Das neue Zivilschutzkonzept und meine persönliche Vorsorge

Das “neue” Zivilschutzkonzept hat die Medien in den vergangenen Wochen sehr bewegt. Leider ist die Kommunikation des Konzepts völlig verunglĂŒckt, weil AuszĂŒge ĂŒber die Presse vorab veröffentlicht wurden. Gerade diese vorab veröffentlichten AuszĂŒge ĂŒber die private Vorsorge, die unseren Hamster ins Rampenlicht rĂŒckten, sind der mit Abstand harmlose Teil des Konzepts. Die Empfehlungen fĂŒr die persönliche Vorsorge liegen seit vielen Jahren vom BBK vor. Vielleicht ist es ein positiver Aspekt des Medien-Hype, dass diese Notfallvorsorge wieder in das Bewusstsein rĂŒckt. Einige Anbieter von Prepper-Artikeln freuen sich gerade ĂŒber einen temporĂ€ren Nachfrageboom. Ich gehe davon aus, dass die Konzeption Zivile Verteidigung von den Medienvertretern ĂŒberwiegend gar nicht gelesen oder in der Tragweite nicht verstanden wurde. Der Wehrdienst ist rechtlich nur ausgesetzt, im Verteidigungsfall kann der Staat sehr weitreichend in die AblĂ€ufe der kritischen Infrastrukturen eingreifen und Transport- sowie Produktionsmittel beschlagnahmen genau so wie Lebensmittel und deren Herstellung sowie Distribution (Notstandsverfassung 115a bis 115l GG). Interessant ist eher der Schwenk von rein militĂ€rischen Angriffsszenarien, die die zivile Verteidigung bislang beherrschten zu “hybriden Bedrohungen” fĂŒr die kritischen Infrastrukturen. Damit gemeint sind unter anderem auch Cyber-Attacken und der Ausfall oder die Störung von kritischen Infrastrukturen. Beim Studium des Konzepts wird man feststellen, dass sich die Bundesregierung vielen Aufgaben stellt, die in der Zukunft noch konzipiert und umsetzt werden mĂŒssen. Viele SĂ€tze beginnen mit “Der Bund entwickelt ein Konzept …”. Der Handlungsbedarf des Bundes ist in diesem Konzept zumindest erkannt und benannt, auch wenn noch vieles zu  konkretisieren und umzusetzen ist. Auch die Betreiber kritischer Infrastrukturen werden deutlich adressiert:

“Jeder Betreiber soll in seinem ZustĂ€ndigkeitsbereich freiwillig und eigeninitiativ Verantwortung fĂŒr ein angemessenes Sicherheitsniveau ĂŒbernehmen. Der Staat erteilt den Betreibern nach EinschĂ€tzung der Erforderlichkeit konkrete Auflagen zur Verbesserung der Resilienz und Sicherheit der Kritischen Infrastrukturen. Eine „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ fasst die Zielvorstellungen und den politisch-strategischen Ansatz des Bundes auf diesem Politikfeld zusammen. In einem „Rahmenkonzept Risiko- und Krisenmanagement Betreiber Kritischer Infrastrukturen“ werden Anforderungen an das Erstellen betrieblicher Risikoanalysen und die Ableitung von Sicherheitsmaßnahmen sowie zum Auf- bzw. Ausbau betrieblicher Krisenmanagementstrukturen formuliert”. Neben dem IT-Sicherheitsgesetz können auf die Betreiber also weitere Anforderungen im Risiko- und Krisenmanagement zukommen.

Neben dieser Initiative des Bundes ist die Überwindung der “Friedensdividende” auch bei LĂ€ndern und Gemeinden spĂŒrbar. Wurden vor Jahren flĂ€chendeckend die Sirenen zur Warnung der Bevölkerung demontiert, da auf elektronische Wege gesetzt wurde, verkĂŒnden Gemeinden jetzt stolz den Bau von Hochleistungssirenen. Daneben finden die elektronischen Warnsysteme “Katwarn” und “Nina“, gerade nach dem Attentat in MĂŒnchen, zunehmend Verbreitung bei Gemeinden und in der Bevölkerung.

