Business-IT
08.02.2019
BCM
1. Teil: „Business Continuity Management wappnet Firmen“

Business Continuity Management wappnet Firmen

Autor:
Domino-Effekt aufhaltenDomino-Effekt aufhaltenDomino-Effekt aufhalten
SizeSquare's / shutterstock.com
Cyberangriffe, Katastrophen oder Feuerschäden - jedes Unternehmen kann betroffen sein. Umso wichtiger ist es, mögliche Ausfallzeiten via BCM zu minimieren.
  • Gefährdete MittelständlerGefährdete MittelständlerGefährdete Mittelständler
     
    Angriffe auf Unternehmen: In den vergangenen beiden Jahren traf es besonders den Mittelstand.
    Quelle:
    Bitkom Research, n = 503
Den November 2018 werden die IT-Verantwortlichen des Klinikums Fürstenfeldbruck im Westen von München nicht so schnell vergessen. Anfang dieses Monats wurde das Krankenhaus Opfer eines Hackerangriffs, der für etwa eine Woche alle rund 450 Rechner lahmlegte. Die Ursache: Ein Mitarbeiter hatte Schad-Software in einem E-Mail-Anhang geöffnet und damit das IT-System infiziert. Die Klinik konnte mehr als eine Woche lang nicht im Normalbetrieb arbeiten.
Angriffe wie dieser sind kein Einzelfall mehr. Dem Branchenverband Bitkom zufolge wurden 68 Prozent der deutschen Industrieunternehmen in den vergangenen zwei Jahren Opfer von Sabotage, Datendiebstahl oder Spionage. Der Gesamtschaden laut Bitkom: 43,4 Milliarden Euro.

Das Geschäft muss weiterlaufen

Kein Wunder, schließlich sind die Geschäftsprozesse in einer digitalen Welt mehr oder weniger vollständig von der Verfügbarkeit der IT-Infrastruktur abhängig. Da die Lieferketten internationalisiert sind, kann auch der Ausfall der IT-Systeme bei Zulieferern erheblichen Schaden verursachen. Doch nicht nur Cyberangriffe sind die Ursache für gestörte Geschäftsprozesse. Auch Naturkatastrophen oder Terroranschläge stellen das Notfall-Management auf den Prüfstand.
Aber: Viele Firmen sind nur unzureichend widerstandsfähig gegen solche Ereignisse. Das zeigt eine weltweite Umfrage des Sicherheitsspezialisten Tanium unter 4.000 Entscheidungsträgern unter anderem in Deutschland. Danach gehört Business Resilience nur bei 54 Prozent der weltweit Befragten zur erweiterten Geschäftsstrategie ihres Unternehmens. Mit anderen Worten: Rund die Hälfte der Firmen ergreift keine aufeinander abgestimmten Maßnahmen, um sich gegen Geschäftsunterbrechungen, etwa durch Cyberangriffe, zu wappnen.
Es ist also an der Zeit zu handeln. Wie aber bekommen Unternehmen die Schäden durch digitale Attacken oder andere Notfälle schnell in den Griff? Die Antwort lautet: Business Continuity Management (BCM). Ziel von BCM ist es, derartige Schäden zu begrenzen und bestmögliche Vorkehrungen für den Fall schwerer Störungen zu treffen.
2. Teil: „Das ist BCM “

Das ist BCM

„Business Continuity Management sichert zeitkritische Geschäftsprozesse eines Unternehmens, um bei einem Notfall die Schadensfolgen zu minimieren und mit Hilfe von Notfallkonzepten und -plänen einen zuvor definierten Notbetrieb zu erreichen. Zudem geht es um den möglichst zeitnahen Wiederanlauf in den Normalbetrieb“, erklärt Matthias Hämmerle, Berater für BCM sowie Notfall- und Krisenmanagement.
Während sich Business Continuity Management auf die Geschäftsprozesse des Unternehmens konzentriert, hat das IT Service Continuity Management (ITSCM) oder auch Disaster Recovery die Wiederherstellung der IT-Anwendungen, Daten und IT-Systeme im Fokus. In der IT ergänzen sich laut Hämmerle beide Disziplinen. „Das BCM für die IT sichert die IT-Geschäftsprozesse und deren Ressourcen, ohne die eine Wiederherstellung der IT gar nicht möglich wäre, sowie elementare IT-Unterstützungsprozesse für die Fachbereiche.“
Ein Beispiel: BCM betrifft übergeordnet die Geschäftsprozesse, wenn etwa in einer Bank der Zahlungsverkehr nicht mehr funktioniert, weil die IT ausfällt. Inhalt des BCM wäre hier, wie die Bank den Zahlungsverkehr ohne IT-Unterstützung bestmöglich weiterführt. Parallel versucht die IT im
IT Service Continuity Management, die betroffenen IT-Systeme wiederherzustellen.

