Business Continuity Management gut versteckt

In der Finanzdienstleistungsbranche ist der Begriff Business Continuity Management mittlerweile ein gängiger Begriff. Die regulatorischen Anforderungen und die damit einhergehende Nutzung von Standards und Normen hat hier zu einem guten Begriffsverständnis dieser Disziplin geführt. In anderen Branchen wie zum Beispiel dem Gesundheitsbereich, der Automobilindustrie oder dem Maschinenbau ist Business Continuity Management weit weniger bekannt.

Hieraus jedoch den Schluss zu ziehen, dass dort kein BCM praktiziert wird, ist jedoch häufig ein Trugschluss. Das Business Continuity Management versteckt sich häufig nur in anderen Disziplinen und will aus seinem Dornröschenschlaf erweckt werden. In vielen Branchen hat das Qualitätsmanagement eine lange Tradition und eine große Bedeutung. Teile des BCM sowie des Prozessmanagements finde ich daher häufig im Qualitätsmanagement vor. Zur Sicherstellung der Qualität werden Prozessabläufe definiert und beschrieben sowie Verfahren bei Fehlern oder Ausfällen. Auch Risiko- und Supply Management sind sehr gute Anlaufpunkte, um bestehende Notfallvorsorgemaßnahmen zu identifizieren. Schließlich wissen Produktions- oder Schichtleiter aus ihrer Erfahrung heraus sehr gut mit Ausfällen von Anlagen und Produktionsprozessen umzugehen.

Oftmals muss daher in diesen Unternehmen kein BCM “von der Pieke auf” neu implementiert werden. Es gilt, die bereits bestehenden Ansätze zu identifizieren und zusammenzufügen, sowie fehlende Bausteine zu ergänzen. Meist fehlt es schlichtweg an einer gesamtheitlichen und strukturierten Dokumentation, da sich viel Wissen und Erfahrung in den Köpfen der Mitarbeiter befindet. Es wäre schade und Ressourcenverschwendung, dieses bestehende Wissen nicht zu nutzen. Oftmals heißt es dann “Och das ist Business Continuity Management? – aber das machen wir doch schon”.

Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management

Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.

Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.

Aber jetzt lassen wir das Spiel beginnen.

Weiterlesen…

Warum Notfall nicht gleich Notfall ist

Die Disziplinen Business Continuity und Krisenmanagement zeichnen sich leider dadurch aus, dass es eine Vielzahl von Begrifflichkeiten, Abkürzungen und Definitionen gibt. Aus diesem enormen Füllhorn bedienen sich dann Unternehmen und Organisationen nach Belieben. Dies führt dazu, dass schon innerhalb von Unternehmen Begriffe nicht eindeutig definiert sind. Zwischen Unternehmen, Lieferanten, Dienstleistern und Behörden ist ein gemeinsames Begriffsverständnis in weiter Ferne. Zu den beliebtesten Begriffen zählen Störungen, Notfälle, Katastrophen, K-Fälle, gerne auch ergänzt durch Incidents und Problems.

In der Hitliste ganz oben der meistverwendeten Begriffe ist der “Notfall”. Allseits beliebt und doch nicht eindeutig definiert. Erklären zwei Unternehmen den Notfall, kann dies völlig unterschiedliche Ereignisse beschreiben. Bei einem Unternehmen ist der Notfall eine Eskalationsstufe einer Störung und noch gut beherrschbar. In einem anderen Unternehmen kann ein Notfall bereits den größten anzunehmenden Unfall GAU darstellen (einen “Super-GAU” kann es sprachlich nicht geben).

Aber bereits innerhalb eines Unternehmens kann es schnell zu Missverständnissen kommen. Aus Sicht des Business Continuity Managements liegt ein Notfall beispielsweise vor, wenn zeitkritische Geschäftsprozesse unterbrochen sind. Aus Sicht der IT liegt ein Notfall beispielsweise vor, wenn kritische IT-Systeme ausfallen. Ein Notfall in der IT kann einen Notfall des BCM nach sich ziehen, muss es aber nicht. Ist ein IT-System redundant abgesichert, führt der Ausfall (hoffentlich) nicht zu einer Beeinträchtigung der Geschäftsprozesse. Aus der Praxis hat sich daher bewährt zwischen einem IT-Notfall und einem BCM-Notfall zu differenzieren. Schon bei der Feststellung des jeweiligen Notfalls wird so klar, welche Ressourcen des Unternehmens betroffen sind und welche nicht. Natürlich kann ein IT- und BCM-Notfall auch gleichzeitig auftreten. Ein BCM-Notfall verursacht durch einen Personalausfall in den IT-Prozessen kann einen IT-Notfall nach sich ziehen. Umgekehrt kann ein IT-Notfall zum Ausfall zeitkritischer Geschäftsprozesse und damit einem BCM-Notfall führen. Ein keiner Schritt auf einem langen Weg zu einem besseren Begriffsverständnis.

Positive Nebeneffekte einer Business Impact Analyse: Transparenz über die Organisation und die Geschäftsprozesse

Die Business Impact Analyse basiert auf den Geschäftsprozessen des Unternehmens. Ziel der BIA ist es, die zeitkritischen Geschäftsprozesse zu identifizieren, deren Unterbrechung oder Ausfall zu großen oder gar existentiellen Schäden für das Unternehmen führen können.

“A thorough understanding of the organization”, also ein tiefgreifendes Verständnis der Organisation, ist das Ziel der Analyse-Phase gemäß der Good Practice Guidelines des Business Continuity Institute BCI. Die Märkte, Kunden, Produkte und Services, Geschäftsprozesse sowie Dienstleister- und Lieferantenbeziehungen gehören zu einem erfolgreichen Funktionieren eines Unternehmens.

Gut modellierte Geschäftsprozesse und Ressourcenzusammenhänge sind daher eigentlich die Voraussetzung für das gute Gelingen einer Business Impact Analyse. Produkt- und Servicekataloge, Prozesslandkarten, IT-Anwendungslisten und dokumentierte Informationsverbünde, Dienstleister- und Vertragsverzeichnisse sowie betriebswirtschaftliche Kennzahlen wie Umsätze und Deckungsbeiträge gehören zum Basis-Werkzeugkasten einer BIA.

Doch auch im Business Continuity Management ist die Welt nicht optimal. In der Regel fehlen beim Projektstart eines oder gleich mehrere dieser Werkzeuge. Manche Werkzeuge sind vorhanden, aber stumpf wie zum Beispiel eine nicht gepflegtes IT-Anwendungsverzeichnis oder schlecht strukturierte Prozesslandkarten.

Jetzt die Hände in den Schoß zu legen und zu warten bis die Werkzeugkiste vom Himmel fällt ist jedoch der falsche Ansatz. Sehr oft habe ich in meiner Beratungspraxis erlebt, dass aus dem BCM-Projekt gestoppte oder eingeschlafene Ansätze mittels einer Initialzündung wieder zum Leben erweckt werden konnten. Oftmals sind Geschäftsprozessmodellierungsprojekte mehrfach euphorisch gestartet worden, um dann später frustriert wieder eingestellt zu werden oder schlicht einzuschlafen. Das BCM und insbesondere die Business Impact Analyse gibt vielen Werkzeugen einen Sinn und fügt sie zusammen. Was nutzt der schönste Drehmomentschlüssel im Werkzeugkasten, wenn es keine sinnvolle Anwendung dafür gibt oder er den völlig falschen Drehmomentbereich für die kleinen feinen Schrauben hat. Das BCM wird diese Werkzeuge nicht herstellen können, sondern den vielen schönen Tools einen Einsatzzweck geben, in dem sie alle für ein gemeinsames Ziel zusammenwirken können: “das Geschäft verstehen und modellieren”. Was gibt es nichts Schöneres, als sich mit einem gut ausgestatteten Werkzeugkoffer an die Arbeit zu machen und das Werk erfolgreich zu beenden mit einem gemeinsamen Verständnis, wie die Bausteine zusammenwirken.

Positive Nebeneffekte einer Business Impact Analyse: Köpfe kennen

Im Krisenmanagement gibt es den Leitspruch “In der Krise Köpfe kennen”. Dies bedeutet, die richtigen Ansprechpartner für die Lösung der Herausforderungen zu kennen, aber auch Verhaltensweisen von Menschen in Stress-Situationen einschätzen zu können. Ein wichtiger Weg, Köpfe kennenzulernen ist die Business Impact Analyse.

Die Business Impact Analyse stellt eine Tournee durch die ganze Organisation auf der Suche nach kritischen Geschäftsprozessen dar. Auf dieser Tournee bekommt man Kontakt zu ganz vielen Menschen im Unternehmen aus den unterschiedlichsten Bereichen. Morgens ein Interview mit dem Prozessverantwortlichen aus dem Wertpapierbereich, der mit einem Mausklick Millionenbeträge bewegt, Nachmittags im Keller beim Facility Management umgeben vom Dieselgeruch des Notstromaggregats. In kaum einer Disziplin wie dem BCM, und hier insbesondere der Business Impact Analyse, gibt es die Möglichkeit, alle Bereiche und Nischen des Unternehmens zu erkunden und kennenzulernen. Auf diesem Weg lernt man viele Menschen kennen, lernt viel über deren Aufgabenbereiche und kann persönliche Kontakte über das BCM hinaus knüpfen. Der Kontakt reicht von der analytischen Betrachtung von Geschäftsprozessen, Dienstleistern, Technik und IT bis zu Präsentationen der Ergebnisse bei der Geschäftsführung.

Ein wesentlicher Grund, warum ich beim Business Continuity Management seit vielen Jahren hängen geblieben bin, ist diese Vielseitigkeit der Themenbereiche mit einer hohen Anforderung an die Kommunikationsfähigkeit mit verschiedensten Ansprechpartnern. Die Business Impact Analyse ist eine große Chance für die BCM-Verantwortlichen ihr Gesicht zu zeigen, Köpfe zu kennen und Awarenessbildung für das BCM zu machen. Eine BIA mag durch einen Fragebogen erhebbar sein, das persönliche Kennenlernen ist durch Nichts zu ersetzen und jede Zeit und Mühe wert in meinen Augen.

Positive Nebeneffekte einer Business Impact Analyse: Licht in die Schatten-IT

Die Business Impact Analyse dient im Business Continuity Management zur Identifikation der zeitkritischen Geschäftsprozesse und deren Ressourcen wie Personal, IT, Gebäude / Arbeitsplätze, Technik / Anlagen und Dienstleister. Neben diesen originären Zielen kann durch eine Business Impact Analyse auch ein deutlicher Mehrwert für andere Themenbereiche gewonnen werden. Hierzu gehört die zunehmende Schatten-IT, die zu Steuerungsverlusten in der IT führen kann.

Weiterlesen…

Wie wahrscheinlich ist das Unwahrscheinliche?

Business Continuity Management (BCM) ist eine Disziplin des Risikomanagements. Es ist daher naheliegend, für die Risikoanalyse im BCM auf die klassischen und bewährten Methoden und Verfahren dieser Disziplin zurückzugreifen. Zu diesen klassischen Vorgehensweisen gehört die Betrachtung eines Risikos unter den beiden Gesichtspunkten Eintrittswahrscheinlichkeit und Schadenshöhe. Als Ergebnis lassen sich Risiken sehr anschaulich in einer Risikomatrix darstellen und es lassen sich erwartete Schadenshöhen zum Beispiel für die finanzielle Risikovorsorge berechnen. Beim BCM stößt dieses Vorgehen jedoch an seine Grenzen, denn wir betrachten im BCM Risiken mit geringer Eintrittswahrscheinlichkeit dafür aber existentiellen Schadenshöhen. Die Eintrittswahrscheinlichkeit des Risikos spielt bei der Notfallvorsorge für BCM-Risiken keine Rolle, denn ein Schaden, wann immer er eintritt, würde die Existenz des Unternehmens bedrohen. Es ist zum Beispiel unerheblich für die (IT-) Notfallplanung, wann und wie oft eine Cyber-Attacke auf die IT-Infrastruktur zu erwarten ist, denn eine entsprechende Vorsorge der IT und des BCM für den Fall einer Cyber-Attacke ist für ein Unternehmen notwendig zur Aufrechterhaltung der kritischen Geschäftsprozesse. Ob und wie die Eintrittswahrscheinlichkeit doch noch ihren Weg ins BCM finden kann, behandelt mein aktueller Beitrag auf 3GRC.

Herausforderung „BCM-Übungsrahmenplanung“ –Weniger ist manchmal Mehr

Die Anforderungen an Häufigkeit, Umfang und Variabilität von BCM-Tests und Übungen steigen laufend, getrieben insbesondere durch Kunden, Prüfer, Audits sowie Regulatorik. Mehr Tests und Übungen in kürzerer Zeit und dies auch noch verbunden mit höheren Anforderungen an Inhalte, Variabilität der Szenarien und Dokumentation erfordern eine gut durchdachte und stringent durchgeführte BCM Test- und Übungsrahmenplanung.

Weiterlesen…

Notfallplanung fĂĽr die Katz

Immer wieder erlebe ich in Tests und Übungen, aber auch bei Störungen und Notfällen, dass vorhandene Notfallplanungen nicht genutzt werden, sondern mal gut und leider auch weniger erfolgreich durch die Beteiligten improvisiert wird.

Wenn man die Ursachen hierfür analysiert, kommt man immer wieder auf die gleichen Punkte:

  1. Es ist den Beteiligten / Betroffenen nicht bekannt, dass es eine BCM-Notfallplanung gibt
  2. Die BCM-Notfallplanung ist nicht griffbereit, nicht auffindbar oder nicht zugänglich
  3. Die BCM-Notfallplanung ist nicht aktuell, Kontaktdaten nicht gepflegt
  4. Die BCM-Notfallplanung deckt das aktuelle Szenario gar nicht oder nur sehr unzutreffend ab
  5. Die BCM-Notfallplanung ist in einer kritischen unübersichtlichen Notfallsituation nicht nutzbar, da sie aus mehreren hunderten Seiten Textwüste besteht.

Während die Punkte eins bis drei noch relativ einfach durch Information, Kommunikation, Disziplin sowie Kontrollen zu beheben sind, geht es bei den Ursachen vier und fünf “an das Eingemachte” der BCM-Notfallplanung. Oftmals gilt offensichtlich der Grundsatz “Masse ist gleich Klasse”. Umfangreiche Einleitungen, Darstellungen von Business Impact Analysen und sich wiederholende Standardtexte “schmücken” die eigentliche Notfallplanung. Die Kerninhalte bestehend aus den Notfallprozeduren für Kommunikation, Einleitung und Durchführung des Notbetriebs, Wiederanlauf in den Normalbetrieb sowie Kontaktdaten sind in den Textwüsten nicht auffindbar. Statt mühsam zu suchen, wird dann improvisiert.

Sehr schade für die ganze Mühe, die in die Dokumente gesteckt wurde und es ist dann auch nicht verwunderlich, dass die laufende und anlassbezogene Aktualisierung der Dokumente der Priorisierung anderer Aufgaben zum Opfer fällt.

Sollte Ihnen diese Situation bekannt vorkommen, ist es an der Zeit über Struktur und Aufbau der BCM-Notfallplanung grundsätzlich nachzudenken.

Sie würden sich auch nicht einem Piloten im Cockpit anvertrauen, der das 1.000-seitige Manual des Herstellers für das Triebwerk unter seinem Pilotensitz für Notfälle bereithält. Und der Co-Pilot die weiteren Handbücher im Cockpit versteckt hat.

Be prepared

BaFin veröffentlicht Konsultationen für MaRisk und BAIT

Das BaFin hat am 26. Oktober 2020 die Konsultationen für die Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht.

Gerade auch zum (IT-) Notfallmanagement (früher IT-Notfallkonzept) gibt es in den beiden überarbeiteten Konsultationen zahlreiche Änderungen, Konkretisierungen und Erweiterungen.

So werden in der zu erwartenden MaRisk im AT 7.3 Notfallmanagement die Anforderungen an die Durchführung einer Business Impact Analyse konkretisiert. Dies beinhaltet zum Beispiel die Anforderungen an eine zu Grunde liegende Prozesslandkarte sowie die Mindestinhalte der Auswirkungs (Impact-)analyse.

Auch die Mindestanforderungen an die Inhalte von Notfallkonzepten sind weiter konkretisiert. Dies beinhaltet insbesondere auch die Berücksichtigung der BCM-Szenarien (Ausfall von kritischen Standorten, Personal, IT und Dienstleistern).

Die Anforderungen an die Überprüfung der Notfallvorsorge ist deutlich verschärft worden. So sind für zeitkritische Aktivitäten und Prozesse Wirksamkeits- und Angemessenheitsprüfungen für alle Szenarien mindestens jährlich und anlassbezogen nachzuweisen.

Gerade die konkretisierten und verschärften Anforderungen an die Durchführung von Tests und Übungen wird viele Institute vor Herausforderungen stellen und erfordert eine gut durchdachte und überwachte Test- und Übungsprogrammplanung.

Die Konsultationen sind auf der Webseite des BaFin verfügbar.

Die Pandemie-Lage: wo stehen wir und worauf mĂĽssen wir uns vorbereiten?

Wir sind alle durch die Pandemie böse überrascht worden und die BCM-Verantwortlichen haben ihre Notfall- und Pandemiepläne gezogen, um die neue akute Lage zu bewältigen. Die sogenannte “Lage”, also die Situation, in der sich ein Unternehmen befindet ist allerdings gerade in dieser Pandemie nicht immer eindeutig zu bestimmen. Weiterlesen…

Sicherheits-Berater vorĂĽbergehend offen verfĂĽgbar

Der Sicherheits-Berater ist das führende Fachmagazin für die Sicherheitsthemen.

Um die Inhalte auch während der Coronavirus-Epidemie verfügbar zu machen, haben sich die Herausgeber dazu entschlossen, die Inhalte des Archivs ab 06/2020 offen zugänglich zu machen.

Ein tolles Angebot und ein Anreiz für Interessierte die äußerst wertvollen Beiträge kennenzulernen und ein Abo abzuschließen, wenn wir wieder ins normale Leben zurückgekehrt sind. Für die Abonnenten ist hierdurch ein unterbrechungsfreier Zugang auf die Inhalte gewährleistet.

Denn insbesondere auch während der Pandemie muss die Sicherheit in den Unternehmen und Organisationen gewährleistet werden.

Vielen Dank an die Macher des Sicherheits-Berater.

Hier gehts zum Sicherheits-Berater online.