Supply Chain Resilience Survey des Business Continuity Institute

Das Business Continuity Institute BCI führt gemeinsam mit Zurich Insurance bereits die achte Umfrage zur Sicherheit von Lieferketten durch. Die vergangenen Studien haben interessante Ergebnisse erbracht:

Some of the findings from the 2015 Supply Chain Resilience Report published by the BCI were that three quarters of respondents (74%) had experienced at least one supply chain disruption and that half of those disruptions occurred below the tier 1 supplier.”

Die Teilnahme an der Umfrage ist anonym und es gibt einen Amazon Gutschein in Höhe von 100 GBP zu gewinnen. Hier der Link zur Teilnahme an der Umfrage.

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.

Poster für die Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai findet dieses Jahr wieder die Business Continuity Awareness Week “BCAW” statt. Die Woche ist dazu da, das Bewusstsein für Business Continuity Management in den Organisationen zu stärken. Das Business Continuity Institute bietet in dieser Woche auf der Webseite BCAW2016 zahlreiche hochwertige und kostenfreie Webinare internationaler Referenten zu BCM an. Zur Unterstützung der Awareness-Kampagne gibt es auch in diesem Jahr wieder Poster. Diese können kostenfrei in unterschiedlichen Formaten von der Seite heruntergeladen werden und dürfen Büros und Gänge schmücken.

BCAW_A44-1

Wachsende Bedeutung von “non property damage risks”

Risiken, die keine physischen Schäden verursachen, aber trotzdem zu finanziellen Schadensfolgen für das Unternehmen führen, nehmen zu. Zu diesen Risiken gehören zum Beispiel Schäden durch Cyber Attacken oder geo-politische Risiken. Die finanziellen Schäden in Folge von Reputations- und Imageverlusten übersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Über 500 Risikomanager in mehr als 40 Ländern wurden für die Studie befragt. Geschäftsunterbrechungen auf Grund von physischen Schäden wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlägt sich in den Risiken nieder. Der legendäre “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande über die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.

Was bedeutet dies für das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von Gebäuden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, müssen im Business Continuity Management stärker berücksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kürzer werden, als wir sie häufig für die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor für die Bewältigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Übungen für das BCM und Krisenmanagement berücksichtigt werden müssen. Übungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur üben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und  sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens für mehrere Stunden lahm.

Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen.  Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.

Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.

Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias Hämmerle

Personalausfall – der schlafende Riese

BCM-Szenarien wie IT-Ausfall, Gebäude- und / oder Arbeitsplatzausfall sind in der Notfallvorsorge mittlerweile selbstverständlich. Das Szenario “Personalausfall” gehört in der Theorie gleichwertig mit zu den elementaren Risikoszenarien wie auch der Ausfall kritischer Dienstleistungen / Dienstleister. In der Praxis kommt das Szenario Personalausfall in allen Phasen des BCM-Lebenszyklus leider oftmals zu kurz. Und das, obwohl uns auch die praktische Realität zum Beispiel in Form zahlreicher streikbedingter Personalausfälle bei Bahn, Kitas und Geldtransporteuren die Notwendigkeit einer angemessenen Vorsorge für Personalausfälle aufzeigt. SARS, Vogelgrippe, EHEC/HUS und jetzt aktuell MERS finden vermeintlich im fernen Asien statt. Norovirus, auch “Kreuzfahrer-Virus”,  trifft vermeintlich nur Kreuzfahrer – aktuell gibt es eine Lebensmittelwarnung wegen Noroviren in gefrorenen Erdbeeren bei Aldi Nord. Masern-Epidemien betreffen nicht nur die Kinder, wenn Heerscharen von Elternteilen für die Pflege zu Hause bleiben müssen. Doch wenn das Szenario “Personalausfall” zuschlägt ist jede Vorbereitung Gold wert. Hinzu kommt dass das Szenario Personalausfall BCM und Krisenmanagement gerne über Tage, Wochen oder gar Monate auf Trab hält. Eine zweistündige Krisenstabsübung lässt die Anforderungen an ein solches Szenario nur erahnen. Alleine, wenn der Krisenstab in den Drei-Schichtbetrieb gehen soll … Weiterlesen…

Wenn die kritische Ressource “Personal” ausfällt

Dieser Artikel ist im aktuellen BCM-Sonderheft des Sicherheits-Berater erstmalig erschienen.

