ISO 27001 & BS 25999

Macht es Sinn, betriebliches Kontinuitätsmanagement in kleineren Unternehmen umzusetzen? Warum sollten diese Unternehmen eine derart kostenaufwendige Sache benötigen, wenn der Inhaber des Unternehmens doch über alle notwendigen Informationen in seinem/ihrem Kopf verfügt?

Lassen Sie mich mit einer Geschichte beginnen, die ich vor Kurzem gehört habe. Es geht um ein kleines Unternehmen (für den Vertrieb verschiedener Geräte an einen großen Kundenstamm), das ausgeraubt wurde. Der Dieb brach nachts in das Büro ein und stahl neben anderen Wertsachen auch alle Computer. Das Problem bestand darin, dass der Inhaber dieses Unternehmens alle Daten gesichert hatte, dieses Back-up jedoch auf einem anderen Computer im selben Büro aufbewahrte. Sehr bald ging die Firma bankrott. Sie war einfach nicht in der Lage, wichtige geschäftliche Informationen zurückzugewinnen.

Dies ist ein klassisches Beispiel für das „Das wird mir nie passieren“-Syndrom, unter dem die Mehrzahl der kleinen Unternehmen leidet.

Rahmen für betriebliches Kontinuitätsmanagement

Bedeutet dies, dass kleine Unternehmen in kostspielige Notfallstandorte einschließlich Geräten mit hoher Verfügbarkeit investieren müssen? Sicher nicht.

In einigen Fällen ist betriebliches Kontinuitätsmanagement wirklich nicht notwendig, weil der Eigentümer des Unternehmens alle Informationen in seinem/ihrem Kopf hat. Aber solche Fälle sind sehr selten – wie viele von diesen haben kein Notebook mit verschiedenen Arten wichtiger Informationen? Darüber nachzudenken, wie diese Informationen im Falle einer Katastrophe verfügbar bleiben, ist bereits Teil eines Versuchs des betrieblichen Kontinuitätsmanagements.

Eigentümer von Kleinunternehmen müssen genau überlegen, welche Informationen (und andere Ressourcen) für ihr Geschäft wichtig sind, wie gewährleistet wird, dass diese Informationen und andere Ressourcen im Falle einer Katastrophe zur Verfügung stehen, und welche Schritte notwendig sind, um die Geschäftstätigkeit im Falle einer Katastrophe wieder aufzunehmen. Diese Schritte sind nichts anderes als die Erstellung einer Geschäftsauswirkungsanalyse, einer Strategie des betrieblichen Kontinuitätsmanagements und von Plänen zum betrieblichen Kontinuitätsmanagement, wie es jedes größere Unternehmen bei der Umsetzung des betrieblichen Qualitätsmanagements machen würde. Sämtliche dieser Vorgänge werden in einer führenden Norm zum betrieblichen Kontinuitätsmanagement – BS 25999-2 – beschrieben.

Vorbereitung

Der Unterschied zwischen kleinen und großen Unternehmen liegt in der Komplexität und den Kosten der Vorbereitung, die für das betriebliche Kontinuitätsmanagement kleiner Unternehmen anfallen:

• Sicherung elektronischer Daten– kleine Unternehmen können einige der Werkzeuge verwenden, mit denen die Daten von ihren Computern fast umgehend in der Cloud gesichert werden. Natürlich muss sorgfältig drauf geachtet werden, dass alle notwendigen Daten berücksichtigt sind.
• Sicherung von Papierdokumenten – Kleine Unternehmen sind heute in der Lage, Papierdokumente fast vollständig aus ihrer täglichen Arbeit zu verbannen und alles in elektronische Form zu bringen. In den seltenen Fällen, in denen Papierdokumente erforderlich sind, können sie zum Zwecke des betrieblichen Kontinuitätsmanagements eingescannt werden.
• Alternative Bürostandorte – In den meisten Fällen wird es ausreichen, dass die Mitarbeiter den Geschäftsbetrieb von zuhause aus fortführen. Die Voraussetzung dafür wären eine Internetverbindung, Notebooks/PCs und Passwörter. Sollte die Arbeit von zuhause aus nicht angemessen sein, so kann in weniger als einer Stunde immer noch ein Hotelzimmer gemietet werden.
• Hardware – Sofern in einem Unternehmen keine spezielle Art von Computern eingesetzt wird, ist es sehr einfach, eine Alternative zu finden. In der Regel ist das ein privater Computer zu Hause, oder von einem Verwandten kann ein Gerät ausgeliehen werden, oder man kann einen Computer im Laden nebenan erwerben.
• Arbeitskraft – Dies ist wahrscheinlich der schwierigste Punkt. Nehmen wir einmal an, dass ein Mitarbeiter nicht verfügbar ist und er der Einzige ist, dem bestimmte Informationen bekannt sind (z. B. Administratoren-Passwörter, notwendige Schritte in einem wichtigen Projekt usw.). Für solche Fälle bestünde die Vorbereitung darin, sämtliche dieser Informationen zu dokumentieren, so dass sie verwendet werden können, ohne dass der Mitarbeiter anwesend sein muss. Der andere Fall träte ein, wenn ein Mitarbeiter fehlt und niemand sonst die Zeit oder die Fähigkeiten hat, seine Arbeit zu erledigen. Für diesen Fall bestünde die Vorbereitung darin, im Voraus festzulegen, wer für eine kurzfristige Einstellung zur Verfügung stünde, um die Aufgaben des fehlenden Mitarbeiters wahrzunehmen. Der springende Punkt ist hier natürlich, jemanden mit den richtigen Fähigkeiten / Qualifikationen zu finden.

