[Aufmachergrafik: heller, corporate design] Notfall und Normalbetrieb Synergien im Umfeld des Business-Continuity-Management

Ordnungsmerkmale

erschienen in: <kes> 2007#2, Seite 54

Rubrik: Management und Wissen

Schlagwort: Business-Continuity-Management

Zusammenfassung: Viele Ergebnisse anderer Management-Disziplinen lassen sich auch für das Business-Continuity-Management (BCM) nutzen – und umgekehrt kann ein konsequentes BCM viel an andere Prozesse und Bereiche im Unternehmen zurückgeben. Durch diese Synergien lassen sich häufig Qualitätssteigerungen und Kosteneinsparungen erzielen.

Autor: Von Sebastian Tandler und Christian Franzen, Hallbergmoos

Längst nicht immer erhält das Business-Continuity-Management (BCM) die hierfür notwendige Aufmerksamkeit und benötigten Ressourcen zugewiesen. Zwar agieren regulatorische Vorgaben und Kontrollen durch Wirtschaftsprüfer ebenso als Treiber für die Implementierung eines BCM wie das Interesse der Anteilseigner, die Unternehmenswerte bestmöglich geschützt zu wissen. Die Planung und Organisation zur Absicherung vor Krisen und Katastrophen wird aber dennoch oft als zu kostenintensiv und aufwändig angesehen, selbst wenn es dabei um für die Wertschöpfung maßgebliche Geschäftsprozesse geht. Der Hintergrund dürfte zumeist sein, dass die Ergebnisse nicht direkt gewinnbringend sind, dass Geschäftsziele nicht aktiv unterstützt und das Management-Ansehen nicht gesteigert werden.

BCM wird in solchen Fällen oft niedriger priorisiert und fällt dann leicht anderen Projekten zum Opfer. Orientiert am Shareholder Value und schnellen Gewinnen beziehen sich akute Ziele eher auf eine weitere Steigerung (z. B. durch die Erschließen neuer Märkte) als auf den Erhalt bestehender Geschäftsbeziehungen, geschweige denn auf die Absicherung gegen geschäftsschädigende Ereignisse.

Dabei gibt es eine Menge Berührungspunkte zu anderen Prozessen, sodass einerseits zur Implementierung eines BCM nicht alles "neu eingerichtet" werden muss und andererseits ein gehöriges Synergiepotenzial besteht. Die Nutzung von Informationen, die an verschiedenen Stellen im Unternehmen bereits vorliegen, kann den Aufwand zur Erstellung einzelner BCM-Teile erheblich reduzieren. Und umgekehrt können auch Ergebnisse aus dem BCM an anderen Stellen im Unternehmen weitere Verwendung finden. Im Folgenden werden solche Schnittstellen und mögliche Synergieeffekte für alle typischen Phasen eines BCM-Projekts erörtert.

[Illustration]
Abbildung 1: Phasen eines typischen Projekts zum Business-Continuity-Management (BCM)

BC-Policy

Am Beginn eines jeden BCM-Projekts steht die BC-Policy. Sie sollte sich aus der Unternehmensstrategie ableiten und Anforderungen an die Business Continuity definieren, beispielsweise die Festlegung von Rollen und Verantwortlichkeiten. Zur Erstellung der BC-Policy kann man, sofern ein Sicherheitsmanagement existiert, auf bestehende Richtlinien zurückgreiffen, wodurch der zeitliche und personelle Aufwand sinkt. Das Ergebnis der BC-Policy kann wiederum in Form einer Business-Continuity-Richtlinie in das Sicherheitsmanagement einfließen.

BC-Analyse

Die BC-Analyse umfasst die Teilbereiche Scope, Prozessanalyse, Business Impact Analysis (BIA) und Risikoanalyse. Die Definition des Scopes legt fest, auf welchen Bereich des Unternehmens das BCM überhaupt Anwendung finden soll. Ein Scope kann sich auf Abteilungen, Geschäftsprozesse, aber auch auf das gesamte Unternehmen beziehen.

Im nächsten Schritt geht es darum, die maßgeblichen Prozesse zu extrahieren und die Beziehungen der einzelnen Prozesselemente transparent in einem Modell abzubilden. Wichtig ist hierbei, sowohl die fachlichen Funktionen als auch die daran beteiligten Akteure, Örtlichkeiten, IT-Systeme und IT-Anwendungen zu dokumentieren.

[Illustration]
Abbildung 2: Über die Modellierung von Geschäftsprozessen ergeben sich Synergieeffekte zwischen BC-Prozessanalyse und Prozessmanagement.

Die Modellierung der Prozesse muss nicht zwangsläufig von Grund auf neu erfolgen: Oft existieren in Unternehmen bereits Prozessdokumentationen (z. B. aus einer ISO-9000-Zertifizierung), die sich für die weiteren BCM-Phasen nutzen lassen, sodass hier nur marginaler Mehraufwand entsteht, zum Beispiel für eine Aktualisierung der Prozessmodelle. Sollten die Prozesse noch nicht dokumentiert sein, ist dies nachzuholen; allerdings lassen sich auch hier Synergieeffekte erzielen, indem die Ergebnisse für andere Unternehmensbereiche genutzt werden, um Transparenz zu schaffen oder Geschäftsabläufe unter bestimmten Kriterien, zum Beispiel der Optimierung der Durchlaufzeit, neu zu gestalten.

An die Prozessanalyse schließt sich die Business Impact Analysis (BIA) an. Sie unterzieht Prozesse einer Verfügbarkeitsanalyse, um herauszufinden, welchen Schaden der Ausfall eines Prozesses hervorruft und bis zu welchem Zeitpunkt der Prozess wieder funktionieren muss, um die Existenz des Unternehmens nicht zu gefährden (vgl. Abb. 3).

[Illustration]
Abbildung 3: Die Business Impact Analysis (BIA) ermittelt für wichtige Prozesse maximal tolerierbare Ausfallzeiten.

Business-Impact-Analysen werden oft durch das Risikomanagement (RM) vollzogen; existierende RM-Ergebnisse können häufig übernommen werden. Umgekehrt ist es möglich, mittels der BIA-Ergebnisse die Daten des Risikomanagements anzureichern.

Die BIA zeigt mögliche Schäden bei einem Ausfall von Prozessen auf, analysiert also im Hinblick auf die Verfügbarkeit. Anhand dieser Ergebnisse lassen sich direkt Anforderungen an den IT-Betrieb und an Outsourcing-Partner durch die Definition von Service Level Agreements (SLAs) und Wartungsverträge ableiten. Damit wird es der IT ermöglicht, Vorgaben an redundant ausgelegte Systeme oder Backup-Strategien zu formulieren. Für die Einbindung in das Sicherheitsmanagement können dabei neben der Verfügbarkeit zusätzliche Aspekte, wie Integrität und Vertraulichkeit, betrachtet werden, sodass hierdurch ein Mehrwert für das Unternehmen im Sinne der allgemein nutzbaren Wertebestimmung entsteht (vgl. Abb. 4).

[Illustration]
Abbildung 4: Mögliche Synergieeffekte von Business-Impact-Analysen (BIA)

Sind während der BIA Ereignisse identifiziert worden, welche die Existenz des Unternehmens bei ihrem Eintritt sofort gefährden, sodass keinerlei BC-Maßnahmen Abhilfe schaffen könnten, dann bedarf es einer zusätzlichen Risikoanalyse. Sie hat zum Ziel, etwa durch vorsorgliche Maßnahmen, eine Reduktion der Auswirkungen des bewussten Ereignisses zu erreichen: Man senkt also den möglichen Schaden bei Eintritt des Ereignisses und ebnet so den Weg für wirksame BC-Pläne.

[Illustration]
Abbildung 5: BC-Risikoanalyse und allgemeines Risikomanagement können leicht voneinander profitieren.

