Emergency Communications Report 2021

Das Business Continuity Institute BCI hat in Zusammenarbeit mit F24 die 6. Ausgabe des Emergency Communications Report 2021 veröffentlicht. Die Umfrage beleuchtet die Entwicklungen bei der Alarmierung und Kommunikation in einer Krise.

Die Ergebnisse der Umfrage sind durch die Erfahrungen der Organisationen im Umgang mit der Covid19-Pandemie in 2020 geprägt, zeigen aber auch darüber hinaus längerfristige Tendenzen für die Digitalisierung im Krisenmanagement auf.

64 Prozent der befragten Unternehmen setzen Software oder Tools für die Alarmierung und / oder Krisenmanagement ein. Der Trend geht hierbei deutlich zur Nutzung von Lösungen aus der Cloud (SAAS) mit einem Anteil von 74 Prozent der eingesetzten Lösungen. 41 Prozent der Unternehmen erreichen mit Hilfe dieser Toolunterstützung eine Alarmierungszeit von unter 5 Minuten.

Die Covid19-Pandemie hat durch das räumlich verteilte Arbeiten auch zu einer stärkeren Digitalisierung in der Krisenstabsarbeit geführt. Neben dem klassischen Krisenstabsraum werden für die Kollaboration im Krisenstab vor allem Kollaborations- und Messenger Tools aus dem Business-Umfeld (Microsoft Teams, Slack, Skype) sowie Telefonkonferenzen eingesetzt. Auch dedizierte Krisenmanagementsoftware weist eine starke Nutzung in der Krisenstabsarbeit auf. Immerhin werden in fast 30 Prozent der Fälle jedoch auch Messenger Tools aus dem privaten Umfeld (Bsp. WhatsApp) eingesetzt.

Den vollständigen Emergency Communications Report 2021 mit den ausführlichen Ergebnissen erhalten Sie auf den Webseiten des BCI und F24.

Wie aussagefähig sind qualitative Risikoeinschätzungen?

Im Business Continuity Management wird häufig auf qualitative Einschätzung von Risiken zurückgegriffen. Das Risiko wird als “unwahrscheinlich”, “wahrscheinlich” oder “selten” klassifiziert. Diese Klassifizierungen sollten einheitlich gleich verstanden werden, um eine solide Grundlage für das Risikomanagement zu bilden. Leider werden die Wahrscheinlichkeiten, für die diese Klassifizierungen stehen, von verschiedenen Personen zum Teil völlig unterschiedlich interpretiert. Eine weitere Schwachstelle, auf die beim Design des Risikomanagements zu achten ist, neben den psychologischen Wahrnehmungsfehlern für Risiken und deren Eintrittswahrscheinlichkeit.

Auf RiskNet ist am 1. Februar 2021 unter dem Beitragstitel “Grenzen einer qualitativen Risikobewertung” das Ergebnis einer sehr aufschlussreichen Studie über das Verständnis der Begriffe zur Klassifizierung der Eintrittswahrscheinlichkeit erschienen. Bei der qualitativen Risikoeinschätzung werden Klassifizierungen wie “höchstwahrscheinlich”, “wahrscheinlich”, “häufig”, “selten” oder “nie” verwendet. Wichtig bei der qualitativen Risikoeinschätzung ist ein gemeinsames Verständnis der Klassifizierungen. Die Studienergebnisse zeigen jedoch auf, dass selbst Klassifizierungen, die vermeintlich eindeutig sind, wie “sicher” oder “ausgeschlossen”, von den Studienteilnehmern nicht eindeutig einer Wahrscheinlichkeit zugeordnet werden konnten. Die Klassifizierungen “höchstwahrscheinlich”, “wahrscheinlich” und “möglich” weisen breite Streuungen des Verständnisses über die dahinterliegende Wahrscheinlichkeit auf. Die Einschätzung der Wahrscheinlichkeit unterscheidet sich zudem zum Teil stark nach Geschlechtern und Studienrichtung der Studienteilnehmer.