Zusammengefasst ist festzustellen, dass es hinsichtlich des Rahmens für betriebliches Kontinuitätsmanagement keinen Unterschied zwischen großen und kleinen Unternehmensorganisationen gibt. Beide müssen detailliert planen, welche Vorbereitungen notwendig sind, um eine Katastrophe zu überleben. Der Unterschied liegt im Vorbereitungsaufwand: Kleinere Unternehmen schaffen es mit einem sehr niedrigen Investitionsaufwand.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 3: Business Continuity Planning ansehen (kommerzielles Training).

Ihr Management hat Ihnen die Aufgabe übertragen, ein betriebliches Kontinuitätsmanagement umzusetzen, aber Sie sind nicht wirklich sicher, wie das geht? Obwohl es keine einfache Aufgabe ist, können Sie sich mit der BS 25999-2 Methodik das Leben einfacher machen – hier sind die wichtigsten Schritte, die für die Umsetzung dieser Norm notwendig sind:

1. Unterstützung des Managements einholen

Obwohl dies in BS 25999-2 kein verbindlicher Schritt ist, so ist dies sicherlich der entscheidende Schritt am Anfang. Sollte das Management die Vorteile des betrieblichen Qualitätsmanagements nicht verstehen und sich nicht für dieses Projekt engagieren, so ist das Projekt wahrscheinlich zum Scheitern verurteilt.

2. Behandeln Sie es als Projekt

Es wird ziemlich viel Zeit und Ressourcen kosten, Ihr betriebliches Kontinuitätsmanagement (BCMS) einzurichten – Sie müssen klar definieren, was getan werden muss, in welchem Zeitrahmen, und welche Aufgaben bei der Projektdurchführung anstehen. Mit anderen Worten müssen Sie Methoden des Projektmanagements anwenden.

3. Definieren Sie Ziele und Anwendungsbereich. Schreiben Sie eine BCM-Leitlinie

Sie müssen definieren, was Sie mit dem BCMS erreichen möchten – Compliance, Senken des Risikos, Anforderungen Ihrer Kunden/Partner usw. Darüber hinaus müssen Sie definieren, was Sie in Ihr BCMS integrieren werden – die gesamte Unternehmensorganisation oder nur einen Teil davon. So können Sie entscheiden, dass Sie nur Ihr Rechenzentrum einbeziehen, falls Sie Hosting-Dienstleistungen für Ihre Kunden anbieten. Alles dies muss in der BCMS-Leitlinie dokumentiert werden.

4. Definieren von Rollen und Verantwortlichkeiten für das BCMS

Da das BCMS in Ihrem Unternehmen zu einer dauerhaften Tätigkeit werden wird, müssen Sie klare Verantwortlichkeiten dafür definieren. Dies gilt besonders für den „Sponsor“ des BCMS (jemand, der die Verantwortung für das BCMS trägt, aber nicht in alltägliche BCMS-Tätigkeiten involviert ist) und „BCM-Koordinator“, „BCM-Manager“ oder Ähnliches – eine oder mehrere Personen mit aktiven Pflichten hinsichtlich des BCMS. Es ist am besten, diese Rollen und Verantwortlichkeiten in Ihrer BCM-Leitlinie zu dokumentieren.

5. Obligatorische Verfahren umsetzen

BS 25999-2 fordert die Umsetzung der folgenden vier obligatorischen Verfahren: Dokumenten- und Aufzeichnungsmanagement, internes Audit, Vorbeugungs- und Korrekturmaßnahmen. Diese Verfahren sind in der Tat das Fundament Ihres Managementsystems, ähnlich wie in der ISO 27001 oder ISO 9001.

