500+ Kunden schenken uns ihr Vertrauen, von Startups bis zu Großunternehmen
Ihr Ziel
Sie wollen sich mit Business Continuity Management (BCM) gegen Betriebsunterbrechungen durch IT-Ausfälle rüsten oder BCM, Notfallmanagement und Risikovorsorge in Einklang bringen.
Unsere Leistung
Wir etablieren mit Ihnen ein passendes Business Continuity Managementsystem, mit dessen Hilfe Sie Unterbrechungen des Geschäftsbetriebs aufgrund von Ausfällen in der IT vermeiden können.
Das Ergebnis
Sie haben Ihre Kernprozesse gegen Betriebsunterbrechungen angemessen abgesichert und damit Cybersecurity-Risiken, beispielweise durch professionelle Ransomware-Attacken, reduziert.
Die Schritte zu Ihrem BCM System
Grundlagen definieren
Zunächst einmal gilt es, die erforderlichen Rahmenbedingungen für das Business Continuity Managementsystem festzulegen und zu schaffen:
- Bestimmung der Standorte, Geschäftsbereiche und Prozesse, die kurz-, mittel- und langfristig in den Geltungsbereich kommen sollen.
- Definition der Zuständigkeit für die Etablierung des Systems, die Durchführung der Bewertungen und der Prüfung der Maßnahmenumsetzung.
- Erarbeitung der Methodik für die Bewertungen – insbesondere Zeitstufen, Kritikalitätsklassen, Berechnungslogik und Grenzwerte.
- Auswahl der Tools für die Dokumentation der Bewertungen, für Konsolidierung und spätere Reviews, sowie für Steuerung der Maßnahmenumsetzung und Aufgabenverfolgung.
- Erstellung der erforderlichen Richtlinien, Anweisungen und Hilfestellungen, um reproduzierbare und nachvollziehbare Ergebnisse zu erzielen.
Geschäftsprozesse bewerten
Mit der Bewertung der Kritikalität von Geschäftsprozessen wird identifiziert, welchen Einfluss die Unterbrechung eines Geschäftsprozesses auf das Unternehmen hat. Dabei geht es weniger um die Wichtigkeit der Geschäftsprozesse, also der strategischen Bedeutung, sondern vielmehr um die Auswirkungen im operativen Betrieb.
Für die Bewertung werden die absehbaren Folgen eines Ausfalls mit einer Dauer von wenigen Minuten, Stunden, Tagen bis hin zu Wochen bewertet und daraus eine Gesamtkritikalität ermittelt.
Dabei werden insbesondere folgende Aspekte von Auswirkungen betrachtet:
- Auswirkungen auf den Geschäftsablauf (andere Geschäftsprozesse, Produkte, Kunden, …).
- Finanzielle Auswirkungen (direkte und indirekte Schäden).
- Juristische Konsequenzen (Verstoß gegen Gesetze, Verträge, aufsichtsrechtliche Pflichten, …).
- Auswirkung auf Image/Reputation (Vertrauen von Stakeholdern, Bestands-Zielgruppen, neue Zielgruppen / interessierte Parteien, …).
Ressourcen bewerten
Geschäftsprozesse hängen unmittelbar vom einwandfreien „Betrieb“ der erforderlichen Ressourcen, auch Supporting Assets genannt, ab. Der Ausfall einer Ressource kann zu einer mehr oder weniger großen Beeinträchtigung eines oder mehrerer Geschäftsprozesse oder sogar zu einem kompletten Stillstand führen.
Mit einer Bewertung, welche Ressourcen einen wesentlichen Einfluss auf (kritische) Geschäftsprozesse haben, werden die aus Sicht der Verfügbarkeit wirklich wichtigen Elemente identifiziert.
Zu den relevanten Ressourcen gehören unter anderem:
- Gebäude/Flächen und Räume.
- Infrastruktur (z.B. Stromversorgung, Wasser, Internet- / Kommunikationsanbindungen).
- IT-Systeme (Hardware, Software, Cloudservices, …).
- Personal (Spezialisten, Mindestanzahl an Mitarbeitenden, …).
- Dienstleister/Lieferanten (z.B. Logistikunternehmen, Zulieferer, Weiterverarbeiter).
- Informationen (spezifisches Know-how, Auftragsdokumente, …).
Präventive Maßnahmen
Ressourcen, die als besonders kritisch identifiziert wurden, deren Ausfall also erheblichen Einfluss auf den Geschäftsbetrieb haben kann, müssen möglichst gut gegen Störungen und Ausfälle geschützt werden.
Dies kann – je nach Ressource – in Form von redundant ausgelegten Komponenten / Systemen, mit Hilfe von Wartungs- und Pflegemaßnahmen, mit ausreichender Ressourcenausstattung oder zahlreichen anderen präventiven Maßnahmen erreicht werden.
