Business Continuity Management – Der Retter in Not?

veröffentlicht am 28. Juli 2022; Autorin: Janina Loncar

Die Bedeutung der Widerstandsfähigkeit eines Unternehmens gegenüber Betriebsunterbrechungen hat in einer Zeit zunehmender Unsicherheiten und Notfallsituationen deutlich zugenommen. Selten war es so wichtig, das eigene Unternehmen vor unerwarteten Notfallereignissen schützen zu können und Ausfallrisiken von Betriebsabläufen zu minimieren. Ganz gleich, ob es sich hierbei um Cyber-Attacken, Naturkatastrophen oder Terror-Anschläge handelt.

Die Aufrechterhaltung des IT-Betriebs nimmt dabei häufig eine Schlüsselrolle ein. Grundsätzlich sehen sich alle Unternehmen in der Pflicht Verfahren zu etablieren, um auch in Notfallsituationen handlungsfähig zu bleiben und die Betriebsabläufe aufrechtzuerhalten. Die Intensität dieser Maßnahmen hängt selbstverständlich von der Kritikalität der Prozesse und Betriebsabläufe ab. Man spricht hier auch häufig vom Schutzbedarf von Verfahren und der dafür notwendigen Komponenten.

Für Unternehmen im Gesundheitswesen, wovon viele gleichzeitig Betreiber kritischer Infrastruktur sind und der Ausfall des Betriebes Menschenleben kosten kann, gilt i.d.R. ein hoher Schutzbedarf.
Das Business Continuity Management – kurz BCM – definiert die Planung und Etablierung angemessener Maßnahmen.

Der internationale Standard ISO/IEC 22301 zum Managementsystem für Business Continuity (BCMS) zeigt die Notwendigkeit von strukturierten Maßnahmen auf, um Notfallereignisse bestmöglich zu bewältigen. Die Norm legt dabei die Struktur und gewisse Anforderungen zur Implementierung und Aufrechterhaltung eines Managementsystems für Business Continuity fest, welche das Ausmaß und die Art der Auswirkungen beurteilen, die eine Organisation bei einer massiven Störung akzeptieren darf. Interne als auch externe Einflussfaktoren, wie rechtliche, behördliche oder prozessuale Anforderungen und Dienstleistungen, wirken sich auf das BCMS aus. Der Zweck eines BCMS ist das Vorbereiten, Bereitstellen und Aufrechterhalten von Maßnahmen, um die Handlungsfähigkeit, eine hohe Verfügbarkeit sowie funktionierende Betriebsabläufe des Unternehmens sicherzustellen.

Betreiber kritischer Infrastrukturen müssen gemäß § 8a BSIG Verfahren zur Aufrechterhaltung der kritischen Dienstleistung in einem strukturierten Managementsystem etablieren, um im Ernstfall ihren Betrieb aufrechterhalten zu können. Seit dem Patientendaten-Schutz-Gesetz gilt diese Pflicht gleichermaßen für kleinere Kliniken und Krankenhäuser, die nicht unter das IT-Sicherheitsgesetz und die KRITIS-Verordnung fallen.

Die fundamentale Säule für die Etablierung und Aufrechterhaltung eines Managementsystems bildet der Plan-Do-Check-Act Zyklus (PDCA). Dieses Funktionsprinzip hilft dabei, das BCMS in einer Organisation umzusetzen sowie dessen Effektivität kontinuierlich zu verbessern.

Abbildung 1: Darstellung eines Plan-Do-Check-Act-Zyklus.

In Übereinstimmung mit dem PDCA-Zyklus müssen Unternehmen – interne als auch externe – Anforderungen betrachten, Soll-Ist-Prozesse definieren sowie Abweichungen zur Zieldefinition überwachen, um auf diese schnell reagieren zu können. Durch diese Verfahren im BCMS können Risiken für eine Institution frühzeitig erkannt und Maßnahmen für einen strukturieren Umgang mit Geschäftsunterbrechungen etabliert werden.

Wir empfehlen jeder Organisation eine strukturierte Vorgehensweise bei der Etablierung von Verfahren zur Sicherstellung des Geschäftsbetriebes in Anlehnung an gängige Standards zum BCMS wie die ISO/IEC 22301 oder BSI Standard 200-4. Die Betrachtung und Bewertung der Schutzbedarfe der für den Geschäftsbetrieb wesentlichen Anwendungen, Geräte und Menschen ist hierbei von zentraler Bedeutung. Durch die effektive Anwendung eines BCMS können Organisationen ihre Resilienz stetig verbessern.

Welche Erfahrungen haben Sie bereits im Bereich Business Continuity Management gemacht? Welchen Standard bevorzugen Sie? Oder befinden Sie sich aktuell in der Planung ein BCMS zu etablieren? Meine Kollegen und ich freuen uns auf einen gemeinsamen Austausch mit Ihnen.