Heutige Geschäftsprozesse sollen zum einen im Falle einer Störung nicht beeinträchtigt werden, zum anderen soll im Fall einer Unterbrechung deren rechtzeitige Wiederaufnahme sichergestellt sein. Um beide Aufgaben erfüllen zu können, müssen Unternehmen eine gewisse Vorarbeit leisten.
Ein erster Schritt ist die Identifizierung von kritischen Geschäftsprozessen, bei der Berater und Dienstleister ihre Kunden unterstützen können: Welche Geräte besitzen die am geringsten tolerierbare Ausfallzeit? Welche Daten dürfen niemals verfälscht werden? Diese Fragen müssen in einer Risikoanalyse geklärt sein.
Kritische Geschäftsprozesse aufzuspüren, ist aber nur die halbe Miete. Denn ohne Unterstützung der Geschäftsleitung wird es schwer, ein Notfallmanagement – auch "Business Continuity Management" (BCM) genannt – aufzubauen. Es braucht Zeit, Geld und eventuell auch neues Personal.
Ein uneinsichtiges Management lässt sich vielleicht mit den Haftungsrisiken überzeugen, die es im Schadensfall eingeht. Sicherheitsbeauftragte, die weitere Argumente brauchen, können auch eine Business Impact Analyse (BIA) vornehmen. Dabei spielen sie potenzielle Schadensszenarien im Unternehmen durch, um die Bedeutung einer Notfallvorsorge zu unterstreichen. Die kritischen Prozesse, die Schäden verursachen könnten, sollten bereits im Rahmen der Risikoanalyse bekannt sein.
Plan-Do-Check-Act
Ohnehin ist eine BIA sinnvoll, um zielgerichtet Lösungen für ein BCM zu finden. Reicht das zur Überzeugung des Managements immer noch nicht, hilft vielleicht das Argument, dass eine (Re-)Zertifizierung nach ISO 27001 scheitern kann. Denn der Demingkreis (Plan-Do-Check-Act-Zyklus) im Sinne des kontinuierlichen Verbesserungsprozesses ist auch beim BCM ein Muss.
Ist das Management überzeugt, geht es an die Einrichtung eines BCM. Hilfestellungen dazu finden sich beispielsweise in den Dokumentation der ISO 2700+-Reihe. So führt der Anhang A14 der ISO 27001 Anforderungen für ein BCM auf. Konkreter ist die ISO 27002, in der der Leitfaden für ein ISMS (Information Security Management System) samt BCM deutlicher beschrieben ist. Kostenfreie Informationen zum Thema Notfallmanagement stellt auch das Bundesamt für Sicherheits- und Informationstechnik (BSI) bereit, unter anderem im Grundschutzkatalog 100-4.
"Derzeit sind zudem verschiedene Normen für BCM in der Entwicklungsphase", so Ernst Döbbeling, Professor für Security Engineering an der Hochschule Furtwangen und Vorsitzender des betreffenden DIN-Spiegelausschusses. Die Entwicklung spreche dafür, dass das Thema in Zukunft eine größere Relevanz erhalten werde. Zumal nicht mehr nur Großunternehmen, sondern zunehmend auch Mittelständler von der Sinnhaftigkeit des BCM überzeugt seien.
Bleibt die Frage: Wie sieht ein funktionierendes Business-Continuity-Management aus? Im Folgenden werden dafür einige Beispielszenarien aufgezeigt, die besonders der IT-Abteilung im Unternehmen als Checkliste dienen können – gemäß der Frage "Sind Sie auf den Ernstfall vorbereitet?"
Auf den nächsten Seiten geht es um die Risiken Server, Systeme, Anwendungen, Personal und höhere Gewalt.
- 13 Warnzeichen vor dem Unglück
Dirk Elsner gehen Ratgeber ja eigentlich auf die Nerven - nun schrieb er dennoch einen. Immerhin: Er beansprucht kein wissenschaftliches Niveau. Es folgen 13 Warnzeichen, die zeigen, dass Ihr Unternehmen auf dem Weg ins Unglück sein könnte. - 1. Formalien interessieren mehr als Fakten:
In Gesprächsrunden beziehungsweise bei Feedbacks wird mehr über die Berichtsformate und Gestaltung von Powerpointfolien als über Inhalte diskutiert. - 2. Präsentation vor Performance:
Beim Management punkten eher diejenigen, die (sich) gut präsentieren und weniger diejenigen, die gute Ergebnisse abliefern und sich für Sachlösungen einsetzen. - 3. Recht vor richtig:
Vor (wichtigen) Entscheidung werden erst einmal Rechtsgutachten und Einschätzungen von Unternehmensberatungen und Wirtschaftsprüfern eingeholt. - 4. Optimierungsprogramme erhalten putzige Namen, ...
... welche die tatsächlichen Ziele von Kostenkürzungen und Restrukturierungen verschleiern oder verniedlichen. - 5. Abstimmung vor Durchsetzung:
Ausführlich betrachtet in dem Beitrag: - 6. Extern vor intern:
Die Geschäftsleitung verlässt sich lieber auf Empfehlungen externer Berater als auf die der eigenen Führungskräfte und Mitarbeiter. - 7. Kontrolle von Kreativität:
Die Compliance-Abteilung ist größer als die Produktentwicklung. - 8. Kosten vor Wirkung:
In Ihrem Unternehmen streiten sich Abteilungen, wer welchen Anteil an den Kosten für den Kopierer trägt. - 9. Leitsätze vorgelebter Kultur:
In Ihrem Unternehmen werden Leitsätze für eine Corporate Culture aufgehängt, aber nicht gelebt. - 10. ISO-SIX vor Fähigkeit:
Das Management verspricht sich von formalisierten Guru-Moden wie Six Sigma oder auch ISO-Zertifizierungen, die Kosten und Qualität in den Griff zu bekommen. - 11. Glattbügeln vor Anecken:
Das mittlere Management hält kritische Entwicklungen vom Vorstand fern, weil sie fürchten, beim Überbringen schlechter Nachrichten als schwache Führungskräfte zu gelten und negative Konsequenzen scheuen. - 12. Sprache vor Handeln:
Mit der Gesprächskultur in Meetings lässt sich innerhalb von 3 Minuten ein Bullshit-Bingo gewinnen. - 13. Star vor Core:
Ein vermeintlicher Management-Star wird als "Mr. Wirtschaftswunder" für die Unternehmensspitze angepriesen.