Business Continuity – auch wenn die Welt stillsteht – so bleiben Sie produktiv

20 Aug

  • in BCMS
  • von
  • 0

Geschichte/ Entwicklung[1]

Ein Business Continuity Management (BCM) hat sich mittlerweile eine feste Position in der „Normen-Landschaft“ geschaffen.
Hier sind zwei BCM-Standards von großer Bedeutung und entsprechend verbreitet:

  • ISO 22301 als international zertifizierbare Norm sowie
  • der Standard 100-4 des Bundesamts für Sicherheit in der Informationstechnik (BSI)

ISO 22301 “Sicherheit und Schutz des Gemeinwesens – Business Continuity Management System” definiert die Anforderungen an ein Business Continuity Management System für eine Zertifizierung.
Es war der erste ISO-Standard nach der High Level Structure (HSL); dieser erleichtert die Migration verschiedener Managementsysteme zu einem Integrierten Managementsystem.

ISO 22301 ist aus dem British Standard BS 25999 entstanden, der bereits im Dezember 2006 erschien. Der BS 25999 fand weltweit schnell Beachtung und wurde zu einem Beststeller für British Standards.
Vorläufer des BS 25999 wiederum war der Public Available Standard PAS 56, der 2003 von British Standards und dem Business Continuity Institute BCI herausgegeben wurde. PAS 56 beinhaltete bereits den BCM-Lebenszyklus, wie er sich heute noch vielfach in Standards wiederfindet.

 

Warum BCM?

„Zur Wahrscheinlichkeit gehört auch, dass das Unwahrscheinliche eintritt.“ (Aristoteles)

Wir alle haben das Bedürfnis, dass alles seinen gewohnten Gang geht und auch Einwirkungen, egal welchen Ursprungs, uns kaum nennenswerte Einschränkungen des täglichen Lebens bescheren.

Die Covid-19-Pandemie (SARS-CoV-2) hat uns allen gezeigt, wie schnell auf kritische Ereignisse reagiert werden muss und kann.

Damit Unternehmen widerstandsfähiger gegen Bedrohungsszenarien werden, bietet ISO 22301 den geeigneten Rahmen. Bislang beherrschten mögliche Cyber-Attacken das Präventions- und Krisenmanagement von Unternehmen – hier sollte nun der Fokus ausgeweitet werden.

Weitere Störungen können z.B. lokale Naturereignisse, Gesundheitskrisen oder der Ausfall einer „kritischen“ Infrastruktur sein. Durch die Globalisierung, steigende technische Komplexität und Vernetzung werden mögliche Störungen nicht nur wahrscheinlich, sondern fast zwangsläufig zu erwarten sein. Treiber dieser Entwicklung sind meist dicht gekoppelte Komponenten in den Lieferketten.[2]

Die ISO 22301 selbst, definiert den „Zweck“ eines Business Continuity Management unter Punkt 1 Anwendungsbereich, um

  • sich gegen Zwischenfälle mit Betriebsunterbrechung zu schützen,
  • die Wahrscheinlichkeit ihres Auftretens zu vermindern,
  • sich auf diese vorzubereiten,
  • auf diese reagieren zu können und
  • sich von diesen erholen zu können

wann immer sie auftreten.

Um dies zu bewerkstelligen, ist es für ein Unternehmen notwendig, sich Gedanken zu folgenden Punkten zu machen:

  • Identifikation der „kritischen“ Prozesse und Werte im Rahmen einer Business Impact Analyse (BIA) und die Durchführung einer anschließenden Risikobewertung
  • Was beinhaltet der Mindestservicelevel (MSL) und was brauche ich dazu?
  • Welche (zusätzlichen) Ressourcen benötigen wir für die Aufrechterhaltung der Betriebsfähigkeit bzw. einen geregelten „Not-Betrieb“?

Zusammenfassen lässt sich ein Business Continuity Management wie folgt:

Es unterstützt Unternehmen und Organisationen jeglicher Größenordnung dabei, aktuelle und zukünftige Bedrohungen zu identifizieren, zu bewerten und damit geplant umzugehen.
Das Ziel eines BCM ist die Minimierung der Auswirkungen von Schadensereignissen/ Vorfällen und die sinnvolle Verkürzung von Ausfall- und Wiederherstellungszeiten.

 

 

ISO 22301 eingeführt und jetzt?

