Sungard veröffentlicht Business Disruption Analysis 2009 für Großbritannien

Sungard,weltweit einer der führenden Service-Provider für BCM- und Availability Services, hat seine Analyse der Ursachen für Geschäftsprozessunterbrechungen in UK veröffentlicht. Grundlage der Analyse ist die Inanspruchnahme der BCM-Services durch die Kunden in UK.

Erstmalig waren häufiger “workplace disruptions” mit 56 Prozent häufiger die Ursache für Geschäftsunterbrechungen als hardwarebedingte Ursachen. Insgesamt ist die Zahl der Aktivierung der BCM-Lösungen bei Sungard UK gegenüber dem Vorjahr um 56 Prozent gestiegen.

Einen starken Anstieg bei den Ursachen für Geschäftsunterbrechungen sieht Sungard bei der Unterbrechung der Stromversorgung, deren Anzahl sich geegnüber dem Vorjahr verdoppelt hat,sowie dem Ausfall von Kommunikationssystemen mit einem rapiden Anstieg von 1.300 Prozent gegenüber dem Vorjahr.

Quelle: Sungard Availability Services 02-06-2010

Die Analyse von sungard bezieht sich zwar ausschließlich auf Großbritannien, die Ergebnisse lassen sich aus meiner Sicht aber auch auf Deutschland übertragen. Die Risiken des Ausfalls von Arbeitsplätzen werden gegenüber den technologischen / IT-Risiken häufig unterschätzt. So ist die Absicherung der Stromversorgung für die IT durch Netzersatzanlagen Standard. Dies ermöglicht das geordnete Herunterfahren der IT-Systeme oder auch den von der regulären Stromversorgung unabhängigen Betrieb der IT-Systeme.

Für die Fortführung der Geschäftsprozesse ist jedoch, neben der Verfügbarkeit der IT, die Stromversorgung der Arbeitsplätze und der Gebäude von entscheidender Bedeutung. Die Clients und Bildschirme benötigen eine Stromversorgung (auch Laptops nach einer gewissen Zeit). Drucker, Telefonie, Faxgeräte und weitere Peripherie fällt ohne Stromversorgung unmittelbar aus. In vielen Unternehmen gibt es farblich gekennzeichnete Stromanschlüsse, die kenntlich machen sollen, dass diese Dose notstromversorgt ist. Doch ist sie das tatsächlich, auch nach zahlreichen Umbauten und Umzügen? Hängt statt dem PC der Kaffevollautomat der Abteilung an der Dose? Sind tatsächlich die kritischen Arbeitsplätze sowie die zugewiesenen Ausweicharbeitsplätze mit Notstrom versorgt?

Die gleichen Fragestellung gelten für Router, Switches und Server, die über das gesamte Gebäude verteilt sind, sowie viele zentrale Gebäudefunktionen (Licht, Klima, Aufzüge, Steuerungselektronik).

Auch der Ausfall der Wasserversorgung, der Toiletten oder der Klimatisierung zieht den Ausfall von Arbeitsplätzen nach sich. Evakuierung von Gebäuden auf Grund von Sprengstofffunden bei Bauarbeiten, Gaslecks oder Bombendrohungen sind weitere Ursachen für Ausfälle von Arbeitsplätzen, die nicht IT-bedingt sind.

Die reine Fokussierung auf technologische und hardwaretechnische Ursachen greift daher zu kurz. Nach dem Motto “die IT ist abgesichert, bei einem Stromausfall kann das Geschäft weitergehen”. Auch hier hilft eine Business Impact Analyse, indem die für das Geschäft kritischen Arbeitsplätze identifiziert und entsprechende Ersatzlösungen konzipiert und getestet werden.

BaFin veröffentlicht ersten Entwurf der überarbeiteten MaRisk für Banken

Das BaFin hat am 09. Juli 2010 den ersten Entwurf zur neuerlichen Überarbeitung der MaRisk für Banken veröffentlicht.

Der für das Business Continuity Management maßgebliche AT 7.3 ist in diesem ersten Entwurf unangetastet geblieben. Hier sind demzufolge keine (größeren) Änderungen zu erwarten. Dies wäre auch überraschend gewesen.