Die persönliche Vorsorge, in anderen LĂ€ndern eine SelbstverstĂ€ndlichkeit, wird hier noch mit UnverstĂ€ndnis und Belustigung (“Hamster”) aufgenommen. Zu sehr fehlt hier noch das Risikobewusstein bei den BĂŒrgern und zu ausgeprĂ€gt ist das Verlassen auf Bund und Betreiber kritischer Infrastrukturen. Dabei ist die Anschaffung von Kerzen / Teelichte, einem batteriebetriebenen Radio, Batterien und Konserven keine große Sache. Alle Kollegen, die sich mit diesen Themen intensiver beschĂ€ftigen, betreiben die Vorsorge nach meiner Erfahrung berufsbedingt etwas intensiver – ohne gleich zur Gruppe der Prepper zu gehören. So findet sich in meiner Garage ein Notstromaggregat und in einem Karton schnell griffbereit Taschenlampe, Batterien, Kerzen, ZĂŒndhölzer, ein Kurbelradio, Battery-Packs mit Solarpanel zum Laden sowie Micropur-Tabletten fĂŒr die Wasserentkeimung. Alles Dinge, die auch mal in den Camping-Urlaub oder die Motorradtour mitgehen. Vorsorge ist kein großer Aufwand und bei einem Stromausfall ist romantisches Kerzenlicht ganz angenehm und nĂŒtzlich.

Bei Kerzenlicht empfehle ich dann die folgende LektĂŒre:

http://amzn.to/2cj2iqU

Praxistag Business Continuity und Krisenmanagement am 21. September 2016

Praxistag Business Continuity und Krisenmanagement am 21. September 2016 in Karlsruhe

Krise ist ein produktiver Zustand. Man muss ihr nur den Beigeschmack der Katastrophe nehmen
(Max Frisch, schweizerischer Schriftsteller).

Störungen, AusfÀlle, NotfÀlle und Krisen sind Ereignisse, die jedes Unternehmen jederzeit treffen können. Sei es beispielsweise durch Extremwetterereignisse, Personal- und IT-AusfÀlle, Cyber-Attacken oder Unterbrechungen der Lieferkette.
Als Folge von Unterbrechungen geschĂ€fts- und zeitkritischer Prozesse können finanzielle Verluste, Image- und ReputationsschĂ€den sowie VerstĂ¶ĂŸe gegen rechtliche und regulatorische Anforderungen entstehen.

Durch eine geeignete PrÀvention durch die Implementierung eines Business Continuity Management (BCM) und Krisenmanagement werden SchÀden durch GeschÀftsunterbrechungen vermindert.

In diesem Praxis-Seminar lernen Sie:

  • Was ist eine Krise und welches sind die wichtigen Schritte, um die Krise frĂŒhzeitig zu beherrschen?
  • Wichtige Regeln der Krisenkommunikation
  • Wie kann NotfĂ€llen durch ein Business Continuity Management vorgebeugt werden?
  • Umgang mit Risiken beim Outsourcing (Supply Chain Continuity Management)
  • Einhaltung gesetzlicher und regulatorischer Anforderungen (Bsp. IT-Sicherheitsgesetz).

In unserem Special “Umgang mit Medienkrisen – “die Geister, die ich nicht rief” lernen Sie von einem ausgewiesenen Experten, wie einem Shitstorm zu begegnen ist.

Ihre Referenten:
Matthias HÀmmerle MBCI (haemmerle-consulting) und Uwe Höring (new&able Management- und Organisationsberatung GmbH) sind zwei erfahrene Experten in den Themen Business Continuity und Krisenmanagement.

Weitere Informationen zur Veranstaltung und die Anmeldung finden Sie auf der Webseite der Veranstaltung www.praxistag-bcm.de

Wenn der Notfall nicht in Urlaub geht

Die Urlaubszeit steht an und fĂŒr viele Mitarbeiter beginnt die schönste Zeit des Jahres zu Hause im Garten, in nahen oder in fernen LĂ€ndern. Nur einer macht leider keinen Urlaub und wartet nur darauf zuschlagen zu können: der Notfall.

Deswegen: denken Sie an die Zweit- und Drittbesetzung Ihres Notfall- und Krisenmanagements.

  • Kennen die Mitarbeiter ihre Rolle?
  • Sind die Mitarbeiter geschult?
  • Ist die Erreichbarkeit der SchlĂŒsselpersonen fĂŒr das Notfall- und Krisenmanagement sichergestellt?
  • Die ruhigere Zeit ist auch eine gute Gelegenheit, KrisenstabsrĂ€ume (“war room”), KrisenmanagementausrĂŒstung (“battle case”) und Kommunikationstechnik zu ĂŒberprĂŒfen und bei Bedarf aufzufrischen.

Wenn ja, dann genießen Sie die Sommer- und Urlaubszeit!

Ich wĂŒnsche Ihnen, dass auch fĂŒr Sie Störungen, AusfĂ€lle, NotfĂ€lle und Krisen durch Abwesenheit glĂ€nzen, wie so mancher Kollege und manche Kollegin.

Auch in der Ferienzeit fĂŒr Sie da

Matthias HĂ€mmerle

 

Die (un-)heimliche IT

Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit ĂŒber die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der KomplexitĂ€t von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natĂŒrlich auch aus, dass auf Test, Dokumentation, VersionsfĂŒhrung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile PrĂŒfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbstĂ€ndig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen fĂŒr die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur VerfĂŒgung. Das mag im privaten Bereich komfortabel und gĂŒnstig sein. Doch fĂŒr Unternehmen entsteht aus dieser “Schatten-IT” ein betrĂ€chtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschĂ€tzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit können fĂŒr IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewĂ€hrleistet werden.

An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen fĂŒr die GeschĂ€ftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunĂ€chst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu mĂŒssen. Denn Ziel der BIA ist die Absicherung der  GeschĂ€ftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken fĂŒr die VerfĂŒgbarkeit, Vertraulichkeit und IntegritĂ€t zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage fĂŒr eine risikoorientierte  Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen mĂŒssen durch die IT Lösungen an die Hand gegeben werden, die FunktionalitĂ€ten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genĂŒgen.

Dies können zum Beispiel sein

  • Integration der FunktionalitĂ€ten in bestehende Standard-Anwendungen
  • Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
  • Geschlossene Unternehmens Cloud Lösungen
  • Sichere Dateitransfer- und Kommunikationslösungen
  • Geregelter Einkauf von Web-Anwendungen ĂŒber Einkauf und IT.

Auch wenn PrĂŒfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management ĂŒber die reine Notfallvorsorge hinaus.

Business Impact – und Schutzbedarfsanalyse – Gemeinsamkeiten und Unterschiede

„Gemeinsamkeiten sucht man nicht, Gemeinsamkeiten schafft man sich“
Manfred Hinrich, deutscher Philosoph 1926-2015

1. Einleitung

Business Impact Analyse (BIA) im Business Continuity Management und Schutzbedarfsanalyse (SBA) in der Informationssicherheit weisen große Parallelen auf. Oftmals werden beide Analysen unabhĂ€ngig voneinander durchgefĂŒhrt und Chancen fĂŒr Synergieeffekte vergeben sowie wichtige methodische Abstimmungen nicht durchgefĂŒhrt. Die Ursache ist hĂ€ufig die unterschiedliche Verantwortlichkeit der BIA im BCM und der SBA in der Informationssicherheit. In diesem Beitrag sollen Gemeinsamkeiten und Unterschiede der beiden Analysen dargestellt und Chancen durch eine konzeptionelle und zeitliche Abstimmung aufgezeigt werden.

