sollten außerdem den Wiederherstellungspunkt kennen, das heißt, das Alter der Daten, das akzeptabel wäre, um den Betrieb wieder aufzunehmen. Dieser Punkt kann auch als Faktor für die Akzeptanz von Datenverlusten angesehen werden.

Abschätzung der Risiken

Für jedes Unternehmen gibt es eine Vielzahl von Risiken. Deshalb sollte eine Bedrohungs- und Risikobewertung durchgeführt werden. Zu den Bedrohungen gehören auch Marktbedingungen, Konkurrenten, politische Entscheidungen oder in zunehmenden Maße Naturkatastrophen. Eine Bewertung dieser Risiken ist die Schlüsselkomponente, welche die möglichen Bedrohungen für das Unternehmen identifiziert. Zu den potenziellen Bedrohungen gehören:

  • Auswirkungen von Personalverlusten
  • Finanzielle Volatilität
  • interne Agilität, die Fähigkeit mit einem Plan auf Sicherheitsvorfälle zu reagieren
  • Änderung der Kundenpräferenzen

Bei Nichteinhaltung gesetzlicher Auflagen müssen Unternehmen zudem das Risiko drohender Bußgelder, die verstärkte Kontrolle durch Behörden und den Verlust von Ansehen und Glaubwürdigkeit berücksichtigen.

Jedes Risiko sollte von den Erstellern des Plans detailliert festgehalten werden. In der nächsten Phase muss die Organisation die Eintrittswahrscheinlichkeit jedes Risikos und die potenziellen Auswirkungen jedes einzelnen Risikos ermitteln. Wahrscheinlichkeit und Potenzial einer Gefahr sind wichtige Messgrößen bei der Risikobewertung. Die Risiken für ein Unternehmen müssen regelmäßig gemessen, überwacht und getestet werden. Sobald Notfallpläne vorhanden sind, müssen Verantwortliche sie regelmäßig überprüfen.

Was ist Disaster Recovery?

Im Gegensatz zum Business Continuity Management, das übergreifende Pläne für den Fall einer Katastrophe festlegt, tritt Disaster Recovery in Kraft, wenn ein Vorfall passiert ist. Disaster Recovery bedeutet den Einsatz von Teams in bestimmten Aktionen. Im Gegensatz zur umfassenden Planung, geht es bei der Disaster Recovery um Reaktionen auf Vorfälle. Nach einem Vorfall besteht eine grundlegende Aufgabe darin, die Reaktion zu besprechen und zu bewerten und die Pläne entsprechend zu überarbeiten.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Dokumentation der Business Continuity Methoden

Es ist wichtig, die Business Continuity Methoden einer Organisation klar zu dokumentieren. Die Dokumentation sollte folgende Schritte umfassen:

  • Festlegung, welche Systeme oder Geschäftsprozesse wiederhergestellt werden müssen
  • Bestimmung der Recovery-Optionen und Identifizierung von Lücken
  • Mögliche Lösungen und deren Dokumentation
  • Ausbildung des Personals, Test und Pflege der Notfallpläne

Weil die Ausgaben für die Planung der Geschäftskontinuität begrenzt sind, können die Pläne der Wiederherstellung auf die risikoreichsten Elemente eines Unternehmens konzentriert werden. Die sogenannte Business Impact Analyse (BIA) ist ein wichtiges Instrument, da sie die Richtlinien für die Entwicklung des Business Continuity Plans bereitstellt.

Unterstützende Technologien, die Ermittlung kritischer Geschäftsprozesse und bestehende Wiederherstellungspläne fließen in die BIA ein. Ziel ist es, die Informationen zu gewinnen, die für die Wiederherstellungslösungen erforderlich sind. Dazu gehören:

  • Finanzielle Auswirkungen des Ausfalls
  • Dauer des Erholungszeitraums
  • Auswirkungen auf die Kunden
  • Priorisierung der Wiederherstellungsschritte

Nachdem die Auswirkungen potenzieller Ausfälle bestimmt wurden, geht es um die Wiederherstellung. Um die erforderlichen Redundanzen herzustellen gibt es zahlreiche Optionen, wie zum Beispiel ein externer Anbieter für Wiederherstellungen, die Nutzung fremder Rechenzentren oder Änderung der aktuellen Ausrüstung.

Ein guter Strategieentwicklungsansatz umfasst logische Optionen für jede Geschäftsfunktion und jeden Standort, zusammen mit den Vor- und Nachteilen der einzelnen und deren Auswirkungen auf die Umsetzung. Das Management kann anschließend die Kosten der Wiederherstellungsstrategie (sowohl Implementierungs- als auch Wartungskosten) gegen die potenziellen Kosten der Betriebsunterbrechung abwägen.

Die richtige Kommunikation des Managements ist eine wesentlicher Faktor, wenn es darum geht, die Geschäftskontinuität zu sichern. Besonders in einer Krise ist die Kommunikation transparenter Prozesse ein elementarer Baustein für das Vertrauen zwischen Management, Kunden, Mitarbeitern und Stakeholdern.