Für das unternehmensweite Risikomanagement bedeutet dies, dass für Risiken mit einer geringen Eintrittswahrscheinlichkeit und hohem Schaden, nun dennoch Business-Continuity-Maßnahmen zur Schadensminimierung zur Verfügung stehen. Die hierzu gewonnenen Informationen haben damit einen besonderen Wert, da es Kennzeichen vieler Sicherheitsmaßnahmen ist, lediglich die Eintrittswahrscheinlichkeit, nicht aber den erwarteten Schaden zu reduzieren. Auch zur Durchführung dieser speziellen BC-Risikoanalyse kann natürlich auf bereits im Unternehmen vorhandene Risikoanalysen zurückgegriffen werden, was gegebenenfalls geringeren Aufwand bedeutet.

BC-Strategie

Eine BC-Strategie enthält die alternativen Vorgehensweisen, um mit einer Krise oder Katastrophensituation präventiv und reaktiv umzugehen. So wird unter anderem die Frage behandelt, welche Art der Standortverlagerung sich beispielsweise bei einem Gebäudebrand für Mensch und Technik als praktikabel erweist. Im Fall der Technik kann oft auf bereits vorhandene Betriebskonzepte zurückgegriffen werden. Für den "Faktor Mensch" besteht die Möglichkeit, externe Dienstleister für die temporäre Durchführung bestimmter Tätigkeiten zu engagieren.

Die Ergebnisse der BC-Strategie haben zudem Synergiepotenzial für die Einhaltung vereinbarter Verfügbarkeitsanforderungen, was dem Service-Level-Management und gegebenenfalls beim Einsatz der Information Technology Infrastructure Library (ITIL) der zugehörigen Business-Continuity-Anforderungen zugute kommt.

[Illustration]
Abbildung 6: Synergieeffekte der BC-Strategie

BC-Planung

Die BC-Planung umfasst folgende Teilbereiche (vgl. Abb. 7):

[Illustration]
Abbildung 7: Zeitliche Abfolge der verschiedenen BC-Pläne im Katastrophenszenario

Bei Eintritt eines Notfalls stellt sich zunächst die Frage nach der angemessenen Reaktion – zur Implementierung von Incident-Response-Plänen können bestehende Strukturen eines Incident-Managements und auch Service-Desks genutzt und ausgebaut werden.

Wenn sich ein Ereignis zu einer Krise entwickelt, ist ein Krisenmanagementteam zu involvieren: Seine Aufgabe besteht darin, die Kommunikation mit den betroffenen Zielgruppen aufzunehmen und innerhalb der Organisation schnell und angemessen zu entscheiden. Hierbei kommt der Schnittstelle zur Abteilung Presse- und Öffentlichkeitsarbeit (externe Kommunikation) eine besondere Stellung zu: Ihr Know-how und ihre Methodik können die Grundlage für eine erfolgreiche Krisenkommunikation mit Medien und Anteilseignern bilden.

Die Business-Continuity-Pläne (BCP) beschreiben Überbrückungsverfahren zur Aufrechterhaltung der Prozesse auf einem entsprechenden Niveau beim Eintreten eines Notfalls; ein Beispiel hierfür ist die Inanspruchnahme von Ausweichlokationen. Beim Business-Recovery-Plan (BRP) steht hingegen die Wiederherstellung des ursprünglichen Geschäftsprozesses und der hierzu benötigten Ressourcen im Vordergrund. Synergien sind dahingehend zu erzielen, diese Pläne nicht nur in Notfallszenarien, sondern auch – den Umständen entsprechend – bei einfachen Störungen einzusetzen. So werden Produktivität und Kundenzufriedenheit gestärkt. Außerdem bewirkt die Erstellung der Business-Continuity- und -Recovery-Pläne eine klare Transparenz für Abhängigkeiten von der IT, aus der sich exakte Anforderungen an den IT-Betrieb oder an Outsourcing-Partner ableiten lassen.

[Illustration]
Abbildung 8: Mögliche Synergieefekte von Business-Continuity- und -Recovery-Plänen (Geschäftsprozess-Ebene)

IT-Contingency- und Disaster-Recovery-Pläne beschreiben den analogen Sachverhalt der BCP und BRP im Hinblick auf die IT. Die hierfür zu erstellenden Pläne können auf bestehende Dokumentationen zu Installation, Konfiguration und Betrieb verweisen. Damit wird einerseits für die Vollständigkeit der benötigten Betriebsdokumentationen gesorgt. Ferner werden auch Abhängigkeiten von Systemen untereinander und Anforderungen an Wartungsverträge sichtbar. Beschränkt man sich nicht nur auf einen Komplettausfall, so können Fehlerszenarien aus den IT-Contingency- und Disaster-Recovery-Plänen beispielsweise auch für FAQs im Support genutzt werden, was zu einer schnelleren Fehlerbehebung im Incident-Management führen kann. Werden Systeme aufgrund der in den BC-Anforderungen beschriebenen Pläne fehlerredundant ausgelegt, erhöht sich zudem die Verfügbarkeit auch des regulären IT-Betriebs.

[Illustration]
Abbildung 9: Mögliche Synergieeffekte der BC-Pläne auf IT-Ebene

BC Life Cycle

Angelehnt an den Deming Cycle (Plan–Do–Check–Act) erfolgt auch beim BCM eine kontinuierliche Wiederholung der Projekt-Phasen und Verbesserung der Ergebnisse (vgl. Abb. 10). Wird dieser BCM Life Cycle mit dem PDCA-Zyklus des Sicherheitsmanagements nach ISO 27001 verknüpft, so ergeben sich zusätzliche Synergien.

Um die Umsetzbarkeit und Richtigkeit der BC-Pläne zu bestätigen, sind regelmäßige Tests unabdingbar. Deren Ergebnisse können allerdings auch an anderer Stelle im Unternehmen Verwendung finden: So erhöht beispielsweise eine Übernahme der Testergebnisse in das unternehmensinterne Auditing dessen Qualität.

[Illustration]
Abbildung 10: Die Anwendung des Plan–Do–Check–Act-Modells für das Business-Continuity-Management.

Um in einem Notfall angemessen auf unvorhergesehene Situationen reagieren zu können, sind darüber hinaus alle Verantwortlichen und beteiligten Mitarbeiter zu schulen. Auch hier ergeben sich deutliche Überschneidungen zur Weiterbildung für den Normalbetrieb: Separate Schulungen kann man sich sparen, indem man Aspekte des BCM in regelmäßige Sicherheits- oder operative Schulungen integriert. Umgekehrt verbreitert sich damit auch die Mitarbeiter-Basis, die zumindest ein Grundwissen um die Verfahren im K-Fall besitzt.

Fazit

In Unternehmen existieren eine Menge von Ressourcen, die als Input den Anforderungen eines BCMs Genüge leisten. Herausgehobenen werden können hier vor allem Ergebnisse des Sicherheitsmanagements, zum Beispiel Risiko- und Schutzbedarfsanalysen, Dokumentationen et cetera. Auch das ITIL-Management definiert eine Reihe von Prozessen, wie den Service Desk oder das Incident-Management, die vom BCM ohne Weiteres in Anspruch genommen werden können.

Umgekehrt müssen auch die für das BCM erarbeiteten Konzepte nicht allein im Bereich eines Business-Continuity-Managers verbleiben. Sie können innerhalb eines Unternehmens in den unterschiedlichsten Bereichen weitere Verwendung finden.

Abschließend lässt sich damit sagen, dass durch den Rückgriff auf bereits vorliegende Ergebnisse sowie die Weiterverwertung von BCM-Ergebnissen, enorme Synergieeffekte zu erzielen sind, die nicht nur den Geschäftszielen gerecht werden, sondern auch Kosten beim Aufbau eines BCM sparen. Aufgrund dieser Argumentation sollte auch ein verbessertes Management-Commitment für das BCM zu erzielen sein.

Sebastian Tandler (tandler@secaron.de) und Christian Franzen (franzen@secaron.de sind Consultants bei der Secaron AG.