Die (un-)heimliche IT

Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit über die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der Komplexität von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natürlich auch aus, dass auf Test, Dokumentation, Versionsführung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile Prüfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbständig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen für die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur Verfügung. Das mag im privaten Bereich komfortabel und günstig sein. Doch für Unternehmen entsteht aus dieser “Schatten-IT” ein beträchtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschätzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, Integrität und Verfügbarkeit können für IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewährleistet werden.

An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen für die Geschäftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunächst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu müssen. Denn Ziel der BIA ist die Absicherung der  Geschäftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage für eine risikoorientierte  Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen müssen durch die IT Lösungen an die Hand gegeben werden, die Funktionalitäten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genügen.

Dies können zum Beispiel sein

  • Integration der Funktionalitäten in bestehende Standard-Anwendungen
  • Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
  • Geschlossene Unternehmens Cloud Lösungen
  • Sichere Dateitransfer- und Kommunikationslösungen
  • Geregelter Einkauf von Web-Anwendungen über Einkauf und IT.

Auch wenn Prüfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management über die reine Notfallvorsorge hinaus.

Business Impact – und Schutzbedarfsanalyse – Gemeinsamkeiten und Unterschiede

„Gemeinsamkeiten sucht man nicht, Gemeinsamkeiten schafft man sich“
Manfred Hinrich, deutscher Philosoph 1926-2015

1. Einleitung

Business Impact Analyse (BIA) im Business Continuity Management und Schutzbedarfsanalyse (SBA) in der Informationssicherheit weisen große Parallelen auf. Oftmals werden beide Analysen unabhängig voneinander durchgeführt und Chancen für Synergieeffekte vergeben sowie wichtige methodische Abstimmungen nicht durchgeführt. Die Ursache ist häufig die unterschiedliche Verantwortlichkeit der BIA im BCM und der SBA in der Informationssicherheit. In diesem Beitrag sollen Gemeinsamkeiten und Unterschiede der beiden Analysen dargestellt und Chancen durch eine konzeptionelle und zeitliche Abstimmung aufgezeigt werden.

2. Die Business Impact Analyse im Business Continuity Management

Im Rahmen der Business Impact Analyse (BIA) im Lebenszyklus des Business Continuity Management (BCM) werden die (zeit-) kritischen Geschäftsprozesse des Unternehmens identifiziert. Für die kritischen Geschäftsprozesse werden die erforderlichen Ressourcen identifiziert. Zu diesen Ressourcen zählen die Mitarbeiter mit entsprechendem Know How und Kapazitäten, IT-Anwendungen, Gebäude und Arbeitsplätze, Produktionsanlagen sowie Dokumente und Dienstleister. Für die kritischen Prozesse und deren Ressourcen werden die zeitlichen und kapazitativen Anforderungen an die Wiederherstellung im Notfall festgelegt. Die Anforderungen an die Wiederherstellung werden in der Folge von den Geschäftsprozessen auf die Prozess-Ressourcen vererbt. Die Business Impact Analyse wird auf der Basis von Templates oder BCM-Tools durch die Fachbereiche erhoben. Die Business Impact Analyse ist Grundlage für die BCM-Phasen „BCM-Strategien“, „BCM-Planung“ sowie „Tests und Übungen“ im BCM-Lebenszyklus.

Das Vorgehen für die BIA ist in den Standards ISO 22301:2012 oder BSI 100-4 definiert.

Auf Basis der Ergebnisse der BIA werden im IT Service Continuity Management (ITSCM) die Verfügbarkeitsanforderungen für IT-Anwendungen, IT-Systeme, Middleware, Netzwerke und -komponenten sowie IT-Infrastrukturkomponenten abgeleitet und umgesetzt. Hierzu zählen Disaster Recovery Konzepte und -pläne für IT-Services und -systeme.

Das Vorgehen für das ITSCM ist in den Standards ITIL (IT Infrastructure Library) sowie ISO 27031:2011 definiert.

3. Die Schutzbedarfsanalyse im Informationssicherheitsmanagement

Im Rahmen der Schutzbedarfsanalyse (SBA) im Informationssicherheitsmanagement wird der Schutzbedarf für die Schutzbedarfsziele Integrität, Vertraulichkeit und Authentizität für Daten, Dokumente und IT-Anwendungen ermittelt. Der ermittelte Schutzbedarf für die Informationswerte wird von den IT-Anwendungen auf die dahinter liegenden IT-Systeme, Netzwerke und -komponenten vererbt. Grundlage für die Vererbung ist die Strukturanalyse der IT-Architektur mit der Identifikation und Gruppierung der IT-Informationswerte.

Die Schutzbedarfsanalyse wird auf der Basis von Templates oder ISMS-Tools durch das Informationssicherheitsmanagement  in den Fachbereichen erhoben.