Im Business Continuity Management (BCM) gibt es vier grundsätzliche BCM-Szenarien, für die im Rahmen der Notfallplanung Vorsorge getroffen wird. Neben dem Ausfall der IT und Telekommunikation, Gebäude sowie Dienstleister ist ein wesentliches BCM-Szenario der Ausfall von Personal zur Durchführung der kritischen Geschäftsprozesse. Das BCM geht in der Planung von der Wirkungsseite aus, da nicht für jede der vielen möglichen Ursachen ein Notfallplan erstellt werden kann. Die Ursachen, die zu einem Personalausfall führen können, sind sehr vielfältig. Sie reichen von einer Erkrankung einer hohen Anzahl an Mitarbeitern (Beispiele hierfür sind Grippe-Epidemien oder Norovirus-Infektionen), der Ausfall von „Kopf-Monopolen“, Streiks der Mitarbeiter bis hin zu Verkehrsbehinderungen der Arbeitswege (zum Beispiel die mehrtägigen europaweiten Flugausfälle durch den Ausbruch des isländischen Vulkans Eyjafjallajökull im April 2010). Weiterlesen…

Remote working – die Allzweckwaffe des BCM

Aktuell wird landauf landab das Land durch Streiks gelähmt. Öffentliche Verkehrsmittel, Kitas, Flughäfen und viele öffentliche Einrichtungen und Dienstleistungen sind durch Streikmaßnahmen massiv eingeschränkt. In den Großstädten sind die Mitarbeiter auf diese Services angewiesen, um die Arbeitsplätze zu erreichen und die Kinder während der Arbeit betreut zu haben. Alleine in Frankfurt sind täglich 500.000 Pendler unterwegs. Für die Unternehmen kann dies zur Folge haben, dass viele Mitarbeiter nicht zur Arbeit kommen können. Sei es, daß sie auf den ÖPNV angewiesen sind oder die Betreuung der Kinder. Eine Maßnahme, um die Folgen einer derartigen Situation abzumildern ist die Möglichkeit remote arbeiten zu können. Eine ganz einfache, aber sehr wirkungsvolle Möglichkeit bietet zum Beispiel Outlook Web Access (OWA). Ich habe mehrere Postfächer von Kunden, auf die ich per OWA zugreifen kann. So kann ich mit meinem kleinen Smartphone von unterwegs und vom Home Office die Mails lesen und auch direkt beantworten sowie auf die Terminkalender zugreifen und Termine bestätigen oder absagen. Eine weitere Möglichkeit ist es, Mitarbeiter mit Laptops und remote-Zugang via VPN auszustatten. Auf diesem Weg stehen nicht nur das Postfach und der Kalender, sondern zusätzlich auch IT-Anwendungen, Laufwerke und Dateien remote zur Bearbeitung zur Verfügung. Auch diese Variante habe ich für einen Kunden im praktischen Einsatz. Dies bedingt jedoch, den Laptop auch immer dabei zu haben. Der Laptop in der Dockingstation am Arbeitsplatz hilft wenig, wenn es keinen Zugang zum Arbeitsplatz mehr gibt. Sei es, daß der Zugang zum Gebäude unmöglich ist oder wie im aktuellen Fall die Anreise. Zudem benötigt der Laptop in der Regel aus Sicherheitsgründen einen LAN-Zugang und man kann sich nicht über öffentliche WLan einwählen. Dies schränkt die Nutzungsmöglichkeiten weiter ein. In den Hotels habe ich in der Regel nur einen WLan-Zugang, aber keine LAN-Buchse mehr. Eine weitere Variante ist das Home Office, bei dem zu Hause ein vollwertiger Arbeitsplatz eingerichtet ist. Dies ist jedoch keine kurzfristig zu realisierende Option. Die Nutzung des Home Office ist in Betriebsvereinbarungen geregelt und erfordert umfangreichere technische Einrichtungen mit entsprechendem zeitlichen Vorlauf. Eine weitere aktuell sehr diskutierte Variante ist “Bring Your Own Device (BYOD)”. Dies ermöglicht dem Mitarbeiter, seine eigene IT-Umgebung zu nutzen und hierüber sicher auf die Arbeitsumgebung im Office zuzugreifen. Für BYOD gibt es mittlerweile sichere und zuverlässige IT-Middleware. Viele IT-Anwendungen unterstützen dieses Zugriffsverfahren. Für alle diese Lösungen gilt: ad-hoc sind sie in Notfällen nicht umzusetzen. Zum Teil ist die Umsetzbarkeit durch gesetzliche, interne betriebsverfassungsrechtliche und / oder technische Rahmenbedingungen eingeschränkt. Der Wertpapierhandel einer Bank kann und darf nicht vom Home Office druchgeführt werden. Auch datenschutzrechtliche Voraussetzungen müssen selbstverständlich bei all diesen Varianten eingehalten werden. Durch Tests und Übungen muß überprüft werden, ob die Lösung auch bei einer großen Anzahl an externen Zugriffen zur gleichen Zeit funktioniert. Die Anzahl an VPN-Zugängen oder die Performance können die Nutzungsmöglichkeiten limitieren. Die aktuellen Streiks sind ein guter Anlass, über die Einsatzmöglichkeiten einer oder mehrer dieser Optionen nachzudenken.

