Aufbau eines Business Continuity Managements einfach gemacht
Im Idealfall funktioniert immer Plan A, alle Geschäftsprozesse laufen jederzeit störungsfrei. Manchmal wird jedoch Plan B nötig: Wenn ein Notfall eintritt, muss es klare Vorgehensweisen geben, damit Sie als Unternehmen schnell wieder handlungsfähig werden. Für diesen Fall ist das Business Continuity Management (BCM) gedacht.
In diesem Artikel finden Sie einen beispielhaften Plan für den Ernstfall sowie Hilfestellungen, mit denen es leichter fällt, ein BCM in Ihrem Unternehmen einzuführen.
Was ist Business Continuity Management?
Business Continuity Management (kurz BCM) beschreibt den Managementprozess, der dafür sorgt, dass der Geschäftsbetrieb bei einem Notfall schnellstmöglich wieder aufgenommen werden kann. Unterbrechungen und deren Impact werden verringert. Unternehmen mit einem starken BCM verfügen über eine hohe Resilienz, da sie mit entstandenem Schaden gut umgehen können.
So sicher Sie sich auch fühlen, jedes Unternehmen ist Risiken ausgesetzt. Mögliche Gefahren sind Naturkatastrophen (z. B. Brand oder Hochwasser), Strom- oder Personalausfälle, Lieferengpässe, Maschinenschäden sowie zunehmend Cyber-Angriffe.
Ein BCM sieht für jeden dieser Zwischenfälle spezifische Maßnahmen und einen Notfallbewältigungsplan vor. Dank diesen kann auf Ausfälle schnell reagiert, ein Notbetrieb eingeleitet und die Rückkehr in den Normalbetrieb zeitnah begonnen werden. So lassen sich vertragliche Fristen und gesetzliche Vorgaben weiter einhalten, Verluste reduzieren, und die eigene Reputation kann gewahrt werden. Wichtig sind dabei ebenfalls die Versorgung und Sicherheit von Kunden, Geschäftspartnern und Beschäftigten. Welche Schäden tolerabel sind, hängt von der betroffenen Organisation ab. So benötigen KRITIS-Organisationen ein besonders starkes BCM, denn von ihrem kontinuierlichen Betrieb hängen die Gesundheit und Grundversorgung der Bevölkerung ab.
Für wen ist Business Continuity Management relevant?
Laut dem Institut für Business Continuity & Resilience Management e.V. (IBCRM e.V.) sind fast die Hälfte aller Unternehmen regelmäßig von Cyber-Attacken betroffen. Auch vor höherer Gewalt oder technischen Störungen ist niemand vollständig geschützt. Betriebssicherheit ist für jeden relevant.
Für KRITIS-Unternehmen ist die Einführung und Durchführung eines Business Continuity Managements sogar gesetzlich vorgegeben. KRITIS sind kritische Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Dies sind beispielsweise Anbieter aus den Branchen Transport und Verkehr, Gesundheit sowie Ernährung. In der Definition zeigt sich bereits, dass KRITIS ihren Betrieb stets aufrechterhalten müssen. Doch nur weil KRITIS-Betreiber als einzige gesetzlich dazu verpflichtet sind, ist ein ausgearbeitetes BCM für andere Unternehmen nicht weniger wichtig.
Die genaue Ausgestaltung der BCM-Maßnahmen ist nicht vorgegeben. Auf der sicheren Seite sind Sie, wenn Sie die ISO-Norm 22301 „Sicherheit und Resilienz - Business Continuity Management System – Anforderungen“ einhalten. Sie bezieht sich auf alle Krisen- und Notfallsituationen. Die Norm ISO/IEC 27001 ist zudem spezifisch für die Sicherheit der Informationstechnik ausgelegt. Die Anforderungen von ISO 27001 beinhaltet viele Überschneidungen mit denen an ein Business Continuity Management. Jeder, der eine Zertifizierung anstrebt, muss sich also vorher um sein BCM kümmern.
Der Notfallbewältigungsplan in einzelnen Schritten
Ein Business Continuity Plan (BCP) enthält sämtliche Notfall-Strategien in Bezug auf Anlagen, Kunden und Personal.
