Suchen

Mögliche IT-Risiken und Security-Vorfälle einschätzen und bewerten Business Continuity Management schafft im Notfall Perspektiven

| Autor / Redakteur: Caroline Neufert, (ISC)²-zertifizierter CISSP / Stephan Augsten

Die weltweite Vernetzung der Business- und Informationsinfrastrukturen führt dazu, dass immer mehr Unternehmen zu Einrichtungen mit kritischer Infrastruktur deklariert werden. Ohne Business Continuity Management geht dann nichts mehr. Dieser Artikel befasst sich mit Security- und Compliance-relevanten Maßnahmen für den kontinuierlichen Geschäftsbetrieb.

Firmen zum Thema

Rettung in Sicht: Das Business Contitnuity Management bewahrt vor einem möglichen Untergang und bietet Perspektiven.
Rettung in Sicht: Das Business Contitnuity Management bewahrt vor einem möglichen Untergang und bietet Perspektiven.
( Archiv: Vogel Business Media )

Unternehmen sehen sich heutzutage mit immer neuen und ständig aktualisierten Richtlinien konfrontiert. Es geht dabei zum Beispiel um Datenschutzgesetze, die Unternehmen und Organisationen bei der Einbindung der IT in die Kerngeschäftsprozesse viel abverlangen.

Regulatorische Anforderungen wie BilMoG, GdPDU oder KonTraG erfordern nichtsdestotrotz eine rasche Umsetzung und die verbindliche Einhaltung. Gleichzeitig nehmen Wirtschaftsspionage, Cyberkiminalität und Fahrlässigkeiten, aber auch technisches Versagen im Umgang mit IT-Systemen durch die weltweite Vernetzung zu.

Durch die Finanzkrise spitzt sich diese Situation noch weiter zu. Denn die verfügbaren Mittel zum Schutz der Business- und Informationsinfrastrukturen und der Gewährleistung von Compliance sind in vielen Unternehmen auf ein Minimum geschrumpft. Wer da kein systematisches Business Continuity Management pflegt, ist auf dem besten Weg ins offene Messer zu laufen.

Was ist Business Continuity Management?

Das Hauptziel des Business Continuity Management (BCM) liegt in der Aufrechterhaltung der Geschäftsprozesse in Notfallsituationen. Hierfür sind präventive Maßnahmen wie das Ermitteln der kritischen Geschäftsprozesse über eine Business-Impact-Analyse (BIA) erforderlich.

Eine BCM-Strategie enthält darüber hinaus die Durchführung einer Risikoanalyse zur Bewertung der möglichen Gefährdungen, sowie die daraus sich ergebenden Maßnahmen wie das Notfall- und Krisenmanagement und die im sogenannten Disaster Recovery Plan festgeschriebenen reaktiven Schritte. Das Hauptaugenmerk liegt darauf, die Unversehrtheit von Mitarbeitern und Ressourcen und die wirtschaftliche Existenz des Unternehmens auch im Krisenfall und nach dem Ende der Krise zu gewährleisten.

Planung der Business-Continuity-Maßnahmen

Für jeden Geschäftsprozess muss im Rahmen der Business-Impact-Analyse ermittelt werden, welche Auswirkungen ein Ausfall auf die Geschäftstätigkeit des Unternehmens hätte. Dabei werden alle für den Geschäftsprozess benötigen Komponenten wie Mitarbeiter, Informationen, Technologie sowie Infrastruktur und Schnittstellen zu anderen Prozessen erfasst. Auf Basis der damit ermittelten „Kritikalität“ wird anschließend die maximal tolerierbare Ausfallzeit des Geschäftsprozesses bestimmt.

Danach erfolgt eine Risikoanalyse für alle Geschäftsprozesse mit einer festgelegten Kritikalitätsstufe. Für jede Komponente werden potentielle Gefährdungen und Schwachstellen inklusive der jeweiligen Eintrittswahrscheinlichkeit erfasst. Basierend auf den Ergebnissen der Untersuchung der einzelnen Komponenten kann ein Gesamtrisiko für den Ausfall des jeweiligen Geschäftsprozesses ermittelt werden.

Für die Umsetzung erforderlicher Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs lässt sich die notwendige Strategie der Risikobehandlung aus Kosten-/Nutzensicht bewerten. Ist es beispielsweise sinnvoll die Risiken zu tragen, weil die Wahrscheinlichkeit des Eintritts als gering eingestuft wurde, oder sollten Alternativen gesucht werden?

Seite 2: Strategie zur Erreichung der Kontinuität

(ID:2041738)