Für Sie gelesen: „Planlos im K-Fall“
Einem Bericht der computerwoche zufolge verfügen von über 100 befragten deutschen Unternehmen nur 43% über einen Kontinuitätsplan für die IT, wie aus einer aktuellen Studie hervorgeht. Weiterlesen…
Notfallplan von BP für neue Ölbohrung geht von über 10 Millionen Barrel Ölaustritt aus
BP plant 2012 mit der Förderung neuer Ölquellen bei den Shetland-Inseln zu starten. Der Notfallplan, welcher der britischen Regierung jetzt vorgelegt wurde, definiert ein worst-case-Szenario in doppeltem Umfang wie die Öl-Katastrophe nach der Havarie der Deepwater Horizon am 20. April 2010 aus. Der Notfallplan geht bei einer Havarie analog der Deepwater Horizon und dem Fehlschlagen schneller Rettungsmaßnahmen von einem Ölaustritt von 75.000 Barrel am Tag über einen Zeitraum von 140 Tagen aus. Bei diesem Szenario würden über 10 Millionen Barrel Öl austreten. Die geplante Ölbohrung "North Uist" liegt in einer Tiefe von 1.300 Metern unter dem Wasserspiegel. Die Bohrung der Deepwater Horizon lag in einer Meerestiefe von 1.250 Meter.
Chancen und Risiken der Cloud für das BCM
Die Cloud ist im Moment das Hype-Thema der IT. Als Wundermittel zur Senkung und Flexiblisierung der IT-Leistungen gepriesen, als offenes Datenleck verschrien. Dabei sind Cloud-Lösungen nur die Rückbesinnung auf althergebrachte Host-Lösungen (Sie erinnern sich?) unter Nutzung der aktuellen Technologien zur Speicherung, Verteilung und Präsentation der Daten. Für das BCM ergeben sich aus Cloud-Lösungen Risiken und Chancen. Die Risiken bestehen in einem Ausfall der Cloud. Die großen offenen Cloud-Anbieter wie Amazon, Google und Microsoft waren in jüngerer Zeit bereits von großen und längeren Ausfällen heimgesucht worden. Daten und Anwendungen waren für die Kunden über Stunden nicht mehr verfügbar. Dies betrifft nicht nur die eigenen Anwendungen, sondern häufig Anwendungen von Drittanbietern, von denen nicht einmal bekannt ist, ob und in welcher Cloud sie gehostet sind. Für kritische Daten und Anwendungen gibt es daher die private oder lokale Cloud, die einen (besseren) Datenschutz und die direkte Steuerung und Kontrolle der Service Provider ermöglicht. Auf der anderen Seite ermöglichen Cloud-basierte Dienste im Notfall schnell die Kapazität und den Zugriff auf IT-Services zu erhöhen, um die Spitzenbelastungen in einem Notfall abzudecken. Ein Beispiel hierfür ist der neue Cloud-Dienst der SITA (Société Internationale de Télécommunications Aéronautiques), der es Fluggesellschaften und Flughäfen ermöglicht bei Notfällen und Störungen in kürzester Zeit auf Anwendungen, Programme, Prozesse und Daten der zentralen SITA-Rechenzentren zuzugreifen. Dadurch dass keine spezifischen Hardware-Anforderungen für die Nutzung der Anwendungen erforderlich ist, können in kürzester Zeit eine Vielzahl von Mitarbeitern, unabhängig vom Standort und spezifischer Hardware, auf die IT-Services zugreifen. Die Abrechnung erfolgt auf Basis der tatsächlichen Nutzung, so dass sich die Kosten hierfür in Grenzen halten. Dies ist einer der Beispiele für nutzenstiftende Anwendungen der neuen Cloud-Technologien aus Sicht des BCM.
World Risk Report 2011: welche Länder sind durch Naturkatastrophen am stärksten gefährdet
Das WorldRiskIndex Projekt der Universität der UN in Bonn hat mit dem WorldRiskIndex ein Verfahren entwickelt, mit dem die Gefährdung von Ländern durch Naturkatastrophen eingeschätzt werden kann. In den Index geht auf der einen Seite die Eintrittswahrscheinlichkeit einer Naturkatastrophe ein, auf der anderen Seite aber auch die Fähigkeit des Landes mit der Folgen einer Naturkatastrophe umzugehen. Im WorldRiskReport 2011 wurden die Risiken von 173 Ländern weltweit analysiert. Auf dem WorldRiskIndex ganz oben stehen Länder aus Asien und Lateinamerika. Vanuatu, Tonga und die Philippinen führen den Index der Länder mit den höchsten Risiken an. Die verwundbarsten Länder liegen jedoch in Afrika und Asien (Afghanistan, Niger, Tschad). Deutschland liegt auf Rang 150, am sichersten scheint man in Quatar aufgehoben zu sein (Rang 173).
BSI stellt webbasiertes Grundschutztool GSTOOL 5.0 vor
Das Bundesamt für Sicherheit in der Informationstechnik BSI hat das GSTOOL für die neue Version 5.0 völlig neu programmieren lassen. Das GSTOOL ist jetzt webbasiert, plattformunabhängig und basiert auf einer Oracle-Datenbank. Das BSI stellt die neue Lösung auf dem IT-Grundschutztag am 12.10.2011 im Rahmen der IT-Security Messe (it-sa) in Nürnberg vor. Neben der Vorstellung des Tools gibt es Berichte der Beta-Tester sowie interessante Fachvorträge. Anmeldungen zum IT-Grundschutztag sind auf der Internetseite des BSI möglich.
Wie objektiv kann die Einschätzung von Risiken sein?
Auch wenn das quantitative Risikomanagement rational und objektiv erscheint, ist letztendlich die Einschätzung von Risiken doch stark subjektiv geprägt. Im Lesezeichen "So vermeiden Sie Katastrophen" hatte ich auf den Beitrag von Tinsley, Dillon und Madsen im Harvard Business manager hingewiesen, in dem beschrieben wird, wie uns Effekte der selektiven Wahrnehmung der Chance berauben Katastrophen rechtzeitig wahrzunehmen. In seinem Beitrag "Illusion der Risikokontrolle" beschreibt Dipl. Psych. Johannes Wadle auf RiskNET anhand praktischer Beispiele wie subjektiv am Ende doch die Einschätzung von Risiken ist. Am Beispiel des Risikos beim Fliegen durch einen Absturz ums Leben zu kommen zeigt Wadle auf, dass das Risiko von verschiedenen Personen völlig unterschiedlich wahrgenommen wird und in der Konsequenz zu anderem Verhalten führt (Flugangst und Vermeidung von Flügen im Gegensatz zum Gefühl der Sicherheit beim Fliegen). Was lernen wir hieraus? Die Messung von Eintrittswahrscheinlichkeiten und Schadensfolgen ist eine wichtige Grundlage für das Management von Risiken. Subjektive Wahrnehmungsfehler können jedoch zu falschen Konsequenzen und damit zu Katastrophen führen, wenn zum Beispiel Fehler mehrfach ohne Folgen bleiben bis sie dann eines Tages zur Katastrophe führen. Diese subjektiven Wahrnehmungsfehler zu erkennen und zu korrigieren ist mit Aufgabe des Managements von Risiken. Gerade im Business Continuity Mangement führt dies manchmal zur Situation, dass der Business Continuity Manager auf Unverständnis oder gar Ablehnung im Unternehmen stösst, wenn er auf Risiken hinweist, die bislang nicht gesehen werden (wollten oder konnten). Eine kleine Hilfe für den BC Manger ist in diesen Situationen zu wissen, dass es keine böse Absicht ist, oder gar gegen ihn persönlich gerichtet ist, sondern verbreitete psychologische Wahrnehmungsfehler, die dazu geführt haben, dass Risiken nicht als solche wahrgenommen wurden. Aus Japan kam der Trend zur Fehlerkultur. Auch hinsichtlich der Risikokultur können wir aus den tragischen Ereignissen in Japan lernen, wo Fehler in der Erkennung von Risiken durch einen großen Tsunami nach dem Motto "was nicht sein darf, kann nicht sein", verbunden mit einer mangelnder Aufsicht, zum Tod vieler Menschen geführt hat.
Lesezeichen: "So vermeiden Sie Katastrophen", HBM 06/2011
Katastrophen werden in der Regel durch zahlreiche kleine Fehler vorher angekündigt. Wer auf diese "schwachen Signale" achtet, kann Krisen vermeiden. Dies ist das Thema des sehr lesenswerten Artikels zum Risikomanagement im Harvard Business Manager. An den Beispielen "Ölkatastrophe von BP im Golf von Mexiko", "Antennenprobleme beim iPhone4", "Gaspedal Toyota in den USA", "Jetblue" sowie psychologischer Studien zeigen die Autoren auf, dass es vor Eintreten der Krise zahlreiche schwache Signale gegeben hat, die die Krise angekündigt haben. Effekte der selektiven Wahrnehmung des Menschen, die "Normalisierung" und "Outcome Bias" verhindern, dass wir diese Signale richtig deuten. Die Autoren geben uns sieben Strategien an die Hand, um diese Wahrnehmungsfehler vermindern zu können.
Das Konzept der schwachen Signale ist schon etwas älter. Ansoff hat bereits in den siebziger Jahren das Konzept der "weak signals" im Rahmen der Risikofrüherkennung beschrieben. Der Artikel überträgt die Erkenntnisse auf aktuelle Beispiele und gibt konkrete Handlungsempfehlungen. Ein klarer Lesetipp für alle Risiko- und BC Manager.
Literatur: A Practical Approach to Business Impact Analysis
Die Business Impact Analyse BIA ist eines der Herzstücke im Business Continuity Management. Wenngleich die Ziele und Ergebnistypen einer BIA in den BCM Standards wie BS 25999-1 und -2 klar definiert sind, der Weg zum Ziel ist nicht so eindeutig und "viele Wege führen nach Rom". Für die BIA gibt es keinen "best practice" oder "one fits all"-Ansatz. Abhängig von der Größe und Komplexität einer Organisation, der zur Verfügung stehenden Mittel für Mitarbeiter, Technologie und Zeit für die Durchführung einer BIA, können die methodischen Ansätze, die zum Ziel führen ganz unterschiedlich aussehen. Insofern lernt man bei der Business Impact Analyse nie aus. Zahlreiche, zum Teil heftig geführte Diskussionen in Online-Foren, zum Beispiel um die exakte Deutung der Begrifflichkeiten RTO und MTPoD zeigen, dass auch noch weitere methodische Entwicklungsarbeit bei der BIA notwendig ist. Wer sich also mit Lesestoff zu dem aus meiner Sicht spannendsten und interessantesten Part des BCM versorgen möchte, kann jetzt beim BSI das neue Buch von Ian Charters "A Practical Approach to Business Impact Analysis" erwerben.
Über Leserkommentare zum Buch würde ich mich sehr freuen.
Nachtrag:
Das Buch gibt es als Download- und Paperback-Version. Ein erster Blick in das Buch weckt die Neugierde: da scheint wirklich ein rundes Werk zur BIA vorzuliegen. Also Lektüre für das nahe Wochenende.
Probebetrieb und Notfalltests des neuen Flughafens Berlin Brandenburg
Am 3. Juni 2012 wird nach sechsjähriger Bauzeit der neue Flughafen Berlin Brandenburg in Betrieb genommen. Zuvor gilt es jedoch den Normalbetrieb und Notfallsituationen zu simulieren. Der Probebetrieb startet im November 2011. Alle normalen Abläufe wie Check-In, Gepäckabfertigung und die Sicherheitsprozesse werden mit Komparsen getestet. Auch Notfallsituationen werden simuliert. Wenn Sie als Komparse am Probebetrieb teilnehmen wollen und den neuen Flughafen vor der Inbetriebnahme hautnah erleben wollen, können Sie sich hier melden.
Wie hoch ist die Eintrittswahrscheinlichkeit des Einschlags eines Asteroiden oder Kometen?
Ob die Wahrscheinlichkeit eines Kometen- oder Asteroideneinschlags zugenommen hat, ist wahrscheinlich (und hoffentlich) nicht von persönlichem Interesse für uns, für die Menschheit kann dies jedoch von existentieller Bedeutung sein. Die Dinosaurier sollen vor 65 Millionen Jahren wegen eines solchen Einschlags ausgestorben sein und die Erde ist mit 200 Kratern früherer Einschläge bedeckt. In einer neuen Untersuchung von Coryn Bailer-Jones vom Max-Planck-Institut für Astronomie (MPIA) wurde jetzt geprüft, ob die Einschlagswahrscheinlichkeit zu- oder abnimmt. Ob wir in Zukunft öfter mal gen Himmel blicken müssen, verrät dieser Artikel.
BIA-Template
Die Webseite SearchDisasterRecovery.com hat einen Beispiel-Fragenkatalog für einen BIA-Fragebogen sowie ein Word-Template für einen BIA-Fragebogen zur Verfügung gestellt. Templates kann man ja grundsätzlich nie genug haben. Während ich den Fragenkatalog für die BIA-Fragen sehr umfassend und hilfreich finde, ist das Word-Template zum Ausfüllen zu wenig strukturiert und damit auch nur sehr schwer auswertbar. Ich bin zudem kein Freund umfangreicher textlicher Beschreibungen und Erläuterungen in BIA-Fragebögen. Word und Excel bieten mittlerweile umfangreiche und leicht einsetzbare Formularfunktionen (Bsp. Drop-Down-Felder), die das Ausfüllen für den Fachbereich und die nachfolgende Auswertung durch das BCM extrem vereinfachen. Ein Gespräch, in dem der ausgefüllte Fragebogen einmal gemeinsam durchgegangen wird, ist zum Verständnis des Geschäfts ohnehin viel zielführender.
im BCM-Forum sammle ich übrigens die öffentlichen Templates, denen ich habhaft werden kann.
Vom Möglichen und Wahrscheinlichen - Schnittstellen zwischen BCM und Risikomanagement
Über die Gemeinsamkeiten, Unterschiede und Schnittstellen zwischen Business Continuity Management und Risikomanagement wird derzeit heftig diskutiert. Wichtig bei dieser fruchtbaren - manchmal aber auch furchtbaren -Diskussion, ist aus meiner Sicht die Gemeinsamkeiten und Unterschiede der beiden Disziplinen herauszuarbeiten um Synergien identifizieren zu können. Weiterlesen…