BCM-News Daily Digest

Anforderungen der BCM-Standards an die BCM-Risikoanalyse

Die BCM-Risikoanalyse stellt Unternehmen im Vergleich zu den anderen Phasen des BCM-Lebenszyklus, der Business Impact Analyse, der Notfallplanung sowie den Tests und Übungen oftmals vor neue methodische und organisatorische Fragestellungen. Das Verständnis, ob, wann und wie eine Risikoanalyse im Business Continuity Management durchgeführt werden soll hat sich im Entwicklungsverlauf der BCM-Disziplin gewandelt und auch innerhalb der BCM-Verantwortlichen gibt es heute unterschiedliche Sichtweisen auf dieses spannende Thema. Der BS 25999, Vorläufer des aktuellen ISO-Standards 22301, verweist bei der Risikoanalyse noch auf die Pflichtelemente des ISO 27001. In der Fassung von 2012 verweist der ISO 22301 dann bei der Umsetzung des Risikomanagements auf die ISO 31000 und definiert darüber hinaus nur sehr rudimentäre Anforderungen an das Risikomanagement aus BCM-Sicht. Dies lässt die BCM-Verantwortlichen mit zahlreichen Fragezeichen zurück.

In meinem Beitrag auf 3GRC habe ich die Anforderungen der Standards an die BCM-Risikoanalyse näher betrachtet und gegenübergestellt.

Emergency Communications Report 2021

Das Business Continuity Institute BCI hat in Zusammenarbeit mit F24 die 6. Ausgabe des Emergency Communications Report 2021 veröffentlicht. Die Umfrage beleuchtet die Entwicklungen bei der Alarmierung und Kommunikation in einer Krise.

Die Ergebnisse der Umfrage sind durch die Erfahrungen der Organisationen im Umgang mit der Covid19-Pandemie in 2020 geprägt, zeigen aber auch darüber hinaus längerfristige Tendenzen für die Digitalisierung im Krisenmanagement auf.

64 Prozent der befragten Unternehmen setzen Software oder Tools für die Alarmierung und / oder Krisenmanagement ein. Der Trend geht hierbei deutlich zur Nutzung von Lösungen aus der Cloud (SAAS) mit einem Anteil von 74 Prozent der eingesetzten Lösungen. 41 Prozent der Unternehmen erreichen mit Hilfe dieser Toolunterstützung eine Alarmierungszeit von unter 5 Minuten.

Die Covid19-Pandemie hat durch das räumlich verteilte Arbeiten auch zu einer stärkeren Digitalisierung in der Krisenstabsarbeit geführt. Neben dem klassischen Krisenstabsraum werden für die Kollaboration im Krisenstab vor allem Kollaborations- und Messenger Tools aus dem Business-Umfeld (Microsoft Teams, Slack, Skype) sowie Telefonkonferenzen eingesetzt. Auch dedizierte Krisenmanagementsoftware weist eine starke Nutzung in der Krisenstabsarbeit auf. Immerhin werden in fast 30 Prozent der Fälle jedoch auch Messenger Tools aus dem privaten Umfeld (Bsp. WhatsApp) eingesetzt.

Den vollständigen Emergency Communications Report 2021 mit den ausführlichen Ergebnissen erhalten Sie auf den Webseiten des BCI und F24.

Wie aussagefähig sind qualitative Risikoeinschätzungen?

Im Business Continuity Management wird häufig auf qualitative Einschätzung von Risiken zurückgegriffen. Das Risiko wird als “unwahrscheinlich”, “wahrscheinlich” oder “selten” klassifiziert. Diese Klassifizierungen sollten einheitlich gleich verstanden werden, um eine solide Grundlage für das Risikomanagement zu bilden. Leider werden die Wahrscheinlichkeiten, für die diese Klassifizierungen stehen, von verschiedenen Personen zum Teil völlig unterschiedlich interpretiert. Eine weitere Schwachstelle, auf die beim Design des Risikomanagements zu achten ist, neben den psychologischen Wahrnehmungsfehlern für Risiken und deren Eintrittswahrscheinlichkeit.

Auf RiskNet ist am 1. Februar 2021 unter dem Beitragstitel “Grenzen einer qualitativen Risikobewertung” das Ergebnis einer sehr aufschlussreichen Studie über das Verständnis der Begriffe zur Klassifizierung der Eintrittswahrscheinlichkeit erschienen. Bei der qualitativen Risikoeinschätzung werden Klassifizierungen wie “höchstwahrscheinlich”, “wahrscheinlich”, “häufig”, “selten” oder “nie” verwendet. Wichtig bei der qualitativen Risikoeinschätzung ist ein gemeinsames Verständnis der Klassifizierungen. Die Studienergebnisse zeigen jedoch auf, dass selbst Klassifizierungen, die vermeintlich eindeutig sind, wie “sicher” oder “ausgeschlossen”, von den Studienteilnehmern nicht eindeutig einer Wahrscheinlichkeit zugeordnet werden konnten. Die Klassifizierungen “höchstwahrscheinlich”, “wahrscheinlich” und “möglich” weisen breite Streuungen des Verständnisses über die dahinterliegende Wahrscheinlichkeit auf. Die Einschätzung der Wahrscheinlichkeit unterscheidet sich zudem zum Teil stark nach Geschlechtern und Studienrichtung der Studienteilnehmer.

Die Ergebnisse dieser Studie zeigen klar auf, dass die häufig verwendeten Klassifizierungen für Risiken nicht eindeutig sind, sondern im Auge des Betrachters liegen. Wenn auf eine qualitative Risikoeinschätzung nicht verzichtet werden kann, sind die Klassifizierungen daher möglichst genau zu beschreiben und voneinander abzugrenzen. Der Autor der Studie schlägt hierfür zum Beispiel Zuordnungstabellen mit Bandbreiten vor (Bsp. “unwahrscheinlich” entspricht Wahrscheinlichkeiten unter 15 Prozent, “möglich” 15 bis 30 Prozent).

Neben dieser sprachlichen Unschärfe, die in der Studie beleuchtet wird, gibt es zahlreiche psychologische Fehler in der Risikobeurteilung, die in der Natur des Menschen liegt. Wer diesen Wahrnehmungsfehlern auf die Spur kommen möchte, dem empfehle ich die Literatur des Buches How Risky Is IT, Really von David Ropeik – Why our fears don´t always match the facts, in dem viele schöne Beispiele für die fehlerhafte Wahrnehmung von Risiken beschrieben werden begründet darin, wie Risiken formuliert und wie diese subjektiv wahrgenommen werden.

Kennen Sie die Risiken, die die Existenz Ihres Unternehmens akut gefährden würden?

Jedes Jahr wiederholt sich zu Jahresbeginn das gleiche Ritual: Risikoeinschätzungen für das anstehende neue Jahr werden erhoben und mit den Einschätzungen der vergangenen Jahren abgeglichen. Heraus kommt eine Hitliste der von der Mehrheit der Befragten zu erwartenden Risiken. Nicht sehr überraschend ist dieses Jahr die Pandemie auf der Hitliste ganz oben, nachdem dieses Risiko in den vergangenen Jahren offensichtlich stark unterschätzt wurde.

Weiterlesen…

Community Draft des BSI 200-4 Business Continuity Management veröffentlicht

Am 19.01.2021 wurde im Rahmen des BSI Grundschutztages der Community Draft des BSI 200-4 Business Continuity Management veröffentlicht. Der Standard wird den in die Tage gekommenen BSI 100-4 ablösen. Neben der Umbenennung von Notfallmanagment in Business Continuity Mnagement gibt es inhaltlich zahlreiche Änderungen gegenüber dem bestehenden Standard. Der CD wird voraussichtlich sechs Monate öffentlich kommentiert werden können, bevor die finale Version gegen Ende 2021 zu erwarten ist. Kommentare können per Mail oder über die sozialen Medien an das BSI erfolgen.

Hier der Link zur Presseveröffentlichung des BSI und zum Community Draft des BSI 200-4.

Business Continuity Management gut versteckt

In der Finanzdienstleistungsbranche ist der Begriff Business Continuity Management mittlerweile ein gängiger Begriff. Die regulatorischen Anforderungen und die damit einhergehende Nutzung von Standards und Normen hat hier zu einem guten Begriffsverständnis dieser Disziplin geführt. In anderen Branchen wie zum Beispiel dem Gesundheitsbereich, der Automobilindustrie oder dem Maschinenbau ist Business Continuity Management weit weniger bekannt.

Hieraus jedoch den Schluss zu ziehen, dass dort kein BCM praktiziert wird, ist jedoch häufig ein Trugschluss. Das Business Continuity Management versteckt sich häufig nur in anderen Disziplinen und will aus seinem Dornröschenschlaf erweckt werden. In vielen Branchen hat das Qualitätsmanagement eine lange Tradition und eine große Bedeutung. Teile des BCM sowie des Prozessmanagements finde ich daher häufig im Qualitätsmanagement vor. Zur Sicherstellung der Qualität werden Prozessabläufe definiert und beschrieben sowie Verfahren bei Fehlern oder Ausfällen. Auch Risiko- und Supply Management sind sehr gute Anlaufpunkte, um bestehende Notfallvorsorgemaßnahmen zu identifizieren. Schließlich wissen Produktions- oder Schichtleiter aus ihrer Erfahrung heraus sehr gut mit Ausfällen von Anlagen und Produktionsprozessen umzugehen.

Oftmals muss daher in diesen Unternehmen kein BCM “von der Pieke auf” neu implementiert werden. Es gilt, die bereits bestehenden Ansätze zu identifizieren und zusammenzufügen, sowie fehlende Bausteine zu ergänzen. Meist fehlt es schlichtweg an einer gesamtheitlichen und strukturierten Dokumentation, da sich viel Wissen und Erfahrung in den Köpfen der Mitarbeiter befindet. Es wäre schade und Ressourcenverschwendung, dieses bestehende Wissen nicht zu nutzen. Oftmals heißt es dann “Och das ist Business Continuity Management? – aber das machen wir doch schon”.

Pandemieplanung

IBCRM-Webinar: Hat ein Virus dem Business Continuity Management die Grenzen aufgezeigt?

In diesem Seminar des Instituts für Business Continuity & Resilience Management analysieren die Fachexperten des IBCRM die Auswirkungen der Pandemie und die Herausforderungen an BCM & Resilience.

Das Webinar steht Ihnen jederzeit zum Abruf auf der Webseite des IBCRM zur Verfügung oder direkt hier.

IBCRM e.V Autoren: Claudia Krüger, Matthias Hämmerle, Donald Ortmann, Johannes Nickel, Max Kaiser, Murat Wewerke, Sandra Achilles

Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management

Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.

Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.

Aber jetzt lassen wir das Spiel beginnen.

Weiterlesen…
BCM-Wiki

Warum das Produkt aus Eintrittswahrscheinlichkeit mal Schadenshöhe zu Fehlentscheidungen führt

Vor Kurzem habe ich auf der Plattform 3GRC den Artikel “Wie wahrscheinlich ist das Unwahrscheinliche” veröffentlicht. In diesem Beitrag lege ich dar, dass die Eintrittswahrscheinlichkeit eines Ereignisses keine Rolle bei der Bewertung eines Risikos spielen darf. Jetzt bin ich auf einen Artikel in der Resiliencepost gestossen, der diese Argumentation bestärkt und zudem ein sehr anschauliches Beispiel hierfür liefert. Ich habe mir daher erlaubt dieses Beispiel aus dem Artikel “zu klauen” und hier etwas modifiziert wiederzugeben.

Weiterlesen…