Business Continuity Management (BCM)

Mit Plan und Test durch die Krise

| Autor / Redakteur: Sven Philipp Dahlen / Peter Schmitz

Kontinuierliches Testen ist für ein funktionierendes Business Continuity Management (BCM) unerlässlich. Wer nicht ausreichend testet, riskiert die Resilienz seines Unternehmens.
Kontinuierliches Testen ist für ein funktionierendes Business Continuity Management (BCM) unerlässlich. Wer nicht ausreichend testet, riskiert die Resilienz seines Unternehmens. (Bild: gemeinfrei / Pixabay)

Ereignisse wie der Ausbruch des Corona-Virus beweisen, dass Krisen und ihre Folgen schwer vorhersehbar sind. Hier setzt Business Continuity Management (BCM) an. Ein BCM-System, das sicherstellt, dass die kritischsten Geschäftsprozesse auch im Notfall funktionieren, kann entscheiden, ob ein Unternehmen seine Marktposition nach der Ausnahmesituation halten kann; aber nur wenn man konsequent testet.

In Krisen wird die Wichtigkeit eines funktionierenden Business Continuity Management (BCM) besonders deutlich. Ob eine Organisation aber wirklich vorbereitet und handlungs-, funktions- sowie widerstandsfähig ist, lässt sich ausschließlich durch konsequentes Testen und mit analysieren der Ergebnisse überprüfen. Geschieht das nicht, besteht für Unternehmen eine wesentlich höhere Gefahr, bei einem Ausfall keine geeigneten Mittel und Methoden vorhalten zu können, die Aktionsfähigkeit zu verlieren.

Weiterentwicklung des BSI-Standards 200-4

Schritt für Schritt zum Business Continuity Management

Weiterentwicklung des BSI-Standards 200-4

29.08.19 - Notfallmanagement und regelmäßige Übungen sind noch nicht überall Standard, so ein Ergebnis der Cyber-Sicherheitsumfrage des BSI (Bundesamt für Sicherheit in der Informations­technik). Dies soll durch den geplanten BSI-Standard 200-4 anders werden. Dabei spielt das Stufenmodell für den Einstieg ins BCM (Business Continuity Management) eine wichtige Rolle. lesen

Not- und Ausfälle managen

Da der Aufbau und die Umsetzung eines BCM gerade für kleinere Unternehmen eine Herausforderung ist, haben spezialisierte Beratungsunternehmen BCM als Service in ihrem Portfolio. Mit dem nötigen Fachwissen ausgestattet kann ein externer Partner die Implementierung und Aufrechterhaltung eines BCM-Systems gewährleisten. Echtzeitunterstützung beim Testen und bei realen Störungen steigert den Nutzen und die Akzeptanz des BCM-Programmes im gesamten Unternehmen.

Tests und Übungen fördern das Bewusstsein für den Umgang mit Ausfallsituationen und stärken die Zusammenarbeit innerhalb der BCM-Organisation. Ist das Zusammenwirken innerhalb und zwischen den BC-Teams (Wiederanlaufteams) sowie zwischen den BC-Teams und dem Krisenstab im Ernstfall schon eingespielt, ist es schnell möglich, eine klare Kommunikation aufzubauen, adressatengerecht zu kommunizieren und Unsicherheit etwa mit BC-Plänen (Notfallplänen) zu umgehen.

Vorbereitung für strukturierte Überprüfung

Fest steht: Eine zuverlässige Aussage über die Wiederanlauf- und Widerstandsfähigkeit eines Unternehmens ist ohne ausreichende Prüfung der Notfallressourcen und der Ressourcen zur Wiederherstellung sowie den damit verbundenen Plänen des BCM unmöglich. BCM testet immer mit dem Ziel, BC-Pläne (Wiederanlaufpläne), Prozesse und Rollen der BCM-Organisation strukturiert zu überprüfen.