Die Einführung eines BCM auf Basis ISO 22301 stellt allenfalls den Startschuss für ein zielführendes Krisenmanagement dar.

Es gilt die identifizierten, notwendigen „kritischen“ Prozesse im Unternehmen durchgehend zu überwachen und mögliche neue Bedrohungen zu erkennen.

Daraus resultiert eine Notfallplanung, die es dem Unternehmen ermöglicht bereits beim Eintritt eines Notfalls/ einer Krise die richtigen Schritte zu unternehmen.

Damit dies reibungslos gelingt, ist es zwingend erforderlich den Umgang mit diesen Situationen regelmäßig zu üben, aufgedecktes Verbesserungspotenzial als gewinnbringend in einen kontinuierlichen Verbesserungsprozess (KVP) einfließen zu lassen und so das Vertrauen innerhalb des Unternehmens, aber auch bei Kunden und Lieferanten zu stärken.

Hier unterstützen wir Sie gerne mit unseren Trainings/ Schulungen und auch bei der Planung, Vorbereitung, Durchführung und Nachbereitung von (Krisen-)Stabsübungen. Hier schaffen wir spürbaren Mehrwert, da unsere Berater aus den Bereichen der Gefahrenabwehr kommen und teilweise selbst Einsatzerfahrung bei der Abarbeitung von „Katastrophen“ gesammelt haben.

 

Der Security Awarness Blues[3]

Wer spürt ihn nicht, den „Gegenwind“, wenn man Ressourcen für die Vorsorge im BCM (z.B. redundante Geräte, externe Unterstützung etc.) aufbauen möchte – hier zeigt sich ein Phänomen mit dem Begriff „Präventionsparadox„.

Bevor Sie nun als Verantwortlicher den Security-Awareness-Blues „Woke up this morning and ain‘t got no friends …“ vortragen und Sie sich fragen, warum niemand außer Ihnen ein Bewusstsein für (mögliche) Bedrohungen/ Sicherheitsrisiken in Ihrem jeweiligen Verantwortungsbereich entwickelt. Ist es in der Praxis so, dass das Bewusstsein für diese sicherheitsaffine Kausalität und die notwendige Notfall-Vorsorge meist fehlt in den verantwortlichen Ebenen. Dieses Verständnis zu schaffen, ist und bleibt die Aufgabe von Business Continuity Managern und Sicherheitsverantwortlichen.

Das Präventionsparadox[4] wurde bereits in den 1980er Jahren beschrieben als bevölkerungs- und risikogruppenbezogenes Dilemma: „Eine präventive Maßnahme, die für Bevölkerung und Gemeinschaften einen hohen Nutzen bringt, bringt dem einzelnen Menschen oft nur wenig – und umgekehrt.“
Ein Beispiel hierzu wäre die Impf-Bereitschaft in der Bevölkerung; nimmt die Zahl der Neuinfektionen ab, verliert das klinische Bild der Erkrankung im Bewusstsein der Bevölkerung an Bedeutung – zugleich erscheinen Nebenwirkungen der Impfungen gravierender als die Krankheit selbst.
Anders ausgedrückt: Wenn keine Infektionen mehr festzustellen sind, ist das ein Zeichen dafür, dass die Prävention gut war und nicht, dass sie überflüssig war.

Goodie

Der „Sicherheits-Berater“ ist das führende Fachmagazin für Sicherheitsthemen.

Um die Inhalte auch während der Coronavirus-Epidemie verfügbar zu machen, haben sich die Herausgeber dazu entschlossen, die Inhalte des Archivs ab 06/2020 offen zugänglich zu machen.

Link: https://www.sicherheits-berater.de/startseite.html, 14.07.2020

 

Ihr Business soll System bekommen? Dann klicken Sie jetzt hier!

 

 

 

[1] https://www.3grc.de/bcm/bcm-standards-normen-und-good-practices/#:~:text=Vom%201994%20gegr%C3%BCndeten%20Business%20Continuity,und%20Standardisierung%20des%20BCM%20zur%C3%BCckblickt.
[2] https://industrieanzeiger.industrie.de/management/auch-ein-betriebsausfall-muss-kalkulierbar-sein/, 14.07.2020
[3] https://www.sicherheits-berater.de/themen/artikel-ohne-abo/editorial/der-security-awareness-blues.html, 14.07.2020
[4] www.leitbegriffe.bzga.de, 14.07.2020

 

Bildnachweis: relif von Getty Image Pro auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.