ISO 27001 & ISO 22301

Sie haben sich sicherlich gefragt, warum Sie eine Geschäftsauswirkungsanalyse (GAA) durchführen müssen, nachdem Sie die Risikoeinschätzung durchgeführt haben. Sie haben alle Risiken erkannt, nicht wahr? Sie haben viel Zeit für die Analyse Ihres Unternehmens aufgewendet – warum dann noch eine weitere Analyse?

Nun, ist der Zweck einer GAA ist etwas anderes. Im betrieblichen Kontinuitätsmanagement dreht sich alles um Zeit – es ist egal, ob Sie Ihre geschäftlichen Aktivitäten wiederherstellen, wenn dies nicht in angemessener Zeit geschieht. „Angemessen“ ist das, was die GAA festlegt. Ihr Hauptzweck ist es herauszufinden, welches Recovery Time Objective für jede kritische Aktivität innerhalb eines Unternehmens gilt.

Diese Art der Analyse wird oft auf die leichte Schulter genommen – erstens ist sichert Unternehmen normalerweise nicht bewusst, dass falsche Ergebnisse unnötige Kosten verursachen oder zu einer unpassenden Strategie des betrieblichen Kontinuitätsmanagements führen können. Ebenso wird der benötigte Aufwand für die Durchführung einer GAA unterschätzt.

Deshalb gebe ich hier einige Tipps, wie Ihre Geschäftsauswirkungsanalyse effizienter wird:

Behandeln Sie es als (Mini-)Projekt. Definieren Sie die für die Umsetzung verantwortliche Person sowie seine oder ihre Position. Definieren Sie Anwendungsbereich, Ziele und Zeitrahmen.

Machen Sie Ihre Hausaufgaben, bereiten Sie einen guten Fragebogen vor. Mit einem gut strukturierten Fragebogen sparen Sie eine Menge Zeit und erzielen Sie genauere Ergebnisse. Die Normen BS 25999-1 und BS 25999-2 geben Ihnen eine recht gute Vorstellung dessen, was enthalten sein muss – unter anderem müssen Sie Auswirkungen von Vorfällen erkennen und bestimmen, wie sich diese im Zeitablauf verändern. Sie müssen die benötigten Ressourcen für die Wiederherstellung erkennen usw. Es ist empfehlenswert, sowohl qualitative als auch quantitative Fragen einzusetzen, um Auswirkungen zu ermitteln.

Definieren Sie klare Kriterien. Wenn Ihr Gesprächspartner Werte zum Beispiel von 1 bis 5 zuweisen muss, so erklären Sie genau, wofür diese fünf Noten stehen. Es ist nicht ungewöhnlich, dass dasselbe Ereignis von Mitarbeitern in niedrigeren Positionen als Katastrophe bewertet wird, während leitende Angestellte dessen Auswirkungen als mäßig beurteilen.

Datenerfassung durch menschliche Interaktion. Die besten Ergebnisse werden erzielt, wenn ein Fachmann im betrieblichen Kontinuitätsmanagement ein Interview mit dem Verantwortlichen für eine kritische Aktivität führt. Auf diese Weise werden viele offene Fragen geklärt und ausgewogene Antworten gegeben. Sollten die Gespräche nicht durchführbar sein, führen Sie mit allen Beteiligten mindestens einen Workshop durch, so dass sie alles fragen können, was auf sie beunruhigend wirkt. Anders ausgedrückt: Sie sollten nicht nur die Fragebögen zusenden und auch noch schimpfen, wenn sie nicht rechtzeitig zurückgeschickt wurden.

Legen Sie die Recovery Time Objectives erst fest, nachdem Sie alle Abhängigkeiten erkannt haben. Zum Beispiel könnten Sie durch den Fragebogen feststellen, dass der maximal tolerierbare Störungszeitraum für die kritische Aktivität „A“ 2 Tage beträgt. Der maximal tolerierbare Störungszeitraum für die kritische Aktivität „B“ beträgt jedoch nur 1 Tag und kann ohne die Hilfe der kritischen Aktivität A nicht wiederhergestellt werden. Dies bedeutet, dass das Recovery Time Objective für „A“ 1 Tag anstelle von 2 Tagen ist.

Nach meiner Erfahrung sind die Ergebnisse der GAA oft anders als erwartet – in der Regel ist das Recovery Time Objective länger als ursprünglich gedacht, und die BIA deckt Abhängigkeiten einiger Ressourcen auf, die eigentlich ein Single Point of Failure sind. Aber das Beste daran ist, dass die Geschäftsauswirkungsanalyse die effizienteste Möglichkeit ist, damit die Mitarbeiter über das Unerwartete nachdenken – wenn sie ein solches Bewusstsein schaffen, erhöhen Sie die Überlebenschancen Ihres Unternehmens.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 1: Business Impact Analysis ansehen (kommerzielles Training).

Wenn Sie mit der Umsetzung des betrieblichen Kontinuitätsmanagements begonnen haben, so besteht die größte Herausforderung darin, die Pläne für das betriebliche Kontinuitätsmanagement zu verfassen.

Warum ist es so schwierig? Sie müssen sich verschiedene Szenarien vorstellen, unter denen eine Katastrophe (oder eine andere Störung der Geschäftstätigkeit) auftreten kann. Sie müssen über eine Möglichkeit nachdenken, wie diese außerordentlich seltenen, aber möglicherweise katastrophalen Vorfälle bewältigt werden können.

Ein häufiges Problem beim Verfassen dieser Pläne ist die Frage, was der Plan enthalten sollte (was sind die wichtigsten Elemente), wie lange (wie detailliert) er sein sollte, welche Schritte dazugehören usw.

Eine der besten Lösungen dieser schwierigen Probleme ist die Verwendung der Norm BS 25999-2, die zusammen mit BS 25999-1 einen Rahmen für das Schreiben dieser Pläne vorgibt.

Gemäß diesen Normen sollten die Pläne für betriebliches Kontinuitätsmanagement aus einem (1) Störfallreaktionsplan sowie (2) Wiederherstellungsplänen bestehen. Ein Störfallreaktionsplan ist in der Regel ein einzelner Plan für das gesamte Unternehmen, in dem beschrieben wird, was unmittelbar nach einer Katastrophe getan werden muss – um die Auswirkungen des Vorfalls einzudämmen, mit den Notdiensten zu kommunizieren, das Gebäude zu evakuieren, an Sammelstellen zusammenzukommen, den Transport zu alternativen Standorten zu organisieren usw.

Notfallpläne werden in der Regel separat für jede kritische Tätigkeit geschrieben. Die Schritte eines Notfallplans sehen in der Regel wie folgt aus: wann und wie mit verschiedenen Beteiligten kommuniziert wird (Mitarbeiter und deren Familien, Aktionäre, Kunden, Partner, Behörden, öffentliche Medien usw.), wie ein Team zusammengestellt wird, wie die Infrastruktur wiederhergestellt wird, wie geprüft wird, ob die Anwendungen funktionieren und ob die Zugriffsrechte angemessen sind, wie überprüft wird, welche Daten fehlen oder durch die Katastrophe beschädigt wurden, wie die Daten wiederhergestellt werden und wie entschieden wird, wann die Wiederherstellung abgeschlossen ist, damit der normale Betrieb wieder einsetzen kann.

IT-Notfallpläne (Notfallpläne der IKT-Infrastruktur) müssen mit großer Sorgfalt verfasst werden, weil sie beschreiben sollten, wie jedes System innerhalb des Recovery Time Objective einer bestimmten kritischen Tätigkeit eingestellt werden sollte. Dies geschieht normalerweise durch Verfassen eines detaillierten Wiederherstellungsplans für jedes System, das wiederhergestellt werden soll.

Die Faustregel besagt, dass sämtliche dieser Pläne so detailliert sein sollten, dass andere Mitarbeiter (oder externes Personal) in der Lage sind, den Plan auszuführen, falls die Mitarbeiter dieser kritischen Aktivität nicht verfügbar sind. Schreiben Sie diese Pläne also mit Vernunft – sie sollten für jeden verständlich sein, nicht nur für Sie.

Nach meiner Erfahrung besteht die größte Herausforderung beim Verfassen dieser Pläne darin, dass Mitarbeiter mit etwas ganz anderem konfrontiert werden, über das sie vorher nicht nachzudenken brauchten. Zur Überwindung solcher Probleme ist es am besten, einen Workshop mit oder ohne Moderator zu organisieren, in dem sich die Mitarbeiter austauschen können, was passieren würde, wenn … wie man reagiert, wenn … usw.