Die Vorbereitung dafür umfasst die Entwicklung einer Teststrategie über Testplanung und Testkonzepte bis zum eigentlichen Testen. Aus Nachbereitung und Analyse der Ergebnisse gewinnt ein Unternehmen solide Erkenntnisse über Stärken und Schwächen im Umgang mit Ausfällen. Auf dieser Basis lassen sich Maßnahmen zur Minimierung oder auch Eliminierung der Risiken ableiten, über deren Verwendung die Entscheidungsträger bestimmen.

Keine Angst vor dem Worst Case

Professionelles Krisenmanagement

Keine Angst vor dem Worst Case

09.09.19 - Jedes Unternehmen kann von professionellem Krisenmanagement profitieren, egal welcher Branche oder welchem Industriezweig der Betrieb angehört. Gutes Krisenmanagement schafft Strukturen, die den Verantwortlichen im Notfall den nötigen Raum geben, souverän, schnell und flexibel auf die verschiedensten Krisensituationen zu reagieren. lesen

Strategie steigert Effektivität des Testens

Die Abläufe beständig zu testen, ist Basis für ein zielführendes BCM. Daher sollten Unternehmen für die effektive Umsetzung, Validierung und Verifizierung von Tests und Übungen eine Teststrategie entwickeln. Gut beraten sind Organisationen dabei, ein standardisiertes Verfahren für langfristiges nachhaltiges Testen und Üben festzulegen. Die Strategie sollte in vollem Umfang die Tests aller BC-Pläne umfassen, die für den Wiederanlauf von zeitkritischen Geschäftsprozessen nötig sind, Aktivitäten, die zu einem definierten Zeitpunkt erfolgen müssen, damit dem Unternehmen nur im akzeptablen Rahmen Schaden entsteht. Eine Teststrategie schafft einen Rahmen, in dem Tests mit einem überschaubaren Risiko durchgeführt werden können. Eine Strategie enthält immer ein zeitliches sowie quantitatives und qualitatives Zielbild. Maßnahmen basierend auf Erkenntnissen aus vollumfänglichen und komplexen Tests ermöglichen dann die rechtzeitige Bereitstellung von benötigten Ressourcen.

Systematisch vorgehen

Um eine effektive und nachhaltige Notfallplanung aufzubauen, muss das Testen von Verfahren und Prozessen systematisch erfolgen. Bestandteil einer Testplanung muss sein, dass die Testabfolge in einem jährlichen Plan festgelegt wird. Eine Teststrategie beinhaltet dabei auch eine schrittweise Erhöhung der Testkomplexität bei gleichzeitiger Optimierung bestehender Strukturen. Damit Unternehmen beim Testen den Spagat zwischen Unter- und Überforderung der BCM-Organisation schaffen, sind die Tests in ihrer Komplexität zu steigern. Dies wird durch Testklassen möglich.

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

11.11.19 - Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Funktionale Tests (Functional Test) sind die erste Stufe, die einzelnen BC-Pläne flächendeckend zu testen. Hierbei werden Erkenntnisse pro zeitkritischen Geschäftsprozess und innerhalb eines jeweiligen BC-Teams gewonnen. Die Erkenntnisse fließen in Planung und Durchführung der Testklasse Full Exercise ein. Zur Sicherstellung der Erkenntnisse sind ab dieser Testklasse Beobachter einzusetzen.

Mit Volltest (Full Exercise) werden die BC-Pläne miteinander vernetzt getestet. Diese Testklasse ist wichtig, um die Zusammenarbeit zwischen den einzelnen BC-Teams untereinander sowie mit dem Krisenstab und den benötigten Ressourcen zu prüfen. Bei einem Full Exercise werden Erkenntnisse über Grenzen der Ressourcenverfügbarkeit und über Schwachstellen der Kommunikation und Zusammenarbeit gewonnen. Zudem wird festgestellt, ob die Infrastruktur in einem geeigneten Maß zur Verfügung steht. Wurde die BCM-Organisation erfolgreich getestet kann die Live Exercise durchgeführt werden.

