InfoGuard Cyber Security & Cyber Defence Blog

Business Continuity Management (BCM) – seien Sie auf globale Ereignisse vorbereitet

Geschrieben von Markus Limacher | 20. Jul 2020

Unvorhergesehene Ereignisse können nicht nur hierzulande, sondern auch in Produktions- oder Beschaffungsländern die Geschäftsprozesse von Unternehmen erheblich beeinträchtigen. Die aktuellen Berichte und aktuelle Auswirkungen rund um das Corona-Virus zeigen dies eindrücklich und treffen Unternehmen mit voller Wucht. Auch in technischer Hinsicht können unvorhergesehene Ereignisse grossen Schaden anrichten. Solche Risiken zu minimieren und bestmögliche Vorkehrungen für den Fall gravierender Störungen zu treffen, ist Ziel des Business Continuity Managements (BCM).

Moderne Geschäftsprozesse werden immer anfälliger für Störungen. Hauptgründe dafür sind einerseits zunehmend IT-gestützte Betriebsabläufe, andererseits Abhängigkeiten von Drittparteien durch Outsourcing, Outtasking und Einbindung zahlreicher Partner rund um den Globus. Grosse, besonders überregionale Ereignisse, sind komplexe Szenarien und ein nicht zu vernachlässigendes Businessrisiko – erst recht, wenn Mitarbeitende betroffen sind.

Die meisten Business Continuity-Programme gehen entweder davon aus, dass die Menschen von einem Ereignis nicht betroffen sein werden, oder sie umreissen Annahmen bezüglich einer schnellen Rückkehr an ihren Arbeitsplatz. Nach zahlreichen Ereignissen mit überregionalen, teils globalen Auswirkungen (Winterstürme, Überschwemmungen, Epidemien, Influenza-Pandemien etc.), sollte das Thema IT-BCM nicht vergessen werden. Gerade in der Schweiz werden solche Ereignisse oftmals unterbewertet.

Es ist relativ einfach, Standorte für die Wiederherstellung von Arbeitsplätzen (Ausweichstandorte, u.a. für nicht produzierende Sektoren) zu identifizieren. Hingegen ist es schwierig und teuer, institutionelles Wissen und Schutzmaterialien grossflächig zu verteilen. Schätzungen gehen davon aus, dass bei Pandemien die Mitarbeitenden zwischen 25% bis 40% länger als üblich vom Arbeitsplatz fernbleiben, was Auswirkungen auf den Betrieb von mehreren Wochen bis gar Monate haben kann. Aber auch bei Vorfällen wie Überschwemmungen sowie Mur- oder Lawinenniedergängen können ganze Unternehmensbereiche längere Zeit ausfallen oder für die Mitarbeitenden nicht mehr erreichbar sein.

Wir stellen im Moment fest, dass sich viele Unternehmen mit der Bedrohung durch grosse, überregionale Ereignisse auseinandersetzen. Das Corona-Virus, aber auch die zunehmenden klimatischen Ereignisse, spielen dabei sicher eine wichtige Rolle dabei. Die aktuelle Berichterstattung veranlasst das Management, die Bereitschaft des eigenen Unternehmens auf ein solches Ereignis zu hinterfragen.

Jedes realistische BCM-Szenario bietet Business Continuity-Fachpersonen eine einzigartige Gelegenheit, ihre Programme im Hinblick auf die «Verfügbarkeit von Menschen» und der erforderlichen Ressourcen im Allgemeinen zu überprüfen.