Eine gezielte und umfassende Betrachtung bereits ergriffener präventiver Maßnahmen und Gegenüberstellung (weiterer) möglicher Maßnahmen stellt den Kern dieser Phase im BCM dar. Immerhin gilt es zu entscheiden und bedarfsweise zu handeln, bevor eine Störung und damit eine mögliche Unterbrechung des Geschäftsbetriebs auftritt.
Reaktive Maßnahmen
Neben der Verhinderung von Ausfällen durch präventive Maßnahmen sollten im Rahmen von BCM reaktive Maßnahmen für kritische Ressourcen vorbereitet werden.
Liegt ein Ausfall vor, so bleibt in der Regel keine Zeit, um in Ruhe nach Alternativlösungen zu suchen, Möglichkeiten für den Notbetrieb zu diskutieren, geschweige denn einen abgestimmten Plan für den Wiederanlauf zu entwickeln.
Deswegen ist es wichtig, in „Friedenszeiten“, also bevor eine gravierende Störung eingetreten ist
- über Handlungsoptionen in Abhängigkeit realistischer Szenarien nachzudenken,
- wichtige Kontaktpersonen / spezialisierte Personen und zugehörige Kontaktdaten zu dokumentieren,
- Kommunikationsstrategien für interne und externe Unterstützende zu entwickeln,
- Wiederherstellungsverfahren für IT-Systeme oder Anleitungen für den Ersatz erforderlicher Ressourcen zu beschreiben und
- Lösungsoptionen auf Grundlage von Erfahrungswerten anderer Unternehmen zu prüfen.
Maßnahmen überprüfen
Die Vorgehensweise und Maßnahmen im Bereich BCM sind so dynamisch, wie der Geschäftsbetrieb und die damit verbundenen Prozesse und Ressourcen.
Dementsprechend erfordert ein professionelles Vorgehen, eine regelmäßige, mindestens jährliche Überprüfung und bedarfsweise Anpassung, sofern relevante Änderungen festgestellt werden.
Neben der Prüfung der Methodik und Vorgehensweise müssen vor allem die Geschäftsprozesse auf Vollständigkeit und Richtigkeit sowie hinsichtlich der Kritikalitätsbewertung überprüft werden. Danach gilt es, die für die Geschäftsprozesse relevanten (kritischen) Ressourcen zu validieren und neue aufzunehmen, überholte zu entfernen und ggf. die Bewertungen neu zu justieren.
Zusätzlich sollte diese theoretische Vorarbeit für eine Notfallsituation auch im Rahmen von Tests und Übungen verprobt werden, um Lücken vor dem Tag X zu finden und eine gewisse Routine zu erreichen.
Wollen Sie Hilfe zur Selbsthilfe?
Uns liegt besonders der Wissenstransfer während unserer Coachings am Herzen, damit Sie nach Abschluss unserer Arbeit Ihr BCM System eigenständig betreiben und kontinuierlich weiterentwickeln können. Suchen Sie diese Art von Unterstützung?
Worum geht es bei BCM?
Bei Business Continuity Management geht es darum, den störungsfreien Ablauf der kritischen Geschäftsprozesse sicherzustellen. Dafür ist es wichtig, dass Ressourcen, die für diese Geschäftsprozesse dringend notwendig sind, wie vorgesehen funktionieren, also möglichst ausfallsicher umgesetzt sind und / oder Workarounds und Ausweichmöglichkeiten vorhanden sind.
Um dies zielführend zu erreichen ist eine Bewertung der Prozesse und zugehörigen Ressourcen sinnvoll, die Fokus auf die wesentlichen Elemente richtet. Für diese gilt es dann einerseits die bereits vorhandenen Maßnahmen zu prüfen mit denen Ausfälle reduziert werden und andererseits Maßnahmen vorzubereiten mit deren Hilfe nicht vermeidbare Ausfälle so kurz bzw. gering wie möglich gehalten werden.
Weitere Services zu Business Continuity Management
Individuelle ISMS- & BCMS-Richtlinien, ISO 27001 & NIS2-konform – aktuell, geprüft & auf Ihr Unternehmen zugeschnitten. Jetzt aktuelle Vorlagen entdecken!
Krisenmanagement individuell gestalten: Mit klarer Organisation, definierten Abläufen und passender Ausstattung souverän auf Notfälle vorbereitet sein.
Testen Sie mit einer Notfall- & Krisenstabsübung die Wirksamkeit Ihrer Maßnahmen. Organisation, Prozesse & Ausstattung gezielt auf den Ernstfall vorbereiten.