Als Echtzeittest (Live Exercise) wird eine vernetzte Übung wie in der Full Exercise verstanden, jedoch findet die Übung im aktiven Tagesgeschäft statt. Das heißt, das im Vorfeld das Unternehmen die Rahmenbedingungen geschaffen hat, um ein Risiko für alle Stakeholder auszuschließen oder auf ein akzeptables Niveau zu minimieren. Bei diesem Test ist eine Einbindung aller Interessensgruppen unerlässlich.

Für die Testklassen ab Functional Test muss wegen des Abstimmungsaufwands, zur Risikoeinschätzung und zur Risikoübernahme ein Testkonzept erstellt werden, das Abhängigkeiten und Risiken aufzeigt. Darin werden vor der Planung jedes Einzeltests die benötigten Ressourcen festgelegt und die Risiken definiert.

Mit ITSCM für den Notfall gewappnet

Den IT-Notfall richtig managen

Mit ITSCM für den Notfall gewappnet

22.01.20 - Sich mittels IT Service Continuity Management (ITSCM) auf den kritischen IT-Vorfall vor­zu­be­reiten ist lediglich für Banken, Versicherungen und Betreiber kritischer Infrastrukturen Pflicht. Dabei sollte es in allen Branchen Standard sein, denn es stellt sicher, dass zeitkritische Geschäftsprozesse im IT-Notfall weiter funktionieren oder in einer akzeptablen Zeit wiederhergestellt werden können. lesen

Detailplanung schafft Übersichtlichkeit

Für eine detaillierte Planerstellung ist es hilfreich, organisatorische Vorkehrungen und Sicherheitsmaßnahmen zu treffen. Es ist empfehlenswert, dass unternehmensintern interdisziplinär Abstimmungen erfolgen – etwa zwischen der testenden Einheit und den Ressourcen bereitstellenden Einheiten. Auch eine Einbindung von Lieferanten, Dienstleistern und Behörden kann je nach Testszenario zielführend sein. Die Durchführung folgt dann den im Testkonzept angegebenen Informationen und definierten Rahmenbedingungen.

Nachbereitung ermöglicht Lernkurve und risikofreie Anpassung

Nacharbeiten sind auch notwendig, um den Lernerfolg zu dokumentieren. Mittels Hot-Debriefings, die nach dem Test mit allen Testmitarbeitern durchgeführt werden, können akute Optimierungspotenziale und Schwierigkeiten in Testnachweisen festgehalten werden. Debriefings für Functional Tests stellen sicher, dass die wichtigsten Ergebnisse und Erfahrungen zur kontinuierlichen Verbesserung der Testsystematik erfasst werden. Anhand der Ergebnisse der Debriefings, des Beobachterprotokolls und der Rückinformationen aus den beteiligten Einheiten entsteht eine Dokumentation aller Stärken und Schwächen.

Schutz gegen Geschäfts­unterbrechungen

Resilienz-Management

Schutz gegen Geschäfts­unterbrechungen

13.02.20 - Bei einer erfolgreichen Cyber-Attacke ist es von entscheidender Bedeutung, die Überlebensfähigkeit des Geschäfts sicher zu stellen. PwC-Expertin Franziska Hain zeigt auf Basis einer aktuellen Studie auf, wie Unternehmen mit starker Resilienz und einem gezielten Business Continuity Management heute aufgestellt sind. lesen

Fazit: Testen sichert im Zweifel die Existenz

Kontinuierliches Testen ist für ein funktionierendes BCM unerlässlich. Ist es bereits zu einem Ausfall gekommen, sind benötigte Ressourcen entweder nicht mehr zu beschaffen oder so teuer geworden, dass sie wirtschaftlich nicht mehr in Betracht kommen. Außerdem sind Unternehmen ohne das Testen schwerlich in der Lage, bei Ausfallsituationen zügige Entscheidungen zu treffen und umzusetzen, da Erfahrungswerte, Erkenntnisse sowie standardisierte Abläufe fehlen. Um durch falsches Testen den Zweck von BCM nicht zu gefährden – und somit die unternehmerische Existenz – sollten Organisationen das Thema mit der nötigen Dringlichkeit behandeln.

Über den Autor: Sven Philipp Dahlen ist Senior Consultant bei der Controllit AG.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46545789 / Notfallmanagement)