Business Continuity Management: Resilienz stärken, Notfall steuern

Die Corona-Pandemie war in vieler Hinsicht ein Weckruf. Kollabierende Lieferketten und Produktionsausfälle haben aufgezeigt, wie anfällig und fragil das global vernetzte und zu Normalzeiten bis ins letzte Detail optimierte Wirtschaftsgefüge ist. Und wie überlebenswichtig es für Unternehmen ist, essentielle Teile des Geschäfts im Ernstfall aufrechterhalten zu können.

Die Management-Aufgabe, gezielte gegen solche Krisen vorzubeugen und die Resilienz zu stärken wird als "Business Continuity Management", kurz BCM, bezeichnet. BCM schärft den Blick für mögliche Gefahren und kann im Ernstfall letztlich das Überleben einer Firma und deren Arbeitsplätze retten. Moderne Geschäftsprozesse werden schließlich immer anfälliger für Störungen, nicht zuletzt auch wegen der steigenden Gefahr durch Cyber-Attacken.

Unternehmen sind gut beraten, sich aktiv mit möglichen Katastrophenszenarien – Bedrohungen, Krisen und Großstörungen – zu befassen, bevor sie eintreten. Eine frühzeitige Krisenvorsorge und ein geordneter Plan sind entscheidend, um im Ernstfall keine Zeit zu verlieren und das Problem gezielt lösen zu können.

Ein Business Continuity Management System (BCMS) oder Betriebliches Kontinuitätsmanagement (BKM) definiert Pläne, wie der Betrieb nach einer durch eine Störung hervorgerufenen Unterbrechung in kürzestmöglicher Zeit wieder aufgenommen werden kann. Mehr noch: Es hilft, Betriebsunterbrechungen vorzubeugen und zu minimieren. Es handelt sich dabei um einen ganzheitlichen Managementprozess, der dafür sorgt, dass Unternehmen in kritischen Phasen ihre Prozesse aufrecht erhalten und Krisen systematisch bewältigen können.

Betriebe erlangen dadurch Resilienz und das Management ist gerüstet, um Notfälle zu meistern.

Im Gegensatz zum klassischen Risikomanagement, das darauf angelegt ist, permanent Risiken im Unternehmen so gering wie möglich zu halten, ist das BCM darauf ausgelegt, Assets, die in Gefahrensituationen ausfallen und erheblichen Schaden für das Unternehmen verursachen können, zu schützen. Es geht darum, unter Krisenbedingungen die Fortführung der Geschäftstätigkeit zu ermöglichen oder diese unter unvorhersehbar erschwerten Bedingungen zumindest abzusichern.

Im Mittelpunkt eines Business Continuity Managements steht das vorausschauende Krisenmanagement. Diesem liegen Annahmen von Störungen des Geschäftsbetriebs großen Ausmaßes zugrunde, die Unternehmen sogar in ihrer Existenz zu bedrohen können. Vorausschauendes Krisenmanagement soll eine durch eine Störung des Betriebs ausgelöste Unternehmenskrise rechtzeitig erkennen und managen, bevor die Störung ihre volle Kraft entfalten kann.

Die Ursachen für Betriebsausfälle können vielfältig sein: Brände, Hochwasser und Cyberattacken verursachten schon bei einigen Unternehmern hohe finanzielle und immaterielle Schäden. "Wirken Sie Ihren Risiken entgegen und bleiben Sie bei Betriebsunterbrechungen und Notfällen sowie während Krisen handlungsfähig", empfiehlt daher der Business-Solutions-Anbieter T-Systems, der ein eigenes Business Continuity Managment Service inklusive einer rund um die Uhr besetzten Incident Hotline anbietet und etwa sofortige Hilfe bei der Eindämmung von Cyberangriffen in Aussicht stellt.

Um Störungen und Krisen abzuwenden zu können sind eine klare Strategie und ein Ablaufplan für den Ernstfall nötig. Diese haben zum Ziel, dass kritische Geschäftsprozesse in solchen Ausnahmesituationen nicht beeinträchtigt werden oder zumindest nach einer Unterbrechung rasch wieder aufgenommen werden können und somit die Kontinuität gewahrt wird. Um diese Aufgaben zu bewältigen, sind gewissenhafte Vorbereitungen essenziell.

