RUCHTI TEC

sustainably implemented changes

BCM (Business Continuity Management)

17. Mai 2024 Von Stefan Ruchti 0

Business Continuity Management (BCM) ist ein Konzept, das darauf ausgerichtet ist, geschäftskritische Prozesse auch während betrieblicher Störungen aufrechtzuerhalten und einen schnellen Wiederherstellungsprozess des Regelbetriebs zu gewährleisten. Es handelt dabei also um ganzheitlichen Ansatz, der sicherstellt, dass Organisationen widerstandsfähig gegenüber Störungen, Notfällen und Krisen sein können. Der Schwerpunkt liegt darauf, die Kontinuität des Geschäftsbetriebs unabhängig von externen Einflüssen zu gewährleisten, um die Auswirkungen von Unterbrechungen zu minimieren und die Widerstandsfähigkeit der Organisation zu stärken. Wiederholend zum Ausdruck gebracht, beinhaltet BCM die Identifizierung von Risiken, die Entwicklung von Notfallplänen, die Umsetzung von Maßnahmen zur Geschäftskontinuität sowie die regelmäßige Überprüfung und Aktualisierung dieser Pläne. Die Implementierung von BCM ermöglicht es Organisationen, effektiver auf unvorhergesehene Ereignisse zu reagieren und ihre langfristige Überlebensfähigkeit sicherzustellen (Spörrer 2014, S. 47–59).

Es existieren grundsätzlich drei Arten von Risiken, denen Unternehmen ausgesetzt sein können. Zu den bekannten Risiken zählen beispielsweise Systemausfälle oder Feuer, die grundsätzlich identifiziert und quantifiziert werden können, wodurch eine Vorbereitung darauf möglich ist. Daneben gibt es Risiken wie etwa Pandemien, deren Auswirkungen schwer vorhersehbar sind. Zudem treten auch unvorhergesehene Risiken mit erheblichen Auswirkungen auf. Nassim Nicholas Taleb prägte 2007 den Begriff der „schwarzen Schwäne“, um damit unerwartete Ereignisse zu beschreiben, die eine Organisation ohne Vorwarnung oder Vorbereitung abrupt treffen können (John Sharp 2012, S. 72).

In Abbildung 7 wird eine Zusammenfassung der externen Einflussfaktoren dargestellt, die entscheidend dafür sind, dass ein Unternehmen sich für die Einführung eines BCM (Business Continuity Management) entscheidet.

Abbildung 7: Externe Treiber für ein BCM (Ben Musgrave and Patrick Woodman 2013, S. 16).

Der Hauptzweck von BCM ist es, den Geschäftsbetrieb auch unter Berücksichtigung von Risiken mit hohem Schadenspotenzial aufrechtzuerhalten. In deutschsprachigen Ländern wird BCM auch im Zusammenhang mit Informationssicherheit, IT-Notfallplanung und Corporate Governance diskutiert. BCM ist einer von elf zentralen Regelbereichen (siehe Tab. 2), die alle wesentlichen Aspekte des ISMS (Information Security Management System), dem Managementsystem für Informationssicherheit, abdecken  (Spörrer 2014, S. 47–48).

Regelbereiche
(ISMS-, Informationssicherheits-) Leitlinie
Organisation der Informationssicherheit
Management von organisationseigenen Werten
Personelle Sicherheit
Physische und umgebungsbezogene Sicherheit
Management der Kommunikation und des Betriebes
Zugangskontrolle (umfasst auch die Zugriffskontrolle)
Beschaffung, Entwicklung und Wartung von informationsverarbeiten den Systemen
Umgang mit Informationssicherheitsvorfällen (= Management von Sicherheitsvorfällen)
Sicherstellung des Geschäftsbetriebs (= Business Continuity Management)
Einhaltung von Vorgaben (z. B. Übereinstimmung mit gesetzlichen Anforderungen oder Standards)
Tabelle 2:  Regelbereiche (Spörrer 2014, S. 48–49)

In jedem Regelungsbereich gibt es eine Unterteilung in weitere Sicherheitskategorien nach ISO 27001 (Kersten, H./Reuter, J./Schröder, K.-W. 2011, 101f).