Interessant aus BCM-Sicht sind jedoch auch die Änderungen, die in diesem Entwurf vorgenommen wurden. Insbesondere die Änderungen in AT 4.2 “Strategien” halte ich für bemerkenswert. Betont wird noch einmal, dass der “Inhalt der Geschäftsstrategie allein in der Verantwortung der Geschäftsleitung liegt”. Die Inhalte der Geschäftsstrategie sind daher auch nicht Gegenstand von Prüfungen. Sehr wohl aber der prozessuale Rahmen für die Erstellung der Geschäftsstrategie, bestehend aus “Planung, Anpassung, Umsetzung und Beurteilung”. Nichts anderes als der uns aus dem BCM-Standard BS 25999-2 und anderen ISO-Standards wohlbekannte PDCA (Plan-Do-Check-Act) Zyklus. Für das BCM lässt sich aus der stärkeren Fokussierung der Aufsicht auf die Prozesse für die Geschäfts- und Risikostrategie und der eindeutigen Zuordnung der Verantwortung für die Inhalte der Strategien zu der Geschäftsleitung eine äquivalente Betrachtung ableiten.

Die inhaltlicher Verantwortung für die Festlegung des Risikos, das im BCM getragen wird, liegt bei der Geschäftsleitung. Dies beinhaltet beispielsweise die Festlegung der zeitkritischen Prozesse, für die Notfallkonzepte und Notfallplanungen erstellt werden (Risikoakzeptanzniveau). Die Geschäftsleitung kann hier, je nach Risikoappetit, risikofreudig oder eher risikoavers entscheiden. Von zentraler Bedeutung und Gegenstand der aufsichtlichen Prüfungen sind jedoch die Prozesse des BCM. Hierzu zählen beispielsweise die Prozesse

  • zur Ermittlung der zeitkritischen Prozesse (Business Impact Analyse)
  • zur Identifikation der relevanten Risiken (Risikoanalyse)
  • zur Festlegung der verfügbaren Notfallstrategien
  • zur Erstellung der Notfallkonzepte und Geschäftsfortführungs- und Wiederanlaufpläne
  • zur Überprüfung der Wirksamkeit der Maßnahmen in Form von Tests und Übungen.

Hinzu kommt die Festlegung der Organisation des BCM mit der Definition der Rollen, Aufgaben und Kompetenzen zum Beispiel in Form einer BCM-Policy.

Diese Prozesse müssen nicht nur vorhanden, sondern für ein externes oder internes Audit auch angemessen dokumentiert sein. Die Einhaltung der Prozesse und Aktualisierung muß in der BCM-Organisation zum Beispiel durch eine zentrale BCM-Verantwortung sichergestellt sein.

Standards helfen bei der Definition und Dokumentation der Prozesse. Im BCM sind dies insbesondere die Standards BS 25999-1, -2 und der deutsche Standard für Notfallmanagement BSI 100-4. Die in diesen Standards beschriebenen BCM-Prozesse bilden den PDCA-Zyklus, wie in den MaRisk gefordert, vollständig ab. Eine sehr gute Hilfe für die Implementierung der BCM-Prozesse sind auch die Good Practice Guidelines des BCI, die gerade in einer überarbeiteten neuen Version erschienen sind. Leider nicht mehr kostenlos für Nicht-Mitglieder, aber allemal das Geld wert.

National Risk Register in UK aktualisiert

2008 wurde in Großbritannien das National Risk Register (NRR) von der Regierung veröffentlicht. Das NRR gibt eine Einschätzung von relativer Schadenshöhe und relativer Eintrittswahrscheinlichkeiten von Risiken für Großbritannien.

Das NRR wurde jetzt aktualisiert. Die Änderungen sind in diesem Dokument beschrieben.

Die bedeutendsten Risiken bleiben das Risiko einer Pandemie, Überschwemmungen und Terrorangriffe auf Menschenansammlungen. Die Risikoeinschätzung für Naturkatastrophen “severe weather” wurde erhöht. Das Risiko Cyber Attack wurde in zwei Risiken aufgeteilt: “Cyber Attacks: National Infrastructure” und “Cyber Attacks: Data Confidentiality”.

Rückversicherer legen Katastrophenschadensbilanz für 2009 vor

Munich Re und Swiss Re haben ihre Katastrophenschadensbilanz für 2009 vorgelegt. Die beiden Studien (Munich Re: “Topics Geo 2009” und Swiss Re “sigma No 1/2010” kommen zu leicht unterschiedlichen finanziellen Schadenshöhen, die Entwicklungen werden aber gleich eingeschätzt. Weiterlesen…

Über 50 Tote bei Erdbeben in der Türkei – steigende Verwundbarkeit durch Katastrophen

Das Erdbeben in der Türkei hat bislang mehr als 50 Todesopfer gefordert. Hauptursache für die hohe Zahl an Opfern ist offensichtlich die nicht erdbebensichere Bauweise mit Lehm in einer stark erdbebengefährdeten Region. Die bestätigte auch Ministerpräsident Recep Tayyip Erdogan. Er hat die Wohnungsbehörde angewiesen, dort nun erdbebensichere Gebäude zu errichten. Um 4:32 Uhr erschütterte das Erdbeben die Provinz Elazig. In der Zwischenzeit sind über 80 Nachbeben mit Stärken um 5.5 aufgetreten. Weiterlesen…