Um negative Ereignisse für ein Unternehmen oder auch eine Organisation professionell abzuwenden, wurde mit der Norm ISO 22301 ein internationaler Standard für Business-Continuity-Management (BCM)-Systeme und das BCM-Risikomanagement festgelegt.

Im Rahmen dieses BCM-Risikomanagements wird in der Regel der Ausfall einzelner Assets oder Subsysteme der Organisation geplant und getestet. Aufgrund der hohen Komplexität aller potenziellen Risikoszenarien in einem Unternehmen ist zwar eine flächendeckende Bearbeitung kaum möglich.

Die ISO 22301 Norm ist jedoch ein systematischer Ansatz, um Krisen zu bewältigen und berücksichtigt Managementsysteme wie Organisation, Leadership, Planung, Betrieb (Operations) und Verbesserung (Improvement).

Um Krisen als Unternehmen begegnen zu können und sich darauf vorbereiten zu können, müssen zunächst mögliche Ursachen für Unterbrechungen und Ausfälle identifiziert werden. Die müssen nicht zwangsläufig mit einem Großereignis beginnen. Sie können jedoch – auch aus kleinsten Geschehnissen heraus – über eine Kettenreaktion in rasch zu Großstörungen werden.

Lieferanten können ausfallen, und innerhalb von Stunden kann eine Produktion still stehen. Wenn kein Ersatz vorhanden ist, ist der Schaden bald noch größer, Kunden springen ab, es folgen hohe Umsatzeinbußen und am Ende ist vielleicht gar das Image ramponiert und Marktanteile gehen verloren.

Damit das nicht passiert, müssen Gefahrenpotenziale für das gesamte Unternehmen und kritische Geschäftsbereiche identifiziert werden. Solche Gefahren und Risiken für Unternehmen und Organisationen haben viele Facetten:

• Elementarschäden, wie Wasser, Feuer und Sturm

• Einbruch, Diebstahl, Vandalismus

• stockende Lieferketten

• unvorhersehbare Änderungen von Gesetzen und Verordnungen (wie während der Corona-Pandemie)

• Industriespionage

• Cyberangriffe, wie DDoS (gezielte Server-Überlastung, um die Systeme zum Zusammenbruch zu bringen,
  Ransomware (erpresserische Verschlüsselung der eigenen Daten), Phishing oder CEO-Fraud (erschleichen von Informationen)

• Deep Fakes mit Sprach- und Videoaufnahmen mit Hilfe künstlicher Intelligenz

Die wichtigste Frage im Risikomanagement für Katastrophenfälle lautet: Was braucht es, um das Kerngeschäft aufrecht zu erhalten? Dafür ist in einem ersten Schritt eine Business Impact Analyse und im zweiten Schritt eine Risikobewertung erforderlich.

Die Business Impact Analyse beschäftigt sich mit dem Erkennen potenzieller Probleme. Dafür ist es essentiell, zu eruieren was ein Unternehmen benötigt, um im Notfall sein Kerngeschäft aufrechtzuerhalten. Aus der Beantwortung dieser Frage ergibt sich die Wertigkeit der unterschiedlichen Assets im Unternehmen.

Die Business Impact Analyse lässt erkennen, welche Assets für die Aufrechterhaltung der Prozesse am nötigsten sind.

Im Rahmen dieser Analyse werden kritische Geschäftsprozesse und Ressourcen erhoben. Zu Ressourcen zählen dabei in der Regel Mitarbeiter mit entsprechendem Know How, der IT-Bedarf, Gebäude, Produktionsanlagen, Dokumente und Dienstleister.

Für die als kritisch für das Unternehmen erkannten Prozesse und deren Ressourcen werden dann Maßnahmen, Strategien und Notfallpläne erarbeitet, die im Notfall eine Wiederherstellung des Geschäftsbetriebs ermöglichen.

Damit das im Ernstfall auch klappt, sollten diese getestet und - ähnlich einer Feuerübung - regelmäßig geprobt werden. Denn wenn der Notfall eintritt muss das Unternehmen mit Hilfe von im Vorfeld geübter Planspiele in der Lage sein, dem Impact zu begegnen. Sei es, betroffene Personen zu retten, Notlösungen für den Betrieb der kritischen Geschäftsprozesse parat zu haben oder einen aufgetretenen Schaden einzudämmen und das Geschäft möglichst in alter Qualität wiederherzustellen.