Die Ergebnisse dieser Studie zeigen klar auf, dass die häufig verwendeten Klassifizierungen für Risiken nicht eindeutig sind, sondern im Auge des Betrachters liegen. Wenn auf eine qualitative Risikoeinschätzung nicht verzichtet werden kann, sind die Klassifizierungen daher möglichst genau zu beschreiben und voneinander abzugrenzen. Der Autor der Studie schlägt hierfür zum Beispiel Zuordnungstabellen mit Bandbreiten vor (Bsp. “unwahrscheinlich” entspricht Wahrscheinlichkeiten unter 15 Prozent, “möglich” 15 bis 30 Prozent).

Neben dieser sprachlichen Unschärfe, die in der Studie beleuchtet wird, gibt es zahlreiche psychologische Fehler in der Risikobeurteilung, die in der Natur des Menschen liegt. Wer diesen Wahrnehmungsfehlern auf die Spur kommen möchte, dem empfehle ich die Literatur des Buches How Risky Is IT, Really von David Ropeik – Why our fears don´t always match the facts, in dem viele schöne Beispiele für die fehlerhafte Wahrnehmung von Risiken beschrieben werden begründet darin, wie Risiken formuliert und wie diese subjektiv wahrgenommen werden.

Kennen Sie die Risiken, die die Existenz Ihres Unternehmens akut gefährden würden?

Jedes Jahr wiederholt sich zu Jahresbeginn das gleiche Ritual: Risikoeinschätzungen für das anstehende neue Jahr werden erhoben und mit den Einschätzungen der vergangenen Jahren abgeglichen. Heraus kommt eine Hitliste der von der Mehrheit der Befragten zu erwartenden Risiken. Nicht sehr überraschend ist dieses Jahr die Pandemie auf der Hitliste ganz oben, nachdem dieses Risiko in den vergangenen Jahren offensichtlich stark unterschätzt wurde.

Weiterlesen…

Community Draft des BSI 200-4 Business Continuity Management veröffentlicht

Am 19.01.2021 wurde im Rahmen des BSI Grundschutztages der Community Draft des BSI 200-4 Business Continuity Management veröffentlicht. Der Standard wird den in die Tage gekommenen BSI 100-4 ablösen. Neben der Umbenennung von Notfallmanagment in Business Continuity Mnagement gibt es inhaltlich zahlreiche Änderungen gegenüber dem bestehenden Standard. Der CD wird voraussichtlich sechs Monate öffentlich kommentiert werden können, bevor die finale Version gegen Ende 2021 zu erwarten ist. Kommentare können per Mail oder über die sozialen Medien an das BSI erfolgen.

Hier der Link zur Presseveröffentlichung des BSI und zum Community Draft des BSI 200-4.

Business Continuity Management gut versteckt

In der Finanzdienstleistungsbranche ist der Begriff Business Continuity Management mittlerweile ein gängiger Begriff. Die regulatorischen Anforderungen und die damit einhergehende Nutzung von Standards und Normen hat hier zu einem guten Begriffsverständnis dieser Disziplin geführt. In anderen Branchen wie zum Beispiel dem Gesundheitsbereich, der Automobilindustrie oder dem Maschinenbau ist Business Continuity Management weit weniger bekannt.

Hieraus jedoch den Schluss zu ziehen, dass dort kein BCM praktiziert wird, ist jedoch häufig ein Trugschluss. Das Business Continuity Management versteckt sich häufig nur in anderen Disziplinen und will aus seinem Dornröschenschlaf erweckt werden. In vielen Branchen hat das Qualitätsmanagement eine lange Tradition und eine große Bedeutung. Teile des BCM sowie des Prozessmanagements finde ich daher häufig im Qualitätsmanagement vor. Zur Sicherstellung der Qualität werden Prozessabläufe definiert und beschrieben sowie Verfahren bei Fehlern oder Ausfällen. Auch Risiko- und Supply Management sind sehr gute Anlaufpunkte, um bestehende Notfallvorsorgemaßnahmen zu identifizieren. Schließlich wissen Produktions- oder Schichtleiter aus ihrer Erfahrung heraus sehr gut mit Ausfällen von Anlagen und Produktionsprozessen umzugehen.

Oftmals muss daher in diesen Unternehmen kein BCM “von der Pieke auf” neu implementiert werden. Es gilt, die bereits bestehenden Ansätze zu identifizieren und zusammenzufügen, sowie fehlende Bausteine zu ergänzen. Meist fehlt es schlichtweg an einer gesamtheitlichen und strukturierten Dokumentation, da sich viel Wissen und Erfahrung in den Köpfen der Mitarbeiter befindet. Es wäre schade und Ressourcenverschwendung, dieses bestehende Wissen nicht zu nutzen. Oftmals heißt es dann “Och das ist Business Continuity Management? – aber das machen wir doch schon”.

Pandemieplanung

IBCRM-Webinar: Hat ein Virus dem Business Continuity Management die Grenzen aufgezeigt?

In diesem Seminar des Instituts für Business Continuity & Resilience Management analysieren die Fachexperten des IBCRM die Auswirkungen der Pandemie und die Herausforderungen an BCM & Resilience.

Das Webinar steht Ihnen jederzeit zum Abruf auf der Webseite des IBCRM zur Verfügung oder direkt hier.

IBCRM e.V Autoren: Claudia Krüger, Matthias Hämmerle, Donald Ortmann, Johannes Nickel, Max Kaiser, Murat Wewerke, Sandra Achilles

Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management

Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.

Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.

Aber jetzt lassen wir das Spiel beginnen.

Weiterlesen…
BCM-Wiki

Warum das Produkt aus Eintrittswahrscheinlichkeit mal Schadenshöhe zu Fehlentscheidungen führt

Vor Kurzem habe ich auf der Plattform 3GRC den Artikel “Wie wahrscheinlich ist das Unwahrscheinliche” veröffentlicht. In diesem Beitrag lege ich dar, dass die Eintrittswahrscheinlichkeit eines Ereignisses keine Rolle bei der Bewertung eines Risikos spielen darf. Jetzt bin ich auf einen Artikel in der Resiliencepost gestossen, der diese Argumentation bestärkt und zudem ein sehr anschauliches Beispiel hierfür liefert. Ich habe mir daher erlaubt dieses Beispiel aus dem Artikel “zu klauen” und hier etwas modifiziert wiederzugeben.

Weiterlesen…

Warum Notfall nicht gleich Notfall ist

Die Disziplinen Business Continuity und Krisenmanagement zeichnen sich leider dadurch aus, dass es eine Vielzahl von Begrifflichkeiten, Abkürzungen und Definitionen gibt. Aus diesem enormen Füllhorn bedienen sich dann Unternehmen und Organisationen nach Belieben. Dies führt dazu, dass schon innerhalb von Unternehmen Begriffe nicht eindeutig definiert sind. Zwischen Unternehmen, Lieferanten, Dienstleistern und Behörden ist ein gemeinsames Begriffsverständnis in weiter Ferne. Zu den beliebtesten Begriffen zählen Störungen, Notfälle, Katastrophen, K-Fälle, gerne auch ergänzt durch Incidents und Problems.

In der Hitliste ganz oben der meistverwendeten Begriffe ist der “Notfall”. Allseits beliebt und doch nicht eindeutig definiert. Erklären zwei Unternehmen den Notfall, kann dies völlig unterschiedliche Ereignisse beschreiben. Bei einem Unternehmen ist der Notfall eine Eskalationsstufe einer Störung und noch gut beherrschbar. In einem anderen Unternehmen kann ein Notfall bereits den größten anzunehmenden Unfall GAU darstellen (einen “Super-GAU” kann es sprachlich nicht geben).

Aber bereits innerhalb eines Unternehmens kann es schnell zu Missverständnissen kommen. Aus Sicht des Business Continuity Managements liegt ein Notfall beispielsweise vor, wenn zeitkritische Geschäftsprozesse unterbrochen sind. Aus Sicht der IT liegt ein Notfall beispielsweise vor, wenn kritische IT-Systeme ausfallen. Ein Notfall in der IT kann einen Notfall des BCM nach sich ziehen, muss es aber nicht. Ist ein IT-System redundant abgesichert, führt der Ausfall (hoffentlich) nicht zu einer Beeinträchtigung der Geschäftsprozesse. Aus der Praxis hat sich daher bewährt zwischen einem IT-Notfall und einem BCM-Notfall zu differenzieren. Schon bei der Feststellung des jeweiligen Notfalls wird so klar, welche Ressourcen des Unternehmens betroffen sind und welche nicht. Natürlich kann ein IT- und BCM-Notfall auch gleichzeitig auftreten. Ein BCM-Notfall verursacht durch einen Personalausfall in den IT-Prozessen kann einen IT-Notfall nach sich ziehen. Umgekehrt kann ein IT-Notfall zum Ausfall zeitkritischer Geschäftsprozesse und damit einem BCM-Notfall führen. Ein keiner Schritt auf einem langen Weg zu einem besseren Begriffsverständnis.

Positive Nebeneffekte einer Business Impact Analyse: Transparenz über die Organisation und die Geschäftsprozesse

Die Business Impact Analyse basiert auf den Geschäftsprozessen des Unternehmens. Ziel der BIA ist es, die zeitkritischen Geschäftsprozesse zu identifizieren, deren Unterbrechung oder Ausfall zu großen oder gar existentiellen Schäden für das Unternehmen führen können.

“A thorough understanding of the organization”, also ein tiefgreifendes Verständnis der Organisation, ist das Ziel der Analyse-Phase gemäß der Good Practice Guidelines des Business Continuity Institute BCI. Die Märkte, Kunden, Produkte und Services, Geschäftsprozesse sowie Dienstleister- und Lieferantenbeziehungen gehören zu einem erfolgreichen Funktionieren eines Unternehmens.

Gut modellierte Geschäftsprozesse und Ressourcenzusammenhänge sind daher eigentlich die Voraussetzung für das gute Gelingen einer Business Impact Analyse. Produkt- und Servicekataloge, Prozesslandkarten, IT-Anwendungslisten und dokumentierte Informationsverbünde, Dienstleister- und Vertragsverzeichnisse sowie betriebswirtschaftliche Kennzahlen wie Umsätze und Deckungsbeiträge gehören zum Basis-Werkzeugkasten einer BIA.

Doch auch im Business Continuity Management ist die Welt nicht optimal. In der Regel fehlen beim Projektstart eines oder gleich mehrere dieser Werkzeuge. Manche Werkzeuge sind vorhanden, aber stumpf wie zum Beispiel eine nicht gepflegtes IT-Anwendungsverzeichnis oder schlecht strukturierte Prozesslandkarten.

Jetzt die Hände in den Schoß zu legen und zu warten bis die Werkzeugkiste vom Himmel fällt ist jedoch der falsche Ansatz. Sehr oft habe ich in meiner Beratungspraxis erlebt, dass aus dem BCM-Projekt gestoppte oder eingeschlafene Ansätze mittels einer Initialzündung wieder zum Leben erweckt werden konnten. Oftmals sind Geschäftsprozessmodellierungsprojekte mehrfach euphorisch gestartet worden, um dann später frustriert wieder eingestellt zu werden oder schlicht einzuschlafen. Das BCM und insbesondere die Business Impact Analyse gibt vielen Werkzeugen einen Sinn und fügt sie zusammen. Was nutzt der schönste Drehmomentschlüssel im Werkzeugkasten, wenn es keine sinnvolle Anwendung dafür gibt oder er den völlig falschen Drehmomentbereich für die kleinen feinen Schrauben hat. Das BCM wird diese Werkzeuge nicht herstellen können, sondern den vielen schönen Tools einen Einsatzzweck geben, in dem sie alle für ein gemeinsames Ziel zusammenwirken können: “das Geschäft verstehen und modellieren”. Was gibt es nichts Schöneres, als sich mit einem gut ausgestatteten Werkzeugkoffer an die Arbeit zu machen und das Werk erfolgreich zu beenden mit einem gemeinsamen Verständnis, wie die Bausteine zusammenwirken.