Die Einführung eines Business Continuity Management (BCM) ist komplex und zeitaufwendig. Der BSI-Standard 200-4 dient als Hilfestellung, um zielgerichtet und effektiv vorzugehen. Wichtig ist, vorhandene Datenbestände geschickt zu nutzen und bei der Toolauswahl die richtigen Schwerpunkte zu setzen, um in kurzer Zeit ein Notfallmanagement zu etablieren.

Ein sachgerechtes und wirksames BCM ist eine große Herausforderung, die oft unterschätzt oder sogar vernachlässigt wird. Für die regulierten Branchen bedeutet dies im ersten Schritt rechtliche Konsequenzen. Und für alle anderen? Der Worst Case ist, im Ernstfall keinen Plan zu haben, den Geschäftsbetrieb nicht aufrechterhalten zu können und schlimmstenfalls in die Insolvenz zu gehen.

BCM mit Plan. Standards wie der BSI-Standard 200-4 oder auch die international anerkannte ISO 22301:2019 bieten Verantwortlichen in Unternehmen und Organisationen Anleitungen für Planung, Aufbau, Implementierung und Überwachung eines BCM. Doch trotz der theoretischen Hilfestellung kann man sich bei der Umsetzung schnell in unzähligen Dokumenten und Details verlieren. Eine geeignete Softwarelösung hilft, den Überblick nicht zu verlieren und vorhandene Datenbestände zu nutzen.

Schritt für Schritt zum effektiven Notfallmanagement.

Datenübernahme aus einem Informations­sicherheits­management­system (ISMS)

Ist bereits ein ISMS im Einsatz, können die darin gesammelten Grundlagendaten oder auch vorhandene Risiko- und Maßnahmenkataloge für das BCM genutzt werden. Mit einer geeigneten Softwarelösung lassen sich diese Daten durch eine Importschnittstelle oder eine gemeinsame Datenbasis in das BCM integrieren.

Automatisierte Datenerhebung

Führen Sie erstmalig eine Datenerhebung zu wichtigen Kernprozessen und dem Ressourcenmanagement durch? Vorkonfigurierte Fragebögen können hier enorm hilfreich sein. Diese lassen sich automatisiert an interne und externe Ansprechpartner versenden. Die Ergebnisse werden nach Überprüfung und notwendigen Korrekturzyklen direkt in die Datenbank eingelesen. Dieser automatisierte Prozess reduziert manuelle Aufwände und minimiert Fehlerquellen.

Mandantenfähigkeit

Große und komplexe Organisationen benötigen ein Softwaretool mit vorbereitetem Berechtigungs- und Mandantensystem. Dieses ermöglicht eine schnelle Inbetriebnahme und eine präzise Steuerung der Zugriffsrechte. Mandantenfähige Software hilft dabei, verschiedene Abteilungen oder Tochtergesellschaften innerhalb einer Organisation zu verwalten, ohne dass Daten vermischt werden.

BIA mit individuellen Kritikalitätskriterien

Die Business-Impact-Analyse (BIA) steht im Mittelpunkt des BCM. Welche Schadensszenarien sind für Sie relevant? Berücksichtigt werden beispielsweise finanzielle Auswirkungen, Beeinträchtigung der Aufgabenerfüllung, negative Innen-/Außenwirkung, Compliance-Verstöße und persönliche Unversehrtheit. Die Kritikalitätskriterien sollten immer individuell auf das Unternehmen abgestimmt sein, um ein maßgeschneidertes Notfallmanagement zu entwickeln.

Zweistufige Vorgehensweise

Mit einer zweistufigen Vorgehensweise lässt sich viel Zeit einsparen. In der ersten Phase werden alle Prozesse einer grundsätzlichen Bewertung unterzogen. In der zweiten Phase konzentriert sich alles auf die detaillierte Analyse und das Management der zeitkritischen Prozesse. Dies ermöglicht eine fokussierte Ressourcenallokation und minimiert unnötigen Aufwand.

Soll-Ist-Vergleich

Beim Soll-Ist-Vergleich werden die selbst gesetzten Wiederherstellungsziele mit den tatsächlich erreichten verglichen. Die Ergebnisse von Tests und Übungen sollten in den Soll-Ist-Vergleich einfließen, um die behandlungsbedürftigen Ressourcen zu ermitteln. Ein regelmäßiger Soll-Ist-Vergleich hilft, die Effektivität des Notfallmanagements zu bewerten und kontinuierlich zu verbessern.

BCM-Überwachung

Mit einem KPI-Dashboard können die Verantwortlichen den aktuellen Stand des Managementsystems auf einen Blick erfassen und dringenden Handlungsbedarf erkennen. Das Dashboard sollte relevante Kennzahlen umfassen, wie den Umfang der nötigen Ressourcen zu Wiederherstellung, die Anzahl zeitkritischer Prozesse sowie zeitkritischer Ressourcen mit RTO.

Zuverlässige Dokumentation

Wichtig ist, dass Berichte den prüfenden Behörden immer aktuell und in einem übersichtlichen Format bereitgestellt werden können. Eine lückenlose und aktuelle Dokumentation ist entscheidend für die Einhaltung gesetzlicher Vorgaben und die Kommunikation mit Aufsichtsbehörden. Ein integriertes BCM-Dokumentenmanagement und das verschlüsselte Speichern der PDF-Dokumente in einer Cloud bieten zusätzliche Sicherheit.

Pläne für den Notfall

Im BCM sollten Geschäftsfortführungspläne, Wiederanlaufpläne und spezifische IT-Wiederanlaufpläne bereitstehen. Diese Pläne müssen regelmäßig getestet und aktualisiert werden. Nur so lässt sich sicherstellen, dass sie im Ernstfall umsetzbar sind. Eine enge Zusammenarbeit zwischen IT- und Geschäftseinheiten ist unerlässlich, um sicherzustellen, dass alle kritischen Systeme und Prozesse berücksichtigt werden.

Alarmierung im Krisenfall

Wer wird im Krisenfall alarmiert, und läuft dies bereits automatisiert ab? In einer Krise werden Notfallteams oder Krisenstäbe benötigt. Diese sollten direkt in der BCM-Software als besondere Aufbauorganisation (BAO) beschrieben sein. Automatisierte Alarmierungen stellen sicher, dass alle relevanten Personen schnell und zuverlässig informiert werden und ihre Rollen übernehmen können. So lassen sich Reaktionszeiten minimieren und die Effizienz des Krisenmanagements erhöhen.

Die Einführung eines BCM ist eine komplexe, aber lohnende Aufgabe. Durch die richtige Toolauswahl und die Nutzung vorhandener Datenbestände kann der Prozess effizient gestaltet werden. Mit einem strukturierten Ansatz und der richtigen Software können Unternehmen ein belastbares Notfallmanagement etablieren, das ihnen hilft, auch in Krisensituationen handlungsfähig zu bleiben und ihre Geschäftsprozesse zu schützen.

Silke Menzel,

Productmanagement,

HiScout GmbH