Risiken bewerten

Der erste Schritt auf dem Weg zum BCM ist die Risikoanalyse. Es geht darum, Risiken oder kritische Prozesse zu identifizieren und sicherzustellen, dass sie nicht beeinträchtigt werden. Mittel der Wahl ist die Business-Impact-Analyse (BIA). Hier schätzen Firmen die Schadensfolgen bei einem Ausfall der Systeme. Die BIA erstreckt sich neben den Fachbereichen natürlich auch auf die IT, die mit den IT-Services das Rückgrat der Geschäftsprozesse stellt. Dazu gehören der Betrieb der Anwendungen und Systeme, die Anwendungsentwicklung, Help Desk oder die IT-Security. Die Fachbereiche bewerten in ihrer BIA, welche IT-Services wie kritisch für ihre Prozesse sind. Im Idealfall liegen Service Level Agreements (SLAs) vor, die die Anforderungen an die IT-Services und deren Verfügbarkeiten klar definieren. Daraus leitet die IT ab, welche Prozesse und Ressourcen sie benötigt, um die Anforderungen zu erfüllen.
„Die Kunst ist es, die IT tatsächlich dauerhaft aktuell zu halten und im Krisenfall schützen zu können. Im Krisenfall hilft es wenig, sich nur auf Manuskripte, die unterbrechungsfreie Stromversorgung (USV) und Schiffsdiesel sowie das Backup zu verlassen. Es bedarf auch einer krisensicheren Messaging-Lösung. Zudem sollten das Management von Cloud-Lösungen, virtuelle Systeme, Datenbanken, Applikationen samt Logiken und Priorisierungen abbildbar sein“, erklärt Jürgen Kolb, Managing-Partner beim Security-Spezialisten iQSol.
BCM-Projekte – Tipps zur Umsetzung
Ein BCM-Projekt besteht im Wesentlichen aus den folgenden Etappen:
  • BCM-Leitlinie: Die Leitlinie legt die Ziele von Business Continuity und den Geltungsbereich des BCM fest. Sie umfasst auch die Definition der Verantwortlichkeiten.
  • Business-Impact-Analyse: In der BIA schätzen Firmen die Folgen bei einem Ausfall der Systeme. Das können finanzielle Einbußen sein, Image-Schäden oder der Verstoß gegen Gesetze und Verträge. Eng damit verbunden ist die Analyse und Bewertung von Risiken oder kritischen Prozessen im Unternehmen. Welche Themen bergen das größte Risiko für unsere Werte (Assets wie Informationen, Hardware, Software, Mitarbeiter, Reputation), Geschäftsprozesse und den Betrieb?
  • Notfallplan und Checklisten: Der Notfallplan beschreibt in Form von Wenn-dann-Szenarien detailliert die Schritte, Prozeduren und Verfahren im Fall des Ausfalls der Systeme. Hilfreich sind Checklisten, damit die Mitarbeiter genau wissen, was im Notfall zu tun ist. Sehr wichtig sind auch die jeweiligen Kontaktdaten für die Alarmierung und die Kommunikationswege zur Steuerung und Überwachung einer kritischen Situation.
  • Tests und kontinuierliche Verbesserung: Im Rahmen der PDCA-Methodik sollte man die BCM-Regeln mittels Übungen und Tests immer wieder prüfen und fortlaufend weiterentwickeln.
Tabelle öffnen
3. Teil: „Notfallplan“