2. Die Business Impact Analyse im Business Continuity Management

Im Rahmen der Business Impact Analyse (BIA) im Lebenszyklus des Business Continuity Management (BCM) werden die (zeit-) kritischen GeschĂ€ftsprozesse des Unternehmens identifiziert. FĂŒr die kritischen GeschĂ€ftsprozesse werden die erforderlichen Ressourcen identifiziert. Zu diesen Ressourcen zĂ€hlen die Mitarbeiter mit entsprechendem Know How und KapazitĂ€ten, IT-Anwendungen, GebĂ€ude und ArbeitsplĂ€tze, Produktionsanlagen sowie Dokumente und Dienstleister. FĂŒr die kritischen Prozesse und deren Ressourcen werden die zeitlichen und kapazitativen Anforderungen an die Wiederherstellung im Notfall festgelegt. Die Anforderungen an die Wiederherstellung werden in der Folge von den GeschĂ€ftsprozessen auf die Prozess-Ressourcen vererbt. Die Business Impact Analyse wird auf der Basis von Templates oder BCM-Tools durch die Fachbereiche erhoben. Die Business Impact Analyse ist Grundlage fĂŒr die BCM-Phasen „BCM-Strategien“, „BCM-Planung“ sowie „Tests und Übungen“ im BCM-Lebenszyklus.

Das Vorgehen fĂŒr die BIA ist in den Standards ISO 22301:2012 oder BSI 100-4 definiert.

Auf Basis der Ergebnisse der BIA werden im IT Service Continuity Management (ITSCM) die VerfĂŒgbarkeitsanforderungen fĂŒr IT-Anwendungen, IT-Systeme, Middleware, Netzwerke und -komponenten sowie IT-Infrastrukturkomponenten abgeleitet und umgesetzt. Hierzu zĂ€hlen Disaster Recovery Konzepte und -plĂ€ne fĂŒr IT-Services und -systeme.

Das Vorgehen fĂŒr das ITSCM ist in den Standards ITIL (IT Infrastructure Library) sowie ISO 27031:2011 definiert.

3. Die Schutzbedarfsanalyse im Informationssicherheitsmanagement

Im Rahmen der Schutzbedarfsanalyse (SBA) im Informationssicherheitsmanagement wird der Schutzbedarf fĂŒr die Schutzbedarfsziele IntegritĂ€t, Vertraulichkeit und AuthentizitĂ€t fĂŒr Daten, Dokumente und IT-Anwendungen ermittelt. Der ermittelte Schutzbedarf fĂŒr die Informationswerte wird von den IT-Anwendungen auf die dahinter liegenden IT-Systeme, Netzwerke und -komponenten vererbt. Grundlage fĂŒr die Vererbung ist die Strukturanalyse der IT-Architektur mit der Identifikation und Gruppierung der IT-Informationswerte.

Die Schutzbedarfsanalyse wird auf der Basis von Templates oder ISMS-Tools durch das Informationssicherheitsmanagement  in den Fachbereichen erhoben.

Auf Grundlage der festgelegten Schutzbedarfe fĂŒr die Informationswerte werden Maßnahmen zum Schutz der Vertraulichkeit und IntegritĂ€t festgelegt und umgesetzt. Dies können zum Beispiel Maßnahmen zur VerschlĂŒsselung der Daten bei der Speicherung und dem Transport oder Berechtigungssysteme fĂŒr den Zugriff auf Anwendungen und Daten sein.

Das Vorgehen zur Schutzbedarfsanalyse ist im ISO-Standard ISO 27001:2015 sowie den BSI-Standards und Grundschutzkatalogen definiert.

4. Gemeinsamkeiten und Unterschiede von BIA und SBA

Gemeinsamkeiten und Unterschiede gibt es bei BIA und SBA sowohl inhaltlich als auch im Vorgehen. Durch die GegenĂŒberstellung der beiden Methoden können Synergieeffekte in der DurchfĂŒhrung identifiziert sowie methodische BrĂŒche vermieden werden.

