Krisenvorbereitung
06.06.2008, 13:53 Uhr
Fünf Schritte zum Erfolg
IT-Systeme werden immer verletzlicher. Deshalb gewinnen Business und IT-Service Continuity Management an Bedeutung. Dank Krisenvorsorge kann ein Unternehmen nach einem Ernstfall schneller wieder seinen Geschäften nachgehen.
Adrian Marti ist Leiter des Kompetenzbereichs Sicherheit der AWK Group.
Die verstärkte Automatisierung der Geschäftsprozesse und die immer höhere Komplexität der technischen Systeme konfrontieren Unternehmen mit einem wachsenden Gefahrenpotenzial. Der Aufbau eines systematischen Business Continuity Managements (BCM) und eines IT-Service Continuity Managements (ISCM) gewinnt daher an Bedeutung.
Mit dem Management geschäftsgefährdender Risiken lassen sich einerseits die Eintrittswahrscheinlichkeit reduzieren und andererseits auch die möglichen Auswirkungen. Für sehr unwahrscheinliche Risiken mit einer sehr geringen Eintrittswahrscheinlichkeit und gleichzeitig hohem Schadenspotenzial ist es jedoch oft wirtschaftlicher, in das BCM und ISCM zu investieren, als in Massnahmen zur Risikoreduktion. Trotzdem ist es unbedingt notwendig, geeignete Pläne zur Bewältigung der Folgen eines Ernstfalls bereit zu halten. Es ist unbestritten, dass Krisenvorsorge heute ein integraler Bestandteil von Best Practice der Unternehmensführung und Corporate Governance ist.
Risiko-Management und BCM überschneiden sich: Beide nutzen die Resultate der Business Impact Analyse (BIA) für die Sicherstellung der Geschäftskontinuität. Mit dem Instrument der BIA werden die Prozesse und ihre zugrunde liegenden Ressourcen innerhalb der Organisation erfasst. Aufgrund der Auswirkungen eines Prozessausfalls werden die Prioritäten und die benötigte Wiederanlaufzeit bestimmt. Ein Business-Continuity-Plan kann nur erfolgreich und tragfähig implementiert werden, wenn auch die IT Service Continuity sichergestellt ist.
IT-Service Continuity Management ermöglicht die Sicherstellung der IT-Kontinuität auf der operativen Ebene, sodass diese in Einklang mit dem Risiko und den strategischen Geschäftszielen und Prioritäten steht, wie sie durch das BCM definiert sind. Das IT Service Continuity Management unterstützt das übergeordnete BCM.
Als Standard für das BCM hat die British Standards Institution (BSI) den Code of Practice BS25999-1 veröffentlicht. Eine dazu passende Spezifikation des BCM wurde als BS25999-2 publiziert. Empfehlungen für die Ausgestaltung des ISCM liefert der ebenfalls vom BSI veröffentlichte Code of Practice PAS 77:2006.
Auch die IT Infrastructure Library (ITIL) beschreibt die mögliche Umsetzung eines IT Service Managements und gilt inzwischen als der De-facto-Standard. In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, Aufbauorganisation und Werkzeuge beschrieben. Die ITIL-Spezifikationen sind in verschiedene Bücher organisiert, welche entsprechend den beschriebenen Servicelebenszyklen gegliedert sind. In der aktuellen Version ITIL V3 findet sich das ISCM im Buch «Service Design».
Risiko-Management und BCM überschneiden sich: Beide nutzen die Resultate der Business Impact Analyse (BIA) für die Sicherstellung der Geschäftskontinuität. Mit dem Instrument der BIA werden die Prozesse und ihre zugrunde liegenden Ressourcen innerhalb der Organisation erfasst. Aufgrund der Auswirkungen eines Prozessausfalls werden die Prioritäten und die benötigte Wiederanlaufzeit bestimmt. Ein Business-Continuity-Plan kann nur erfolgreich und tragfähig implementiert werden, wenn auch die IT Service Continuity sichergestellt ist.
IT-Service Continuity Management ermöglicht die Sicherstellung der IT-Kontinuität auf der operativen Ebene, sodass diese in Einklang mit dem Risiko und den strategischen Geschäftszielen und Prioritäten steht, wie sie durch das BCM definiert sind. Das IT Service Continuity Management unterstützt das übergeordnete BCM.
Als Standard für das BCM hat die British Standards Institution (BSI) den Code of Practice BS25999-1 veröffentlicht. Eine dazu passende Spezifikation des BCM wurde als BS25999-2 publiziert. Empfehlungen für die Ausgestaltung des ISCM liefert der ebenfalls vom BSI veröffentlichte Code of Practice PAS 77:2006.
