Business Continuity Management (BCM) – die Bereitschaft beginnt im Kopf

Aussergewöhnliche Ereignisse wie Cyber-Attacken, Datenschutzverletzungen, Naturkatastrophen und Terroranschläge schärfen zunehmend das Bewusstsein der Unternehmen für Business Continuity Management (BCM). Das Management hat ein entscheidendes Interesse daran, die Kontinuität und Widerstandsfähigkeit des Betriebes bei Unterbrechungen aller Art zu gewährleisten. Leider haben viele Unternehmen nicht die erforderlichen Vorbereitungen, Fähigkeiten, Mitarbeitenden, Prozesse und Technologien, um internen und externen Stakeholdern die Gewissheit zu geben, dass das Unternehmen den Betrieb nach einer Krise oder Katastrophe wiederherstellen kann. In diesem Blogartikel zeigen wir Ihnen auf, wie wichtig BCM ist und wie eine effektive Planung aussehen sollte.

BCM-Vorkehrungen werden erst als wirksam angesehen, wenn sie geübt wurden

Business Continuity Management ist ein ganzheitlicher Prozess, welcher potenzielle Bedrohungen für ein Unternehmen identifiziert und einen Rahmen schafft für eine wirksame Reaktion. Ziel ist das Sicherstellen der Interessen von wichtigen Bezugsgruppen, der Reputation und den wertschöpfenden Aktivitäten.

Jedes Unternehmen sollte bei der Vorbereitung einen «All-Hazard-Ansatz» verfolgen: Grundlegende und spezifische Reaktions- und Wiederherstellungsfähigkeiten, die erforderlich sind für jegliche Art von Vorfall; spezielle Fähigkeiten in Ergänzung für bestimmte Arten von Vorfällen. Die Vorbereitung trägt dazu bei, Kunden auch bei Vorfällen zu bedienen und gleichzeitig Mitarbeitende sowie Vermögenswerte zu schützen.

Handfeste Vorteile von BCM

Business Continuity Management zielt darauf ab, die Widerstandsfähigkeit zu verbessern, sodass das Unternehmen im Falle von teilweiser oder kompletter Betriebsunfähigkeit überleben kann. Zu den Vorteilen eines wirksamen BCM-Programms gehören:

• Die proaktive Identifizierung von Betriebsrisiken
• Die Fähigkeit, diese Risiken zu mindern und zu verwalten
• Die Fähigkeit zur Bewältigung nicht versicherbarer Risiken wie z.B. Image- und Reputationsrisiken
• Die Fähigkeit, effektiv auf grössere Störungen zu reagieren
• Der Wettbewerbsvorteil durch die nachgewiesene Fähigkeit, den Kundenservice auch bei erheblichen Störungen aufrechtzuerhalten

BCM – die Bereitschaft beginnt im Kopf

Business Continuity Management ist einfacher als oft gedacht. Um BCM zu implementieren, sind folgende Fragen zu berücksichtigen:

• Welches sind die wichtigsten Produkte und Dienstleistungen im Unternehmen (im Scope)?
• Welches sind die kritischen Aktivitäten und Ressourcen, die zur Erbringung dieser Leistungen erforderlich sind?
• Welches sind die Risiken für diese kritischen Aktivitäten?
• Wie werden diese kritischen Aktivitäten im Falle eines Zwischenfalls aufrechterhalten (Verlust der IT/OT, Verlust des Zugangs zu den Räumlichkeiten, Verlust von Versorgungsleistungen usw.)?

In der heutigen Zeit ist es unabdingbar, über ein BCM-Programm zu verfügen, welches auf einem aktuellen Stand ist, das aktuelle Geschäftsumfeld widerspiegelt und auch bei widrigen Ereignissen wie Cyber-Bedrohungen, zum Beispiel Ransomware, zur Verfügung steht.

Effektives BCM dank sorgfältiger Planung (BCP)

Der Business-Continuity-Plan (BCP) ist ein dokumentierter, schrittweiser Plan für die sofortige Reaktion, den Backup-Betrieb und die Wiederherstellung nach einer Katastrophe, der die Verfügbarkeit kritischer Ressourcen gewährleistet und die Kontinuität des Betriebs in einer Krisensituation erleichtert. Oder anders gesagt: Business-Continuity-Plan ist das, was Unternehmen tun, um im Geschäft zu bleiben. Ein BCP beantwortet die Frage: Wie werden wir unsere Arbeit erledigen, wenn wir eine erhebliche Geschäftsunterbrechung erleiden wie z.B. den Verlust unserer Einrichtung oder unserer IT/OT? Die Entwicklung eines BCP, der auch ein Worst-Case-Szenario miteinkalkuliert, trägt dazu bei, sich auch bei weniger verheerenden Ereignissen auf der sicheren Seite zu bewegen.

Doch wie muss ein Business-Continuity-Plan aussehen? Mindestens folgende Punkte sollten enthalten und definiert sein:

• Rollen und Verantwortlichkeiten der Mitarbeitenden und Drittanbieter
• Arten von Unterbrechungen inkl. Cyber-Bedrohungen
• Schwellenwerte für die Eskalation
• Beschreibung von Sofortmassnahmen zum Schutz von Mitarbeitenden sowie Kunden und zur Schadensminimierung
• Prioritäten und Protokolle für die Business Continuity und Systemwiederherstellung
• Schutz der kritischeren Informationen inkl. Verfahren zur Behandlung von Ransomware, Data Leakage etc. sowie anderen Aktivitäten
• Pläne für die Infrastruktur, Systeme oder Prozesse/Verfahren, welche die Fortführung kritischer Prozesse bietet, für den Fall, dass eine grosse Anzahl von Mitarbeitenden resp. kritische Mitarbeitende/Fachbereiche für längere Zeit nicht verfügbar ist
• Identifizierte Alternativen für Kernprozesse, Einrichtungen, Infrastruktursysteme, Lieferanten, Versorgungsunternehmen, voneinander abhängige Geschäftspartner und Schlüsselpersonen
• Bargeld- und Liquiditätsbedarf

Auch wenn es aufwändig klingt: Die Bereitschaft für BCM beginnt im Kopf. Ein sinnvoller Einstieg in das Thema ergibt sich zum einen bei ersten Gespräche mit der obersten Führungsebene (Wer wird Fürsprecher für das Thema sein?), zum anderen bei Ergänzungen zu Richtlinien, Frameworks und Normen (Wenn BCM nicht drinsteht, wird es auch nicht passieren).

Fassen wir nochmals zusammen: Die Awareness und der Einbezug des Managements sowie der Mitarbeitenden führt zur Steigerung der Resilienz und wird die Fähigkeit der Mitarbeitenden verbessern, sich anzupassen und Störungen zu überwinden. Ein wichtiger Punkt beim Thema Resilienz ist das Bewusstsein, dass Störungen vorkommen. Sofern die BCM-Vorkehrungen jedoch geübt werden, ist ein Unternehmen darauf vorbereitet. Letztlich werden die Mitarbeitenden durch BCM-Übungen sowie die Stärkung der Resilienz mental widerstandsfähiger gegen künftige Störungen. Die Bereitschaft zu Business Continuity Management beginnt im Kopf – und am Kopf der Organisation, also dem C-Level-Management.

Professionelles BCM von Anfang an

Bewusstsein schaffen und Mitarbeitende sowie das Management miteinbeziehen sind wichtige Grundvoraussetzung, jedoch nur der Anfang. Effektives BCM inklusive BCP sind eine Herausforderung, die nicht immer alleine gestemmt werden kann. Ich und meine Kolleg*innen unterstützen Sie mit umfassendem Know-how und langjähriger Praxiserfahrung in den unterschiedlichsten Aspekten. Kontaktieren Sie uns unverbindlich – wir beraten Sie gerne.

Übrigens: In unserem Cyber-Resilience-Leitfaden haben wir kürzlich einen kostenlosen 7-Punkte-Notfallplan fürs Top-Management zusammengestellt. Enthalten sind zudem konkrete und ausführliche Handlungsempfehlungen, wie Sie Ihr Unternehmen auf einen Incident vorbereiten können. Interessiert? Hier geht's zum Download: