Business Continuity Management wappnet Firmen

CEO muss unterstützen

von - 08.02.2019
Gartner Magic Quadrant BCM 2017
„Magic Quadrant for BCM Program Solutions 2017“: Die Einschätzung von Gartner gilt für den internationalen Markt.
(Quelle: Gartner)
In den Augen von Matthias Hämmerle besteht Business Continuity Management aus einem ganzen Strauß von Maßnahmen auf unterschiedlichen Ebenen. „Die Kernbotschaft zu BCM lautet: Be prepared – bereite dich mittels Notfallplänen und vor allem im Rahmen von Tests und Übungen auf alle möglichen Szenarien vor, dann kannst du im Notfall besser reagieren. Die Frage ist nämlich nicht, ob das passiert, sondern wann.“
Entscheidend für den Aufbau eines nachhaltigen BCM ist das Mandat der Geschäftsleitung. Der CEO muss die BCM-Konzepte unterstützen, die Fachbereiche mit ins Boot holen, sowie die finanziellen und personellen Ressourcen bereitstellen. „Die größte Hürde ist gemeistert, wenn ein Bewusstsein darüber existiert, dass wirklich etwas passieren kann“, weiß Jürgen Kolb. Sinnvoll ist es zudem, das BCM als Stabsstelle unterhalb der Geschäftsführung einzurichten. „Schon jetzt werden Business-Continuity-Manager aufgewertet und erhalten eigene Budgets. Dieser Trend wird sich fortsetzen, damit sie im Krisenfall auch operativ tätig sein können.“

Orientierung an Standards

Beim Aufbau, Betrieb und der Optimierung eines BCM-Systems empfehlen die von com! professional befragten Experten die Orientierung an Standards und Best Practices wie ISO 22301, ISO 27031 oder BSI 100-4. ISO 22301 beispielsweise basiert auf dem PDCA-Zyklus (Plan, Do, Check, Act) und enthält neben Planung, Überprüfung und Training auch die Verbesserung von Organisationsprozessen. ISO 27031 konzen­triert sich auf die Schnittstellen zwischen BCM und IT-Notfallmanagement, der BSI-Standard 100-4 zeigt einen systematischen Weg für den Aufbau eines Notfallmanagements etwa in einer Behörde.

BCM-Tools

Als weitere Hilfe gibt es spe­zi­elle Software-Lösungen, die Unternehmen unterstützen. Sie bieten eine zentrale Datenhaltung für Geschäftsprozesse und IT-Anwendungen sowie Schnittstellen zu Systemen etwa zur Alarmierung oder zur IT-Strukturanalyse.
Eine erste Orientierung böte eigentlich der „Magic Qua­drant for Business Continuity Management Program Solutions“ von Gartner, der wichtige Hersteller umfasst. Der Haken: „Der Gartner-Quadrant betrifft den internationalen Markt. In Deutschland können diese großen Anbieter nur schwer Fuß fassen“, erklärt Matthias Hämmerle.
Auf dem deutschen Markt gibt es laut Hämmerle einige wenige spezialisierte Hersteller von BCM-Tools mit Funktionen wie Business-Impact-Analyse und Notfallplan, darunter etwa HiScout, Controllit oder die Beluga-Lösung der Finanzinformatik GmbH. Zudem integrieren auch Anbieter von Lösungen für den Aufbau von Information-Security-Management-Systemen zunehmend BCM-Funktionalitäten in ihre Tools. Ein Beispiel dafür ist Fuentis.

Fazit

Grundsätzlich gilt: Es gibt keine hundertprozentige Sicherheit. Unternehmen müssen das Restrisiko minimieren und mögliche Schäden transparent machen. Genau darum geht es bei BCM. Zu einem guten BCM gehören die Business-Impact-Analyse mit Risikobewertung, das Design der Notfallkonzepte für die kritischen Ressourcen, die eigentliche Implementierung sowie Tests und Übungen zum Überprüfen der Pläne. Ein BCM-Plan umfasst zudem die Kontaktdaten und Alarmierungsketten, Notfallprozeduren für den Notbetrieb, interne und externe Kommunikation im Notfall sowie Verfahren für den Wiederanlauf in den Normalbetrieb.
BCM funktioniert jedoch nur, wenn es in die Gesamtstrategie der Firma eingebunden ist. Die Geschäftsleitung muss BCM unterstützen.
Anbieter von BCM-Tools (Auswahl)

Anbieter / Produkt

Zentrale Funktionen

Besonderheiten

Controllit / alive-IT

Planung und Bewältigung von Notfällen sowie die Abbildung von BCM, ITSCM und Krisenmanagement mit allen üblichen Funktionen (Analysen, Notfallpläne, Tests); vermeidet doppelte Datenpflege durch automatisierte Schnittstellen

Flexibel und kundenindividuell zu gestalten; Webbrowser als Frontend (Java), keine Client-Installation notwendig.