Notfallplan

Die Risikobewertung bildet die Basis für den Notfallplan. Idealtypisch gibt es fünf Phasen für die Rückkehr aus der Krise in den regulären Betrieb: 1. Sofortmaßnahmen, 2. Wiederanlauf Notbetrieb, 3. Notbetrieb, 4. Wiederherstellung Normalbetrieb, 5. Nachbearbeitung. 
Der IT-Notfallplan beispielsweise legt Verantwortlich­keiten fest und beschreibt meist in Wenn-dann-Szenarien detailliert die Schritte und Verfahren bei Ausfall der kritischen Systeme.
„Am besten ist es, für Notfälle Checklisten zu erstellen, damit die Mitarbeiter genau wissen, was im Fall der Fälle zu tun ist. Diese Pläne funktionieren aber nur, wenn das beschriebene Szenario auch exakt so eintritt, wie es der Plan vorsieht“, betont Matthias Hämmerle. Die Realität sieht oft anders aus. Es ist schlicht unmöglich, jeden Notfall detailliert zu planen. Dann benötigen Firmen eine Organisation, die die Maßnahmen koordiniert und die Pläne an die aktuelle Lage anpasst.
„Das ist der Krisenstab. Er steuert die Notfallmaßnahmen vor allem bei einer externen Wirkung, sprich wenn Kunden betroffen sind, die Presse vor der Tür steht oder die IT-Abteilung die Störung nicht mehr im Linienbetrieb beheben kann, etwa wenn Ransomware das Backup verschlüsselt hat. Der Krisenstab ist eher reaktiv, baut auf Notfallplänen auf, während das BCM mit seiner Notfallplanung eher präventiv agiert“, so Hämmerle weiter.
Jürgen Kolb von iQSol sieht beim Thema BCM einen theo­retischen und einen praktischen Teil. „Ein Notfallhandbuch sorgt für Klarheit, wer zuständig ist, welche Geräte und Abhängigkeiten es gibt und wo sich etwa Backups der Daten befinden, damit diese nach einem Crash schnell eingespielt werden können.“ In der Praxis geht es Kolb zufolge auch darum, schnell Maßnahmen zu ergreifen, „damit aus einem Notfall keine Katastrophe wird. Hier sind drei Schritte wichtig: Unregelmäßigkeiten im Netzwerk erkennen zu können, die unverzügliche, verlässliche Alarmierung der zuständigen Mitarbeiter in der IT und drittens das Ergreifen wirksamer Maßnahmen zum Schutz der Systeme.“

