Business Continuity Management wappnet Firmen

Notfallplan

Die Risikobewertung bildet die Basis für den Notfallplan. Idealtypisch gibt es fünf Phasen für die Rückkehr aus der Krise in den regulären Betrieb: 1. Sofortmassnahmen, 2. Wiederanlauf Notbetrieb, 3. Notbetrieb, 4. Wiederherstellung Normalbetrieb, 5. Nachbearbeitung. 
Der IT-Notfallplan beispielsweise legt Verantwortlich­keiten fest und beschreibt meist in Wenn-dann-Szenarien detailliert die Schritte und Verfahren bei Ausfall der kritischen Systeme.
«Am besten ist es, für Notfälle Checklisten zu erstellen, damit die Mitarbeiter genau wissen, was im Fall der Fälle zu tun ist. Diese Pläne funktionieren aber nur, wenn das beschriebene Szenario auch exakt so eintritt, wie es der Plan vorsieht», betont Matthias Hämmerle. Die Realität sieht oft anders aus. Es ist schlicht unmöglich, jeden Notfall detailliert zu planen. Dann benötigen Firmen eine Organisation, die die Massnahmen koordiniert und die Pläne an die aktuelle Lage anpasst.
«Das ist der Krisenstab. Er steuert die Notfallmassnahmen vor allem bei einer externen Wirkung, sprich wenn Kunden betroffen sind, die Presse vor der Tür steht oder die IT-Abteilung die Störung nicht mehr im Linienbetrieb beheben kann, etwa wenn Ransomware das Backup verschlüsselt hat. Der Krisenstab ist eher reaktiv, baut auf Notfallplänen auf, während das BCM mit seiner Notfallplanung eher präventiv agiert», so Hämmerle weiter.
Jürgen Kolb von iQSol sieht beim Thema BCM einen theo­retischen und einen praktischen Teil. «Ein Notfallhandbuch sorgt für Klarheit, wer zuständig ist, welche Geräte und Abhängigkeiten es gibt und wo sich etwa Backups der Daten befinden, damit diese nach einem Crash schnell eingespielt werden können.» In der Praxis geht es Kolb zufolge auch darum, schnell Massnahmen zu ergreifen, «damit aus einem Notfall keine Katastrophe wird. Hier sind drei Schritte wichtig: Unregelmässigkeiten im Netzwerk erkennen zu können, die unverzügliche, verlässliche Alarmierung der zuständigen Mitarbeiter in der IT und drittens das Ergreifen wirksamer Massnahmen zum Schutz der Systeme.»
“Schon jetzt werden Business-Continuity-Manager aufgewertet und erhalten eigene Budgets. Dieser Trend wird sich fortsetzen, damit sie im Krisenfall auch operativ tätig sein können.„
Jürgen Kolb
Managing-Partner bei iQSol

Ständige Tests

BCM sollte natürlich kein Papiertiger sein, sondern auch in der Praxis funktionieren. Firmen müssen daher ihr Notfallkonzept und ihr Krisenmanagement regelmässig durch Tests und Übungen überprüfen. In den Disaster-Tests üben sie das Vor­gehen, das im Notfallhandbuch festgelegt wird. Doch nicht alle Systeme verhalten sich entsprechend der Theorie. «Das Durchhaltevermögen von USVs ist mitunter kürzer als angenommen, Leitungen können defekt sein, es kommt zu wiederholten Starts der Systeme oder es fehlen schlichtweg Bediener», betont Jürgen Kolb.
BCM ist ein permanenter Prozess und fordert die kontinuierliche Verbesserung nach der PDCA-Methodik:
  • Plan: Definition des Soll-Zustands
  • Do: Umsetzung des Soll-Zustands in den Ist-Zustand
  • Check: Vergleich des umgesetzten Ist-Zustands mit dem zuvor definierten Soll-Zustand
  • Act: Anpassung des Ist-Zustands aufgrund festgestellter Probleme
Im letzten Schritt werden die Ursachen der festgestellten Abweichungen abgestellt, der PDCA-Zyklus beginnt wieder von vorn.




Das könnte Sie auch interessieren