BCM als Teil der Good Governance

In dem folgenden Kapitel wird die Bedeutung der IT-Governance für Vorstands- und Managementverantwortlichkeiten betont, da sie ein wesentlicher Bestandteil der Unternehmensführung ist. Die IT-Governance umfasst die Führung, Organisationsstrukturen und Prozesse, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Die Hauptziele bestehen darin, die IT-Anforderungen zu verstehen, ihre strategische Bedeutung zu erkennen, um einen reibungslosen Betrieb zur Erreichung der Unternehmensziele zu gewährleisten und Strategien für zukünftiges Wachstum zu entwickeln. IT-Governance wird als integraler Bestandteil der unternehmensweiten Governance- und Compliance-Maßnahmen betrachtet. Obwohl die Logik dieser Abfolge auf den ersten Blick einleuchtend erscheint, ist in der Literatur insbesondere in Bezug auf den Begriff der IT-Governance nicht immer ein eindeutiger Nachweis zu finden. Im Vergleich zur Corporate Governance, die einen separaten Bereich darstellt, wird die Instrumentalisierung der IT-Governance weniger intensiv diskutiert und ist in der Praxis weniger verbreitet  (Johannsen, W./Goeken, M. 2007, S. 2).

Die IT-Governance legt fest, welche Beteiligungen und Zuständigkeiten bei der Leitung der IT-Funktionen eines Unternehmens in der Regel bestehen. Der Erfolg dieser Struktur hängt insbesondere von der Kommunikation, der Glaubwürdigkeit der Entscheidungen und der klaren Verteilung der Entscheidungsbefugnisse ab (Keller 2012, 115f).

Weill (2004, S. 61f) führte eine umfangreiche empirische Studie durch, um die verbreiteten Praktiken in der Praxis zu identifizieren. Dabei untersuchte er verschiedene Architekturtypen der IT-Governance, die er als „reine Stile“ definierte. Diese Stile treten in der Praxis jedoch nicht in dieser reinen Form auf, sondern beinhalten Aussagen darüber, wer in Bezug auf die IT-Entscheidungen trifft. Weill verknüpfte die IT-Governance-Typen mit den Kategorien Strategie, Technik und Geschäftsunterstützung. Unter Strategie fallen die IT-Prinzipien, unter Technik die IT-Architektur und die IT-Infrastrukturstrategie. Die Geschäftsunterstützung umfasst fachliche Anforderungen und das Budget. Diese Begrifflichkeiten verdeutlichen bereits die wichtige Verbindung dieser Entscheidungsbereiche zur Business Continuity (Keller 2012, 117f).

Die Analyse der Stakeholder und der Rahmenbedingungen der IT-Compliance kann dazu beitragen, ein besseres Verständnis für die IT-Governance zu gewinnen. Stakeholder sind in der Literatur oft als Interessengruppen definiert, die Shareholder, das Management, Arbeitnehmer, Kreditgeber, Lieferanten, Kunden und den Staat als Wirtschaftsakteur umfassen. Eine genauere Definition unterscheidet zwischen Shareholdern und dem Management als engeren Stakeholder-Gruppen. Die Interessen der Shareholder werden in kapitalorientierten Unternehmen hauptsächlich von externen Wirtschaftsprüfern vertreten, die auch IT-Themen prüfen. Daher werden Wirtschaftsprüfer als Unterstützung bei der Anforderungsanalyse der Shareholder betrachtet. Innerhalb des Managements erfolgt zudem eine hierarchische Unterteilung. Die Anforderungen und Ziele des Managements bezüglich der IT-Governance können von denen des IT-Managements oder des IT-Vorstands abweichen. Daher werden diese beiden Stakeholder-Gruppen separat in der Anforderungsanalyse betrachtet (Falk 2012, S. 38).

