Business Continuity Management wappnet Firmen
Das ist BCM
«Business Continuity Management sichert zeitkritische Geschäftsprozesse eines Unternehmens, um bei einem Notfall die Schadensfolgen zu minimieren und mit Hilfe von Notfallkonzepten und -plänen einen zuvor definierten Notbetrieb zu erreichen. Zudem geht es um den möglichst zeitnahen Wiederanlauf in den Normalbetrieb», erklärt Matthias Hämmerle, Berater für BCM sowie Notfall- und Krisenmanagement.
Während sich Business Continuity Management auf die Geschäftsprozesse des Unternehmens konzentriert, hat das IT Service Continuity Management (ITSCM) oder auch Disaster Recovery die Wiederherstellung der IT-Anwendungen, Daten und IT-Systeme im Fokus. In der IT ergänzen sich laut Hämmerle beide Disziplinen. «Das BCM für die IT sichert die IT-Geschäftsprozesse und deren Ressourcen, ohne die eine Wiederherstellung der IT gar nicht möglich wäre, sowie elementare IT-Unterstützungsprozesse für die Fachbereiche.»
Ein Beispiel: BCM betrifft übergeordnet die Geschäftsprozesse, wenn etwa in einer Bank der Zahlungsverkehr nicht mehr funktioniert, weil die IT ausfällt. Inhalt des BCM wäre hier, wie die Bank den Zahlungsverkehr ohne IT-Unterstützung bestmöglich weiterführt. Parallel versucht die IT im IT Service Continuity Management, die betroffenen IT-Systeme wiederherzustellen.
“Bereite dich auf alle möglichen Szenarien vor, dann kannst du im Notfall besser reagieren. Die Frage ist nicht, ob das passiert, sondern wann.„
Risiken bewerten
Der erste Schritt auf dem Weg zum BCM ist die Risikoanalyse. Es geht darum, Risiken oder kritische Prozesse zu identifizieren und sicherzustellen, dass sie nicht beeinträchtigt werden. Mittel der Wahl ist die Business-Impact-Analyse (BIA). Hier schätzen Firmen die Schadensfolgen bei einem Ausfall der Systeme. Die BIA erstreckt sich neben den Fachbereichen natürlich auch auf die IT, die mit den IT-Services das Rückgrat der Geschäftsprozesse stellt. Dazu gehören der Betrieb der Anwendungen und Systeme, die Anwendungsentwicklung, Help Desk oder die IT-Security. Die Fachbereiche bewerten in ihrer BIA, welche IT-Services wie kritisch für ihre Prozesse sind. Im Idealfall liegen Service Level Agreements (SLAs) vor, die die Anforderungen an die IT-Services und deren Verfügbarkeiten klar definieren. Daraus leitet die IT ab, welche Prozesse und Ressourcen sie benötigt, um die Anforderungen zu erfüllen.
«Die Kunst ist es, die IT tatsächlich dauerhaft aktuell zu halten und im Krisenfall schützen zu können. Im Krisenfall hilft es wenig, sich nur auf Manuskripte, die unterbrechungsfreie Stromversorgung (USV) und Schiffsdiesel sowie das Backup zu verlassen. Es bedarf auch einer krisensicheren Messaging-Lösung. Zudem sollten das Management von Cloud-Lösungen, virtuelle Systeme, Datenbanken, Applikationen samt Logiken und Priorisierungen abbildbar sein», erklärt Jürgen Kolb, Managing-Partner beim Security-Spezialisten iQSol.