Auf Grundlage der festgelegten Schutzbedarfe für die Informationswerte werden Maßnahmen zum Schutz der Vertraulichkeit und Integrität festgelegt und umgesetzt. Dies können zum Beispiel Maßnahmen zur Verschlüsselung der Daten bei der Speicherung und dem Transport oder Berechtigungssysteme für den Zugriff auf Anwendungen und Daten sein.

Das Vorgehen zur Schutzbedarfsanalyse ist im ISO-Standard ISO 27001:2015 sowie den BSI-Standards und Grundschutzkatalogen definiert.

4. Gemeinsamkeiten und Unterschiede von BIA und SBA

Gemeinsamkeiten und Unterschiede gibt es bei BIA und SBA sowohl inhaltlich als auch im Vorgehen. Durch die Gegenüberstellung der beiden Methoden können Synergieeffekte in der Durchführung identifiziert sowie methodische Brüche vermieden werden.

BIA und SBA

Sowohl die BIA als auch die SBA basieren auf den Geschäftsprozessen mit den zugeordneten Prozess-Ressourcen. Eine Prozessdokumentation mit diesen Informationen erleichtert und beschleunigt die Durchführung sowohl der BIA als auch der SBA erheblich und stellt sicher, dass die Ergebnisse nahtlos aneinander passen. Unterschiedliche Betrachtungsebenen der Geschäftsprozesse oder einfach nur unterschiedliche Benennungen der gleichen Informationswerte (Bsp. Verschiedene Namen für die gleiche IT-Anwendung) machen eine Zusammenführung der Ergebnisse von BIA und SBA aufwändig. Denn am Ende müssen alle Schutzziele für die Informationswerte durch Maßnahmen erfüllt werden. Ideal ist ein gemeinsames Repository mit den Informationen zu Geschäftsprozessen und deren Ressourcen – das immer aktuell gepflegt ist. Auf dieses Prozess-Repository können dann Informationssicherheit, Business Continuity Management aber auch die Revision, das Interne Kontrollsystem IKS und andere Nutzer zugreifen. Eigentlich ist dies seit den Veröffentlichungen von Prof. A.W. Scheer zur Architektur Integrierter Informationssysteme ein alter Hut, doch in vielen Unternehmen nach wie vor eher Wunsch als Wirklichkeit. Obwohl diese Grundlagenarbeit ein lohnenswertes Unterfangen ist. Im schlimmsten Fall – und diesen habe ich bereits mehrfach erlebt – definiert jede dieser Disziplinen sein eigenes Prozessmodell für sich. Selbstredend, dass diese nicht zusammenpassen.

Identisch ist neben dieser Informationsbasis auch die Vorgehensweise zur Erhebung der Informationen in den Fachbereichen. Mittels Templates oder einer toolbasierten Erhebung werden die Daten für die BIA und die SBA in den Fachbereichen erhoben. Gerade in dieser Erhebungsphase lassen sich große Synergien heben. Zweifach auf die Fachbereiche zuzugehen bedeutet doppelter Aufwand auf Fachbereichseite – der Engpass schlechthin für BIA und SBA. Also, warum nicht BIA und SBA in der Erhebung zusammenlegen und nur einmal auf die Fachbereiche zugehen? Zumal für die Fachbereiche die Unterschiede zwischen BIA und SBA nicht erheblich sind. Sie verstehen nur nicht, warum man mit so ähnlichen Fragestellungen zwei Mal auf sie zukommt und Mitarbeiter mit wertvoller Zeit in Anspruch nimmt. Eine Zusammenlegung der Erhebung von BIA und SBA hat zudem den Vorteil, dass die Informationen für die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität zur gleichen Zeit vorliegen. Maßnahmen können so aufeinander abgestimmt auf- und umgesetzt werden. Die Ergebnisse können nahtlos zusammengeführt werden.

Es gibt zahlreiche Gemeinsamkeiten zwischen Business Impact Analyse und Schutzbedarfsanalyse.

Aus meiner Sicht sprechen die Argumente daher für eine methodische und zeitliche Zusammenführung von Business Impact Analyse und Schutzbedarfsanalyse. Voraussetzung ist eine Verabschiedung vom Silo-Denken und die enge Abstimmung der Methoden und Verfahren zwischen BCM, Informationssicherheitsmanagement und ITSCM.

Ich freue mich auf Ihre Erfahrungen und Kommentare

Be prepared

Matthias Hämmerle

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.

Poster für die Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai findet dieses Jahr wieder die Business Continuity Awareness Week “BCAW” statt. Die Woche ist dazu da, das Bewusstsein für Business Continuity Management in den Organisationen zu stärken. Das Business Continuity Institute bietet in dieser Woche auf der Webseite BCAW2016 zahlreiche hochwertige und kostenfreie Webinare internationaler Referenten zu BCM an. Zur Unterstützung der Awareness-Kampagne gibt es auch in diesem Jahr wieder Poster. Diese können kostenfrei in unterschiedlichen Formaten von der Seite heruntergeladen werden und dürfen Büros und Gänge schmücken.

BCAW_A44-1

Implementierung von Business Continuity Management bei begrenzten Ressourcen

Viele Unternehmen schrecken vor der Implementierung von Business Continuity Management zurück, weil sie die Ressourcen für ein solches Vorhaben nicht einsetzen können oder wollen. Die Implementierung eines vollumfänglichen Business Continuity Management ist auch tatsächlich ein Vorhaben, das bei der Implementierung und dem Betrieb erhebliche personelle und finanzielle Ressourcen binden kann. Aus diesem Grund auf die Implementierung eines BCM ganz zu verzichten, ist jedoch eine falsche und gefährliche Entscheidung. Die Geschäftsleitung verstößt damit im Übrigen auch gegen gesetzliche Vorgaben für das Risikomanagement aus dem Aktiengesetz und GmbHG. Auch Kunden fordern zunehmend bei Vertragsabschluss eine Notfallvorsorge und ein Krisenmanagement. “Doing the right things”, ist  ein wichtiger betriebswirtschaftlicher Grundsatz für die Effektivität des Handelns. Übertragen auf die Implementierung von BCM bedeutet dies, mit begrenzten Ressourcen die größtmögliche Wirkung zu erzielen. Hierzu müssen die geschäftskritischen Produkte und Prozesse des Unternehmens identifiziert werden. In der strategischen BIA erfolgt dies aus einer Top-Level-Sicht des Unternehmens:

  • welches sind die Produkte und Services des Unternehmens, die nicht unterbrochen werden dürfen?
  • welches sind die Kunden, deren Versorgung die höchste Priorität haben?
  • welches sind die kritischen Geschäftsprozesse zur Erstellung dieser Produkte und Services?
  • Welches sind die kritischen IT-Anwendungen,  Dienstleister und weitere Ressourcen, die zur Erstellung dieser Services benötigt werden?

Diese Fragen werden in einem Workshop mit der Geschäftsleitung geklärt. Die Festlegungen hieraus legen den Scope des BCM fest. Durch die Konzentration auf “bestandsgefährdende” Produkte und Prozesse kann der Scope für das BCM im ersten Schritt sehr eng gezogen werden. Durch die nachfolgende taktische und operative BIA wird diese strategische BIA verprobt und vertieft.

Durch die “Konzentration auf das Wesentliche” kann auch mit begrenzten Ressourcen ein Business Continuity Management implementiert werden. In den weiteren Schritten der Implementierung wird der Scope dann sukzessive erweitert und vertieft. Die Methoden und Verfahren sind hierfür bereits aus der initialen Implementierung erprobt und bewährt. Wichtig ist es, den ersten Schritt zu machen.

Wachsende Bedeutung von “non property damage risks”

Risiken, die keine physischen Schäden verursachen, aber trotzdem zu finanziellen Schadensfolgen für das Unternehmen führen, nehmen zu. Zu diesen Risiken gehören zum Beispiel Schäden durch Cyber Attacken oder geo-politische Risiken. Die finanziellen Schäden in Folge von Reputations- und Imageverlusten übersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Über 500 Risikomanager in mehr als 40 Ländern wurden für die Studie befragt. Geschäftsunterbrechungen auf Grund von physischen Schäden wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlägt sich in den Risiken nieder. Der legendäre “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande über die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.

Was bedeutet dies für das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von Gebäuden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, müssen im Business Continuity Management stärker berücksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kürzer werden, als wir sie häufig für die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor für die Bewältigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Übungen für das BCM und Krisenmanagement berücksichtigt werden müssen. Übungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur üben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und  sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens für mehrere Stunden lahm.

Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…

Elevator Pitch für die BIA-Ergebnispräsentation

Die vorhergehenden Beiträge im Management-Meeting, in dem Sie die Ergebnisse der Business Impact Analyse vorstellen sollen, haben mal wieder überzogen und Ihnen bleiben  noch fünf Minuten bis das Management unwiderruflich das Notizbuch zuklappt. Geht nicht? Geht doch!

BIA Results

Die Ergebnisse der strategischen und taktischen BIA lassen sich kompakt auf einer Seite darstellen. In einer Darstellungsform, die dem Management geläufig ist. Dies fördert zudem die Akzeptanz und damit auch die Awareness beim Management für unser geliebtes BCM.

In der Kürze liegt die Würze – wie Sie sehen auch bei diesem Beitrag 😉

Sackgasse BIA?!

Sackgasse BIA? – was für eine Frage, wo doch gerade dieser schöne neue ISO-Standard für die BIA veröffentlicht wurde (ISO/TS 22317:2015). Um es gleich vorwegzuschicken, ich gehöre nicht zu der Fraktion, die die BIA als Zeitverschwendung betrachten. Im Gegenteil, ich halte die Business Impact Analyse für die wesentliche Phase im BCM-Lebenszyklus, um die nachfolgenden Phasen Taktik / Strategie, Notfallplanung sowie Tests und Übungen effektiv und effizient durchführen zu können. Ob eine BIA zum Katalysator oder Bremsklotz im BCM-Lebenszyklus wird, entscheidet der Anwender und nicht die BIA selbst. Weiterlesen…

ISO Standard 22317 Business Impact Analyse ist veröffentlicht

Der ISO Standard für die Business Impact Analyse ist von der ISO am 17. September offiziell veröffentlicht worden. Die ISO 22317:2015 beschreibt die Vorgehensweise für die Durchführung einer BIA. Der Standard orientiert sich grundsätzlich an der Vorgehensweise der Good Practice Guidelines des BCI, lässt aber genügend Spielraum für individuelle Anpassungen.

die BIA – wo ist bloß der Beginn des roten Fadens?

Eigentlich könnte man meinen, zur Business Impact Analyse ist alles gesagt und geschrieben. Es gilt also nur noch nach Best Practices mit bewährten Templates an die Arbeit zu gehen. Leider zeigt es sich in vielen Projekten immer wieder, dass es gar nicht so einfach ist, den Beginn des roten Fadens für die BIA zu finden. Ja natürlich, für Geschäftsprozesse soll die BIA gemacht werden. So weit so gut. Was aber, wenn die Geschäftsprozesse gar nicht beschrieben sind oder in einer viel zu hohen Detaillierungsebene. Soll die BIA für alle Prozesse gemacht werden, und wenn nicht, welche Geschäftsprozesse können erst mal – oder vielleicht ganz – außen vor gelassen werden? Die ideale Welt für das BCM gibt es nun mal fast nur in der Theorie und den BCM-Standards. Der größte Fehler ist jetzt jedoch, mit großem Tatendrang einfach einmal mit irgendwelchen Prozessen anzufangen. Leider verbaut man sich mit diesem vermeintlich pragmatischen und ungestümen Vorgehen so manche tolle Chance, die sich aus der BIA ergibt. So zum Beispiel die Abhängigkeitsanalyse zwischen den Prozessen. Sind im Unternehmen keine durchgehenden Wertschöpfungsketten beschrieben, eröffnet gerade die BIA die Chance, sich diesem Ziel ein großes Stück zu nähern. Voraussetzung hierfür ist jedoch,  dass in der BIA für die Geschäftsprozesse Vorgänger- und unterstützende Geschäftsprozesse angegeben werden können. Und hierzu benötigt es eine Liste der Prozesse. Die Prozesse in der Prozessliste sollten sich auf einer vergleichbaren Detaillierungsebene befinden und so benannt und beschrieben sein, dass ein einheitliches Verständnis über die Prozessinhalte und Prozessgrenzen besteht. Um jetzt nicht in ein aufwändiges Prozessmanagement abzugleiten, verbunden vielleicht sogar noch mit einer Toolauswahl für das Prozessmanagement, ist Pragmatismus angesagt. Das Vorgehen kann zum Beispiel darin bestehen, von den potentiell kritischen Fachabteilungen sich die maximal fünf bis zehn wichtigsten Aufgaben nennen zu lassen. Eine kleine Beschreibung der Aufgaben nach dem EVA-Prinzip (Eingabe – Verarbeitung – Ausgabe) definiert die Aufgabeninhalte und Schnittstellen. Diese Aufgaben “mutieren” dann in der BIA zu Prozessketten, indem die jeweiligen Vorgänger- und Unterstützungsaufgaben je Aufgabe abgefragt werden. Und schon ist man den Wertschöpfungsketten ein gutes Stück näher gekommen. Die zusätzliche Arbeit für die Erstellung dieser Aufgabenlisten lohnt sich in jedem Fall. Der Anfang vom Faden für die BIA ist damit gefunden und an diesem lässt es sich jetzt gut weiterhangeln, bis aus dem Faden ein Pullover gestrickt ist. Grobmaschig, aber erst einmal wärmend. Um die Details kann sich jetzt das Prozessmanagement kümmern und im nächsten BIA-Aktualisierungslauf werden die Maschen enger geknüpft. Rom ist auch nicht an einem Tag erschaffen worden – aber es gab ein klares Schnittmuster für den Aufbau der Stadt und der Verkehrswege nach dem vorgegangen wurde.