A fool is still a fool – also with a (BCM-)Tool? (Teil 2)

Gilt diese Aussage auch für das BCM? Sicherlich. Ein Tool alleine schafft noch kein angemessenes BCM. Doch wer Methodik und Erfahrung mit einem geeigneten BCM-Tool kombiniert, kann Compliance schaffen, sich die Arbeit erleichtern und in der Notfallbewältigung schneller sein …

… (Teil 1 dieses Artikels erschien am 31. Mai 2012) …

Um mit einem BCM-Tool effizient arbeiten zu können, muss es intuitiv bedienbar und angemessen schlank sein. Für die Erstbefüllung und für die spätere Pflege müssen Daten aus anderen Systemen importiert werden können, z. B. Daten aus dem Telefonverzeichnis und aus dem Risikomanagementsystem und – für den Geschäftsbereich IT-Service – Daten aus dem Asset und Configuration Management. Wesentliches Element beim BCM – wie auch beim IT Service Continuity Management (ITSCM) – ist die Erfassung der Abhängigkeiten z. B. bei Prozessen und Ressourcen sowie untereinander. Dies ermöglicht es zum einen, Notfallbehandlungspläne übergreifend und durchgängig aufzubauen, und zum anderen, im Notfall oder in einer Krise, ja sogar bei Störungen, die Auswirkungen quasi auf Knopfdruck zu erfahren. Dies verbessert die Reaktionsfähigkeit bei Notfällen sowie insbesondere bei Unvorhergesehenem und Krisen.

Die Vererbung von Kritikalitätsklassen von Kerngeschäftsprozessen auf die genutzten Prozesse und Ressourcen erscheint manchem wünschenswert. Zu berücksichtigen ist hierbei, dass Unternehmen zum Zeitpunkt der BCM-Einführung in der Regel bereits existieren und ein Ist-Zustand vorhanden ist. Die Erfassung der realisierten Kontinuitätsklassen bei den unterstützenden Prozessen und Ressourcen ermöglicht somit das Aufzeigen von Abweichungen. Da Kerngeschäftsprozesse zudem zum einen aus unterschiedlich kritischen Teilprozessen bestehen können und zum anderen nicht zwangsläufig alle vom Kerngeschäftsprozess genutzten Assets die gleich hohe Kritikalität besitzen müssen, ist die vererbte Kritikalität – sofern gewünscht – als Information oder erster Vorschlag zu verstehen.

Wichtig ist weiterhin, dass das BCM-Tool strukturierend und vereinheitlichend wirkt. Außerdem muss es im Notfall oder in einer Krise leicht verfügbar sein, indem es beispielsweise mittels eines verschlüsselten USB-Sticks jederzeit und überall auf jedem gängigen PC mit Basiskonfiguration nutzbar ist. Alternativ bieten sich Application-Service-Provider-(ASP-)Lösungen an. Hier gilt es zu berücksichtigen, dass BCM-Daten vertraulich sind. Dies muss ebenso wie die Leistungsfähigkeit und Verfügbarkeit des ASP vom Auftraggeber geprüft und vom ASP sichergestellt werden.

Der BCM-Officer möchte „sein“ BCM im Griff haben. d. h. den Überblick über das unternehmensweite BCM er- und behalten, Vorgaben machen und deren Umsetzung verfolgen können. Gleichzeitig soll die Erfassung und Pflege meist dezentral durch die verantwortlichen Geschäftsbereiche erfolgen. Mit Ausnahme des Geschäftsbereichs IT-Services befinden sich dort – den BCM-Officer eingeschlossen – in der Regel IT-Anwender, die eine einfach und effizient nutz- und pflegbare Anwendung erwarten, für die kein spezifisches IT-Know-how erforderlich ist. Selbst Digital Natives schätzen dies, zumal da sie Applikationskomfort gewohnt sind.

BCM-Vokabular ist diesen Anwendern oftmals fremd, zumal da sie sich nicht täglich mit BCM beschäftigen. Zusätzlich wollen sie branchen- und unternehmenseigenen Sprachgebrauch wiederfinden. Sie sehen BCM eher als nicht vermeidbare Notwendigkeit an, die sie mit geringem Aufwand erledigen möchten, weil sie sie in gewisser Weise bei der Erreichung ihrer anderen geschäftlichen Ziele beeinträchtigt. Ihre BCM-Aufgaben müssen also angemessen schlank und effizient bewältigbar sein. Dies überträgt sich im Besonderen auch auf die Anforderungen an das BCM-Tool. Als weiterer Aspekt kommt hinzu, dass die BCM-Beauftragten der Geschäftsbereiche oftmals wechseln und die Übergabe leicht und zügig vonstattengehen soll.

Der Geschäftsbereich IT-Services tickt anders. Er verfügt über IT-Natives, denen der Umgang mit Anwendungen und IT-Systemen „im Blut liegt“. Wie bei Piloten benötigt der Geschäftsbereich IT für den Aufbau und das geordnete Hochfahren der IT-Systeme Checklisten, damit  – auch in der Anspannung eines Notfalls – alles zügig und geordnet abläuft und an alles gedacht wird. Schon das Nicht-Einspielen des letzten Patch-Levels kann sonst den besten Plan zunichtemachen. Die Anforderungen an die Benutzerfreundlichkeit eines BCM-Tools sind seitens des Geschäftsbereichs IT-Services meist geringer ausgeprägt, so dass die Anforderungen der dezentralen BCM-Beauftragten bei diesem Kriterium den Ausschlag geben. Leicht können Erst- und Nachschulungen für BCM-Beauftragte und deren Stellvertreter sowie Erstschulungen bei Wechsel der Verantwortlichkeit sonst hohe finanzielle Aufwände nach sich ziehen. Eine Klärung im Vorfeld kann sich lohnen.

In seinem Artikel zu BCM-Tools [1] führt Christian Senger in der Zeitschrift kes aus, dass „Tools weiterhin eher auf Großunternehmen und Behörden als auf den Mittelstand“ zielen und identifiziert einen „Trend zum modularen Tool“. Modularität und „Customizing“ sind Optionen, um BCM-Tools an die Anforderungen des Unternehmens anzupassen, allerdings im herstellerseitig vorgegebenen Rahmen. Basiskonfigurierte sowie auch in Zukunft flexibel gestalt- und erweiterbare Tools bilden eine weitere Möglichkeit.

Jedes Unternehmen muss für sich die Entscheidung treffen, welcher Umfang des BCM und des ITSCM wirtschaftlich ist sowie welche Anforderungen k.o.-Kriterien, welche obligatorisch und welche „nice to have“ sind. Größe und Branche sowie Produkte und Leistungen eines Unternehmens spielen hierbei eine wesentliche Rolle. So schön die „honigschwitzende und eierlegende Wollmilchsau“ erscheinen mag: der Pflegeaufwand und die Wirtschaftlichkeit stehen dem oftmals entgegen.

Ein geeignetes BCM-Tool macht die Arbeit des BCM-Officers und der dezentralen BCM-Beauftragten effizienter und transparenter. Es hilft, Compliance nachzuweisen und bei internen und externen Prüfungen Zeit zu sparen, indem Prüfer schneller einen Überblick erhalten und sich zügig durch das BCM-Tool klicken können statt Stapel von Unterlagen anzufordern und sich durch diese aufwändig durchzuarbeiten. Der Beitrag von Christian Senger in der Zeitschrift kes und der vorliegende Beitrag geben Anregungen für Kriterien, die bei der Auswahl eines BCM-Tools eine Rolle spielen. Viel Erfolg dabei.

 

Literatur / Quellen:

[1] Christian Senger, Tools fürs BCM, kes, 1 / 2012

[2] Klaus-Rainer Müller, CIA ist immer dabei, IT Director, 1-2/2012

[3] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010