Ständige Tests

BCM sollte natürlich kein Papiertiger sein, sondern auch in der Praxis funktionieren. Firmen müssen daher ihr Notfallkonzept und ihr Krisenmanagement regelmäßig durch Tests und Übungen überprüfen. In den Disaster-Tests üben sie das Vor­gehen, das im Notfallhandbuch festgelegt wird. Doch nicht alle Systeme verhalten sich entsprechend der Theorie. „Das Durchhaltevermögen von USVs ist mitunter kürzer als angenommen, Leitungen können defekt sein, es kommt zu wiederholten Starts der Systeme oder es fehlen schlichtweg Bediener“, betont Jürgen Kolb.
BCM ist ein permanenter Prozess und fordert die kontinuierliche Verbesserung nach der PDCA-Methodik:
  • Plan: Definition des Soll-Zustands
  • Do: Umsetzung des Soll-Zustands in den Ist-Zustand
  • Check: Vergleich des umgesetzten Ist-Zustands mit dem zuvor definierten Soll-Zustand
  • Act: Anpassung des Ist-Zustands aufgrund festgestellter Probleme
Im letzten Schritt werden die Ursachen der festgestellten Abweichungen abgestellt, der PDCA-Zyklus beginnt wieder von vorn.
Krisenstabsübungen
Eine der wichtigsten Maßnahmen in der Notfall- und Krisenprävention sind Krisenstabsübungen. Hier lernen die Teilnehmer des Krisenstabs den Umgang mit unerwarteten Ereignissen, um wieder Herr der Lage zu werden.
„Beim Erstellen von Drehbüchern für diese Übungen kann man seiner Fantasie freien Lauf lassen. Unwetter, Stromausfälle, Hackerangriffe, Terroranschläge, Epidemien, alles ist möglich. Es ist nicht schwer, relativ realistische Stress-Situationen hervorzurufen und Zeitdruck aufzubauen. Wir nutzen dazu Medientechnik, um eingehende Meldungen zu simulieren, Berichte aus dem Radio oder TV darzustellen und vieles mehr“, sagt Manfred Harwardt, Business-Continuity- Manager und Krisenmanagement-Trainer für Banken bei
Fiducia & GAD. Der Krisenstab ist das wichtigste Gremium beim Management derartiger Extrem­situationen. Der engere Krisenstab besteht meist aus dem Leiter des Krisenstabs, seinem Assistenten, einem Protokollanten, einem Mitarbeiter, der alle entstandenen Probleme und deren Status visualisiert, sowie einem Mitarbeiter für die Krisenkommunikation, der alle Berichte zur Katastrophe in Presse, Radio, TV und Social Media überwacht und der Öffentlichkeit Rede und Antwort steht. Der erweiterte Krisenstab kann aus Teilnehmern wie IT- oder Prozess-Spezialisten, Personalabteilung oder Juristen bestehen.
Ziel des Krisenstabs ist es, die Lage wieder unter Kontrolle zu bringen. Er entscheidet, welche Teams und Notfallpläne in welcher Reihenfolgen aktiviert werden, leitet zusätzliche Maßnahmen ein, die nicht in Plänen stehen und sich nicht vorbereiten lassen, und überwacht, welche Quellen in welcher Weise über die Katastrophe berichten (Monitoring).
Tabelle öffnen
4. Teil: „CEO muss unterstützen“

CEO muss unterstützen

  • Gartner Magic Quadrant BCM 2017Gartner Magic Quadrant BCM 2017Gartner Magic Quadrant BCM 2017
     
    „Magic Quadrant for BCM Program Solutions 2017“: Die Einschätzung von Gartner gilt für den internationalen Markt.
    Quelle:
    Gartner
In den Augen von Matthias Hämmerle besteht Business Continuity Management aus einem ganzen Strauß von Maßnahmen auf unterschiedlichen Ebenen. „Die Kernbotschaft zu BCM lautet: Be prepared – bereite dich mittels Notfallplänen und vor allem im Rahmen von Tests und Übungen auf alle möglichen Szenarien vor, dann kannst du im Notfall besser reagieren. Die Frage ist nämlich nicht, ob das passiert, sondern wann.“
Entscheidend für den Aufbau eines nachhaltigen BCM ist das Mandat der Geschäftsleitung. Der CEO muss die BCM-Konzepte unterstützen, die Fachbereiche mit ins Boot holen, sowie die finanziellen und personellen Ressourcen bereitstellen. „Die größte Hürde ist gemeistert, wenn ein Bewusstsein darüber existiert, dass wirklich etwas passieren kann“, weiß Jürgen Kolb. Sinnvoll ist es zudem, das BCM als Stabsstelle unterhalb der Geschäftsführung einzurichten. „Schon jetzt werden Business-Continuity-Manager aufgewertet und erhalten eigene Budgets. Dieser Trend wird sich fortsetzen, damit sie im Krisenfall auch operativ tätig sein können.“

Orientierung an Standards

Beim Aufbau, Betrieb und der Optimierung eines BCM-Systems empfehlen die von com! professional befragten Experten die Orientierung an Standards und Best Practices wie ISO 22301, ISO 27031 oder BSI 100-4. ISO 22301 beispielsweise basiert auf dem PDCA-Zyklus (Plan, Do, Check, Act) und enthält neben Planung, Überprüfung und Training auch die Verbesserung von Organisationsprozessen. ISO 27031 konzen­triert sich auf die Schnittstellen zwischen BCM und IT-Notfallmanagement, der BSI-Standard 100-4 zeigt einen systematischen Weg für den Aufbau eines Notfallmanagements etwa in einer Behörde.

