Business Continuity Management

In Krisenzeiten müssen die Geschäftsprozesse widerstandsfähig gegen innere sowie äußere Einflüsse sein, um so den Geschäftserfolg zu gewährleisten. Genau hier greift das Business Continuity Management (BCM) oder auch Notfallmanagement genannt. Das BCM stellt sicher, dass bei krisenbedingten Betriebsunterbrechungen die Aktivität in einem akzeptablen Zeitrahmen wiederhergestellt wird.

Die jüngsten Erfahrungen mit der Verwundbarkeit von Gesellschaft und Wirtschaft durch Erreger wie Covid-19 machen uns die Abhängigkeiten von (IT-)Technik, Organisation und Personal mehr als deutlich. Der in der Vergangenheit oftmals im Fokus stehende „Wasserrohrschaden” im Serverraum tritt deutlich in den Hintergrund. Und dies nicht nur wegen Covid-19, sondern insbesondere auch aufgrund zunehmender Cybersecurity-Risiken und der wachsenden Abhängigkeit von digitalisierten Geschäftsprozessen.

Ein wirksames und praktikables BCM soll sicherstellen, dass Unternehmen in Krisen- oder Notfällen in der Lage sind, ihre zeitkritischen Tätigkeiten auf einem Mindestniveau (Notbetrieb) fortzusetzen und eine schnelle Wiederherstellung eines Normalbetriebs zu gewährleisten – verlässlich, routiniert und ohne große Folgeschäden.

In Zeiten hoher Digitalisierung ist das IT-Notfallmanagement als Teil eines umfassenden Unternehmens-BCM ein wichtiger Baustein bzw. stellt oftmals die Grundlage dar.

Welchen Beitrag kann das IT-Notfallmanagement leisten, um das allgemeine Notfallmanagement eines Unternehmens zu unterstützen?

Den aktuellen Umsetzungsgrad des eigenen IT-Notfallmanagements ermitteln

Ist noch kein vollständiges IT-Notfallmanagement etabliert, sollte zunächst der Umsetzungsgrad hinsichtlich erfolgskritischer Faktoren für das Unternehmen untersucht werden. Dies kann z.B. über eine Checkliste erfolgen und sollte mindestens die folgenden Bereiche abdecken:

Umsetzungsgrad der IT-Notfallmanagement-Prozesse in den Bereichen Notfallvorsorge und Notfallbewältigung
Regelungsbedarfe bezüglich Personal und Organisation
Regelungsbedarfe im Hinblick auf Technik und Dokumentation
Regelungsbedarfe hinsichtlich IT-Dienstleister
Umgang mit Cloud und Outsourcing
Umgang mit IT-Projekten

Auf dieser Grundlage kann die Planung der weiteren Maßnahmen erfolgen und das IT-Notfallmanagement schrittweise ausgebaut werden.

Anforderungen an das IT-Notfallmanagement

Wie das unternehmensweite Notfallmanagement muss auch das IT-Notfallmanagement bestehende Risiken betrachten, die für das Unternehmen existenzgefährdend sind.

Der IT-Notfallmanagementprozess muss dabei drei wesentliche Zielsetzungen sicherstellen:

die Prävention, die ein geplantes und strukturiertes Vorgehen zur Erhöhung der Widerstandsfähigkeit einer Organisation gegen bestehende Gefahren beinhaltet,
die zielgerichtete und gut geplante Reaktion auf Schadensereignisse sowie
die schnellstmögliche Wiederherstellung der Geschäftstätigkeiten, nachdem ein Notfall oder eine Krise eingetreten ist.

Die Vorgehensweise zur Etablierung eines IT-Notfallmanagements

Die Ziele sowie Strategien im IT-Notfallmanagement werden durch die Unternehmensführung in einer IT-Notfallmanagement-Leitlinie beschrieben, gleichzeitig übernimmt sie die Gesamtverantwortung und verpflichtet sich, die erforderlichen Ressourcen für ein anforderungskonformes Notfallmanagement bereitzustellen. Auf dieser Basis erfolgt der Aufbau der IT-Notfallvorsorge, bestehend aus Richtlinien, Konzepten und vorbereitenden Maßnahmen. Darin ist u. a. auch die Notfallorganisation zu beschreiben. Ein weiterer kritischer Erfolgsfaktor ist die Business Impact Analyse (BIA). Sie ermittelt für welche kritischen Geschäftsprozesse das IT-Notfallmanagement zu etablieren ist, welche Ressourcen hierfür benötigt werden und welche Notfallpläne deshalb erstellt werden müssen. Die Notfallpläne stellen – zusammen mit Geschäftsfortführungs- oder Wiederanlaufplänen – die IT-Notfallbewältigung sicher und unterstützen den Notfallstab oder die Krisenteams in ihren Handlungen. Über einen PDCA-Zyklus (Plan-Do-Check-Act) wird sichergestellt, dass das IT-Notfallmanagement getestet, angepasst und weiterentwickelt wird. Methodisch bietet sich die Orientierung an anerkannten Standards wie z. B. ISO 22301 an.