6. Durchführen der Geschäftsauswirkungsanalyse und der Risikoeinschätzung

Mithilfe einer Geschäftsauswirkungsanalyse müssen Sie die kritischen Aktivitäten, ihren maximal tolerierbaren Störungszeitraum und die Abhängigkeiten dieser kritischen Aktivitäten (einschließlich Abhängigkeiten gegenüber Lieferanten und Outsourcing-Partnern) erkennen und Recovery Time Objectives festlegen.

Durch die Risikoeinschätzung finden sie tatsächlich heraus, welche Ursachen die Unterbrechung Ihrer kritischen Aktivitäten haben könnten – sie können natürliche Gründe haben oder auf Menschen zurückzuführen sein (entweder absichtlich oder versehentlich). Sie müssen auch eine Risikobehandlung durchführen. Das heißt, dass Sie entscheiden müssen, wie mögliche Fehlentwicklungen eingedämmt werden sollen. Leider werden Risikoeinschätzung und -behandlung in dieser Norm nicht sehr klar definiert. Daher sollten Sie vielleicht einen Blick auf ISO 27001 werden, in der diese Aspekte detaillierter beschrieben werden.

7. Festlegen der Strategie für betriebliches Kontinuitätsmanagement

Bevor Sie Pläne für betriebliches Kontinuitätsmanagement verfassen, müssen Sie festlegen, welche Ressourcen Sie für die Wiederaufnahme Ihrer kritischen Aktivitäten benötigen – welche Mitarbeiter, Standorte, Daten, Hardware, Software, Lieferanten, Outsourcing-Partner usw.

Die Strategie für betriebliches Kontinuitätsmanagement muss nicht nur festlegen, was Sie brauchen, sondern auch, wie Sie sich diese Ressourcen beschaffen.

8. Entwicklung eines Störfallmanagements und von Plänen für betriebliches Kontinuitätsmanagement

Der Zweck von Störfallmanagementplänen besteht darin, zu beschreiben, wie Sie direkt auf einen Vorfall reagieren (z. B. Feuer, Erdbeben, Bombendrohung, Stromausfall usw.), um eine Ausweitung zu verhindern und zu versuchen, die direkten Auswirkungen einzudämmen. Andererseits besteht der Zweck der Pläne für betriebliches Kontinuitätsmanagement in der Beschreibung, wie Sie Ihre kritischen Tätigkeiten wiederherstellen – wie Sie alle vorbereiteten Ressourcen in Aktionen umsetzen. Das bedeutet, dass Sie beschreiben müssen, wer was tun soll, in welcher Zeit, mithilfe welcher Daten und Technologie, um Ihr Unternehmen wieder in Betrieb nehmen zu können.

Sämtliche dieser Pläne müssen detailliert beschrieben werden, denn sie müssen auch dann ausgeführt werden, wenn das Hauptpersonal nicht verfügbar ist – aus diesem Grund müssen so geschrieben werden, dass jeder andere in der Lage wäre, sie auszuführen.

9. Schulung und Sensibilisierung

Sie müssen die erforderliche Kompetenz definieren, um die Pläne des betrieblichen Kontinuitätsmanagements im Falle einer Unterbrechung durchführen zu dürfen und dann sämtliche Mitarbeiter schulen (Mitarbeiter und externe Partner), um diese Kompetenz zu erreichen.

Dies ist jedoch nicht genug – Sie müssen Ihren Mitarbeiter auch erklären, warum BCM notwendig ist. Seien wir ehrlich – Ihre Pläne für betriebliches Kontinuitätsmanagement werden vielleicht nur einmal im Leben genutzt. Daher werden sie von vielen Menschen als Zeitverschwendung angesehen. Daher müssen Sie erklären, warum so eine Sache eingerichtet werden muss. (Siehe auch Der Umgang mit BCM-Skeptikern)

10. BCMS-Übungen

Wenn Sie dachten, dass Sie Ihre schriftlichen Pläne perfekt verfasst haben, liegen sie möglicherweise falsch – es ist fast unmöglich, gleich am Anfang einen fehlerfreien Plan zu schreiben. Deshalb sind Übungen ein obligatorischer Teil des BCMS: Sie müssen Ihre Pläne in einer Situation testen, die der einer echten Störung mehr oder weniger ähnelt. Nur dann werden Sie herausfinden, was Sie gut geplant haben – und was nicht.

11. Pflege und Überprüfung des BCMS

Ein weiterer Weg, um Ihr BCMS aktuell zu halten, ist die Festlegung der Intervalle, in denen Sie Ihre Pläne für betriebliches Kontinuitätsmanagement sowie weitere Regelungen überprüfen (z. B. Verträge mit Lieferanten und Outsourcing-Partnern, Schulung und Sensibilisierung usw.). Es gibt alle möglichen Arten von umfeldbezogenen Veränderungen, durch die Ihre Dokumentation obsolet werden könnte: Es reicht aus, dass ein Mitarbeiter das Unternehmen verlässt, um in einem Plan eine unbrauchbare Rufnummer zu haben, falls diese Person eine Rolle im BCMS hatte.