Auch die IT Infrastructure Library (ITIL) beschreibt die mögliche Umsetzung eines IT Service Managements und gilt inzwischen als der De-facto-Standard. In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, Aufbauorganisation und Werkzeuge beschrieben. Die ITIL-Spezifikationen sind in verschiedene Bücher organisiert, welche entsprechend den beschriebenen Servicelebenszyklen gegliedert sind. In der aktuellen Version ITIL V3 findet sich das ISCM im Buch «Service Design».
In 5 Schritten zum BCM
Konzeptionell muss das Vorgehen zur Erarbeitung eines Continuity Management Frame-works nicht neu erfunden werden. Das Business Continuity Institute International in London (www.thebci.org) hat dazu basierend auf langjährigen Erfahrungen aus verschiedenen Industrien und der Verwaltung eine Good Practice aufgebaut, die das Vorgehen generisch definiert und auch als Grundlage für den später publizierten Standard BS 25999 diente.
Die Erarbeitung und Umsetzung des BCM erfolgt dabei in fünf Schritten:
Die Erarbeitung und Umsetzung des BCM erfolgt dabei in fünf Schritten:
1. Das eigene Geschäft verstehen
Um ein geeignetes BCM-Programm entwickeln zu können, müssen Sie zuerst Ihr Geschäft verstehen und wissen, welche Tätigkeiten oder Prozesse unbedingt erforderlich sind, um ein Mindestmass an Kontinuität geschäftskritischer Aktivitäten zu gewährleisten. Kerntätigkeiten sind: Organisationsstrategie, Business Impact Analyse und Risikobeurteilung.
Um ein geeignetes BCM-Programm entwickeln zu können, müssen Sie zuerst Ihr Geschäft verstehen und wissen, welche Tätigkeiten oder Prozesse unbedingt erforderlich sind, um ein Mindestmass an Kontinuität geschäftskritischer Aktivitäten zu gewährleisten. Kerntätigkeiten sind: Organisationsstrategie, Business Impact Analyse und Risikobeurteilung.
2. Die BCM-Strategien
Darauf basierend wird eine geeignete BCM-Strategie zur Aufrechterhaltung der Geschäftsaktivitäten und -prozesse während einer Unterbrechung abgeleitet. Festgelegt werden alternative Betriebs-methoden, die nach einer Unterbrechung zum Einsatz kommen, um die unternehmenskritischen Prozesse und ihre Abhängigkeiten entsprechend ihrer Priorität und Verfügbarkeitsanforderung aufrechtzuerhalten. Und zum Anderen müssen die durch die Business-Impact-Analyse erkannten Schwachstellen in unternehmenskritischen Prozessen geschützt werden.
Darauf basierend wird eine geeignete BCM-Strategie zur Aufrechterhaltung der Geschäftsaktivitäten und -prozesse während einer Unterbrechung abgeleitet. Festgelegt werden alternative Betriebs-methoden, die nach einer Unterbrechung zum Einsatz kommen, um die unternehmenskritischen Prozesse und ihre Abhängigkeiten entsprechend ihrer Priorität und Verfügbarkeitsanforderung aufrechtzuerhalten. Und zum Anderen müssen die durch die Business-Impact-Analyse erkannten Schwachstellen in unternehmenskritischen Prozessen geschützt werden.
3. Entwicklung einer BCM-Reaktion
In dieser Phase werden die notwendigen Aktionen und Ressourcen definiert, die das Management einer Unterbrechung unabhängig von deren Ursache ermöglichen. Die beschriebenen Aktionen sollen nicht jede einzelne Möglichkeit abdecken, da jeder Zwischenfall grundsätzlich anders gelagert ist. Wichtiger ist eine flexible und aktive Anpassung der vorgegebenen Verfahren an das konkrete Ereignis und die dadurch möglicherweise eröffneten Chancen.
In dieser Phase werden die notwendigen Aktionen und Ressourcen definiert, die das Management einer Unterbrechung unabhängig von deren Ursache ermöglichen. Die beschriebenen Aktionen sollen nicht jede einzelne Möglichkeit abdecken, da jeder Zwischenfall grundsätzlich anders gelagert ist. Wichtiger ist eine flexible und aktive Anpassung der vorgegebenen Verfahren an das konkrete Ereignis und die dadurch möglicherweise eröffneten Chancen.
4. Entwicklung einer BCM-Kultur
Die erfolgreiche Etablierung einer BCM-Kultur innerhalb einer Organisation hängt von ihrer Integration in das strategische und operative Management sowie von der Ausrichtung auf die Geschäftsprioritäten ab. Die Haupttechniken für die Entwicklung einer nachhaltigen BCM-Kultur umfassen:
Ist-Soll Vergleich des aktuellen Awareness-Niveaus und des Engagements für BCM. Bestimmung der Schulungslücke zur Schliessung der Defizite,
Kampagnen zur Schaffung einer entsprechenden Unternehmens-Awareness und Entwicklung der Fertigkeiten, der Kenntnisse und des Engagements, die für ein erfolgreiches BCM erforderlich sind.
Überprüfung der Zielerreichung der Awareness-Kampagnen und langfristige Beobachtung der BCM-Awareness.
Die erfolgreiche Etablierung einer BCM-Kultur innerhalb einer Organisation hängt von ihrer Integration in das strategische und operative Management sowie von der Ausrichtung auf die Geschäftsprioritäten ab. Die Haupttechniken für die Entwicklung einer nachhaltigen BCM-Kultur umfassen:
Ist-Soll Vergleich des aktuellen Awareness-Niveaus und des Engagements für BCM. Bestimmung der Schulungslücke zur Schliessung der Defizite,
Kampagnen zur Schaffung einer entsprechenden Unternehmens-Awareness und Entwicklung der Fertigkeiten, der Kenntnisse und des Engagements, die für ein erfolgreiches BCM erforderlich sind.
Überprüfung der Zielerreichung der Awareness-Kampagnen und langfristige Beobachtung der BCM-Awareness.
5. Übung, Pflege, Audit
Übungen: Ein Business Continuity Plan ist erst dann zuverlässig, wenn er beübt worden ist. Das Üben kann auf verschiedene Art erfolgen, z. B. durch technische Tests, Walk-through bis hin zu vollständigen Praxisübungen. Neben dem
Austesten der technischen Wiederherstellungsfähigkeiten (IT-Continuity) sind insbesondere die Menschen und ihre Stabilität hinsichtlich Fertigkeiten, Wissen, Management und Entscheidungsfindung die kritischen Erfolgsfaktoren.
Pflege: Die meisten Organisationen sind in eine dynamische Umgebung eingebettet und unterliegen Änderungen bei den Mitarbeitern, Prozessen, Märkten, Risiken, Umgebungen, der Geografie und der Geschäftsstrategie. Die BCM-Fähigkeit muss laufend an diese Veränderungen angepasst werden. Ein Business-Continuity-Pflegeprogramm stellt sicher, dass alle relevanten Personen über die aktuellen und relevanten Teile des BCM verfügen.
Audit: Der BCM-Auditprozess überprüft die Effektivität der Business-Continuity-Fähigkeit. Der Auditprozess kann über die interne Auditfunktion der Organisation, einen externen Prüfer oder einen externen professionellen BC-Spezialisten durchgeführt werden.
Übungen: Ein Business Continuity Plan ist erst dann zuverlässig, wenn er beübt worden ist. Das Üben kann auf verschiedene Art erfolgen, z. B. durch technische Tests, Walk-through bis hin zu vollständigen Praxisübungen. Neben dem
Austesten der technischen Wiederherstellungsfähigkeiten (IT-Continuity) sind insbesondere die Menschen und ihre Stabilität hinsichtlich Fertigkeiten, Wissen, Management und Entscheidungsfindung die kritischen Erfolgsfaktoren.
Pflege: Die meisten Organisationen sind in eine dynamische Umgebung eingebettet und unterliegen Änderungen bei den Mitarbeitern, Prozessen, Märkten, Risiken, Umgebungen, der Geografie und der Geschäftsstrategie. Die BCM-Fähigkeit muss laufend an diese Veränderungen angepasst werden. Ein Business-Continuity-Pflegeprogramm stellt sicher, dass alle relevanten Personen über die aktuellen und relevanten Teile des BCM verfügen.
Audit: Der BCM-Auditprozess überprüft die Effektivität der Business-Continuity-Fähigkeit. Der Auditprozess kann über die interne Auditfunktion der Organisation, einen externen Prüfer oder einen externen professionellen BC-Spezialisten durchgeführt werden.
Der Nutzen von BCM
Obwohl die Zahl der Angriffe und Katastrophen zunimmt und die IT-Systeme verletzlicher werden, verfügt nur rund die Hälfte der betroffenen Firmen über Krisenvorsorge, die im Schadenfall zum Tragen kommt. Oft fehlen auch die detaillierten operativen Vorbereitungen, um den Normalbetrieb möglichst schnell wieder sicherstellen zu können. Die Erfahrung zeigt jedoch, dass der Nutzen von BCM für Unternehmen die anfallenden Aufwendungen mehr als rechtfertigt. Untersuchungen zeigen eine deutlich verbesserte Überlebensfähigkeit der auf Schadensfälle vorbereiteten Unternehmen. Die Auswirkungen von Krisenereignissen sind typischerweise kleiner und das Unternehmen ist schneller wieder erfolgreich am Markt tätig: Die Kunden bleiben dem Unternehmen treu.
Systematische BCM-Vorbereitungen werden von Analysten, Investoren und Versicherungsagenturen durch bessere Bewertungen und tiefere Prämien honoriert.
Adrian Marti