Krisenmanagement und Datensicherung

Das Krisenmanagement umfasst viele Kommunikationsebenen, einschließlich der Erstellung von Instrumenten, die Fortschritte, Probleme und kritische Bedürfnisse anzeigen. Dabei kann die Art der Kommunikation in bestimmten Unternehmensteilen variieren, sie sollte aber auf denselben Quellen basieren.

Die Datensicherung spielt eine grundlegende Rolle in jedem Business Continuity Plan. Selbst wenn ein Unternehmen durch zum Beispiel durch eine Überflutung nicht vollständig zerstört wird, wäre ein Massenverlust von Daten ebenso katastrophal.

Wenn beispielsweise ein Serverraum überflutet wird oder eine elektrische Überspannung die Dateispeichergeräte zerstört, würde dies wahrscheinlich zu einer massiven Unterbrechung des Betriebs führen.

Beispiel für Business Continuity Management in einem Produktionsbetrieb

Wird ein Produktionsbetrieb von einer Katastrophe heimgesucht, kommt die Produktion zum Stillstand. Mit jeder Minute Ausfallzeit verliert das Unternehmen Geld. Auf folgende Punkte sollten Business-Continuity-Manager achten.

  • 1. Kommunikationsmethoden: Sind die traditionellen Kommunikationsweg ausgefallen, muss festgelegt werden, wie die Mitarbeiter im Falle einer Katastrophe in Kontakt treten können. Dazu müssen eventuell alternative Geräte und Inventare vorgehalten werden. Sollen bestimmte Mitarbeiter Zugang zu zusätzlichen Mobiltelefonen haben? Wie erhalten die Mitarbeiter Informationen vom Unternehmen? In diesem Abschnitt wird beschrieben, wie und mit wem das Personal in einem solchen Notfall kommuniziert.
  • 2. Personal und Verantwortlichkeiten: Bei einer Katastrophe müssen Teammitglieder und Manager möglicherweise mehrere Rollen übernehmen. In diesem Abschnitt des Plans sollten alle Beteiligten, Führungskräfte und andere Mitarbeiter identifiziert werden, die im Notfall schnelle Entscheidungen treffen müssen. Die Verantwortlichkeiten jeder Person und die kritischen Schritte sollten notiert werden. Außerdem ist festzulegen, wer bei einem IT-Desaster Zugriff auf die Systeme hat oder wer den Zugriff ermöglichen kann, wenn vorhandene IT-Mitarbeiter nicht verfügbar sind.
  • 3. Notfalloperationen und Standorte: In diesem Szenarium geht es darum, festzuhalten, was wäre, wenn die gesamte Produktionsstätte plötzlich unbrauchbar wird. Kann die Produktion an einem andren Standort wieder aufgenommen werden, wenn ja, wo, wie und wie lange wird das dauern? Diese Angaben sollten sehr präzise sein und genau beschreiben, was passieren muss, um den Betrieb woanders wieder zu starten.
  • 4. Kontinuität des IT-Bereichs: Die heutige Fertigung hängt stark von Daten und IT-Netzwerken auch über Drittanbieter ab. Zu überlegen ist, wie eine IT-Störung die Fertigung lahmlegen kann. In diesem Abschnitt sollten deshalb Backup-Szenarien entworfen werden, die eine schnelle Wiederherstellung der Daten, Netzwerke und der physischen IT-Infrastruktur ermöglichen.
  • 5. Asset Management: Dies ist eine Schlüsselkomponente für einen Wiederherstellungsplan der Fertigung. Dazu ist eine aktuelle Auflistung des maschinellen Inventars erforderlich, dass für die Aufrechterhaltung oder Wiederherstellung der Produktion notwendig ist.
  • 6. Speicherung der Dokumente: Abgesehen von digitalen Daten müssen auch wichtige analoge Daten auf Papier geschützt und gelagert werden. Wichtige Dokumente werden vielfach in Aktenschränken aufbewahrt. Diese können jedoch im Falle eines Feuers vernichtet werden. In diesem Abschnitt sollte eine Methode der Dokumentensicherung beschrieben werden, um den Schaden abzuwenden und die Kosten der Reproduktion nach einer Katastrophe erheblich zu begrenzen.
  • 7. Neubewertung des Business Continuity Plans: Jeder Business Continuity Plan muss regelmäßig überprüft und erweitert werden, um sicherzustellen, dass die Informationen korrekt und aktuell sind. In diesem Abschnitt wird festgelegt, welche Person den Plan verwaltet und wann dieser zu überarbeiten ist. Zur Aktualisierung kann Personal aus jeder Abteilung erforderlich sein.
  • 8. Medizinische Reaktionen: Dieser Abschnitt befindet sich nicht in jedem Plan. Wer jedoch seine Mitarbeiter an erster Stelle stellt, sollte festlegen, wie auf potenziell eine lebensbedrohliche Katastrophe zu reagieren ist. So könnten zum Beispiel Mitarbeiter schwer verletzt werden. Deshalb sollte an dieser Stelle festgelegt werden, wohin das verletzte Personal gebracht und wie sie dringend medizinisch versorgt werden können.