Business-Continuity-Managementsysteme (BCMS) – IT-Notfallmanagement weitergedacht
Ein funktionierendes Business-Continuity-Management zur Gewährleistung des unterbrechungsfreien Betriebs einer Organisation gewinnt in der heutigen digitalisierten Welt immer mehr an Bedeutung. Aufgrund der stetig steigenden Gefahr durch Cyberangriffe für Organisationen ist für ein umfassendes und effektives Risikomanagement unverzichtbar. Das Vorhandensein von präventiven und reaktiven Maßnahmen sowie einer angemessenen Notfallplanung können in einem echten Notfall entscheidend für das Fortbestehen der Organisation sein.
Welche Bedeutung hat ein Business-Continuity-Managementsystem (BCMS) für Ihr Unternehmen?
Ein funktionierendes Business-Continuity-Management zur Gewährleistung des unterbrechungsfreien Betriebs einer Organisation gewinnt in der heutigen digitalisierten Welt immer mehr an Bedeutung. Aufgrund der stetig steigenden Gefahr durch Cyberangriffe für Organisationen ist für ein umfassendes und effektives Risikomanagement unverzichtbar. Das Vorhandensein von präventiven und reaktiven Maßnahmen sowie einer angemessenen Notfallplanung können in einem echten Notfall entscheidend für das Fortbestehen der Organisation sein.
Was ist ein Business-Continuity-Managementsystem (BCMS)?
Das, was wir heute unter Business-Continuity-Management verstehen, wurde bis vor nicht allzu langer Zeit noch als Notfallmanagement bezeichnet.
Ziel eines Business-Continuity-Managementsystems ist es, die organisatorischen Rahmenbedingungen zu schaffen, um die zeitkritischen Geschäftsprozesse abzusichern und im Notfall oder in der Krise diese Geschäftsprozesse nicht unter eine gewisse (Produktivitäts-)Grenze rutschen zu lassen. Das Ziel ist also in erster Linie, existenzbedrohende Schäden abzumildern, indem die für die Organisation wichtigsten Geschäftsprozesse präventiv und reaktiv abgesichert werden.
Im letzten Punkt liegt auch der größte mit einem BCMS möglicherweise verbundene Trugschluss, der nicht zuletzt aus der mittlerweile aufgegebenen Bezeichnung „Notfallmanagement“ resultiert: beim BCMS geht es nur um rein reaktive Maßnahmen, die erst im konkreten Notfall zu greifen beginnen. Tatsächlich ist ein Teil eines BCMS, präventiv die Resilienz der erfolgskritischen Geschäftsprozesse zu erhöhen.
Ein heutzutage sehr wichtiges Geschäftsgebiet ist „die IT“, also Ihre IT-Infrastruktur, Systeme und Anwendungen, die Sie für Ihre Aufgabenerfüllung benötigen. Wenn man nur diesen Teilbereich absichern möchte, spricht man auch vom IT-Notfallmanagement oder vom IT-Service-Continuity-Management. Im Gegensatz zu dieser sehr eingeschränkten Herangehensweise wird mit dem BCMS ein ganzheitlicher Ansatz verfolgt. So werden bei den relevanten Geschäftsprozessen alle erforderlichen Ressourcen analysiert und deren Kritikalität bewertet – inklusive der unterstützenden IT-Ressourcen.
Wenn Sie jetzt denken, dass diese Herangehensweise sehr aufwendig ist und von einem kleinen Unternehmen nicht bewältigt werden kann: Gemäß dem BSI-Standard 200-4 gibt es drei verschiedene Stufen, die sich sowohl im Umfang der zu betrachtenden Geschäftsprozesse als auch in der Tiefe der Methodik unterscheiden. Es ist also Ihnen überlassen, die „große Lösung“ zu wählen, also alle Geschäftsprozesse zu betrachten, oder mit einem kleinen Ausschnitt zu beginnen – je nachdem, was Ihre Ressourcen zulassen.
Welche Synergien gibt es zwischen einem BCMS und bestehenden ISMS und QMS?
Wenn Sie den Weg zu einem BCMS einschlagen, können Sie auch Synergien mit anderen, vielleicht bereits vorhandenen Managementsystemen nutzen. Dadurch ist der Aufbau eines integrierten Managementsystems denkbar.
Sollten Sie bereits ein Informationssicherheitsmanagementsystem (ISMS) implementiert haben, sind bereits die proaktiven Absicherungsmaßnahmen zugunsten der Verfügbarkeit bei Ihnen abgedeckt. Außerdem können Sie sich die zugrunde liegende Dokumentation und Strukturanalyse zunutze machen.
Ein Unterschied liegt allerdings in den relevanten Schutzzielen. Bei der Informationssicherheit sind neben der Verfügbarkeit ebenso die Vertraulichkeit und Integrität relevant. Beim BCMS beschränkt man sich hingegen auf die Verfügbarkeit der wichtigsten Geschäftsprozesse sowie der Ressourcen, die zur Ausführung dieser Geschäftsprozesse erforderlich sind.
Aus einem vorhandenen QMS (Qualitäts-Managementsystem) können Sie von einer vorhanden Prozesslandkarte profitieren, da diese bereits Anhaltspunkte bietet, an welcher Stelle mit dem BCMS eingestiegen werden kann.
Generell ist es hilfreich, wenn bereits irgendein Managementsystem vorhanden ist, da somit die prozessorientierte Arbeitsweise mit einem kontinuierlichen Verbesserungsprozess bereits bekannt ist. Dadurch können Sie Ressourcen sparen und Synergien nutzen.
Wie läuft ein Sicherheitsvorfall mit und ohne BCMS ab?
Um Ihnen die Wirkung eines funktionierenden BCMS zu zeigen, möchten wir Ihnen den Unterschied im zeitlichen Ablauf der Bewältigung eines Sicherheitsvorfalls schildern.
Im „Normalfall“ könnte ein Sicherheitsereignis zum Totalausfall eines wichtigen Geschäftsprozesses führen. Wenn Sie hierauf nicht vorbereitet sind, versuchen Sie natürlich, zunächst die Ursache zu ermitteln und darauf aufbauend Lösungen zur Wiederherstellung des Geschäftsbetriebs zu entwickeln. Das ist zwangsläufig mit einer sogenannten Chaosphase verbunden, die wertvolle Zeit kostet.
Mit einem funktionierenden BCMS haben Sie sich bereits auf einen solchen Totalausfall vorbereitet und wissen, wie Sie den Geschäftsprozess in einem bestimmten Zeitraum (den Sie vorher herausgearbeitet und festgelegt haben) wiederherstellen und so schnellstmöglich zum Normalbetrieb zurückkehren können. Insbesondere die erforderliche Stabsarbeit verkürzt Entscheidungswege und ermöglicht ein schnelles und flexibles Handeln.
Fazit: Existenzbedrohung durch ein adäquates BCMS abwenden
Cyberangriffe führen nicht selten zum Totalausfall systemrelevanter Geschäftsprozesse. Im Worst Case funktioniert nichts mehr und der Wiederanlauf verläuft schleppend. Um existenzbedrohende Schäden abzuwenden, können Sie ein BCMS implementieren und somit die Resilienz Ihrer Organisation erhöhen.