Business Continuity mit System

Die Anforderungen an ein BCM-System (BCMS) definieren u.a. die Norm ISO 22301 und zahlreiche andere Leitlinien oder Best Practices, die Unternehmen in einem Code of Practice Hilfestellung beim Aufbau, Betrieb und Optimierung geben. Der systematische Ansatz zum Betrieb eines BCMS berücksichtigt die generischen Elemente von Managementsystemen wie Kontext der Organisation, Führung (Leadership), Planung, Support, Betrieb und Optimierung, und hat damit den gleichen grundsätzlichen Ansatz wie ISO 27001:2013 oder das NIST CSF. Ein System startet mit der Frage nach dem Kontext für das Unternehmen:

1 – Entwicklung von unternehmensspezifischen Annahmen und Identifizierung wichtiger Geschäftsprozesse
Bei der Analyse der Gefährdung für das Unternehmen – aber auch bei der Festlegung von Annahmen – spielen Führungskräfte eine Schlüsselrolle. Dabei gilt es, folgende elementaren Fragen zu klären:

  • Was bedeutet ein Szenario-Ereignis für das Unternehmen; konkret die Standorte, Produktion, Logistik, Kunden, Infrastruktur, die Mitarbeitenden etc.?
  • Welche Annahmen sind für Ihr Unternehmen sowohl im In- als auch im Ausland spezifisch?
  • Welches sind die kritischen Komponenten des Unternehmens? (Insbesondere jene, die stark von Menschen abhängig sind, potentielle Single-Point-of-Failures (SPF) und kritische Werteflüsse beachten.)
  • Was sind die kritischen Produkte für die wichtigsten Kunden?
  • Welche Komponenten können wie lange und in welchem Umfang beeinträchtigt sein, ohne und auch ab welchem Punkt ein Schaden entsteht?
  • Werden die Geschäftsprozesse so ausgeführt, dass sie im Falle des Szenario-Ereignisses erhebliche Auswirkungen auf das Geschäft haben könnten? Befindet sich das Produkt beispielsweise in einem einzigen Lager, oder auch können Rufnummern (beispielsweise Callcenter- oder Support-Nummern) weitergeleitet werden?
  • Wer sind die wichtigsten Stakeholder der Organisation – intern und extern 
Das Ausarbeiten der Antworten bietet einen Entscheidungsrahmen, um effektiv Strategieoptionen auszuwählen und schliesslich zu bewältigen. Gleichzeitig ist es notwendig, den Zusammenhang zwischen den Prozessen zu erkennen und daraus eine Gewichtung herzuleiten.


2 – Identifizierung von Minderungs- und Reaktionsoptionen
Die Definition von Optionen für das Risikomanagement (Strategien zur Risikoreduzierung und Geschäftskontinuität) beginnt mit dem Auf- bzw. Ausbau des Krisenmanagementprozesses. Anschliessend erfolgt die Definition von taktischen Strategien zur Bewältigung oder Minderung des Risikos eines Personalausfalls.

Dazu sollte ein funktionsübergreifendes Planungsteam gebildet werden. Dieses ermittelt spezifische Methoden und Strategien zur proaktiven Minderung oder Begrenzung der Auswirkungen bei einem Ereignis. Ebenfalls ermitteln sie Reaktionen resp. Sofort-Massnahmen, um die Schäden möglichst klein zu halten. Zu den Optionen gehören beispielsweise Überwachungsprozesse oder Strategien für eine funktionierende Arbeitsumgebung.

Jedes Unternehmen wird schlussendlich eine einzigartige Strategie zur Risikominderung haben. Dennoch gilt es, auch allgemein gültige Punkte zu berücksichtigen wie:

  • Möglichkeiten des verteilten Arbeitens, z.B. Home Office
  • Dezentralisierung des kritischen Bestands (u.a. Ressourcen, Lager, Produktion etc.)
  • Vorübergehende Aussetzung nicht-kritischer Prozesse und Leistungen
  • Fokussierung der Ressourcen auf kritische Aufgaben und Prozesse, welche einen direkten Einfluss auf Ihr Business haben.
  • Aufbauen von Sicherheitsbeständen kritischer Produkte, Komponenten usw.
  • Vorqualifikation von alternativen Partnern
  • Entwicklung gemeinsamer Krisenmanagement-Pläne mit wichtigen Lieferanten und Partnern

Kreativität und Brainstorming: Das sind die Schlüssel zur Identifizierung und Entwicklung der richtigen Reaktionsstrategien mit individuellen, vordefinierten Auslösern für Ihr Unternehmen.

3 – Priorisierung von Optionen auf der Grundlage des Risikos und Entwicklung des Reaktionsplanes
Nachdem die Optionen und möglichen Strategien identifiziert wurden, sollten die Risiken bewertet und die Strategien – z.B. auf Grundlage einer Kosten-Nutzen-Analyse – priorisiert werden. Dazu müssen geeignete Kriterien für die Strategieumsetzung identifiziert werden. Gleichzeitig ist ein Eskalationsplan zu dokumentieren; möglichst als Ergänzung zum bestehenden Krisenmanagementplan.

4 – Vorbereitung der Organisation
Schlussendlich gilt es, das Unternehmen auf ein solches Ereignis vorzubereiten. Dazu gehören:

  • Beschaffung der erforderlichen Ressourcen
  • Sicherstellung der Erreichbarkeit
  • Bereitstellung der notwendigen IT-Ressourcen für das verteilte Arbeiten. Dabei dürfen Punkte wie der Bandbreitenbedarf und die Lizenzierung für den Remote Access nicht vergessen werden.
  • Berücksichtigung der Cyber Security auch im Falle eines solchen Ereignisses
  • Erstellung und Durchführung von Schulungsprogrammen
  • Entwicklung von Sensibilisierungsplänen
  • Durchführung von Übungen resp. Simulationen


5 – Pläne üben und Sensibilisierungsmassnahmen durchführen
Nebst der Entwicklung und Dokumentation von Strategien resp. Plänen ist es wichtig, bedrohungsspezifische Pläne zu üben sowie Sensibilisierungsmassnahmen durchzuführen. Die Ungewissheit und das Unwissen wirken sich auf die Handlungsfähigkeit aus, denn Wissen ist die beste Technik zur Risikominderung. Schulungs- und Sensibilisierungsprozesse sollten sich auf das Krisenmanagement-Team sowie auf die internen und externen Interessengruppen fokussieren, beispielsweise in Form von Intranet- oder Blogbeiträgen, Präsentationen, Newslettern, Online-Schulungen etc.

Übungen sind im BCM schlussendlich aber das wichtigste Element, um allen beteiligen Sicherheit und Vertrauen zu geben. Dadurch können zudem Erfahrungen und Kenntnisse in einem «stressfreien» Umfeld entwickelt sowie Schwächen und Verbesserungen identifiziert werden.

Mitarbeitende als wichtiges Element im Business Continuity Management

Die Planung für den kurz-, mittel- oder langfristigen Ausfall von Mitarbeitenden ist das schwierigste Thema, mit dem sich BCM auseinandersetzen muss. Die Entwicklung eines Verständnisses dafür, wo sich die personellen Schwachstellen befinden und wie sich diese «Schwächen» mit den kritischsten Prozessen überschneiden, ist elementar bei der Planung für den Ausfall von Mitarbeitenden.

Dieses Verständnis ist in Verbindung mit einem erprobten Krisenmanagementprozess und Risikominderungsstrategien äusserst wirksam, um auf Ereignisse zu reagieren und sich davon zu erholen. Der beschriebene Prozess bleibt derselbe, und das obwohl die Strategien zur Risikominderung, welche die Wahrscheinlichkeit des Verlusts beeinflussen, unterschiedlich sind.

Business Continuity Management ist eine Herausforderung. Holen Sie sich daher frühzeitig externe Unterstützung mit entsprechender Praxiserfahrung. InfoGuard kann Sie in den unterschiedlichsten Aspekten des Business Continuity Management unterstützen. Wie? Kontaktieren Sie gleich jetzt unsere BCM- und ISO 22301-Experten!