Durch eine Negativabgrenzung können Normen wie Solvency II, das Fernabsatzgesetz oder das Signaturgesetz ausgeschlossen werden. Nach dieser Abgrenzung verbleibt eine Vielzahl von Normen, die einen Bezug zur IT aufweisen. Einerseits sind Normen zu berücksichtigen, die sich direkt auf die IT beziehen und sie unmittelbar betreffen. Andererseits gibt es Normen, die zwar nicht die IT selbst zum Gegenstand haben, aber in der Praxis mittels IT umgesetzt werden und daher für die IT relevant sind (Falk 2012, 39f). Scherer sieht es als Irrtum an zu glauben, dass es im Unternehmen genügend Raum für eine Vielzahl von Managementsystemen gibt, um mit der Vielzahl von Normen umzugehen. Unternehmen, die schrittweise verschiedene Systeme einführen, schaffen fast zwangsläufig Insellösungen, die nicht aktiv gelebt werden. Aufgrund fehlender Homogenität sind die Daten dieser Lösungen unter anderem für die digitale Datenanalyse nicht verfügbar (Scherer 2012). Die Notwendigkeit eines umfassenden Rahmens wie der ISO 22301 wird durch diese Anforderung gestärkt. Bei der Umsetzung von ganzheitlichem Management und „Good Governance“ ist es vorrangig, die Pflichten ohne Ausnahmen zu erfüllen und innerhalb der vorgegebenen Richtlinien zu handeln. Erst danach sollten Ziele verfolgt werden, die zwar nicht zwingend vorgegeben sind, aber von relevanten Interessengruppen gewünscht werden. Es ist wichtig zu unterscheiden, ob bestimmte Aufgaben für die Geschäftsleitung verpflichtend oder freiwillig sind, was davon abhängt, ob sie gesetzlich oder anderweitig festgelegt sind. Zudem muss ein Vorstand oder Geschäftsführer gemäß der Generalklausel als gewissenhafter Geschäftsmann handeln. Wenn ein Manager nur in eine bestimmte Richtung handeln kann, kann nicht mehr von freiem Ermessen die Rede sein. Durch Anweisungen oder vertragliche Verpflichtungen kann eine an sich freiwillige Aufgabe zur Pflichtaufgabe werden. Laut Scherer ist die Entscheidung zwischen Pflicht und Kür also nicht subjektiv zu treffen. Die Geschäftsleitung trägt sowohl die Verantwortung für die Planung und Umsetzung der Kernleistungen als auch für alle anderen wesentlichen Funktionen des Unternehmens, darunter Strategie, Organisation, Finanzen, Personal, Risikomanagement, Compliancemanagement, Innovation, Beschaffung, Vertrieb und Marketing, Controlling, Logistik, Wissensmanagement, Qualitätsmanagement, Umweltmanagement usw. Besonderes Augenmerk wird auf Datenschutz, Informationstechnologie und Business Continuity gelegt (Scherer 2012, 202f)

Um eine erfolgreiche IT-Governance zu erreichen, müssen Prozesse etabliert werden, die sicherstellen, dass Informationen zu bestimmten Entscheidungspunkten verfügbar sind. Dies betrifft unter anderem die Planung, Entwicklung und den Betrieb der IT, insbesondere bei der Priorisierung und Budgetierung von Investitionen (Dern 2009, S. 305). Risiken sind in allen Geschäftsbereichen vorhanden, von der IT bis zur Unternehmensstrategie, und haben das Potenzial, schnell existenzbedrohend zu werden. Wenn die IT ausfällt und das Geschäft zum Stillstand bringt, gibt es Ersatzkapazitäten in Rechenzentren die Frage ist aber auch werden alle wichtigen Zugriffe auf Systeme protokolliert? (Euler Hermes 2006).  Fragen, die es im Rahmen von BCM zu beantworten gilt und die ISO 22301 dazu einen passenden Rahmen vorgibt (Falk 2012, S. 36). Die genaue Betrachtung der Definitionen und Inhalte wie Sicherstellung von Prozessen, Abdeckung der Geschäftsziele oder Risikoüberwachung unterstreicht den Ansatz, dass BCM ein Teil der (Good) Governance ist. Nach Wegner bildet IT Governance in Form von Entwicklung und Umsetzung von Richtlinien und Regeln sowie der Einführung und Anwendung von IT-Standards und Best Practice-Ansätzen in der Gesamtorganisation die formale Grundlage für den effizienten IT-Betrieb und die effiziente Durchführung von IT-Projekten (Wegner 2011, S. 13).