Ebenso sind zwingend notwendig, im Ernstfall nach einem Vorfall eine Prüfung durchzuführen. Der Zweck besteht darin herauszufinden, wie das Unternehmen tatsächlich reagiert hat – wurden die Pläne befolgt oder nicht.

12. Internes Audit

Der Zweck des internen Audits besteht darin herauszufinden, ob etwas objektiv falsch ist – der interne Prüfer soll seine Person sein, die herausfinden kann, ob Ihr BCMS Fehler enthält, um diese zu korrigieren. Wird es richtig durchgeführt, so kann das interne Audit eine der besten Möglichkeiten sein, um Ihr BCMS zu verbessern. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

13. Managementprüfung

Wie bereits gesagt ist es sehr wichtig, Ihr Management in das Projekt einzubinden – Überprüfung des Managements wurde genau dafür verfasst. Gemäß der Norm muss das Management alle relevanten Fakten über BCM prüfen und entscheiden, ob es seinen Zweck erfüllt hat. Nachdem dies abgeschlossen ist, muss das Management entscheiden, welche Verbesserungen vorgenommen werden müssen.

14. Vorbeugungs- und Korrekturmaßnahmen

Am besten wäre es, Fehler (oder „Nichtübereinstimmungen“, um es mit BS 25999 auszudrücken) bereits zu vermeiden, bevor sie geschehen – dafür werden Vorbeugungsmaßnahmen verwendet – sie korrigieren Dinge auf systematische Weise, bevor ein Problem auftritt. Ähnlich wie bei Vorbeugungsmaßnahmen gibt es auch Korrekturmaßnahmen, die das bereits aufgetretene Problem beheben.

Nun lautet die Frage: Warum sollte man BS 25999-2 verwenden? Obwohl es (noch) keine internationale Norm ist, so ist es doch die weltweit beliebteste Norm für betriebliches Kontinuitätsmanagement. Die oben genannten Schritte wurden von den besten Fachleuten für betriebliches Kontinuitätsmanagement erstellt. Wenn Sie also besten anerkannten Umsetzungsverfahren für betriebliches Kontinuitätsmanagement einsetzen wollen, brauchen Sie nicht weiterzusuchen.

Hier können Sie das Diagramm der BS 25999-2 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen (Registrierung erforderlich).

Ist es Ihnen schon passiert, dass Ihr Management Ihnen die Verantwortung für Umsetzung des betrieblichen Kontinuitätsmanagements übertragen hat, nur weil Sie in der IT-Abteilung arbeiten? Warum wird betriebliches Kontinuitätsmanagement in der Regel mit Informationstechnologie in Verbindung gebracht?

Das liegt wahrscheinlich daran, dass betriebliches Kontinuitätsmanagement aus dem ‚Disaster Recovery‘ (DR) entstanden ist, und Disaster Recovery im Grunde auf Informationstechnologie basiert. Vor 20 oder 30 Jahren gab es das betriebliche Kontinuitätsmanagement als Konzept noch nicht, dafür aber Disaster Recovery (DR) – das Hauptanliegen war, im Falle einer Katastrophe die Daten zu retten. Damals war es sehr beliebt, teure Geräte zu kaufen und an einem entfernten Ort aufzustellen, so dass alle wichtigen Daten eines Unternehmens zum Beispiel im Falle eines Erdbebens erhalten blieben. Nicht nur erhalten, sondern auch, dass die Daten mit mehr oder weniger der gleichen Kapazität verarbeitet würden, als ob sie sich am Hauptstandort befunden hätten.

Nach einer Weile wurde jedoch klar – was würde mit den Daten gemacht werden können, falls es keine Geschäftstätigkeit mehr gäbe, um diese Daten zu nutzen? So wurde die Idee des betrieblichen Kontinuitätsmanagements geboren – sein Zweck bestand darin, den fortlaufenden Betrieb des Unternehmens selbst im Falle eines größeren Vorfalls zu ermöglichen.

Definitionen

Werfen wir einen Blick auf die Definitionen – betriebliches Kontinuitätsmanagement ist die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“ (BS 25999-2:2007), während die Wiederherstellung im Notfall die „Prozesse, Leitlinien und Verfahren für die Wiederherstellung oder Fortsetzung der kritischen technologischen Infrastruktur eines Unternehmens nach einer natürlichen oder vom Menschen verursachten Katastrophe“ umfasst (englischsprachige Wikipedia).

