Cyberkrise? Mit Business Continuity Management (BCM) undramatisch

Ob Cyberangriffe, Naturkatastrophen, Pandemien oder technische Störungen – die Risiken sind vielseitig und können massive Auswirkungen auf die Geschäftsprozesse haben. Hier kommt das Business Continuity Management (BCM) ins Spiel: ein systematischer und doch dynamischer Ansatz, der sicherstellt, dass Unternehmen auch in Krisensituationen handlungsfähig bleiben.

BCM beschreibt die Planung und Umsetzung von Massnahmen, die darauf abzielen, wesentliche Geschäftsprozesse auch in Ausnahmesituationen aufrechtzuerhalten. Hierfür sind Risiken zu identifizieren, potenzielle Auswirkungen zu bewerten und Strategien zu entwickeln, um die Kontinuität der Geschäftstätigkeit zu gewährleisten.

Die 4 Säulen eines effektiven BCM-Systems

Ein wirksames BCM-System stützt sich auf folgende vier zentrale Kernbestandteile:

• Risikobewertung und -analyse: Identifikation kritischer Geschäftsprozesse und Analyse potenzieller Bedrohungen und Bewertung der Auswirkungen von Ausfällen. Die Business Impact Analyse (BIA) ermittelt Abhängigkeiten, priorisiert Wiederherstellungsmassnahmen und bildet die Basis für fundierte Entscheidungen im Risikomanagement.
• Notfall- und Krisenpläne: Entwicklung von Massnahmenplänen zur Bewältigung von Störungen.
• Test und Überprüfung: Regelmässige Tests zur Sicherstellung der Wirksamkeit der Pläne, insbesondere Disaster Recovery Tests (DRT) für IT-Systeme. DRTs prüfen Wiederherstellungsprozesse, identifizieren Schwachstellen und optimieren die Resilienz der IT-Infrastruktur.
• Schulungen: Sensibilisierung und Vorbereitung der Mitarbeitenden auf Krisenszenarien.

BCM oder ITSCM?

Business Continuity Management (BCM) und IT Service Continuity Management (ITSCM) sind beides essenzielle Disziplinen im Risikomanagement, unterscheiden sich jedoch in ihrem Fokus und Umfang.

Business Continuity Management (BCM) sichert die Fortführung kritischer Geschäftsprozesse bei Störungen. IT Service Continuity Management (ITSCM) ist ein Teilbereich dessen und konzentriert sich auf die Wiederherstellung und Verfügbarkeit von den notwendigen IT-Systemen. Während beim BCM das gesamte Unternehmen betrachtet wird, fokussiert sich ITSCM auf technische Lösungen wie Backup und Disaster Recovery.

BCM in aktuellen Standards und Regulierungen

Die Bedeutung von BCM wird nicht nur durch seine praktischen Vorteile unterstrichen, sondern auch durch die Anforderungen aktueller Regulierungen gefordert.

Unternehmen, die die Standards einhalten, profitieren von einer gesteigerten Resilienz und erfüllen gleichzeitig regulatorische Verpflichtungen. Hier sind einige der wichtigsten Vorgaben:

1. NIS2-Richtlinie: Die überarbeitete EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2) verpflichtet Unternehmen, robuste Massnahmen zur Cybersicherheit zu implementieren. BCM ist ein zentraler Bestandteil, um sicherzustellen, dass kritische Dienste bei Cyberangriffen nicht ausfallen.
2. DORA (Digital Operational Resilience Act): Im Finanzsektor verlangt DORA, dass Institutionen ihre operative Resilienz gegenüber digitalen Bedrohungen stärken. BCM spielt eine entscheidende Rolle, indem es sicherstellt, dass auch bei IT-Ausfällen oder Sicherheitsvorfällen die Kontinuität der Geschäftsabläufe gewährleistet bleibt.
3. ISO/IEC 27001: Der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS) fordert ebenfalls die Integration eines BCM. Im Rahmen des Risikomanagements müssen Unternehmen sicherstellen, dass kritische Informationen auch in Krisensituationen verfügbar sind.
4. Nationale Strategie zum Schutz kritischer Infrastrukturen (SKI): Die Schweizer Regierung hat die Nationale Strategie zum Schutz kritischer Infrastrukturen entwickelt, um die Resilienz dieser essenziellen Systeme zu stärken. Diese Strategie betont die Bedeutung von BCM als integralen Bestandteil des Risikomanagements für Betreiber kritischer Infrastrukturen.
5. Eidgenössische Finanzmarktaufsicht (FINMA): Die FINMA hat Mindeststandards für das Business Continuity Management im Finanzsektor eingeführt, die von Unternehmen umgesetzt werden müssen. Diese Standards umfassen spezifische Vorgaben zur Krisenbewältigung und Risikominimierung.
6. Informationssicherheitsgesetz (ISG): Das Schweizer Informationssicherheitsgesetz (ISG) verpflichtet Betreiber kritischer Infrastrukturen zur Implementierung eines Informationssicherheits-Management-Systems (ISMS), das auch Aspekte des Business Continuity Managements (BCM) umfasst, um die Kontinuität der Geschäftsprozesse sicherzustellen.
   
