Was hat der Brexit mit Business Continuity Management zu tun?

In vielen Unternehmen wird derzeit intensives Business Continuity Management betrieben, ohne dass Prozesse, GebĂ€ude oder IT ausgefallen wĂ€ren. Doch der nahende Brexit und vor allem das drohende Szenario eines harten Brexit am 29. MĂ€rz 2019 treibt vielen Verantwortlichen in den Unternehmen Sorgenfalten auf die Stirn. In Task Forces werden hĂ€nderingend unter Hochdruck Lösungen fĂŒr das worst-Case-Szenario entwickelt. Weiterlesen…

BCI Supply Chain Resilience Survey 2018 gestartet

Auch in diesem Jahr fĂŒhrt das Business Continuity Institute BCI in Zusammenarbeit mit Zurich Insurance bereits zum zehnten Mal die Umfrage zur Supply Chain Resilience durch.

Die Umfrage beinhaltet Fragen zu Ursachen und Wirkungen von Unterbrechungen der Lieferketten.

Die kurze Umfrage kann online durchgefĂŒhrt werden.

Die Ergebnisse des Supply Chain Resilience Report 2017 sind online auf den Seiten des BCI verfĂŒgbar.

Personalausfall: Wenn das Grippevirus zuschlÀgt

Nach Ostern legt sich langsam die jĂ€hrliche Grippewelle, die seit Jahresbeginn ĂŒber das Land hinweggezogen ist und zeitweise fĂŒr massive Behinderungen durch krankheitsbedingte AusfĂ€lle gefĂŒhrt hat.

Wie kann im Rahmen von Business Continuity Management fĂŒr PersonalausfĂ€lle vorgesorgt werden?

Lesen Sie den aktuellen Beitrag auf 3GRC.

Körperliche Dokumente im Notfallkonzept

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die ĂŒberwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und FaxgerĂ€te eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zĂ€hlen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  hĂ€ufig erstaunt fest, dass der Postdienst fĂŒr das Funktionieren der GeschĂ€ftsprozesse weiter unerlĂ€sslich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies fĂŒr das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergĂ€nzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusĂ€tzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zĂ€hlen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb hĂ€ufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwĂ€ndig wiederherstellbar. FĂŒr das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schĂ€rft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zĂ€hlt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus GrĂŒnden der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch mĂŒssen fĂŒr Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei GebĂ€udeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte fĂŒr diese Dokumente erstellt werden.

HĂ€ufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten ĂŒber IT-Anwendungen schnell unterschĂ€tzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse ĂŒberrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Risiken beim Outsourcing erkennen, steuern und minimieren

Das Risikomanagement beim Fremdbezug von Leistungen ist eines der Themen, die uns in Zukunft weiter intensiv beschĂ€ftigen werden. Kein Unternehmen kann und will heute mehr alle Leistungen rund um die Produkt- und Serviceerstellung selbst erbringen. Das Outsourcing ermöglicht die Konzentration auf die Kernkompetenzen und schafft Kostenvorteile durch Skaleneffekte bei Dienstleistern und Zulieferern. Auf der anderen Seite der Medaille stehen die Risiken durch das Outsourcing. Schon der Ausfall eines Lieferanten von Bauteilen im Wert weniger Euros bringt komplette Lieferketten zum Stillstand. Im Finanzdienstleistungsbereich ist das Outsourcing daher ein zunehmend wichtiges Thema bei PrĂŒfungen durch die Aufsichtsorgane BaFin und Bundesbank. Die aktuelle Konsultation zu den Bankaufsichtlichen Anforderungen an die IT “BAIT” zur Konkretisierung der MaRisk machen dies deutlich. Die Auslagerungssteuerung ist eines von acht Themen dieses Rundschreibens.

In einem zweiteiligen Beitrag auf  der Plattform 3GRC habe ich einige Grundlagen zum Supply Chain Continuity Management zusammengefasst:

Supply Chain Resilience – Absicherung der kritischen Lieferketten

Supply Chain Continuity Management – Vorsorge fĂŒr NotfĂ€lle in der Lieferkette

Ich freue mich auf Ihr Feedback.

Supply Chain Resilience Survey des Business Continuity Institute

Das Business Continuity Institute BCI fĂŒhrt gemeinsam mit Zurich Insurance bereits die achte Umfrage zur Sicherheit von Lieferketten durch. Die vergangenen Studien haben interessante Ergebnisse erbracht:

Some of the findings from the 2015 Supply Chain Resilience Report published by the BCI were that three quarters of respondents (74%) had experienced at least one supply chain disruption and that half of those disruptions occurred below the tier 1 supplier.”

Die Teilnahme an der Umfrage ist anonym und es gibt einen Amazon Gutschein in Höhe von 100 GBP zu gewinnen. Hier der Link zur Teilnahme an der Umfrage.

Wer sind die “interested parties” aus ISO 22301

Dr. Christian ZĂ€nker (zaenker@bcmpartner.de) beschĂ€ftigt sich in seinem aktuellen Gastbeitrag fĂŒr die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter SchĂ€rfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerĂŒckt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus ErfĂŒllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelstĂ€ndische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage fĂŒr den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzufĂŒhren, dafĂŒr fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschĂ€mt nach dem BCM verlangt, muss natĂŒrlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzufĂŒhren. Schritt fĂŒr Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte fĂŒhren dann trotzdem zum Ziel:

  1. UnterstĂŒtzung der GeschĂ€ftsfĂŒhrung sicherstellen:
    Stellen Sie die UnterstĂŒtzung der GeschĂ€ftsfĂŒhrung fĂŒr das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive UnterstĂŒtzung der GeschĂ€ftsfĂŒhrung bei Priorisierungskonflikten und WiderstĂ€nden.
  2. Scope fĂŒr das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchfĂŒhren:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. FĂŒhren Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die QualitĂ€t.
  5. Notfallkonzepte fĂŒr die kritischen Prozesse erstellen:
    Nutzen Sie Templates fĂŒr die Erstellung der Notfallkonzepte je GeschĂ€ftsprozess. ErlĂ€utern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten fĂŒr Szenarien erstellen:
    Erstellen Sie Notfallchecklisten fĂŒr einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die QualitĂ€t ist fĂŒr eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchfĂŒhren:
    fĂŒhren Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lĂ€sst sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchfĂŒhren, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nÀchsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.

Poster fĂŒr die Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai findet dieses Jahr wieder die Business Continuity Awareness Week “BCAW” statt. Die Woche ist dazu da, das Bewusstsein fĂŒr Business Continuity Management in den Organisationen zu stĂ€rken. Das Business Continuity Institute bietet in dieser Woche auf der Webseite BCAW2016 zahlreiche hochwertige und kostenfreie Webinare internationaler Referenten zu BCM an. Zur UnterstĂŒtzung der Awareness-Kampagne gibt es auch in diesem Jahr wieder Poster. Diese können kostenfrei in unterschiedlichen Formaten von der Seite heruntergeladen werden und dĂŒrfen BĂŒros und GĂ€nge schmĂŒcken.

BCAW_A44-1

Wachsende Bedeutung von “non property damage risks”

Risiken, die keine physischen SchĂ€den verursachen, aber trotzdem zu finanziellen Schadensfolgen fĂŒr das Unternehmen fĂŒhren, nehmen zu. Zu diesen Risiken gehören zum Beispiel SchĂ€den durch Cyber Attacken oder geo-politische Risiken. Die finanziellen SchĂ€den in Folge von Reputations- und Imageverlusten ĂŒbersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Über 500 Risikomanager in mehr als 40 LĂ€ndern wurden fĂŒr die Studie befragt. GeschĂ€ftsunterbrechungen auf Grund von physischen SchĂ€den wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlĂ€gt sich in den Risiken nieder. Der legendĂ€re “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande ĂŒber die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.

Was bedeutet dies fĂŒr das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von GebĂ€uden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, mĂŒssen im Business Continuity Management stĂ€rker berĂŒcksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kĂŒrzer werden, als wir sie hĂ€ufig fĂŒr die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor fĂŒr die BewĂ€ltigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Übungen fĂŒr das BCM und Krisenmanagement berĂŒcksichtigt werden mĂŒssen. Übungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur ĂŒben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und  sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens fĂŒr mehrere Stunden lahm.

Vom schwierigen VerhÀltnis zwischen Business Continuity Management und Organizational Resilience

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jĂŒngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale GeschĂ€ftsbetrieb muss ja noch gewĂ€hrleistet bleiben und die Unternehmen werden weiter Menschen beschĂ€ftigen, die das schwĂ€chste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case fĂŒr Cyber-Kriminelle hochattraktiv. Mit der VerschlĂŒsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar tĂ€glich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. FĂŒr einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives GeschĂ€ftsmodell ist! Wir mĂŒssen daher davon ausgehen, dass dieses GeschĂ€ftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “GeschĂ€ftsmodell” sind gerade auch kleine und mittelstĂ€ndische Unternehmen.  Die eingeforderten BetrĂ€ge sind fĂŒr die Betroffenen verkraftbar kalkuliert und so ist es auch fĂŒr viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische KalkĂŒl der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz fĂŒr ein sorgloses Leben und Arbeiten können sie nicht gewĂ€hren. Im Zweifel sind die kriminellen besser ausgestattet und technisch ĂŒberlegen.

Daher mĂŒssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity PlĂ€ne fĂŒr diese Szenarien (Bsp. Nicht-VerfĂŒgbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management fĂŒr die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement fĂŒr die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-KriminalitĂ€t mit seinen potentiellen Auswirkungen auf kritische GeschĂ€ftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement mĂŒssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewĂ€ltigen zu können.

Die Angriffe sind mittlerweile so ausgeklĂŒgelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile tĂ€uschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der FĂ€lle das Business weiter lĂ€uft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade fĂŒr diese Szenarien PlĂ€ne nicht ausreichend. Gerade hier gilt ĂŒben, ĂŒben, ĂŒben. Denn die Bedrohungsszenarien Ă€ndern sich laufend genauso wie sich elektronische VertriebskanĂ€le und schĂŒtzenswerte Daten Ă€ndern. WofĂŒr die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss stĂ€ndig geĂŒbt werden, so wie Piloten im Simulator regelmĂ€ĂŸig die Notfallverfahren ĂŒben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias HĂ€mmerle