Wie Sie den Definitionen entnehmen können, liegt der Schwerpunkt in der DR auf der Technologie, während es im BC vor allem um den Geschäftsbetrieb geht. Daher ist Disaster Recovery Teil des betrieblichen Kontinuitätsmanagements. Sie können DR als einen der wichtigsten Faktoren des Geschäftsbetriebs oder als den technologischen Teil des betrieblichen Kontinuitätsmanagements betrachten.

Vielleicht haben Sie auch etwas anderes bemerkt: Die Definition des BC entstammt der BS 25999-2, der führenden Norm für betriebliches Kontinuitätsmanagement, während die Definition von DR aus der Wikipedia zitiert wird. Eigentlich ist „Betriebliches Kontinuitätsmanagement“ eine offizielle, in Normen anerkannte Bezeichnung, „Disaster Recovery“ ist es dagegen nicht.

Auswirkungen auf Umsetzung

Warum ist es eine schlechte Idee, dass die IT-Abteilung das betriebliche Kontinuitätsmanagement für das gesamte Unternehmen umsetzt? Weil betriebliches Kontinuitätsmanagement vor allem ein Thema für das Unternehmen und kein IT-Problem ist. Falls die IT-Abteilung betriebliches Kontinuitätsmanagement für das gesamte Unternehmen umsetzt, so könnte sie weder die kritische Bedeutung der Geschäftstätigkeit noch die Wichtigkeit von Informationen zu definieren. Außerdem steht infrage, ob die IT-Abteilung das Engagement der geschäftlichen Unternehmensteile erreichen würde.

Der beste Weg, um betriebliches Kontinuitätsmanagement umzusetzen und zu organisieren, besteht darin, dass der geschäftliche Teil des Unternehmens ein solches Projekt leitet – so werden ein größeres Bewusstsein und stärkere Akzeptanz aller Unternehmensteile erreicht. Die IT-Abteilung sollte natürlich ihre Rolle in einem solchen Projekt – eine entscheidende Rolle – wahrnehmen, um Disaster Notfallpläne vorzubereiten.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 1: Business Impact Analysis ansehen (kommerzielles Training).

Haben Sie jemals etwas gehört wie „es kann nicht durchgeführt werden“, „es hat keinen Sinn“, oder „es ist nutzlos, wenn eine größere Katastrophe eintritt“? Falls Sie betriebliches Kontinuitätsmanagement umgesetzt haben, so ist dies wahrscheinlich der Fall. Natürlich würde eine solche Haltung Ihr Projekt nicht voranbringen. Daher folgen einige Vorschläge, wie man mit solchen Leuten umgeht.

„Falls eine größere Katastrophe eintritt, werden wir nichts tun können“

Dies ist wahrscheinlich das häufigste Gegenargument. Nun, das kann stimmen, sofern Sie Ihre Strategie des betrieblichen Kontinuitätsmanagements und Ihre Pläne des betrieblichen Kontinuitätsmanagements nicht unter Berücksichtigung aller möglichen Szenarien erstellt haben. Sollten Sie dies jedoch gemacht haben, dann können Sie entgegnen, dass Sie einen alternativen Standort vorbereitet haben, der für jede Art von Katastrophe weit genug entfernt ist, dass Sie eine Sicherungskopie der Daten vorgenommen haben, dass es einen Ersatz für jeden Mitarbeiter des Unternehmens gibt, dass Sie alternative Anbieter für jede kritische Dienstleistung haben usw.

„Falls ein Atomkrieg ausbricht, wird es nicht funktionieren“

Nun, sofern Sie kein militärischer Lieferant sind, spielt das keine Rolle, oder? Grundsätzlich hätte Ihr Unternehmen bei dieser Art von Katastrophenszenarien keinen Zweck mehr.

„Es hat keinen Sinn“

Beten Sie einfach, dass Sie nie wieder betriebliches Kontinuitätsmanagement brauchen Auch ohne Erwähnung der bekannten Beispiele wie der 11. September oder Hurrikan Katrina reicht es schon, zu fragen, ob Sie jemals einen Stromausfall erlebt haben? Oder ist Ihr Server ausgefallen? Oder vielleicht ein PC mit wichtigen Daten? Haben Sie jemals von einem Gebäude gehört, das vollständig abgebrannt ist? Es reicht aus, die Schlagzeilen einer Zeitung zu lesen, um zu verstehen, dass diese Dinge jedem passieren können.

„Wir tun dies nur, um den Auditor zufriedenzustellen“

Falsche Priorität. Wenn Sie es richtig machen, werden Sie sich selbst schützen, und als Folge dessen wird Ihr Auditor zufrieden sein.

„Wir können nicht alle Vorfälle voraussehen“

Das stimmt, zumindest am Anfang. Aber wenn Sie Ihre Risikoeinschätzung wichtig durchführen, nutzen Sie Literatur und verschiedene Ressourcen und prüfen die Einschätzung. Die Chancen stehen gut, dass Sie rechtzeitig in der Lage sind, auf alle möglichen Risiken einzugehen. Sobald Sie diese kennen, können Sie Ihre Antwort vorbereiten.

„Im Notfall werden die Menschen nach ihren Familien schauen, nicht nach dem Unternehmen.“

Auch wahr. Wer würde im Falle eines Erdbebens nicht zuerst seine/ihre Familie anrufen, ob sie alle gesund sind? Aber wenn Sie sehr sorgfältig planen, wer nach einem Vorfall direkt nach Hause gehen kann und wer bleiben und die Situation lösen muss, wenn Sie sich um die Familie der bleibenden Mitarbeiter kümmern (z. B. durch Zuweisung eines anderen Mitarbeiters für diese Aufgabe), dann haben Sie dieses Problem vermutlich gelöst.

„Menschen werden in Krisensituationen irrational reagieren“

Definitiv wahr. Aber wenn Sie Ihre Mitarbeiter (und Lieferanten/Partner) regelmäßig schulen, und wenn Sie Ihre Pläne für betriebliches Kontinuitätsmanagement üben, dann werden sie sich an Stresssituationen gewöhnen, und reagieren wahrscheinlich richtig, falls solche Situationen auftreten.

Wenn Sie ähnliche Projekte bereits umgesetzt werden, dann wissen Sie, wie wichtig die Sensibilisierung ist. Wenn Ihre Kollegen den Zweck solcher Projekte nicht erkennen, werden Sie bei der Umsetzung große Schwierigkeiten erleben. Nicht zu vergessen, dass Ihr Projekt insgesamt scheitern könnte – darum müssen Sie daran denken, rechtzeitig Bewusstsein zu schaffen.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy ansehen (kommerzielles Training).

Wenn Sie mit der Umsetzung des betrieblichen Kontinuitätsmanagements begonnen haben, so besteht die größte Herausforderung darin, die Pläne für das betriebliche Kontinuitätsmanagement zu verfassen.

Warum ist es so schwierig? Sie müssen sich verschiedene Szenarien vorstellen, unter denen eine Katastrophe (oder eine andere Störung der Geschäftstätigkeit) auftreten kann. Sie müssen über eine Möglichkeit nachdenken, wie diese außerordentlich seltenen, aber möglicherweise katastrophalen Vorfälle bewältigt werden können.

Ein häufiges Problem beim Verfassen dieser Pläne ist die Frage, was der Plan enthalten sollte (was sind die wichtigsten Elemente), wie lange (wie detailliert) er sein sollte, welche Schritte dazugehören usw.

Eine der besten Lösungen dieser schwierigen Probleme ist die Verwendung der Norm BS 25999-2, die zusammen mit BS 25999-1 einen Rahmen für das Schreiben dieser Pläne vorgibt.

Gemäß diesen Normen sollten die Pläne für betriebliches Kontinuitätsmanagement aus einem (1) Störfallreaktionsplan sowie (2) Wiederherstellungsplänen bestehen. Ein Störfallreaktionsplan ist in der Regel ein einzelner Plan für das gesamte Unternehmen, in dem beschrieben wird, was unmittelbar nach einer Katastrophe getan werden muss – um die Auswirkungen des Vorfalls einzudämmen, mit den Notdiensten zu kommunizieren, das Gebäude zu evakuieren, an Sammelstellen zusammenzukommen, den Transport zu alternativen Standorten zu organisieren usw.

Notfallpläne werden in der Regel separat für jede kritische Tätigkeit geschrieben. Die Schritte eines Notfallplans sehen in der Regel wie folgt aus: wann und wie mit verschiedenen Beteiligten kommuniziert wird (Mitarbeiter und deren Familien, Aktionäre, Kunden, Partner, Behörden, öffentliche Medien usw.), wie ein Team zusammengestellt wird, wie die Infrastruktur wiederhergestellt wird, wie geprüft wird, ob die Anwendungen funktionieren und ob die Zugriffsrechte angemessen sind, wie überprüft wird, welche Daten fehlen oder durch die Katastrophe beschädigt wurden, wie die Daten wiederhergestellt werden und wie entschieden wird, wann die Wiederherstellung abgeschlossen ist, damit der normale Betrieb wieder einsetzen kann.

IT-Notfallpläne (Notfallpläne der IKT-Infrastruktur) müssen mit großer Sorgfalt verfasst werden, weil sie beschreiben sollten, wie jedes System innerhalb des Recovery Time Objective einer bestimmten kritischen Tätigkeit eingestellt werden sollte. Dies geschieht normalerweise durch Verfassen eines detaillierten Wiederherstellungsplans für jedes System, das wiederhergestellt werden soll.

Die Faustregel besagt, dass sämtliche dieser Pläne so detailliert sein sollten, dass andere Mitarbeiter (oder externes Personal) in der Lage sind, den Plan auszuführen, falls die Mitarbeiter dieser kritischen Aktivität nicht verfügbar sind. Schreiben Sie diese Pläne also mit Vernunft – sie sollten für jeden verständlich sein, nicht nur für Sie.

Nach meiner Erfahrung besteht die größte Herausforderung beim Verfassen dieser Pläne darin, dass Mitarbeiter mit etwas ganz anderem konfrontiert werden, über das sie vorher nicht nachzudenken brauchten. Zur Überwindung solcher Probleme ist es am besten, einen Workshop mit oder ohne Moderator zu organisieren, in dem sich die Mitarbeiter austauschen können, was passieren würde, wenn … wie man reagiert, wenn … usw.

Tatsächlich ist mit dem Umstand, dass Ihre Mitarbeiter damit begonnen haben, über betriebliches Kontinuitätsmanagement nachzudenken, bereits die halbe Arbeit geleistet – mit einem solchen Ansatz wird ein viel besserer Plan für betriebliches Kontinuitätsmanagement ermöglicht.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 3: Business Continuity Planning ansehen (kommerzielles Training).

Sie denken darüber nach, die Norm BS 25999-2 / Betriebliches Kontinuitätsmanagement einzuführen? Aber dann hören Sie, dass es Sie viel kosten wird? Es wird wahrscheinlich kosten, aber nicht unbedingt so viel, wie Sie dachten – denn das können Sie mit einer guten Strategie für betriebliches Kontinuitätsmanagement lösen.

Die Strategie für betriebliches Kontinuitätsmanagement, wie sie in der Norm BS 25999-2 definiert wird, ist eine „Herangehensweise an eine Organisation, mit der deren Wiederherstellung und Kontinuität angesichts einer Katastrophe oder eines anderen wichtigen Ereignisses oder Störung des Geschäftsbetriebs gewährleistet wird.“ Der springende Punkt ist also, sich in optimaler Art und Weise auf eine Katastrophe vorzubereiten, falls diese eintreten sollte. Diese Vorbereitung kann organisatorische Maßnahmen (Erstellung von Plänen, Verträge mit Lieferanten/Partnern, Übungen, Prüfungen, Sensibilisierung usw.) sowie weitere Schritte wie Investitionen in Ausrüstung, Infrastruktur usw. umfassen

Zeit ist ein sehr wichtiger Faktor bei der Wiederherstellung – sollten Sie Ihr Geschäft nicht rechtzeitig wiederherstellen, werden Sie wahrscheinlich Ihre Kunden und somit ebenso Ihr Geschäft verlieren. Daher muss die Strategie für betriebliches Kontinuitätsmanagement das Recovery Time Objective (RTO oder Wiederanlaufdauer) für jede Ihrer kritischen Aktivitäten festlegen, denn die RTO kann für jede von ihnen unterschiedlich sein.

Eine wichtige Überlegung lautet: Je kürzer die RTO, desto größer die von Ihnen benötigte Investition – wenn Sie beispielsweise Ihr Rechenzentrum in weniger als einer Stunde wiederherstellen möchten, müssen Sie in einen alternativen Standort mit fast der gleichen Ausstattung wie der primäre Standort investieren. Wollen Sie dagegen Ihr Rechenzentrum innerhalb von zwei Wochen wiederherstellen, sind die Investitionen wesentlich geringer, denn es würde ausreichen, die Back-up-Bänder am alternativen Standort aufzubewahren. So hätten Sie zwei Wochen Zeit, um die notwendige Ausrüstung zu beschaffen. Dies alles bedeutet, dass Ihre RTO weder zu lang noch zu kurz sein darf.

Sobald die RTO festgelegt ist, müssen Sie noch einige Investitionen tätigen. Mit einer guten Strategie für betriebliches Kontinuitätsmanagement werden Sie allerdings in der Lage sein, diese Investition zu senken, während Sie trotzdem in der Lage sind, Ihre kritischen Aktivitäten innerhalb des Recovery Time Objective wiederherzustellen. Hier sind einige Beispiele:

• Sie benötigen vermutlich kein eigenes Rechenzentrum an einem alternativen Standort – in den meisten Ländern können Sie diesen Ort von einer spezialisierten Firma mieten. Das bedeutet, dass sie nicht in die Infrastruktur zu investieren brauchen, vielleicht nicht einmal in Ausrüstung oder Software,
• Sie benötigen vermutlich keine Büros an einem alternativen Standort – Mitarbeiter, die keine Kunden persönlich treffen müssen, können von zuhause arbeiten,
• Sie benötigen vermutlich gar keinen alternativen Standort, falls Sie weitere Unternehmensabteilungen an verschiedenen Standorten haben, welche die kritischen Aktivitäten übernehmen könnten, soweit diese von der Katastrophe betroffen sind,
• Sie brauchen vermutlich keine Ausrüstung im Voraus zu kaufen, falls Sie auf einen Lieferanten zurückgreifen, der die Lieferung der Ausrüstung innerhalb Ihres RTO garantieren könnte
• usw.

In sämtlichen dieser Beispiele müssen Sie Ihre organisatorischen Fähigkeiten ausbauen. Wenn Sie doch etwas Geld sparen möchten, so wäre es der Gedanke daran sicher wert.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy ansehen (kommerzielles Training).

Auf den ersten Blick haben Informationssicherheit und betriebliches Kontinuitätsmanagement nicht viel gemeinsam – man möchte vielleicht anmerken, dass beide mit IT zu tun haben.

Informationssicherheit-Management wird in der internationalen Norm ISO/IEC 27001 am besten definiert, während die britische Norm BS 25999-2 betriebliches Kontinuitätsmanagement festlegt – wenn wir also diese beiden Themen vergleichen wollen, so ist es das Klügste, die Inhalte dieser beiden Normen anzuschauen.

Zunächst einmal ist IT ein wichtiger Teil sowohl der ISO 27001 als auch der BS 25999-2, aber beide Normen drehen sich keineswegs nur um IT – der Schwerpunkt liegt auf organisationseigenen Verfahren und Werten und den damit verbundenen Risiken. Es stimmt, dass IT das wichtigste Instrument ist, um Daten zu verarbeiten. Tatsache bleibt aber, dass die größten Risiken in bösartigen und unbeabsichtigten Aktivitäten von Mitarbeitern bestehen. Daher können die Risiken hinsichtlich der Informationssicherheit oder des betrieblichen Kontinuitätsmanagements nicht allein durch Informationstechnologie gelöst werden. Es ist viel wichtiger, Organisation, Verfahren und Verantwortlichkeiten innerhalb des Unternehmens zu definieren.

Aber was ist Informationssicherheit im Grunde? ISO 27001 definiert sie als „Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen“. Andererseits definiert BS 25999-2 betriebliches Kontinuitätsmanagements als die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“.

Die beiden Normen scheinen sich nicht sehr ähnlich zu sein. Da gibt es jedoch einen sehr ähnlichen Aspekt – Verfügbarkeit. Der Schwerpunkt liegt sowohl bei der Informationssicherheit als auch beim betrieblichen Kontinuitätsmanagement darauf, Informationen für die Mitarbeiter verfügbar zu halten, die sie benötigen – diesbezüglich bietet der Anhang A der ISO 27001 einige Maßnahmen, die sich nur auf das betriebliche Kontinuitätsmanagement beziehen.

Außerdem verlangen beide Normen, dass die Risikoeinschätzung vorgenommen wird, um mögliche Probleme im Zusammenhang mit Informationen zu erkennen. Beide Normen machen zudem ein Dokumentenmanagement, die Durchführung interner Audits, Managementprüfungen sowie Korrektur- und Vorbeugungsmaßnahmen erforderlich. Sollten Sie also bereits über eine Dokumentation für ISO 27001 verfügen, so können sie die gleichen Verfahren auch für BS 25999-2 verwenden (mit nur geringfügigen Änderungen).

Was sind die Unterschiede? Der Hauptunterschied liegt in der Detailgenauigkeit. ISO 27001 deckt einen wesentlich größeren Bereich ab und ist daher bezüglich des betrieblichen Kontinuitätsmanagements nicht sehr genau. Andererseits beschreibt BS 25999-2 detailliert, wie eine Geschäftsauswirkungsanalyse durchzuführen ist, wie Strategien für betriebliches Kontinuitätsmanagement festgelegt werden, welche Inhalte die Pläne für betriebliches Kontinuitätsmanagement haben sollten usw.

Um es nochmals deutlich zu machen: Der springende Punkt ist hier also, dass man sich betriebliches Kontinuitätsmanagements als einen Teil der Informationssicherheit vorstellen kann. In der Praxis bedeutet das, dass Sie bei einer Umsetzung des betrieblichen Kontinuitätsmanagements im Rahmen der ISO 27001 optimalerweise Norm BS 25999-2 als Leitlinie verwenden sollten.

Sie können sich auch unser kostenloses Webinar ISO 27001 & BS 25999-2: Why is it better to implement them together? ansehen.