Tatsächlich ist mit dem Umstand, dass Ihre Mitarbeiter damit begonnen haben, über betriebliches Kontinuitätsmanagement nachzudenken, bereits die halbe Arbeit geleistet – mit einem solchen Ansatz wird ein viel besserer Plan für betriebliches Kontinuitätsmanagement ermöglicht.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 3: Business Continuity Planning ansehen (kommerzielles Training).

Sie denken darüber nach, die Norm BS 25999-2 / Betriebliches Kontinuitätsmanagement einzuführen? Aber dann hören Sie, dass es Sie viel kosten wird? Es wird wahrscheinlich kosten, aber nicht unbedingt so viel, wie Sie dachten – denn das können Sie mit einer guten Strategie für betriebliches Kontinuitätsmanagement lösen.

Die Strategie für betriebliches Kontinuitätsmanagement, wie sie in der Norm BS 25999-2 definiert wird, ist eine „Herangehensweise an eine Organisation, mit der deren Wiederherstellung und Kontinuität angesichts einer Katastrophe oder eines anderen wichtigen Ereignisses oder Störung des Geschäftsbetriebs gewährleistet wird.“ Der springende Punkt ist also, sich in optimaler Art und Weise auf eine Katastrophe vorzubereiten, falls diese eintreten sollte. Diese Vorbereitung kann organisatorische Maßnahmen (Erstellung von Plänen, Verträge mit Lieferanten/Partnern, Übungen, Prüfungen, Sensibilisierung usw.) sowie weitere Schritte wie Investitionen in Ausrüstung, Infrastruktur usw. umfassen

Zeit ist ein sehr wichtiger Faktor bei der Wiederherstellung – sollten Sie Ihr Geschäft nicht rechtzeitig wiederherstellen, werden Sie wahrscheinlich Ihre Kunden und somit ebenso Ihr Geschäft verlieren. Daher muss die Strategie für betriebliches Kontinuitätsmanagement das Recovery Time Objective (RTO oder Wiederanlaufdauer) für jede Ihrer kritischen Aktivitäten festlegen, denn die RTO kann für jede von ihnen unterschiedlich sein.

Eine wichtige Überlegung lautet: Je kürzer die RTO, desto größer die von Ihnen benötigte Investition – wenn Sie beispielsweise Ihr Rechenzentrum in weniger als einer Stunde wiederherstellen möchten, müssen Sie in einen alternativen Standort mit fast der gleichen Ausstattung wie der primäre Standort investieren. Wollen Sie dagegen Ihr Rechenzentrum innerhalb von zwei Wochen wiederherstellen, sind die Investitionen wesentlich geringer, denn es würde ausreichen, die Back-up-Bänder am alternativen Standort aufzubewahren. So hätten Sie zwei Wochen Zeit, um die notwendige Ausrüstung zu beschaffen. Dies alles bedeutet, dass Ihre RTO weder zu lang noch zu kurz sein darf.

Sobald die RTO festgelegt ist, müssen Sie noch einige Investitionen tätigen. Mit einer guten Strategie für betriebliches Kontinuitätsmanagement werden Sie allerdings in der Lage sein, diese Investition zu senken, während Sie trotzdem in der Lage sind, Ihre kritischen Aktivitäten innerhalb des Recovery Time Objective wiederherzustellen. Hier sind einige Beispiele:

• Sie benötigen vermutlich kein eigenes Rechenzentrum an einem alternativen Standort – in den meisten Ländern können Sie diesen Ort von einer spezialisierten Firma mieten. Das bedeutet, dass sie nicht in die Infrastruktur zu investieren brauchen, vielleicht nicht einmal in Ausrüstung oder Software,
• Sie benötigen vermutlich keine Büros an einem alternativen Standort – Mitarbeiter, die keine Kunden persönlich treffen müssen, können von zuhause arbeiten,
• Sie benötigen vermutlich gar keinen alternativen Standort, falls Sie weitere Unternehmensabteilungen an verschiedenen Standorten haben, welche die kritischen Aktivitäten übernehmen könnten, soweit diese von der Katastrophe betroffen sind,
• Sie brauchen vermutlich keine Ausrüstung im Voraus zu kaufen, falls Sie auf einen Lieferanten zurückgreifen, der die Lieferung der Ausrüstung innerhalb Ihres RTO garantieren könnte
• usw.

In sämtlichen dieser Beispiele müssen Sie Ihre organisatorischen Fähigkeiten ausbauen. Wenn Sie doch etwas Geld sparen möchten, so wäre es der Gedanke daran sicher wert.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy ansehen (kommerzielles Training).