BIA und SBA

Sowohl die BIA als auch die SBA basieren auf den GeschĂ€ftsprozessen mit den zugeordneten Prozess-Ressourcen. Eine Prozessdokumentation mit diesen Informationen erleichtert und beschleunigt die DurchfĂŒhrung sowohl der BIA als auch der SBA erheblich und stellt sicher, dass die Ergebnisse nahtlos aneinander passen. Unterschiedliche Betrachtungsebenen der GeschĂ€ftsprozesse oder einfach nur unterschiedliche Benennungen der gleichen Informationswerte (Bsp. Verschiedene Namen fĂŒr die gleiche IT-Anwendung) machen eine ZusammenfĂŒhrung der Ergebnisse von BIA und SBA aufwĂ€ndig. Denn am Ende mĂŒssen alle Schutzziele fĂŒr die Informationswerte durch Maßnahmen erfĂŒllt werden. Ideal ist ein gemeinsames Repository mit den Informationen zu GeschĂ€ftsprozessen und deren Ressourcen – das immer aktuell gepflegt ist. Auf dieses Prozess-Repository können dann Informationssicherheit, Business Continuity Management aber auch die Revision, das Interne Kontrollsystem IKS und andere Nutzer zugreifen. Eigentlich ist dies seit den Veröffentlichungen von Prof. A.W. Scheer zur Architektur Integrierter Informationssysteme ein alter Hut, doch in vielen Unternehmen nach wie vor eher Wunsch als Wirklichkeit. Obwohl diese Grundlagenarbeit ein lohnenswertes Unterfangen ist. Im schlimmsten Fall – und diesen habe ich bereits mehrfach erlebt – definiert jede dieser Disziplinen sein eigenes Prozessmodell fĂŒr sich. Selbstredend, dass diese nicht zusammenpassen.

Identisch ist neben dieser Informationsbasis auch die Vorgehensweise zur Erhebung der Informationen in den Fachbereichen. Mittels Templates oder einer toolbasierten Erhebung werden die Daten fĂŒr die BIA und die SBA in den Fachbereichen erhoben. Gerade in dieser Erhebungsphase lassen sich große Synergien heben. Zweifach auf die Fachbereiche zuzugehen bedeutet doppelter Aufwand auf Fachbereichseite – der Engpass schlechthin fĂŒr BIA und SBA. Also, warum nicht BIA und SBA in der Erhebung zusammenlegen und nur einmal auf die Fachbereiche zugehen? Zumal fĂŒr die Fachbereiche die Unterschiede zwischen BIA und SBA nicht erheblich sind. Sie verstehen nur nicht, warum man mit so Ă€hnlichen Fragestellungen zwei Mal auf sie zukommt und Mitarbeiter mit wertvoller Zeit in Anspruch nimmt. Eine Zusammenlegung der Erhebung von BIA und SBA hat zudem den Vorteil, dass die Informationen fĂŒr die Schutzziele VerfĂŒgbarkeit, Vertraulichkeit und IntegritĂ€t zur gleichen Zeit vorliegen. Maßnahmen können so aufeinander abgestimmt auf- und umgesetzt werden. Die Ergebnisse können nahtlos zusammengefĂŒhrt werden.

Es gibt zahlreiche Gemeinsamkeiten zwischen Business Impact Analyse und Schutzbedarfsanalyse.

Aus meiner Sicht sprechen die Argumente daher fĂŒr eine methodische und zeitliche ZusammenfĂŒhrung von Business Impact Analyse und Schutzbedarfsanalyse. Voraussetzung ist eine Verabschiedung vom Silo-Denken und die enge Abstimmung der Methoden und Verfahren zwischen BCM, Informationssicherheitsmanagement und ITSCM.

Ich freue mich auf Ihre Erfahrungen und Kommentare

Be prepared

Matthias HĂ€mmerle

ITSCM als tragender Pfeiler des BCMS und ISMS

Die Schnittstellen zwischen den Risiko- und Notfallmanagement-Disziplinen sind ein kritischer Erfolgsfaktor fĂŒr eine effiziente und effektive Erhöhung der WiderstandsfĂ€higkeit gegen Störungen, NotfĂ€llen und Krisen. Christian ZĂ€nker hat sich diese Schnittstellen im nachfolgenden Gastbeitrag fĂŒr die BCM-News einmal aus Sicht des ITSCM angeschaut.