Tritt ein Notfall ein, ist das erste Ziel, einen Workaround zu finden. Dieser sollte den Notbetrieb mit den wichtigsten Aufgaben ermöglichen. Je nach Art des Vorfalls ist dies aber nicht immer so einfach möglich. Im Fall eines Brandes beispielsweise wird bis zur Sanierung oder zum Umzug keine Produktion (vor Ort) stattfinden können. Dennoch liegt der Fokus immer auf der schnellstmöglichen Wiederherstellung des Normalbetriebs.
Ein Notfallbewältigungsplan läuft folgendermaßen ab:
Eintritt eines Schadensereignisses:
Der Betrieb kommt zum Erliegen. Beispielsweise weil der Hauptlieferant eines Produktionsunternehmens aufgrund eines Streiks für mehrere Wochen ausfällt. Ohne diesen Lieferanten kann nichts mehr produziert werden. Jedoch ist die Firma selbst Zulieferer für weitere Unternehmen. Sie läuft nun Gefahr, empfindliche Vertragsstrafen zahlen zu müssen und wertvolle Kunden zu verlieren.
Sofortmaßnahmen:
Sobald der Notfall festgestellt wurde, muss das Schlimmste verhindert werden, indem Sofortmaßnahmen ausgeführt werden. Beim Lieferantenausfall sollte ein Ersatzlieferant beauftragt werden. Im Idealfall wurde dieser Notkontakt schon vorher im Zuge des Aufbaus des BCMs angelegt. Falls dieser Lieferant nicht im selben Maße liefern kann, müssen die Aufträge priorisiert werden.
Ausrufen des Notfalls:
Sobald die Lage klar ist, muss den Mitarbeitern und Kunden mitgeteilt werden, was vorgefallen ist. Im Beispiel wird ehrlich kommuniziert, dass sich die Lieferungen verzögern können. Eventuell muss ein Teil des Personals in Kurzarbeit geschickt werden, da im Notbetrieb nicht alle Mitarbeiter ausgelastet sind.
Reaktionszeit:
Dies ist die Dauer, in der auf den Vorfall reagiert wird, in der die Sofortmaßnahmen durchgeführt und die BAO (Besondere Aufbauorganisation) aktiviert werden. In dieser Zeitspanne steht der Betrieb still. Eine BAO ist eine zeitlich begrenzte Organisation, die für die Bewältigung des Notfalls zuständig ist und sich in Krisenstab und Notfallbewältigungsteam gliedert.
Zusätzlich zur Reaktionszeit musste eine maximal tolerierbare Ausfallzeit definiert werden. Diese bestimmt, wie lange der Geschäftsbetrieb maximal ausfallen kann, ohne dass das Weiterbestehen des Unternehmens gefährdet ist. Der Notbetrieb muss innerhalb dieses Zeitrahmens anlaufen.
Wiederanlauf:
Der erste Schock ist vorüber und der Notbetrieb wird durch den Krisenstab eingeleitet. Die Produktion startet langsam wieder. Im Beispielfall wird mit einem oder mehreren Ersatzlieferanten gearbeitet und so eine Produktion in vermindertem Maß ermöglicht. Einige Mitarbeiter befinden sich in Kurzarbeit.
Wiederherstellung:
Wurde etwas beschädigt, wird es in dieser Phase parallel zum Notbetrieb repariert oder ersetzt, damit anschließend der Normalbetrieb wieder aufgenommen werden kann. In unserem Fall wird in Erfahrung gebracht, wie lange die Streiks des Hauptlieferanten vermutlich anhalten. Ist dies unklar, muss eine dauerhafte Alternative gefunden werden. Ist es klar, werden Absprachen für die Zeit nach dem Streik getroffen. Am Ende der Wiederherstellungszeit sollte der Notbetrieb in den Normalbetrieb zurückgeführt werden können.
Rückführung:
Dies sind die Maßnahmen für den konkreten Übergang zurück zum Normalbetrieb. Im Falle eines Stromausfalls würde der Notstrom abgestellt und die übliche Versorgung wieder aktiviert werden. Im Beispielfall endet der Streik, der alte Lieferant ist wieder aktiv und die Notversorgung durch den Ersatzlieferanten kann eingestellt werden. Alternativ wäre inzwischen ein neuer Hauptlieferant unter Vertrag genommen worden oder der Ersatzlieferant als permanenter Hauptlieferant mit höherer Liefermenge gewonnen worden.
Normalbetrieb:
Die Produktion oder die Dienstleistung laufen wieder ab wie vor dem Schadensereignis. Das Personal kann aus der Kurzarbeit zurückgeholt werden und sollte wieder seine üblichen Wochenstunden arbeiten. Gegebenenfalls müssen nun aber Überstunden gemacht werden, um die Ausfälle und Liegengebliebenes nachzuarbeiten.
Nacharbeiten:
Der Vorfall wird abschließend besprochen, den helfenden Händen (den Ersatzlieferanten) wird gedankt, Liegengebliebenes wird abgearbeitet. Je nach Fall kann dies einige Zeit in Anspruch nehmen und den wirklichen Normalbetrieb noch verzögern. Für den nächsten Schadensfall wird der Notfallplan verbessert. Zu den Nacharbeiten gehört also immer auch eine Analyse des BCPs und seiner Umsetzung.
Aufbau und unterstützende Maßnahmen
Sie können sich den Aufbau eines Business Continuity Management Systems erleichtern.
Der erste Schritt dazu wäre, möglichst präventiv vorzugehen: Verstärken Sie Ihre Sicherheitsvorkehrungen mit regelmäßigen Audits und kontinuierlichem Compliance Management. Halten Sie nationale, internationale und branchentypische Standards ein. Schulen Sie Mitarbeiter regelmäßig und verschlüsseln Sie Ihre Daten.
Nicht nur KRITIS-Einrichtungen, sondern jedes Unternehmen sollte eine ISO-Zertifizierung in Bezug auf IT-Sicherheit (ISO 27001) und allgemeine Resilienz (ISO 22301) anstreben. Zudem gibt es weitere Normen wie die ISO 31000 für Risikomanagement oder die ISO 9001 für Qualitätsmanagement. Sind die Anforderungen dieser Normen erfüllt, ist ein großer Teil der Arbeit getan.
Überlegen Sie nicht erst, was zu tun ist, wenn es zum Schadensfall kam, sondern erstellen Sie ein BCM bereits im Normalbetrieb. Identifizieren Sie dafür zunächst zeitkritische Prozesse. Führen Sie auf Basis Ihrer im Risikomanagement identifizierten Risiken eine Business-Impact-Analyse durch. Dadurch wird die Auswirkung aller Störungen ermittelt.
Vereinfacht wird der Aufbau eines BCMs zudem durch ein engagiertes Management. Es muss sich jemand für die Notfallbewältigung verantwortlich fühlen. Legen Sie eine Rollenverteilung fest und erstellen Sie eine besondere Aufbauorganisation (BAO).
Ein guter BCM-Plan folgt dem PDCA-Zyklus: Plan – Do – Check – Act. Das heißt, alle Maßnahmen Ihres Notfallplans werden regelmäßig getestet, kontrolliert und verbessert. Der jeweils aktuelle Plan wird dann sowohl digital als auch analog an alle Beteiligten ausgehändigt. Die Speicherung sollte ebenfalls sowohl lokal als auch online geschehen, um einen konstanten Zugriff zu gewähren.
BCM als Teil eines GRC-Tools
Zusätzlich profitiert ein BCM-System von den Applikationen und Synergien eines GRC-Tools (Governance, Risk & Compliance). Eine umfangreiche GRC-Software greift auf eine zentrale Datenbasis zurück, wodurch wertvolle Zeit beim Eintragen von Daten in den verschiedenen Applikationen gespart werden kann. Sie hilft beim Erkennen und Analysieren von Risiken, worauf ein BCM optimal aufbauen kann, berechnet Wahrscheinlichkeiten und Schadenshöhen und stellt diese anschaulich dar. In Reports werden Schwachstellen sichtbar und ein vorhandenes Risikomanagement lässt sich einfach einbinden. Dies alles ermöglicht Ihnen eine lückenlose und dokumentierte Umsetzung Ihrer Compliance-Anforderungen.
Ab einer gewissen Komplexität im Unternehmen ist eine GRC-Software also unabdingbar. Mithilfe der Software können Sie sich auf das Wesentliche konzentrieren und sind im Notfall schneller und effizienter wieder handlungsfähig.