com!-Academy-Banner

Business Continuity Management wappnet Firmen

Das ist BCM

von - 08.02.2019
„Business Continuity Management sichert zeitkritische Geschäftsprozesse eines Unternehmens, um bei einem Notfall die Schadensfolgen zu minimieren und mit Hilfe von Notfallkonzepten und -plänen einen zuvor definierten Notbetrieb zu erreichen. Zudem geht es um den möglichst zeitnahen Wiederanlauf in den Normalbetrieb“, erklärt Matthias Hämmerle, Berater für BCM sowie Notfall- und Krisenmanagement.
Während sich Business Continuity Management auf die Geschäftsprozesse des Unternehmens konzentriert, hat das IT Service Continuity Management (ITSCM) oder auch Disaster Recovery die Wiederherstellung der IT-Anwendungen, Daten und IT-Systeme im Fokus. In der IT ergänzen sich laut Hämmerle beide Disziplinen. „Das BCM für die IT sichert die IT-Geschäftsprozesse und deren Ressourcen, ohne die eine Wiederherstellung der IT gar nicht möglich wäre, sowie elementare IT-Unterstützungsprozesse für die Fachbereiche.“
Ein Beispiel: BCM betrifft übergeordnet die Geschäftsprozesse, wenn etwa in einer Bank der Zahlungsverkehr nicht mehr funktioniert, weil die IT ausfällt. Inhalt des BCM wäre hier, wie die Bank den Zahlungsverkehr ohne IT-Unterstützung bestmöglich weiterführt. Parallel versucht die IT im
IT Service Continuity Management, die betroffenen IT-Systeme wiederherzustellen.
Matthias Hämmerle
Matthias Hämmerle
Gründer und Inhaber von Hämmerle-Consulting
www.haemmerle-­consulting.de
Foto: Matthias Hämmerle
„Bereite dich auf alle möglichen Szenarien vor, dann kannst du im ­Notfall besser reagieren. Die Frage ist nicht, ob das passiert, sondern wann.“

Risiken bewerten

Der erste Schritt auf dem Weg zum BCM ist die Risikoanalyse. Es geht darum, Risiken oder kritische Prozesse zu identifizieren und sicherzustellen, dass sie nicht beeinträchtigt werden. Mittel der Wahl ist die Business-Impact-Analyse (BIA). Hier schätzen Firmen die Schadensfolgen bei einem Ausfall der Systeme. Die BIA erstreckt sich neben den Fachbereichen natürlich auch auf die IT, die mit den IT-Services das Rückgrat der Geschäftsprozesse stellt. Dazu gehören der Betrieb der Anwendungen und Systeme, die Anwendungsentwicklung, Help Desk oder die IT-Security. Die Fachbereiche bewerten in ihrer BIA, welche IT-Services wie kritisch für ihre Prozesse sind. Im Idealfall liegen Service Level Agreements (SLAs) vor, die die Anforderungen an die IT-Services und deren Verfügbarkeiten klar definieren. Daraus leitet die IT ab, welche Prozesse und Ressourcen sie benötigt, um die Anforderungen zu erfüllen.
„Die Kunst ist es, die IT tatsächlich dauerhaft aktuell zu halten und im Krisenfall schützen zu können. Im Krisenfall hilft es wenig, sich nur auf Manuskripte, die unterbrechungsfreie Stromversorgung (USV) und Schiffsdiesel sowie das Backup zu verlassen. Es bedarf auch einer krisensicheren Messaging-Lösung. Zudem sollten das Management von Cloud-Lösungen, virtuelle Systeme, Datenbanken, Applikationen samt Logiken und Priorisierungen abbildbar sein“, erklärt Jürgen Kolb, Managing-Partner beim Security-Spezialisten iQSol.
BCM-Projekte – Tipps zur Umsetzung
Ein BCM-Projekt besteht im Wesentlichen aus den folgenden Etappen:
  • BCM-Leitlinie: Die Leitlinie legt die Ziele von Business Continuity und den Geltungsbereich des BCM fest. Sie umfasst auch die Definition der Verantwortlichkeiten.
  • Business-Impact-Analyse: In der BIA schätzen Firmen die Folgen bei einem Ausfall der Systeme. Das können finanzielle Einbußen sein, Image-Schäden oder der Verstoß gegen Gesetze und Verträge. Eng damit verbunden ist die Analyse und Bewertung von Risiken oder kritischen Prozessen im Unternehmen. Welche Themen bergen das größte Risiko für unsere Werte (Assets wie Informationen, Hardware, Software, Mitarbeiter, Reputation), Geschäftsprozesse und den Betrieb?
  • Notfallplan und Checklisten: Der Notfallplan beschreibt in Form von Wenn-dann-Szenarien detailliert die Schritte, Prozeduren und Verfahren im Fall des Ausfalls der Systeme. Hilfreich sind Checklisten, damit die Mitarbeiter genau wissen, was im Notfall zu tun ist. Sehr wichtig sind auch die jeweiligen Kontaktdaten für die Alarmierung und die Kommunikationswege zur Steuerung und Überwachung einer kritischen Situation.
  • Tests und kontinuierliche Verbesserung: Im Rahmen der PDCA-Methodik sollte man die BCM-Regeln mittels Übungen und Tests immer wieder prüfen und fortlaufend weiterentwickeln.
Verwandte Themen