BCM-Tools

Als weitere Hilfe gibt es spe­zi­elle Software-Lösungen, die Unternehmen unterstützen. Sie bieten eine zentrale Datenhaltung für Geschäftsprozesse und IT-Anwendungen sowie Schnittstellen zu Systemen etwa zur Alarmierung oder zur IT-Strukturanalyse.
Eine erste Orientierung böte eigentlich der „Magic Qua­drant for Business Continuity Management Program Solutions“ von Gartner, der wichtige Hersteller umfasst. Der Haken: „Der Gartner-Quadrant betrifft den internationalen Markt. In Deutschland können diese großen Anbieter nur schwer Fuß fassen“, erklärt Matthias Hämmerle.
Auf dem deutschen Markt gibt es laut Hämmerle einige wenige spezialisierte Hersteller von BCM-Tools mit Funktionen wie Business-Impact-Analyse und Notfallplan, darunter etwa HiScout, Controllit oder die Beluga-Lösung der Finanzinformatik GmbH. Zudem integrieren auch Anbieter von Lösungen für den Aufbau von Information-Security-Management-Systemen zunehmend BCM-Funktionalitäten in ihre Tools. Ein Beispiel dafür ist Fuentis.

Fazit

Grundsätzlich gilt: Es gibt keine hundertprozentige Sicherheit. Unternehmen müssen das Restrisiko minimieren und mögliche Schäden transparent machen. Genau darum geht es bei BCM. Zu einem guten BCM gehören die Business-Impact-Analyse mit Risikobewertung, das Design der Notfallkonzepte für die kritischen Ressourcen, die eigentliche Implementierung sowie Tests und Übungen zum Überprüfen der Pläne. Ein BCM-Plan umfasst zudem die Kontaktdaten und Alarmierungsketten, Notfallprozeduren für den Notbetrieb, interne und externe Kommunikation im Notfall sowie Verfahren für den Wiederanlauf in den Normalbetrieb.
BCM funktioniert jedoch nur, wenn es in die Gesamtstrategie der Firma eingebunden ist. Die Geschäftsleitung muss BCM unterstützen.
Anbieter von BCM-Tools (Auswahl)
Tabelle öffnen
5. Teil: „Im Gespräch mit Manfred Harwardt von Fiducia & GAD“

Im Gespräch mit Manfred Harwardt von Fiducia & GAD

  • Manfred HarwardtManfred HarwardtManfred Harwardt
     
    Manfred Harwardt: Business-Continuity-Manager und Kriesenmanagement-Trainer für Banken bei Fiducia & GAD
    Quelle:
    fiduciagad
Manfred Harwardt ist Business-Continuity-Manager und Krisenmanagement-Trainer beim IT-Dienstleister Fiducia & GAD IT. Im Interview mit com! professional erklärt er, was ein funktionsfähiges Business Continuity Management ausmacht und worauf Firmen beim Aufbau eines BCM achten sollten.
com! professional: Herr Harwardt, wie definieren Sie den Begriff Business Continuity Management in der IT?
Manfred Harwardt: Business Continuity Management in der IT wird oft falsch verstanden und führt auch zu Missverständnissen. BCM stellt die Verfügbarkeit von zeitkritischen Geschäftsprozessen sicher. Allerdings liegt der Fokus nicht auf den Prozessen, sondern vielmehr bei den Ressourcen der Prozesse. Ein Prozess kann nicht ausfallen - was ausfällt, sind Ressourcen. Das BCM definiert Anforderungen an die IT-Services, die die Geschäftsprozesse unterstützen. Das IT Service Continuity Management (ITSCM) unterstützt wiederum das BCM. Somit ist das ITSCM als integraler Bestandteil des übergeordneten BCM anzusehen. Im ITSCM werden IT-Risiken definiert und gemindert sowie sichergestellt, dass ein Mindestmaß an IT-Services im Notfall zur Verfügung steht.
com! professional: Wie lassen sich kritische Geschäftsprozesse und Ressourcen identifizieren und effizient absichern?
Harwardt: Grundsätzlich geht es im BCM um eine Absicherung der Unternehmensstrategie, aus der sich wesentliche und wertschöpfende Tätigkeiten ableiten.
Die einzelnen Fachbereiche hinterfragen für jeden Prozess die Zeitkritikalität in Bezug auf unterschiedliche Schadensszenarien und bestimmen die maximal tolerierbare Ausfallzeit. Sie ermitteln also die Zeitspanne, innerhalb derer ein Service, Prozess und IT-Service in einem Mindestmaß an Funktionalität wieder zur Verfügung stehen muss.
com! professional: Was macht ein funktionsfähiges BCM aus?
Harwardt: BCM ist ein proaktiver Prozess mit vielen planbaren Vorgängen und hat den Vorteil, dass Firmen bereits im Normalbetrieb Notfallteams zusammenstellen können. Getestete, funktionierende Notfallpläne finden in Notfällen und Krisen ihre Anwendung. BCM ist in Notfällen ein Teil des Krisenmanagements. Notfallpläne enthalten Elemente, die tatsächlich in derartigen Situationen umgesetzt werden: Was muss sofort, kurz-, mittel- und langfristig getan werden?
com! professional: Wie sollten Firmen bei der Implementierung eines BCM-Systems vorgehen?
Harwardt: Vor dem Start müssen Firmen Grundlagen und Ziele für das BCM definieren, festlegen und kommunizieren. Das betrifft den Geltungsbereich, die Organisation mit Rollen und Verantwortlichkeiten sowie Maßnahmen und Schnittstellen, die mit einbezogen werden sollen. Anschließend folgt die Business-Impact- Analyse. Welche wertschöpfenden Tätigkeiten hat mein Unternehmen? Wo gibt es verletzliche Punkte? Was darf wie lange ausfallen, welche Ressourcen werden benötigt? Ergebnisse dieser Analyse zeigen im Zeitverlauf an, welche Schäden Ausfälle zur Folge haben können. Was ich noch nicht kenne, sind Risiken, die dazu führen, dass die Prozesse ausfallen. In der anschließenden Risikoanalyse werden interne und externe Bedrohungen identifiziert, die eine Unterbrechung der Geschäftsprozesse zur Folge haben können.
com! professional: Welche Schritte folgen nach den Analysen?
Harwardt: Die Erkenntnisse der beiden Analysen bilden den Grundstock für alle weiteren Maßnahmen im BCM. Für die Prozesse müssen die Firmen nun für Worst-Case-Szenarien wie den Ausfall von Gebäuden, Personal, IT/Infrastruktur oder Dienst­leistern Möglichkeiten finden, diese in Notfällen aufrechtzuerhalten. Dazu dienen die sogenannten Strategieoptionen. Bei dem Szenario „Ausfall der IT“ handelt es sich allerdings nicht um das ITSCM. Hier wird lediglich hinterfragt, was ich noch ohne IT machen kann.
Im nächsten Schritt werden die erforderlichen Pläne mit Beschreibungen der einzelnen Rollen, Verantwortlichkeiten und Handlungsweisen erstellt. Ziel ist es, diese Pläne durch regelmäßige Tests, Übungen und Audits zu verbessern. Wichtig sind zudem Awareness-Kampagnen, um das Bewusstsein zum BCM im gesamten Unternehmen zu verankern.
com! professional: Und welche Funktionen und Merkmale sollte eine Lösung für BCM umfassen?
Harwardt: Wichtige Funktionen und Merkmale sind die Verbindung zu anderen Disziplinen und eine Vermeidung von doppelter Datenhaltung. Da der Lifecycle des BCM und ITSCM eng miteinander verknüpft sind, sollten diese Disziplin sowie deren Aufgaben im Krisenmanagement mit verankert sein.

mehr zum Thema

Test-Framework

Testautomatisierung mit C# und Atata

Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten. >>
Programmiersprache

Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess

Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen. >>
Huawei Roadshow 2024

Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs

Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen. >>
Nach der Unify-Übernahme

Mitels kombinierte Portfoliostrategie

Kommunikation
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren. >>