Als nächsten Schritt ist eine Risikoanalyse notwendig. In dieser Analyse wird auf Grundlage der Business Impact Analyse untersucht, welchen Risiken die kritischen Prozesse und Ressourcen im Unternehmen ausgesetzt sind.

Dabei wird die Wahrscheinlichkeit von Risiken, negativer Auswirkungen und die mögliche Auswirkungen von Folgefaktoren ermittelt. Die Analyse kann qualitativ oder quantitativ sein. In weiterer Folge gilt es zu bewerten, welche Risiken für das Unternehmen hohes Zerstörungspotential haben und ein Entgegenwirken erfordern. Diese Bewertung sollte sich auf die Ressourcen konzentrieren, die hohe Priorität haben oder erhebliche Zeit etwa für die Beschaffung von Ersatzteilen erfordert.

Grundlagen für die Bewertung von Risiken

1. Auflistung der bekannten und erwarteten internen und externen Bedrohungen

2. Auswirkungen jeder Bedrohung auf das Unternehmen abschätzen

3. Wahrscheinlichkeit für das Eintreten einer Bedrohung ermitteln

4. Risikowertes für jede Bedrohung ermitteln, indem die Werte für die Auswirkung und Wahrscheinlichkeit kombiniert werden

5. Bedrohungen auf Grundlage des Risikowertes priorisieren

6. Inakzeptabler Risikobereiche, zu denen auch besondere Schwachstellen zählen, identifizieren

7. Ergebnisse der Risikoanalyse mit relevanten Interessengruppen teilen,

8. Mithilfe der Informationen, die sich aus der Risiko- und Bedrohungsanalyse ergeben, können Optionen für Maßnahmen ergriffen werden, um diese zu mindern.

Wurde erhoben, welche essentiellen Bedrohungen auf ein Unternehmen zukommen können und welche Teile des Betriebs davon besonders betroffen wären, sind die Grundlagen für ein Notfallkonzept geschaffen.

Ein solches Notfallkonzept besteht nach Angaben des deutschen Bundesamtes für Sicherheit (BSI) aus zwei wesentlichen Komponenten:

• einem Notfallvorsorgekonzept für den präventiven Schutz gegen Notfälle und deren Auswirkungen und

• einem Notfallhandbuch mit Handlungsanleitungen für Notfälle und Krisen.

Ein Notfallplan umfasst stets sowohl technische als auch organisatorische Informationen. Er dient dazu, die wichtige betrieblichen Prozesse aufrecht zu erhalten. Etwa die Produktion und eine Dienstleistung weiter zu erbringen. Was darunter zu verstehen ist, hängt von der jeweiligen Branche ab. Es wird sich bei einem Betreiber eines Rechenzentrums um die Aufrechterhaltung des Betrieb von Informationstechnik handeln, bei einem Wirtschaftsprüfungsunternehmen um die fachliche Dienstleistung und bei einem Pharmaunternehmen um die Produktion von Medikamenten.

Ein zentraler Bestand eines Notfallplans und ein gutes Beispiel für einen solchen ist ein Grundschutz für die IT. Ein solcher Notfallsplan sollte die wichtigsten Anforderungen und Empfehlungen enthalten, um die dafür notwendigen einzelne oder komplexe Systeme und Prozesse zu schützen. Zur IT-Sicherheit zählen auch Netzwerksicherheit, Computersicherheit und Datenschutz. In der Praxis orientiert sich der Notfallplan am IT-Sicherheitsmanagement.

Das BSI hat für IT-Notfälle eine IT-Notfallkarte entwickelt. „Verhalten bei IT-Notfällen“, ein Hinweisschild, analog zum bekannten Format „Verhalten im Brandfall“. Beschäftigten in Organisationen werden darüber wichtige Verhaltenshinweise bei IT-Notfällen aller Art gegeben.

In jedem Fall sollte ein Notfallplan folgende Punkte erfüllen:

• Konkrete Anweisungen geben.

• Verantwortlichkeiten regeln.

• Die Informationskette im Fall einer Katastrophe definieren.

• Eine Liste von Maßnahmen enthalten, die im Ernstfall umzusetzen sind.

• Klare Regeln für die Kommunikation bestimmt werden.

