Business Continuity und Notfallmanagement

Wenn aus Alltag plötzlich Ausnahme wird – eine Geschichte: Es ist Montagmorgen, 08:17 Uhr. Thomas Behrentz, IT-Administrator eines mittelständischen Produktionsunternehmens, setzt gerade seinen zweiten Kaffee an die Lippen an, als plötzlich eine Vielzahl von Fehlermeldungen auf dem Monitoring-Dashboard aufleuchtet. Die Fileserver reagieren nicht mehr. Erste Anrufe laufen ein – Mitarbeiter melden, dass sie nicht mehr auf Dokumente zugreifen können. Thomas schaltet sich auf das System auf, doch was er sieht, lässt ihn erstarren. Dateinamen sind durch kryptische Zeichen ersetzt, auf dem Bildschirm erscheint eine Erpressernachricht. Ein Ransomware-Angriff.

Thomas stellt fest, dass die Verschlüsselung auf verschiedenen Systemen noch im Gange ist. Reflexartig will er das Netzwerk kappen, um die Ausbreitung zu stoppen. Doch der Plan dafür? Existiert nur als vage Beschreibung in einem internen Wiki. Es gibt keinen definierten Notfallprozess, keine Hotline, kein eindeutig festgelegtes Krisenteam. Es dauert Stunden, bis die Systeme abgeschaltet und externe Spezialisten hinzugezogen werden können. Die Produktion steht still, Angebote bleiben liegen und Liefertermine geraten ins Wanken. Es droht der Verlust von Kunden, Vertrauen oder Image.

Die (fiktive) Geschichte von Thomas ist kein Einzelfall. Immer wieder erleben Unternehmen, wie schnell der Ernstfall eintreten kann – sei es durch Cyberangriffe, Naturkatastrophen oder Störungen. Und ebenso häufig zeigt sich, dass das Fehlen strukturierter Notfallprozesse sowie geregelter Zuständigkeiten die eigentlichen Schäden noch massiv verschärft.

Genau an dieser Stelle setzt Business Continuity Management (BCM) an.

Business Continuity Management – Was ist das?

BCM verfolgt das Ziel, nach Schadensereignissen den Geschäftsbetrieb fortführen zu können. Dabei befasst sich ein solches System sowohl mit der Vorsorge und möglichst weitreichenden Verhinderung von Unterbrechungen als auch der Reaktion bei Eintritt von Ausfällen. In der Praxis fällt im Zusammenhang mit diesem Thema häufig auch der Begriff „Notfallmanagement“. Die Bewältigung von Notfällen stellt eine Teilmenge des BCM dar. Abbildung 1 zeigt, welche Arten von Schadensereignissen durch das BCM betrachtet werden.

Im Bereich des BCM gibt es diverse Standards. Für deutsche Unternehmen bietet sich eine Orientierung am Standard 200-4 „Business Continuity Management“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) an. Dieser versteht sich als praxisnahe Umsetzung der internationalen Norm ISO22301, welche wiederum die Anforderungen an ein Business Continuity Management System (BCMS) vorgibt.

Aufbau eines BCMS gemäß BSI-Standard 200-4

Um unterschiedlichen Vorerfahrungen mit diesem Thema sowie den individuellen zeitlichen, finanziellen und personellen Möglichkeiten in Organisationen gerecht zu werden, gliedert das BSI BCMS in drei Stufen:

• Reaktiv-BCMS: soll Organisationen schnell in die Lage versetzen, angemessen auf Notfälle reagieren zu können

• Aufbau-BCMS: schützt zeitkritische Geschäftsprozesse und Ressourcen einer Organisation, schrittweiser Aufbau

• Standard-BCMS: vollständiges und angemessenes BCMS

Die Stufen unterscheiden sich hinsichtlich des Umfangs an betrachteten Geschäftsprozessen sowie der eingesetzten Methodik. Ein Standard-BCMS umfasst alle Geschäftsprozesse und die vollständige Methodik. Ein solches sollte damit das langfristige Ziel aller Organisationen darstellen. Für den Einstieg in das Thema Business Continuity ist es jedoch insbesondere bei begrenzten Ressourcen ratsam, mit einem Reaktiv-BCMS zu beginnen. Der grundlegende Ablauf zum Aufbau des Systems unterscheidet sich nicht zwischen den Stufen und erfolgt in Anlehnung an das bekannte Schema PLAN, DO, CHECK, ACT (PDCA). Abbildung 2 stellt den daraus resultierenden BCMS-Prozess dar.

Wie in der Abbildung ersichtlich ist, muss das BCMS im ersten Schritt durch die Organisationsleitung initiiert werden. Dazu muss die Geschäftsführung die Gesamtverantwortung für das Thema übernehmen und das BCM durch die Festlegung von Zielsetzung, Geltungsbereich und Vorgehensweise in der Organisation verankern. Außerdem ist ein Business Continuity-Beauftragter (BCB) zu benennen, der die mit dem BCM zusammenhängenden Aufgaben steuert.

Im Anschluss folgen die Konzeption, Planung, und Umsetzung des BCMS. Zur Unterstützung des BCB müssen eine Business Continuity-Vorsorgeorganisation und eine besondere Aufbauorganisation (BAO) für Notfälle und Krisen definiert werden. Die Vorsorgeorganisation befasst sich mit dem Aufbau, Betrieb und der Weiterentwicklung des BCMS, die BAO mit der Reaktion auf Schadensereignisse. Gängige Rollenverteilungen für beide Organisationen finden sich in Abbildung 3.

Im Anschluss gilt es, diverse Dokumente für das BCMS zu erarbeiten. Diese umfassen sowohl Dokumente zur Vorsorge als auch Dokumente zur Reaktion. Der BSI-Standard 200-4 sieht eine sehr umfangreiche Menge an Dokumenten vor. Es ist ratsam, in einem ersten Schritt solche von besonderer Relevanz zu priorisieren, bspw. die Leitlinie BCMS und das Notfallhandbuch.

Die Leitlinie BCMS bildet den verbindlichen Rahmen und Auftrag zum Aufbau sowie Betrieb des BCMS. Sie stellt das ranghöchste Dokument im gesamten System dar. Es empfiehlt sich, bei der Erstellung einen niedrigen Detailgrad zu wählen, damit der Pflege- und Aktualisierungsaufwand überschaubar bleibt. Das Notfallhandbuch enthält alle Informationen, die zur Bewältigung von Notfällen benötigt werden. Dies umfasst unter anderem folgende Aspekte:

• Rollenverteilung und -zuweisung

• Sofortmaßnahmen

• Alarmierung und Eskalation

• Notfall- und Krisen-Kommunikation

• Geschäftsfortführung