Der BCM-Life-Cycle hat sechs Phasen:

  • Planung des BC-Programms.
  • Bewertung der Risiken und deren Auswirkungen.
  • Festlegung der Kontinuitäts- und Wiederherstellungsstrategien.
  • Durchführung von Übungen.
  • Dauerhaftes Aufrechterhalten des BC-Programms.

Durch den Lebenszyklus wird das einmal aufgesetzte BC-Programm aufrechterhalten und ständig verbessert. Governance spielt nicht nur in den jeweiligen Phasen eine Rolle, sondern auch in den Übergangsphasen zwischen den einzelnen Bereichen. Ohne Governance wird es mit ziemlicher Sicherheit Störungen im Zyklus geben. Mögliche Probleme in diesen Aktivitäten würden durch das Fehlen einer integrierter Governance verursacht werden. Integrierte Governance innerhalb der Planung steht für die Förderung und Unterstützung der Geschäftsführung sowie die Koordinierung zwischen den Geschäftseinheiten und Wiederherstellungsteams. Integrierte Governance in den Entwicklung- und Umsetzungsphasen hilft sicherzustellen, Rollen und Aufgaben zu definieren. Ermöglicht werden so gut koordinierte Aktionen zur Wiederherstellung der Geschäftsprozesse und der IT-Ziele. Auswirkungen eines Ausfalls sollen damit maximal minimiert werden. Schließlich unterstützt Governance Übungen sowie die Aufrechterhaltung des Programms. Weiterhin sorgt Governance für eine interne Verbreitung der Themen, um das Bewusstsein bezüglich Business Continuity und Disaster Recovery bei den Mitarbeitern zu stärken. Risk Management als Teil der Governance und BCM ergänzen sich gegenseitig und sind keine optionalen Prozesse in einer gut geführten Organisation (Graham, J./Kaye, D. 2006, S. 89).

Nach Scherer gibt es viele Argumente für die Unternehmensführung bezüglich der anerkannten und einschlägigen Methoden und Werkzeuge betreffend Recht, Technik und Wirtschaft informiert zu sein. Risiko-, Chancen- und Compliancemanagement sind als ein strategisches Instrument für Good Governance und treffsichere Planungen einzusetzen. Für das Unternehmen selbst bedeutet dieses Wissen und deren Anwendung mit Unterstützung des Business Continuity Managements Existenzsicherung (Scherer 2012, S. 211).

Ness beschreibt BCM treffend als “Business, das Business zu schützen”. Umfangreicher wird BCM als „an ongoing management and governance process supported by senior management and resourced to ensure that the necessary steps are taken to identify the impact of potential losses, manage risk, develop resiliency, maintain viable recovery strategies and plans and ensure continuity of products or services through exercising, rehearsal, testing, training, maintenance and assurance” definiert (Ness 2012, S. 7).

Eine alternative Methode wäre die Berücksichtigung des Unternehmensmodells. Es existieren weitere Faktoren, die die „gute Governance“ beeinflussen. Neben der Branchenreife, dem Ausmaß des Föderalismus, den Wettbewerbsstrategien und der aktuellen Unternehmenslage sollten die Werttreiber genauer analysiert werden. Die drei gängigen Werttreiber sind:

  • Operational Excellence: die optimalen Betriebsprozesse
  • Customer Intimacy: die Konzentration auf den Kunden
  • Product Leadership: Wettbewerbsvorteile durch bessere Produkte

Bei genauerer Analyse des ersten Werttreibers wird deutlich, wie die IT die Good Governance beeinflusst. Dies umfasst die Synergien in der IT, die Vermeidung von Medienbrüchen und einen hohen Automatisierungsgrad, der nur durch konsistente und zuverlässige IT-Prozesse erreicht werden kann (Keller 2012, 118ff). Die Wettbewerbsstrategie eines Unternehmens beeinflusst die grobe Ausrichtung der IT-Strategie und somit die IT-Governance. Zählt zu den generischen Wettbewerbsstrategien die Differenzierung, den Kostenschwerpunkt, den Differenzierungsschwerpunkt und die Kostenführerschaft. Bezüglich Letzteren sei hier beispielhaft darauf hingewiesen, dass sich dieser Bereich mit „Operational Excellence“ aus einem der vorhergehenden Absätze weitgehend deckt und der IT-Vorstand somit gezielt Skaleneffekte angeht und Informatikkosten strikt managen wird (Keller 2012, 120f). Die Bereiche IT-Riskmanagement und IT-Compliance sind eng mit der IT Governance verbunden. Business Continuity Management ist ein wichtiger Teil der (IT-) Governance. Die Situation und die Geschäftsstrategie eines Unternehmens haben nicht unerheblichen Einfluss auf die IT-Strategie und die inhaltlichen Schwerpunkte der IT-Architektur. Somit schlagen sich die Entscheidungen auch auf die Ausrichtung der IT-Governance nieder.

Wichtige Aspekte für den Aufbau eines BCM

Unternehmen sehen sich einer Vielzahl von Bedrohungen aus betriebswirtschaftlichen, technischen, rechtlichen, politischen, wirtschaftlichen, sozialen und kriminellen Bereichen gegenüber. Der ISO 22301 Standard wird zur Implementierung und Zertifizierung von BCM empfohlen. Die Einführung von Business Continuity Management (BCM) in Logistikunternehmen sollte durch das Top-Management unterstützt und vorangetrieben werden. Die Etablierung eines zentral gesteuerten BCM mit gut integrierten Prozessen ermöglicht es Unternehmen, sowohl interne als auch externe Bedrohungen effektiv zu bewältigen. Corporate Compliance erweitert das Konzept der gesetzlichen Einhaltung um einen ganzheitlichen Ansatz, der eine effiziente Unternehmensführung anstrebt und sich auf rechtliche, nachhaltige, risiko- und wertorientierte sowie ethisch einwandfreie Geschäftspraktiken im Bereich Logistik-Services konzentriert.

Die Informationstechnologie (IT) ist ein entscheidender Bestandteil betrieblicher Abläufe und wird ebenfalls von Unternehmenskrisen beeinflusst. Die auftretenden Probleme manifestieren sich in verschiedenen Formen, lassen sich aber im Allgemeinen in vier Hauptbereiche einteilen: Die Schnittstelle zwischen IT und den internen Kunden sowie den Fachbereichen des Unternehmens, die IT-Infrastruktur, die Anwendungssysteme und das IT-Management. Es wird deutlich, dass komplexe Wechselwirkungen zwischen diesen vier Bereichen bestehen die bei der Einführung von BCM zu beachten sind. Neben IT-Sicherheit, Datenschutz, Datensicherheit und physischen Risiken ist es wichtig, auch die Haftungsrisiken für Administratoren zu berücksichtigen.

Es wurde betont, dass aufgrund einer mangelhaften IT-Managementstruktur oft die Führungskräfte im IT-Bereich nicht handlungsfähig sind. Sie sind permanent mit Krisenmanagementaufgaben betraut, da klare IT-Strategien oder langfristige Planungen fehlen. Die Einführung von zentral gesteuerten BCM-Prozessen könnte hier Abhilfe schaffen.

Die zu berücksichtigende potenzielle Risiken umfassen Legacy-Systeme (ohne Redundanz), Stromausfälle, unzureichende Backups, fehlende vertragliche Absicherung, unvollständige Prozesstransaktionen, mangelnde Dokumentation, Fachkräftemangel, Ausfälle von Systemen oder Diensten, Überhitzung, Vertrauensverlust, Nichterreichung von IT-Projektzielen und vollständiges Fehlen von Notfalldokumentation aufgrund ausschließlicher elektronischer Speicherung.

Es wird Empfohlen, um eine gezielte Vorbereitung auf IT-Systemausfälle zu ermöglichen oder diese nach Möglichkeit zu vermeiden ein Business Impact Assessments durchzuführen, ergreifen von Maßnahmen zur Absicherung geschäftskritischer Daten, die Erstellung eines Disaster-Preparedness-Plans, dass in Betracht ziehen von Telekommunikations-Alternativen und das Testen des Katastrophenplans. Des Weiteren wird Empfohlen ein „Proaktives Monitoring“ zu betreiben um Risiken im IT-Bereich zu reduzieren, demzufolge ein proaktives Überwachungssystem einzusetzen.