Risiko “Weihnachten”

Die Feuerwehr meldet, dass die Anzahl der Wohnungsbrände zum Jahresende deutlich zunimmt. Mit jeder Woche kommt ein Risikofaktor “brennende Kerze” hinzu. Zudem werden die Adventskränze trocken und entzünden sich schneller. Insgesamt nimmt die Anzahl der Wohnungsbrände jedoch ab. Der Trend geht zum elektrischen Licht. Doch obwohl die Anzahl der Wohnungsbrände zurückgeht bleibt das Schadensniveau stabil. Dies liegt daran, dass die Einrichtungsgegenstände wie zum Beispiel Fernseher immer wertvoller und teurer werden. Das Risiko setzt sich eben aus Eintrittswahrscheinlichkeit und Schadenshöhe zusammen. Kann man im Haushalt den potentiellen Schaden noch relativ schnell per Augenschein ermitteln, dient im BCM die Business Impact Analyse hierzu. Die Zusammenhänge sind komplexer und neben dem finanziellen Schaden sind auch nicht-monetäre Schadensfolgen wie Image- und Reputationsschaden oder Verstösse gegen gesetzliche und aufsichtsrechtliche Bestimmungen in Unternehmen zu berücksichtigen. Eine sinkende (gefühlte) Eintrittswahrscheinlichkeit könnte dazu verleiten, das Risiko als geringer zu betrachten. Häufig stehen sinkenden Eintrittswahrscheinlichkeiten steigende Impacts zum Beispiel aus dem Unternehmens-, Umsatz und Kundenwachstum oder durch die Anschaffung teurer Anlagen (Produktionsanalgen, IT) gegenüber. Eine Business Impact Analyse deckt diese Zusammenhänge auf und ist daher elementarer Bestandteil des Risiko- und Business Continuity Managements.

Bundesbank überprüft Pandemievorsorge der Banken

Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor Kurzem bereits die Versicherungen nach dem Stand ihrer Pandemievorsorge abgefragt hat (bcm-news berichtete), sind jetzt die Banken und Sparkassen an der Reihe. Damit soll sichergestellt werden, dass im Falle einer Pandemie der normale Geschäftsbetrieb aufrecht erhalten werden kann. Weiterlesen…

Public Private Security – Schutz kritischer Infrastrukturen

Bei der Implementierung des BCM gehen Unternehmen, wie auch die Bevölkerung davon aus, dass für die notwendigen kritischen Infrastrukturen (KRITIS) entsprechende Vorsorgemaßnahmen für Katastrophenereignisse durch Behörden in Verbindung mit den KRITIS-Betreibern geleistet werden.

Diese Zusammenarbeit war Themenschwerpunkt der Veranstaltung “Public Private Security – Schutz kritischer Infrastrukturen” vom 30. März bis 01. April 2009 in Berlin.

Weiterlesen…

Handlungsbedarf Risikomanagement

Anteil der Unternehmensleiter, die Informationen über die Risiken ihres Geschäfts für sehr wichtig halten, in Prozent: 92
Anteil der Unternehmensleiter, die angeben, dass Sie darüber ausreichend Bescheid wissen, in Prozent: 23

Auch sehr aufschlussreich:
Anteil der Unternehmensleiter, die angeben, dass sie wissen was ihre Kunden wollen, in Prozent: 21

Quelle:
Die Welt in Zahlen
brand eins 03/2009

Münchener Rück mit umfassender DVD zu Georisiken

Die Münchener Rück hat ihre umfassende Expertise auf dem Gebiet der Georisiko-Forschung auf einer DVD gebündelt, dem neuen “Globus der Naturgefahren”.

Mit diesem Serviceprodukt können sich Anwender für jeden Punkt der Erde anzeigen lassen, wie groß das Gefährdungs-Potenzial etwa durch Stürme, Überschwemmungen, Erdbeben, Hagel oder andere Naturgefahren ist.

Auch für die regionale oder kommunale Raumplanung oder die Katastrophenvorsorge liefert der “Globus der Naturgefahren” wichtige Informationen: So wurden neue Gefährdungskarten für Hagelschlag, Tornados und küstennahe Bedrohungen integriert. Erstmals wird in der digitalen Neuauflage die Überschwemmungsgefährdung ausgewiesen, die bislang nicht darstellbar war. Ein weiteres zentrales Element ist die Berücksichtigung der sich durch den Klimawandel verändernden Gefährdungssituation.

Quelle: Pressemitteilung der Münchener Rück vom 16.02.2009

Eine Bezugsquelle für die DVD ist bei der Münchener Rück angefragt und wird hier veröffentlicht, sobald diese bekannt ist.