   Die relevanten Abschnitte des ISG, die diese Anforderungen behandeln, sind:
   
   1. Artikel 6: Beurteilung des Schutzbedarfs von Informationen.
   2. Artikel 8: Risikomanagement, einschliesslich der Identifizierung und Bewertung von Risiken.
   3. Artikel 11 bis 15: Klassifizierung von Informationen basierend auf ihrem Schutzbedarf.
   4. Artikel 16 bis 19: Festlegung von Sicherheitsverfahren und -Massnahmen im Zusammenhang mit Informatikmitteln.
   5. Artikel 20 bis 23: Gewährleistung des personellen und physischen Schutzes.
   6. Artikel 24 bis 26: Verwaltung von Identitätssystemen.
7. ISO 22301: Dieser internationale Standard für Business Continuity Management Systeme wird in der Schweiz oft angewendet. Er bietet einen Rahmen für die Planung, Implementierung und Überwachung eines effektiven BCM.

Der Nutzen eines solide implementierten BCM

Ein funktionierendes Business Continuity Management bietet Unternehmen zahlreiche Vorteile, die ein Überlegen sichern:

• Minimierung von Ausfallzeiten basierend auf schnellere Wiederaufnahme der Geschäftstätigkeit nach Störungen.
• Reputation bewahren durch Vermeidung von Imageschäden durch proaktive Krisenbewältigung.
• Kundenzufriedenheit mit Kontinuität der Dienstleistungen, auch in schwierigen Zeiten.
• Einhaltung regulatorischer Anforderungen und Compliance zur Vermeidung von Strafen oder Sanktionen.

Die 5 Hebel für maximale Krisenfestigkeit

InfoGuard bietet umfassende Dienstleistungen, um Unternehmen bei der Einführung, Optimierung und Pflege ihres Business Continuity Managements zu unterstützen. Unsere Angebote umfassen:

1. Programm-Management: Unsere Erfahrungen in der Beratungsmethodik helfen Ihnen beim Entwurf und der Aufrechterhaltung einer ISO 22301-Konformität.
2. BCM-Assessments: GAP-Assessments helfen bei einer unabhängigen Bewertung des aktuellen Zustands und die Einhaltung von Vorgaben zu beurteilen. Als Basis dienen Interviews mit Mitarbeitenden sowie Analysen von Prozessen und Technologien, um den Grad der Business Continuity Assurance zu bestimmen.
3. Business Impact Analysen (BIA) dienen der Identifizierung unternehmenskritischer Dienste und Aktivitäten, der Bestimmung ihrer Ausfallsicherheit und zur Festlegung von Prioritäten bei der Wiederherstellung.
4. Disaster Recovery Tests und Validierung überprüfen bestehende Disaster-Recovery-Pläne und unterstützen Unternehmen bei der Durchführung eines umfassenden Disaster-Recovery-Tests.
5. Simulation: Nur auf Herz und Nieren getestete Business-Continuity-Pläne beweisen im Ernstfall ihre Qualität. Dabei werden eine Reihe von Tests entworfen und durchgeführt, die beispielsweise umfassen: Krisenkommunikation, Cyber-Angriffssimulation, IT-Wiederherstellung und Wiederanlauf.

Fazit: BCM als strategischer Erfolgsfaktor

BCM ist somit nicht nur eine Pflichtübung, um regulatorische Anforderungen zu erfüllen, sondern ein entscheidender Wettbewerbsvorteil in einer unsicheren Welt. Unternehmen, die auf BCM setzen, können in Krisensituationen gezielter und wirksamer reagieren. Gleichzeitig schaffen sie Vertrauen bei Kunden, Partnern und Behörden und zeigen, dass sie auf unerwartete Ereignisse vorbereitet sind.

Wenn Sie Ihr Unternehmen resilienter für die Zukunft gestalten möchten, unterstützen wir Sie gerne bei der Implementierung eines fundierten BCM-Systems. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Bildlegende: mit KI generiertes Bild