Das IT Service Continuity Management (ITSCM) sollte in die bestehenden Managementsysteme der Organisation integriert werden. Nur so lĂ€sst sich seine Wirksamkeit entfalten und ĂŒber die zu definierenden Schnittstellen ein effektiver und unter Wirtschaftlichkeitsaspekten effizienter Workflow implementieren. Weiterlesen…

Keiner da?

Ja, wo sind sie denn die Mitarbeiter alle?
Zu Hause, den Keller auspumpen.
Auch Szenarien wie die jĂŒngsten monsunartigen RegenfĂ€lle mit Tornados fĂŒhren zu PersonalausfĂ€llen, auch wenn das Unternehmen nicht direkt betroffen ist. Im Zweifel ist dem Mitarbeiter die Rettung des eigenen Mobiliars nĂ€her als die Aufrechterhaltung der GeschĂ€ftsprozesse. Wer will es ihnen verdenken.

Ein Notfallplan fĂŒr den Personalausfall stellt daher auf die Wirkungen ab und nicht auf die Ursachen.Und neben Plan “A” immer Plan “B” und Plan “C” in der Hinterhand haben. Denn das Wetter ist schon schwer genug vorherzusagen, beeinflussen lĂ€sst es sich schon gar nicht.

Supply Chain Resilience Survey des Business Continuity Institute

Das Business Continuity Institute BCI fĂŒhrt gemeinsam mit Zurich Insurance bereits die achte Umfrage zur Sicherheit von Lieferketten durch. Die vergangenen Studien haben interessante Ergebnisse erbracht:

Some of the findings from the 2015 Supply Chain Resilience Report published by the BCI were that three quarters of respondents (74%) had experienced at least one supply chain disruption and that half of those disruptions occurred below the tier 1 supplier.”

Die Teilnahme an der Umfrage ist anonym und es gibt einen Amazon Gutschein in Höhe von 100 GBP zu gewinnen. Hier der Link zur Teilnahme an der Umfrage.

Anforderungen an die Good Practice Guidelines fĂŒr das Business Continuity Management

Das Business Continuity Institute BCI startet die Überarbeitung der Good Practice Guidelines fĂŒr das BCM. Der GPL ist bereits in mehreren Iteration ĂŒberarbeitet worden und stellt eine sehr gute Grundlage fĂŒr das Vorgehen bei der Implementierung des BCM dar. Die Good Practice Guidelines sind auch in deutscher Sprache verfĂŒgbar und können auf der Webseite des BCI bezogen werden.

Die Welt dreht sich weiter und auch die Anforderungen an das Business Continuity Management wandeln sich. Welches sind Ihre Anforderungen und WĂŒnsche an einen ĂŒberarbeiteten Good Practice Leitfaden fĂŒr das BCM?

Hier sind meine WĂŒnsche:

1. Skalierbares Vorgehensmodell

Das Vorgehensmodell zur Implementierung und Betrieb des BCM sollte fĂŒr Organisationen aller GrĂ¶ĂŸenordnungen und Branchen gut anwendbar sein. Der Leitfaden sollte insbesondere auch kleinen und mittelstĂ€ndischen Unternehmen Hilfestellung fĂŒr eine erste Umsetzung geben, quasi “BCM light”. Oftmals ist die EinfĂŒhrung von BCM durch die Anforderung eines Kunden fĂŒr ein Produkt oder einen Service getrieben.

2. Definition der Schnittstellen zu den anderen Disziplinen

Das Business Continuity Management hat sehr viele Schnittstellen zu anderen Disziplinen. Hierzu gehören insbesondere das Risikomanagement, die IT mit IT Service Continuity und Informationsicherheit, Facility Management, Objekt- und Personensicherheit sowie das Krisenmanagement. Ein Good Practice Leitfaden fĂŒr das BCM sollte dem Nutzer helfen, diese Schnittstellen im Unternehmen zu erkennen und den Nutzen der Zusammenarbeit herausarbeiten. In einer engen Zusammenarbeit mit diesen Disziplinen können Synergieeffekte in der Methodik und Umsetzung erzielt werden. Es gibt zum Beispiel keine Notwendigkeit, dass das BCM ein Parallel-Universum fĂŒr das Risikomanagement aufbaut, wenn es bereit etablierte Methoden und Verfahren gibt, die genutzt werden können.

3. Übergreifenden Prozess zur Erkennung und Eskalation von Störungen und NotfĂ€llen

Störungen und NotfĂ€lle können an ganz verschiedenen Stellen im Unternehmen auftreten. Ein einheitlicher Prozess fĂŒr die Erkennung und Eskalation von Störungen und NotfĂ€llen ĂŒber alle Disziplinen hinweg, hilft die Ereignisse frĂŒhzeitig identifizieren und einschĂ€tzen zu können. Die GesamtlĂ€nge kann schneller erkannt und ĂŒberblickt werden.

4. BerĂŒcksichtigung von Cyber-Risiken

Cyber-Risiken gehen zu den grĂ¶ĂŸten Bedrohungen fĂŒr Unternehmen. Diese non-physical Risks sollten in einem Leitfaden daher neben den klassischen BCM-Risiken berĂŒcksichtigt werden

5. Krisenmanagement

Gehört nun Krisenmanagement zu BCM oder ist es eine eigene Diszipli? Wie auch immer, ohne Krisenmanagement funktioniert Business Continuity Management nicht. Daher ist eine Integration dieser Disziplinen Voraussetzung fĂŒr ein funktionierendes BCM.

6. Fachbegriffe auf ein Mindestmaß reduzieren und eindeutig definieren

Im BCM gibt es eine Flut von Fachbegriffen und AbkĂŒrzungen, die jeden Einsteiger ĂŒberfordern. Zudem sind ein Teil dieser Begriffe nicht eindeutig definiert. Weniger ist an dieser Stelle mehr.

7. Hilfsmittel und Templates als UnterstĂŒtzung fĂŒr die Umsetzung

FĂŒr Einsteiger sollte es einen Satz von Vorlagen und Templates geben, mit denen ein schneller Start in die BCM-Implementierung möglich ist. Zum Beispiel fĂŒr die Business Impact Analyse, NotfallplĂ€ne sowie Tests und Übungen. Analog der Umsetzungshilfen des BSI fĂŒr den BSI 100-4. Die BCM Community kann bestimmt einen ganzen Schatz an Hilfsmitteln zusammentragen.

So, das war meine spontane Wunschliste. Ich freue mich auf Ihre Wunschliste in den Kommentaren zu diesem Beitrag.

Business Continuity Management neu denken

Im Lauftraining haben wir unsere Lieblingsrunde. Wir kennen die Steigungen und GefĂ€lle, haben unsere Wegmarken zu Orientierung und Motivation sowie Zwischenzeiten fĂŒr das Benchmarking. Manchmal sollte mal allerdings einfach seine Lieblingsrunde in umgekehrter Richtung laufen, um wirklich zu wissen wo man steht und um Routine zu vermeiden. Welchen Bezug hat dies zum Business Continuity Management? Weiterlesen…

BCM-Wiki

BCM-Barometer 2016 erschienen

Die BCM Academy GmbH hat auch dieses Jahr wieder das BCM-Barometer erstellt, die branchenumfassende deutschlandweite Umfrage zum Business Continuity Management. 2015 wurde die Umfrage erstmalig erstellt und erlaubt jetzt erste Aussage zu Trends im BCM. Daneben wurden neue Fragen mit aufgenommen.

Die Ergebnisse der Umfrage sind kostenfrei unter dem Link http://www.bcmacademy.de/de/bcm-barometer erhÀltlich.