Controllit entwickelt nicht nur die Software, sondern berät auch zu den Themen BCM, ITSCM, und Krisenmanagement

Finanzinformatik / Beluga

Notfallvorsorge- und IT-Sicherheits-Management nach aktuellen Vorgaben von BaFin und FINMA mit den üblichen BCM-Funktionen (BIA und Risikoanalyse, Erstellung von Notfallplänen, Übungen etc.)

Webbasiertes BCM-System; Tool verbindet Notfallvorsorge mit Management von Informationssicherheit und Datenschutz; Schwerpunkt Finanzwesen; ständige Aktualisierung aller relevanten Detailpläne und Informationen

Fuentis / Fuentis BCM

Strukturierte IT-Notfallplanung; Integration mit verschiedenen Systemen möglich; BIA, IT-Notfall- und IT-Betriebshandbuch, Darstellung von Verantwortlichkeiten etc.

BCM-Modul ist Teil eines integrierten Managementsystems für Governance, Risk & Compliance; bildet Abhängigkeiten zwischen Prozessen, Services und der IT ab; Aufgaben-Management und Webmodul zur strukturierten Pflege

GRC Partner / DocSetMinder (Modul Notfallmanagement)

Business-Impact-Analyse, Risikoanalyse, Notfallplanung, Alarmierung/Notifier, Krisenmanagement, Testunterstützung, Wartungs-Workflow, Erstellung Notfallhandbuch

DocSetMinder-Modul „Notfallmanagement“ basiert auf dem BSI-Standard 100-4 und ISO 22301; bildet die PDCA-Methodik zum Aufbau eines adäquaten Notfallmanagement-Systems ab; Integration in die bestehende IT-Landschaft, mandantenfähig

HiScout / HiScout BCM

Business-Impact-Analyse, Risikoanalyse, Notfallpläne und Pläne zum Wiederanlauf und zur Wiederherstellung, Planung und Dokumentation von Notfallübungen und Tests, Analyse von Notfall- und Krisenszenarien, Unterstützung von Audits

HiScout BCM ist Teil einer umfassenden Plattform für das Management von IT-Governance, Risk & Compliance; bildet alle Phasen des Business-Continuity-Management-Cycles ab; unterstützt die Standards ISO 22301 und BSI 100-4

iQSol / iQSol LogApp, iQSol AMS, iQSol PowerApp

LogApp erkennt Auffälligkeiten im Netzwerk mittels Log-Management; AMS alarmiert im Notfall per E-Mail, Anruf oder SMS zuständige Mitarbeiter und berücksichtigt dabei auch aktuelle Dienstpläne; PowerApp fährt alle Systeme herunter und wieder hoch, Disaster-Tests sind ebenfalls möglich

Deckt den BCM-Prozess technisch ab mit dem Management der gesamten IT bis hin zu virtuellen Systemen. Entwicklung einer BCM-Strategie für die Kunden in Zusammenarbeit mit der Netzwerkberatung Antares-NetlogiX

WMC / QESC

Business-Impact-Analyse, Risikobewertung, Notfallplanung, Notfalltests für Geschäftsprozesse, Überprüfen und Bewertung der Dokumentation für kritische Asset-Gruppen (IT-Notfallplan, Betriebshandbuch, Wiederanlaufplan)

Modulare QSEC-Suite für Compliance Management, Datenschutz, BCM, IT-Risikomanagement, Business-Impact-Analyse; PDCA-Methode; Maßnahmenvorschläge/Musterdokumente; Integration in die bestehende IT-Infrastruktur – keine Doppelerfassung von Daten
Seite
  1. Teil: Business Continuity Management wappnet Firmen
  2. Teil: Das ist BCM
  3. Teil: Notfallplan
  4. Teil: CEO muss unterstützen
  5. Teil: Im Gespräch mit Manfred Harwardt von Fiducia & GAD
Verwandte Themen

Mehr zum Thema