Die enge Verzahnung aller Unternehmensbereiche mit dem Risikomanagementsystem ist besonders wichtig, vor allem für das Management und die IT. Das Business Continuity Management (BCM) ist eng mit dem IT-Sicherheitsmanagementsystem (ISMS) verbunden. Gemäß ISO 27001 wird ein ISMS als integraler Bestandteil des gesamten Managementsystems betrachtet. Es basiert auf einem risikobasierten Ansatz und umfasst die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit.

Die IT-Governance definiert üblicherweise, welche Beteiligungen und Verantwortlichkeiten bei der Leitung der IT-Abteilung eines Unternehmens vorhanden sind. Der Erfolg dieser Struktur hängt vor allem von der Kommunikation, der Glaubwürdigkeit der Entscheidungen und der klaren Verteilung der Entscheidungsbefugnisse ab. Es ist also zu beachten, dass die Analyse der Stakeholder und der Rahmenbedingungen der IT-Compliance dazu beitragen kann, ein tieferes Verständnis für die IT-Governance zu entwickeln.

Die Bedeutung eines umfassenden Rahmens wie der ISO 22301 wird durch diese Anforderung unterstrichen. Bei der Implementierung eines ganzheitlichen Managements und guter Governance ist es von entscheidender Bedeutung, alle Verpflichtungen ohne Ausnahmen zu erfüllen und gemäß den festgelegten Richtlinien zu handeln. Um eine effektive IT-Governance zu gewährleisten, müssen Prozesse etabliert werden, die sicherstellen, dass relevante Informationen an bestimmten Entscheidungspunkten verfügbar sind. Dies betrifft insbesondere die Planung, Entwicklung und den Betrieb der IT, insbesondere in Bezug auf die Priorisierung und Budgetierung von Investitionen.

Der Lebenszyklus des BCM umfasst sechs Phasen: 1. Planung des Business Continuity-Programms, 2. Risikobewertung und Auswirkungsanalyse, 3. Festlegung von Kontinuitäts- und Wiederherstellungsstrategien, 4. Durchführung von Übungen und 5. Kontinuierliche Aufrechterhaltung des Business Continuity-Programms.

Es sollten die Faktoren berücksichtigt werden, diese die „gute Governance“ beeinflussen. Diese umfassen neben der Branchenreife, dem Ausmaß des Föderalismus, den Wettbewerbsstrategien und der aktuellen Unternehmenslage auch die drei gängigen Werttreiber: Operational Excellence (optimale Betriebsprozesse), Customer Intimacy (Konzentration auf den Kunden) und Product Leadership (Wettbewerbsvorteile durch bessere Produkte). Es ist wichtig, eine detaillierte Analyse dieser Werttreiber vorzunehmen.

Die Verknüpfung zwischen IT-Risikomanagement, IT-Compliance und IT-Governance ist eng. Innerhalb der IT-Governance nimmt das Business Continuity Management eine bedeutende Rolle ein. Die Situation und Strategie eines Unternehmens beeinflussen maßgeblich die IT-Strategie und Architektur. Somit wirken sich getroffene Entscheidungen auf die Ausrichtung der IT-Governance aus. Obwohl der Fokus auf Informationstechnologie liegt, sind letztendlich die Geschäftsprozesse einer Organisation von zentraler Bedeutung, die unterschiedlich stark durch die IT unterstützt werden (Supportprozesse). Die Betonung der Ausfallsicherheit von IT-Systemen allein greift daher zu kurz. Gemäß ISO 27001 A.14 umfasst der Bereich Business Continuity Management (BCM) eine ganzheitliche Perspektive auf die Geschäftsprozesse.

Während Fragen zur personellen Vertretung meist ausreichend geregelt sind, bestehen Lücken in Bezug auf die Wiederaufnahme des Geschäftsbetriebs nach Unterbrechungen. Unklarheiten hinsichtlich der Benachrichtigungswege und der klaren Zuweisung von Verantwortlichkeiten sind zu regeln.

KategorieAllgemein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert