Im Gespräch mit Manfred Harwardt von Fiducia & GAD

Manfred Harwardt ist Business-Continuity-Manager und Krisenmanagement-Trainer beim IT-Dienstleister Fiducia & GAD IT. Im Interview mit com! professional erklärt er, was ein funktionsfähiges Business Continuity Management ausmacht und worauf Firmen beim Aufbau eines BCM achten sollten.

com! professional: Herr Harwardt, wie definieren Sie den Begriff Business Continuity Management in der IT?

Manfred Harwardt: Business Continuity Management in der IT wird oft falsch verstanden und führt auch zu Missverständnissen. BCM stellt die Verfügbarkeit von zeitkritischen Geschäftsprozessen sicher. Allerdings liegt der Fokus nicht auf den Prozessen, sondern vielmehr bei den Ressourcen der Prozesse. Ein Prozess kann nicht ausfallen - was ausfällt, sind Ressourcen. Das BCM definiert Anforderungen an die IT-Services, die die Geschäftsprozesse unterstützen. Das IT Service Continuity Management (ITSCM) unterstützt wiederum das BCM. Somit ist das ITSCM als integraler Bestandteil des übergeordneten BCM anzusehen. Im ITSCM werden IT-Risiken definiert und gemindert sowie sichergestellt, dass ein Mindestmaß an IT-Services im Notfall zur Verfügung steht.

com! professional: Wie lassen sich kritische Geschäftsprozesse und Ressourcen identifizieren und effizient absichern?

Harwardt: Grundsätzlich geht es im BCM um eine Absicherung der Unternehmensstrategie, aus der sich wesentliche und wertschöpfende Tätigkeiten ableiten.

Die einzelnen Fachbereiche hinterfragen für jeden Prozess die Zeitkritikalität in Bezug auf unterschiedliche Schadensszenarien und bestimmen die maximal tolerierbare Ausfallzeit. Sie ermitteln also die Zeitspanne, innerhalb derer ein Service, Prozess und IT-Service in einem Mindestmaß an Funktionalität wieder zur Verfügung stehen muss.

com! professional: Was macht ein funktionsfähiges BCM aus?

Harwardt: BCM ist ein proaktiver Prozess mit vielen planbaren Vorgängen und hat den Vorteil, dass Firmen bereits im Normalbetrieb Notfallteams zusammenstellen können. Getestete, funktionierende Notfallpläne finden in Notfällen und Krisen ihre Anwendung. BCM ist in Notfällen ein Teil des Krisenmanagements. Notfallpläne enthalten Elemente, die tatsächlich in derartigen Situationen umgesetzt werden: Was muss sofort, kurz-, mittel- und langfristig getan werden?

com! professional: Wie sollten Firmen bei der Implementierung eines BCM-Systems vorgehen?

Harwardt: Vor dem Start müssen Firmen Grundlagen und Ziele für das BCM definieren, festlegen und kommunizieren. Das betrifft den Geltungsbereich, die Organisation mit Rollen und Verantwortlichkeiten sowie Maßnahmen und Schnittstellen, die mit einbezogen werden sollen. Anschließend folgt die Business-Impact- Analyse. Welche wertschöpfenden Tätigkeiten hat mein Unternehmen? Wo gibt es verletzliche Punkte? Was darf wie lange ausfallen, welche Ressourcen werden benötigt? Ergebnisse dieser Analyse zeigen im Zeitverlauf an, welche Schäden Ausfälle zur Folge haben können. Was ich noch nicht kenne, sind Risiken, die dazu führen, dass die Prozesse ausfallen. In der anschließenden Risikoanalyse werden interne und externe Bedrohungen identifiziert, die eine Unterbrechung der Geschäftsprozesse zur Folge haben können.

com! professional: Welche Schritte folgen nach den Analysen?

Harwardt: Die Erkenntnisse der beiden Analysen bilden den Grundstock für alle weiteren Maßnahmen im BCM. Für die Prozesse müssen die Firmen nun für Worst-Case-Szenarien wie den Ausfall von Gebäuden, Personal, IT/Infrastruktur oder Dienst­leistern Möglichkeiten finden, diese in Notfällen aufrechtzuerhalten. Dazu dienen die sogenannten Strategieoptionen. Bei dem Szenario „Ausfall der IT“ handelt es sich allerdings nicht um das ITSCM. Hier wird lediglich hinterfragt, was ich noch ohne IT machen kann.

Im nächsten Schritt werden die erforderlichen Pläne mit Beschreibungen der einzelnen Rollen, Verantwortlichkeiten und Handlungsweisen erstellt. Ziel ist es, diese Pläne durch regelmäßige Tests, Übungen und Audits zu verbessern. Wichtig sind zudem Awareness-Kampagnen, um das Bewusstsein zum BCM im gesamten Unternehmen zu verankern.

Harwardt: Wichtige Funktionen und Merkmale sind die Verbindung zu anderen Disziplinen und eine Vermeidung von doppelter Datenhaltung. Da der Lifecycle des BCM und ITSCM eng miteinander verknüpft sind, sollten diese Disziplin sowie deren Aufgaben im Krisenmanagement mit verankert sein.