Das bedeutet, es sollte auch festgelegt werden, wer wann kontaktiert werden soll, um beispielsweise schnell Ersatzteile beschaffen zu können. Das Ziel sollte es sein, die Datensicherheit und die Verfügbarkeit zu gewährleisten und so auch das Vertrauen in die Funktionsfähigkeit des Unternehmen zu erhalten.

Das Wort "Resilienz" ist mehr als nur ein neues Modewort in der Management-Welt. Es stammt vom lateinischen "resilire" ab, das so viel wie „zurückspringen" oder "abprallen“ bedeutet.

In der Wirtschaft steht es unter anderem für die Fähigkeit technischer Systeme, bei einem Teilausfall nicht vollständig zu versagen, für die systemische Widerstandsfähigkeit von Unternehmen gegenüber Störungen oder die Ausfallsicherheit in der Energieversorgung.

Resilienz-Management umfasst laut Wikipedia "alle Maßnahmen mit dem Ziel, die Belastbarkeit eines organisatorischen oder betriebswirtschaftlichen Systems, z. B. eines Unternehmens, gegenüber äußeren Einflüssen zu stärken."

In "Der Beitrag von Normen zur Resilienz von Unternehmen in Krisensituationen" beschreiben Niels Ferdinand und Richard Prem Resilienz als

"Fähigkeit, Veränderungen in der Umgebung aufzunehmen und sich an diese anzupassen. Resiliente Unternehmen können Chancen und Bedrohungen sowohl aus plötzlichen als auch aus graduellen internen und externen Veränderungen erkennen und darauf reagieren"

Dadurch ist es möglich, Krisen und Disruptionen zu bewältigen, unerwarteten Schocks standzuhalten und sich an Veränderungen anzupassen. Resilienz ist damit eine für Unternehmen wichtige Eigenschaft, die entscheidend für ihren langfristigen Fortbestand ist. Business Continuity Management (BCM) ist grundlegend, um die Profitabilität und das Bestehen am Markt abzusichern. Es bildet die Grundlage für eine effektive Reaktion des Unternehmens und trägt damit zur Steigerung der organisatorischen Resilienz bei.

Bei kleinen und mittelständischen Unternehmen (KMU) besteht den Erhebungen von Christian Thiel, Dozent für Wirtschaftsinformatik, Institut für Informations- und Prozessmanagement FHS St. Gallen, und Christoph Thiel von der FH Düsseldorf, erheblicher Nachholbedarf beim Business Continuity Management (BCM). Die existierenden Standards und Prüfvorschriften werden häufig als zu komplex und ihre Umsetzung als zu aufwändig und teuer empfunden. (Siehe Beitrag in "Springer Nature")

Dabei sind gerade KMU besonders anfällig gegenüber Risiken von außen. So werden etwa auch IT-Angriffe auf kleine und mittelständische Unternehmen nicht nur häufiger, sondern richten auch immer größere Schäden an. Laut dem Cisco "Cybersecurity Special Report Small and Midmarket Businesses", für den 1.800 Unternehmen aus 26 Ländern befragt wurden, betrug bei gut jedem zweiten Sicherheitsvorfall (54 Prozent) der finanzielle Schaden mehr als 500.000 Dollar.

Obwohl jede Unterbrechung im Unternehmen einzigartig ist und in diesen Situationen viele Entscheidungen getroffen werden müssen, bietet ein Business-Continuity-Plan ein Rahmenwerk zum Handeln und hilft bei der Vorbereitung auf solche Entscheidungen und nennt eindeutig die Entscheidungsträger. Der Software-Anbieter Citrix hat einen Leitfaden zur Aufrechterhaltung der Business Continuity für Organisationen verfasst und beschreibt darin die 5 wichtigsten Elemente eines erfolgreichen Business-Continuity-Plans wie folgt:

• Bestimmen Sie eine klare Entscheidungsträger-Hierarchie, damit sich die Mitarbeiter in einem Notfall nicht fragen, wer die Verantwortung oder Autorität zum Treffen einer Entscheidung hat.

• Gründen Sie ein Team mit Hauptverantwortung für die Business Continuity, das Mitarbeiter aus dem gesamten Unternehmen wie Führungskräfte, IT-Mitarbeiter sowie Einrichtungs- und Gebäudemitarbeiter und Mitarbeiter aus den Bereichen Werkschutz, Kommunikation, Personalwesen, Finanzen und anderen Abteilungen umfasst.

