Es ist kaum möglich auf alle Krisen vollständig vorbereitet zu sein. Spätestens die Corona Pandemie hat das deutlich gezeigt. Dennoch ist es wichtig, sich mit diesen und weiteren, meist unvorhersehbaren Gefahren auseinanderzusetzen. Auch als KMU. Risiken lauern überall – betrachtet man nur die derzeitige Situation mit einem Krieg in Europa, der Energie-Krise oder Naturkatastrophen. Und auch im Bereich der Cyber Security nehmen Bedrohungen stetig zu.
Wie läuft der Betrieb während einer Krise weiter? Insbesondere Geschäftsführer müssen sich damit frühzeitig auseinandersetzen, denn im schlimmsten Fall kann es zu einem Konkurs oder persönlicher Haftung führen. Um dem entgegenzuwirken, sollten Organisationen ein System des Business Continuity Management (BCM) einführen. Was das genau bedeutet und wie man es umsetzt, erfahren Sie im Folgenden.
Business Continuity Management – was bedeutet das?
Business Continuity ist ein Massnahmen- bzw. Strategieplan, welcher Prozesse beinhaltet, um den IT-Betrieb in Krisensituationen aufrechtzuerhalten bzw. alle nötigen Abläufe nach einem Ausfall von Systemen dennoch sicherstellen zu können. Dabei ist vor allem der Schutz, aber auch der Aufbau alternativer Abläufe nötig, um so zu gewährleisten, dass Unternehmen auch im Angesicht von Bedrohungen ökonomisch fortbestehen und die wirtschaftliche Tätigkeit gesichert ist. Zu Teilen ist es ähnlich mit dem Risikomanagement und dem Notfallkonzept. Über diese Themen haben wir bereits in früheren Blogartikeln berichtet. Ein Business Continuity Management System geht noch über diese genannten Konzepte hinaus: Es handelt sich hierbei um eine langfristige Entwicklung von Strategien, Handlungen und Plänen, welche vor allem auf den reibungslosen Fortbestand des Geschäftsbetriebs ausgelegt ist. Die deutsche Bezeichnung Betriebliches Kontinuitätsmanagement macht dies auch deutlich.
Worauf Sie sich vorbereiten sollten
Wie einleitend bereits erklärt, gibt es viele vor allem unvorhersehbare Risiken und Katastrophen. Dennoch gibt es gemeinsame Aspekte, auf welche sich KMU und grosse Organisationen vorbereiten können und sollten. Diese sind zum Beispiel:
- Hardwareausfall
- Softwareausfall
- Netzwerkausfall
- Stromausfall
- Ausfall von IT-Prozessen
- Gebäudeausfall
- Hackerangriff
- Befall von Schadsoftware (z.B. Malware)
- Naturkatastrophen jeglicher Art (Hochwasser, Unwetter, Windschäden, Feuer, etc.)
- Personalausfall (Krankheit oder Weggang)
- Ausfall von Partnern oder Dienstleistern
So können zuweilen auch verschiedene dieser Szenarien zusammenfallen – bei einer Naturkatastrophe kann es zum Beispiel zu einem Stromausfall kommen. Und Sie bereiten sich mit dem Gedanken an diese Aspekte auch auf unvorhergesehene Risiken vor: Die Pandemie führte in vielen Unternehmen beispielsweise zu Personalausfall, dem Wegfall von Partnern und Dienstleistern oder der Schliessung von Gebäuden.
So gehen Sie vor
Business Continuity Management ist ein ganzheitlicher Prozess. Bei der Entwicklung ist es insbesondere notwendig sowohl einen Disaster Recovery Plan (also Konzepte zur Notfallwiederherstellung) zu haben, als auch präventive Massnahmen zu ergreifen. Jegliches Vorgehen sollte stets das gesamte Unternehmen umfassen, um so die wichtigen Geschäftsprozesse weiterführen zu können. Besonders wichtig ist es, Prioritäten festzulegen und die benötigten Ressourcen zuzuordnen.
- Vorbereitung
Zunächst benötigt es also einiges an Vorbereitungen, während derer man die Rahmenbedingungen, Vorgaben und Ziele mit dem Management in einer BCM-Policy festhält. Dabei werden auch die Verantwortlichkeiten je nach Know-how festgelegt. - Business-Impact-Analyse (BIA)
In einem nächsten Schritt wird dann eine Analyse durchgeführt. Man schätzt die potenziellen Gefahren und Schäden ein, die dem Unternehmen drohen können. Daraus werden dann maximal erlaubte Ausfallzeiten von Geschäftsprozessen abgeleitet. Diese sind eine besonders wichtige Kennzahl, mit welcher man prüft, wie kritisch der Ausfall der erforderlichen Ressourcen, Infrastruktur, Security und damit auch Geschäftsprozesse einzuschätzen sind.Weiterhin gehört zur BIA auch immer die Risikoabschätzung: Wie wahrscheinlich sind die Szenarien und wo liegen eventuelle Schwachstellen? Diese müssen in der späteren Phase einem Notfallvorsorge-Plan bedacht werden. Denn wie so oft gilt auch bei der Business Continuity: Vorsorge ist besser als Nachsorge! Es wird somit auch eine Business Continuity Management-Strategie ausgearbeitet. - Planung (BCP)
Während dieser Phase werden alle nötigen Business Continuity Pläne (BCP) erarbeitet. Die zuvor durchgeführte BIA macht diesen Vorgang leichter. Darüber hinaus hilft es, Checklisten für die einzelnen Szenarien anzulegen, sodass man im Ernstfall die Schritte effizient abarbeiten kann. - Implementierung
Nun müssen die Massnahmen der BCM-Strategie umgesetzt werden. Parallel dazu bauen Sie eine Krisenorganisation auf: Ein Team, welches in Notfallsituationen die Krise steuert und operativ leitet. Alle geplanten Prozesse werden von diesem Team umgesetzt, entsprechend des BCP und spätestens nach der maximal erlaubten Ausfallzeit. - BCM-Testung
Sind die Prozesse implementiert wartet man nicht einfach auf einen Notfall, um Ihr Konzept zu prüfen – der Business Continuity Plan muss auch getestet werden. Die British Standards Institution (BSI Group) hat 2008 dazu drei Arten von Übungen aufgezeigt, welche beim Testen von BCP eingesetzt werden können:
– Tabletop Übungen: Wenige Menschen oder je ein Vertreter jedes Teams beschäftigen sich mit einem spezifischen Aspekt eines Business Continuity Plans.
– Mittlere Übungen: Mehrere Abteilungen, Teams oder Experten konzentrieren sich auf verschiedene Aspekte. Dabei werden auch unterschiedliche Eventualitäten getestet.
– Komplexe Übungen: Die Grundstruktur der Mittleren Übung bleibt erhalten, jedoch gibt es mehr Realismus. Man geht tatsächliche Evakuierungen, Anrufe oder andere Szenarien ausführlich durch. - Lessons learned: Optimierung, Anpassung, Wartung
BCM ist ein komplexes System, das nicht einfach nur eingeführt wird – es ist ein kontinuierlicher Zyklus. Während der Tests erhält man Learnings, mit Hilfe derer man die Pläne anpasst und optimiert. Anschliessend werden diese wieder getestet und eingeführt. Die Katastrophenfälle, auf welche man sich einstellt, treten jedoch nicht sehr häufig auf, weshalb BC-Pläne stetiger Wartung bedürfen. Sobald neue Szenarien dazu kommen, sich wirtschaftliche, unternehmensinterne, Umwelt- oder andere Bedingungen verändern, müssen auch Ihre BCP angepasst werden. Hier wird die Kontinuität im Business Continuity Management System deutlich.
Vorteile von BCM – ein guter Plan wirkt Wunder
Das Vorgehen zeigt, dass Ihre Organisation mit einem Business Continuity Management System auf verschiedene Szenarien vorbereitet ist. Bedingung: Eine ausführlich Testung und Analyse der individuellen Schwächen für mögliche Angriffe und Ausfälle. Dadurch minimieren Sie die Wahrscheinlichkeit, dass Ihr Unternehmen durch unvorhergesehene Ereignisse handlungs- und geschäftsunfähig wird. BCM ist damit eine Art Versicherung gegen den Worst Case und schafft auch intern ein besseres Risikobewusstsein.