Kommen Sie gut durch die streikbedingten Unannehmlichkeiten!

Ja, mach nur einen Plan …

“Ja, mach nur einen Plan, sei ein großes Licht. Und mach’ dann noch ‘nen zweiten Plan, gehen tun sie beide nicht.”, so Bertolt Brecht in der Dreigroschenoper.

An dieses Zitat musste ich unweigerlich nach meinem Besuch des BCI Regionalforum West denken, zu dem ich in der vergangenen Woche für einen kleinen Vortrag über “Test und Üben” eingeladen war. Eine tolle und gut organisierte Veranstaltung übrigens, Respekt!

In meinem Vortrag habe ich – natürlich etwas überzeichnet – die Bedeutung von Tests und Übungen für die Notfallvorsorge in den Mittelpunkt gestellt. In mehreren größeren zu bewältigenden “Ausnahmesituationen wie Blockupy in Frankfurt, Hurrican Sandy in New York, Norovirus Epidemie und Stromausfällen habe ich immer die gleiche Erfahrung gemacht: die Realität hält sich an keinen Plan!

Doch hieraus die Lehre zu ziehen, auf die Notfallplanung verzichten zu können  ist genauso falsch, wie die Hoffnung, eine umfangreiche und ausgetüftelte Notfallplanung könnte bei Eintritt eines Notfalls automatisiert abgearbeitet werden wie der Wiederanlaufplan eines IT-Systems.

Der größte Nutzen der Notfallplanung liegt aus meiner Sicht in der geistigen Auseinandersetzung mit möglichen Notfall-Szenarien und Handlungsstrategien zur Beherrschung dieser Situationen sowie zur Minderung der potentiellen Folgeschäden. Notfallplanungen bilden die Grundlage für Tests und Übungen, in denen die Funktionsfähigkeit der Notfallpläne überprüft werden und vor allem die Mitarbeiter in ihren Rollen für außergewöhnliche Situationen trainiert werden. Hierdurch wird die Grundlage geschaffen, um in Notfallsituationen handlungsfähig zu bleiben. Tritt der Notfall ein, kommt ein weiteres wichtiges Element zur Bewältigung hinzu: das Krisenmanagement. Im Rahmen des Krisenmanagements wird die Lage analysiert und die angemessenen Entscheidungen zur Bewältigung der Lage getroffen bzw. herbeigeführt. Pläne sollten die klassischen BCM-Szenarien Gebäude-, Personal-, IT- und Dienstleisterausfall abdecken. Sie können jedoch besondere Umstände in der Notfallsituation, die aus der aktuellen Markt- und / oder Auftragslage, Projekten, besonderen Produkt- und Kundensituationen resultieren nicht  berücksichtigen. Zudem kann das reine Abarbeiten von Plänen die Lage verschlimmern, wenn zum Beispiel die Umsetzung nur eines Teils der Planung ausreichend wäre. Nur die betroffenen Mitarbeiter müssen bei einem Teilausfall eines Gebäudes die Notfallarbeitsplätze beziehen, das Aussetzen eines kritischen Prozesses kann eine adäquate Lösung sein, wenn die Auslastung aktuell gering ist. Die Steuerung dieser Plan-Ausführung kommt dem Krisenmanagement zu.Die Brücke zwischen dem Business Continuity Management und dem Krisenmanagement bilden die Notfallpläne. Sie sind wichtig für das Krisenmanagement, aber nicht ausreichend und absolut. Neben den Tests und Übungen im BCM kommt daher den Krisenmanagementübungen eine zentrale Bedeutung zu. In diesen Übungen wird neben den Entscheidungsverfahren die Funktionsfähigkeit der Notfallstrategien und -pläne verprobt.

Um mit Brecht zu antworten: die Pläne gehen nicht, sie bilden die Handlungsbasis in Notfällen und müssen durch das Krisenmanagement in adäquater Weise, den konkreten Umständen angepasst, in Kraft gesetzt und umgesetzt werden:

“Sorgfältig prüf ich Meinen Plan;

er ist Groß genug;

er ist Unverwirklichbar.”

Bertolt Brecht

 

Business Continuity Management für geschäftskritische Projekte

Das BCM fokussiert stark auf die geschäftskritischen Prozesse einer Organisation. Projekte werden in der Regel oftmals ausgeblendet, da sie nicht so recht in die BCM-Konzeption passen wollen. Projekte kommen und gehen, sind oftmals für das Überleben eines Unternehmens nicht kritisch und entziehen sich durch die Projektorganisation der Linienorganisation für das BCM. Doch es gibt auch Projekte, die für die Existenz eines Unternehmens lebensnotwendig sind. Die Projekte zur Umsetzung gesetzlicher und regulatorischer Anforderungen (Änderungen in der Bilanzierung, und dem Rechnungswesen, Steueränderungen) gehören hierzu genau so wie Projekte, die auf Grund ihrer Größe bei einem Scheitern die Existenz des Unternehmens gefährden. Im Immobilienbereich gibt es sicherlich ungezählte Beispiele von Unternehmen, die sich an Projekten zum Beispiel durch Baumängel und/oder Zahlungsverzug des Kunden finanziell verhoben haben und nicht mehr existieren. Nicht jeder Unternehmer kann dann einfach nach der Insolvenz ein neues Unternehmen ohne die Altlasten gründen und wie zuvor weitermachen, wie ich dies im Immobilienbereich selbst erleben musste. Großprojekte können also für Unternehmen einen existenzgefährdenden Charakter analog geschäftskritischer Prozesse haben. Mit dem Unterschied, dass sie auf eine begrenzte Zeit angelegt sind. Doch für welche Projekte werden schon Business Impact Analysen und Notfallpläne gemacht. Im Projektmanagement selbst gibt es eine Disziplin des Projektrisikomanagements. Auch im Rahmen von Projektprogramm-Management und Projekt-Governance sollten Projektrisiken analysiert und gesteuert werden. Für ausgewählte geschäftskritische Projekte wäre es aus meiner Sicht eine  sinnvolle Maßnahme, diese im Business Continuity Management wie ein Prozess, Produkt oder Service mit zu behandeln. In Rahmen einer BIA werden die Auswirkungen eines Scheiterns oder einer Verzögerung des Projekts für das Unternehmen eingeschätzt und transparent gemacht. In der Projekt-Notfallplanung würden Konzepte und Maßnahmen für eine Verzögerung oder Scheitern des Projekts ausgearbeitet. Im Berichtswesen des BCM würden die Risiken aus unternehmenskritischen Projekten mit berichtet werden. Das Projekt des Flughafens Berlin Brandenburg zeigt, wie desaströs Projektverzögerungen in Kombination mit fehlender Kommunikation über die Risiken und deren Folgen für das Unternehmen selbst, aber auch für die Kunden, werden können.

Die Vorteile einer Einbeziehung geschäftskritischer Prozesse sind:

  • Risiken aus geschäftskritischen Projekten werden im BCM mit betrachtet und  es entsteht ein gesamthaftes Bild der Risikolandschaft existenzgefährdender Risiken
  • Bewährte Methoden und Verfahren des BCM können für die Impact-Analyse und die Notfallkonzeption eingesetzt werden
  • Projektrisiken werden im Berichtswesen des BCM mit berücksichtigt
  • Projekte werden in der Notfallkonzeption und -planung mit berücksichtigt (zum Beispiel Ausweicharbeitsplätze).

Dieses Vorgehen ist auch mit Nachteilen und Risiken verbunden:

  • Im Projektmanagement muss zunächst Akzeptanz für dieses Vorgehen geschaffen werden und die Schnittstellen zum Projektrisikomanagement geklärt werden
  • Die Methoden und Verfahren des BCM, wie auch die zeitliche Taktung der Aktivitäten, müssen an die Spezifika temporärer Projekte angepasst werden
  • Zusätzlicher Aufwand für das Projekt
  • Zusätzlicher Aufwand für das BCM.

Der Mehraufwand ist sicherlich nur für geschäftskritische Projekte vertretbar, die nach festgelegten Kriterien identifiziert werden müssen. Für diese Projekte kann das Instrumentarium des BCM aber sicherlich hilfreich sein.

Im neuen Standard ISO 22301 konnte ich übrigens keine Ausführungen zu BCM für Projekte finden.

Wie ist Ihre Erfahrung mit der Einbeziehung von Projekten in das BCM?