• Gründen Sie Support-Teams, welche zugehörige Aufgaben wie Notfallmanagement, Kommunikation, Maßnahmen für das gesamte Gelände und für die Betriebsbereitschaft erfüllen.

• Identifizieren Sie mögliche Geschäftsunterbrechungen, die sich auf die Unternehmensstandorte negativ auswirken können, z. B. Stromausfälle, Epidemien und Feuer.

• Begründen Sie Ihren Plan auf Worst-Case-Szenarien und nicht auf verschiedenen Vorfällen mit unterschiedlichen Problemgraden, damit die Anzahl der Szenarien noch gehandhabt werden kann.

• Für die wichtigsten Geschäftsabläufe Prioritäten festlegen. Bestimmen Sie auch, wer diese durchführt und wie Aufgaben übertragen werden, wenn wichtige Personen nicht verfügbar sind.

• Bestimmen Sie, wie Mitarbeiter bei längeren Ausfällen von zu Hause aus arbeiten können.

• Aktualisieren Sie Ihren Plan jährlich, um auf Änderungen in Bezug auf Komplexität und Abhängigkeit von Anwendungen, Geschäftsprioritäten, Risikomanagement, Unternehmensstandorten, Operationen und anderen Überlegungen zu reagieren

• Simulieren Sie jährlich sämtliche Notfallabläufe, darunter Krisenkommunikation, Sicherheitsübungen und Wiederherstellungsprozesse am Arbeitsplatz.

• Bewerten Sie Ihre Testergebnisse und bemühen Sie sich um laufende Verbesserung, egal ob es um Ziele wie Anwendungsverfügbarkeit oder persönliche IT-Informationssicherheit geht.

• Führen Sie Benachrichtigungsverfahren für Notfälle ein, u. a. Push- und Pull-Systeme zur raschen Kommunikation.

• Identifizieren Sie die Beteiligten für die Kommunikation in Notfällen, darunter Mitarbeiter, freie Mitarbeiter, Kunden, Anbieter, sowie Mitarbeiter der Medien und des leitenden Managements, und erfassen Sie alle Kontaktdaten.

• Bereiten Sie schriftliche Kommunikationsdokumente vor, die ganz einfach aktualisiert und rasch weitergeleitet werden können.

• Schulen Sie Ihre Mitarbeiter, damit diese mit den Prozessen vertraut sind, die sie in einem Notfall befolgen müssen, und wissen, wo sie hilfreiche Ressourcen finden können.

• Halten Sie mit lokalen und Bundesbehörden Rücksprache in Bezug auf Schulungen für die Reaktion auf Notfälle und sonstigen Hilfestellungen im Rahmen Ihres Programms.

• Führen Sie Mitarbeiterübungen durch, damit das Personal mit Abläufen, z. B. dem Finden von Notausgängen, vertraut ist.

Selbst einfache Checklisten können eine große Wirkung haben, wie das Beispiel von neun Krankenhäusern in Michigan zeigt. Dort wurden einfache Checklisten eingeführt, um die Anzahl von Infektionen in Intensivstationen zu reduzieren.

Die Checklisten waren nicht umfangreich und enthielten eigentlich selbstverständliche Punkte, wie das Desinfizieren der Hände. Durch die Einführung der Checklisten in Verbindung mit Trainingsmaßnahmen konnte die Anzahl der Infektionen um 66 Prozent verringert werden. Denn: Obwohl die Inhalte der Checklisten den Ärzten eigentlich geläufig waren wurde im Arbeitsalltag dann doch immer wieder der eine oder andere Punkt übersehen – mit zum Teil tödlichen Folgen durch Infektionen.

In Unternehmen gibt es noch ein gewichtiges Argument für solche Checklisten: Der Notfall ist dort der Ausnahmezustand. In der Regel ist die Aufregung groß, vielleicht macht sich sogar Panik breit. In einer solchen Situation kann man nicht erwarten, dass Menschen rational vorgehen. Besonders nicht zu Beginn der Ausnahmesituation, in der es oft noch keinen Krisenstab gibt, der das Management übernimmt. Eine Business Continuity Management Checkliste für Unternehmen in Krisensituationen finden Sie auf der Website von BCM-News.