Verantwortlichkeiten gut verteilen
Da im Ernstfall die Geschäftsleitung und der Vorstand eines Unternehmens für die Geschäftsunfähigkeit, den Konkurs oder die Insolvenz haftbar gemacht werden können, ist die Vorbeugung dessen auch Sache der oberen Managementebene. Die initiale Einführung erfolgt demnach dort. Es lohnt sich anschliessend eine geeignete Person im Unternehmen als Business Continuity Manager zu ernennen, welche dann die Organisation übernimmt. Ein Team aus BCM-Experten und Risikomanagern ist ebenfalls hilfreich, um die konkreten Massnahmenpläne aufzustellen und die Umsetzung zu kontrollieren und stetig anzupassen.
Ein aktuelles Beispiel: Die Energie-Krise
In den letzten Jahren wurde überdeutlich, wie notwendig Business Continuity Management ist: Erst kam 2020 die Corona Pandemie und nun befinden wir uns inmitten einer Energie-Krise. Viele Unternehmen befürchten nun stark steigende Kosten und im Extremfall sogar Stromknappheit aufgrund einer Mangellage.
Im Rahmen des Business Continuity Managements sollte man sich entsprechend auf einige Unsicherheiten in diesem Zusammenhang vorbereiten – die grössten Risikofaktoren sind dabei vor allem steigende Energiepreise, sowie die Gefahr, dass nicht alle Systeme (z.B. Cloud, Produktionsmaschinen, Anlagen und weiteres) durchgehend betrieben werden können, sodass wirtschaftliche Schäden im Unternehmen entstehen.
Die Lösungsansätze sind dabei vielfältig. Vor allem ist es wichtig, ganz im Sinne der Business Continuity, eine Ist-Analyse aufzustellen. Beispielsweise im Bezug auf steigende Energiekosten ist es wichtig zu wissen, wo effektiv hohe Leistungen in Geräte und Anlagen fliessen und wo entsprechend ein grosser Spareffekt erzielt werden kann. Energieoptimierung ist hier das Stichwort! Mit der Senkung Ihrer Betriebskosten und weiteren Energieeinsparungen ist bereits viel gewonnen.
Informationen und Konzepte für Ihr Unternehmen finden Sie nun auch in unserem neuesten Whitepaper. In diesem haben wir unter anderem Energieverbrauch sowie Unternehmenskosten und damit zusammenhängende Sparpotenziale und Ideen zur Energieoptimierung beispielhaft aufgezeigt. Darüber hinaus finden Sie technische Möglichkeiten, um einen Weiterbetrieb der Infrastruktur Cloud-basiert zu ermöglichen, ebenso wie weitere Überlegungen allgemeiner Natur zum Thema “green IT” – Optionen, welche Ihre IT nachhaltiger und damit auch krisensicherer gestalten können, beispielsweise durch die Nutzung erneuerbarer Energien.
Sicher durch Krisen, wenn Sie jetzt starten
Die letzten Jahre haben uns überdeutlich gezeigt, dass die nächste Krise jederzeit kommen kann, ob man sie erwartet oder nicht. Pandemie, Krieg, Inflation und wer weiss, was als nächstes kommt. Mithilfe von Business Continuity Management ist es möglich, sich auch auf unvorhersehbare Risiken vorzubereiten, sodass ein unterbrechungsfreier Geschäftsbetrieb umgehend nach einem Krisenfall bestehen bleibt. Alle notwendigen organisatorischen, personellen und technischen Schritte werden in einem Business Continuity Plan ausformuliert und kontinuierlich überprüft, um den Schaden zu minimieren. Da Katastrophen dazu führen können, dass Unternehmen geschäftsunfähig werden, Konkurs anmelden müssen und Geschäftsführer im Ernstfall sogar selbst haftbar sind, sollten Sie sich frühzeitig mit BCM auseinandersetzen. Denn wie so häufig gilt, dass Vorsorge günstiger ist, als den Schaden zu beheben.