Business Continuity, dt. Kontinuitätsmanagement oder besser Geschäftsfortführungsmanagement, ist ein umfangreiches Managementsystem. Es bietet die Möglichkeit auf Ereignisse in Qualität respektive Ausprägung eines Notfalls oder einer Krise vorbereitet, möglichst trainiert und professionalisiert zu reagieren, um bestenfalls mit geringem Schaden so schnell wie möglich in einen normalen Geschäftsbetrieb zurückzukehren wie auch unterjährig „in Friedenszeiten“ Risiken, Chancen und Potentiale frühzeitig zu erkennen, zu minimieren und zu nutzen.
Definition: Business Continuity - Was ist Business Continuity?
Ein Business Continuity Management System (BCMS) bietet die Möglichkeit u.a. Risiken frühzeitig zu erkennen und geeignete Maßnahmen dafür zu entwickeln, um im Eintritts-/Ereignisfall mit geringstmöglichen Schäden die Situation schnellst möglichst zu meistern.
Ein Business Continuity Management System (BCMS) besteht aus der unterjährigen Prävention mit der Generierung und Entwicklung aller für die Bewältigung in einer Akut-Situation notwendigen Regelungen und Maßnahmen sowie Integration, Aufrechterhaltung und Entwicklung des Managementsystems als solches – und der Bewältigung mit der besonderen Aufbau-Organisation als Unterstützungsprozess innerhalb der Organisation des Unternehmens im Akutfall.
Mögliche Szenarien für den Business-Continuity-Krisenfall
Business Continuity, dt. Geschäftsfortführungsmanagement konzentriert sich auf Ausnahme-Situationen in der Qualität eines Notfalls- und/oder einer Krise. Es besteht aus u. a. der unterjährigen Prävention in Form der Vorbereitung auf einen möglichst schadenreduzierenden und schnellen Wiederanlauf bzw. Wiederherstellung des Geschäftsbetriebs und versetzt kritische Geschäftsprozesse in einen Notbetrieb und schlussendlich in den Normalbetrieb einer Organisation. Bei einem Notfall und/oder einer Krise handelt es sich somit nicht um eine Störung, engl. incident, innerhalb der Organisation, auch keine schwere Störung – diese werden im Incident Management abgewickelt, und auch um keine Katastrophe, das sind Felder und Bereiche angrenzender Einheiten in- & außerhalb der Organisation/Organschaft.
Innerhalb von Organisationen und Organschaften gibt es keine Katastrophen. Nur Notfälle und Krisen. Katastrophen sind nach Definition ein räumlich und zeitlich nicht begrenztes Großschadensereignis, zum Beispiel im Bereich der Naturkatastrophen als Folge von Überschwemmungen oder Erdbeben und werden innerhalb der Organisation als Notfall oder Krise behandelt.
Jegliche Bedrohung und Gefährdung mit Einfluss und Auswirkung auf ein Unternehmen kann sich von einem Vorfall einer Störung in die Qualität eines Notfalls oder Krise wandeln.
Ein Business Continuity Management (BCM) – Prävention – und dessen Notfall- & Krisenmanagement – Bewältigung – wird organisiert im fachspezifischen Managementsystem (BCMS) zumeist nach internationalem Standard ISO 22301. Anforderungen, und benötigt neben weiteren engen Verbindungen zu anderen Bereichen, wie z. B. dem unternehmensweiten Risikomanagement oder auch dem Informationssicherheitsmanagement, ISMS, etc. im Unternehmen eine direkte und unmittelbare Verbindung zur ICT- / Infrastruktur mit allen wichtigen und kritischen sowie schutzwürdigen Elementen und Komponenten. Hierfür stehen ebenfalls Hilfsmittel wie Normen und Standards zur Verfügung, z. B. die ISO/IEC 27031 – Leitlinien für die Bereitschaft der Informations- und Kommunikationstechnologie für die Geschäftskontinuität.
Wichtige Hilfsmittel und Arbeitsmaterialien im Business Continuity Management und dessen Notfall- & Krisenmanagement
Geschäftsfortführungspläne (GFPs) je Organisationseinheit & Arbeitsbereich, etc.
Wiederanlauf- & Wiederherstellungspläne (WAPs & WHPs) je Zone, Gruppe, Komponente, Applikation, etc.
Notfall- & Krisenpläne je Zone, Gruppe, Gebäude, Standort, etc.
Diese Hilfsmittel und Arbeitsmaterialien werden in s. g. „Friedenszeiten“ unterjährig – in der Prävention – erarbeitet, getestet, überprüft und vor allem stets aktualisiert, um im Ereignis/Vorfall – in der Bewältigung – aktuell, getestet und trainiert eingesetzt zu werden. Mit dem Ziel, schnellst möglichst und schadenminimierend in einen Notbetrieb zu gelangen und von dort später in den Normalbetrieb der Organisation zurückzukehren.
Betriebliches Kontinuitätsmanagement
Technische Betrachtung
Technische Betrachtungen können und sollten vielseitig sein – technische Betrachtungen können z. B. die
Technik / Technologie — in ICT, dt. Informations- und Kommunikations-Technologie wie auch z.B. Produktions- und/oder Gebäudetechnik, etc.
als technisch bezeichnete Systematik und Methodik innerhalb eines Management- und Organisationssystems
als technisch bezeichnete Vorgehensweisen – strategisch, taktisch, operativ – innerhalb einer Organisation und deren Organisation, Gremien, Gruppen und Bereichen wie auch Teams ansprechen.
Die Technik/Technologie der ICT, Informations- und Kommunikationstechnologie hat, basierend auf einer eigenen z.B. ISO-Norm, einen internationalen ISO-Standard und somit Guideline. Diese Guideline, ISO/IEC 27031 IRBC, ist eng und untrennbar, neben weiteren, mit dem BCMS, Business Continuity Management System und dessen internationalen Standard der ISO 22301 verbunden.
Gesellschaftliche Sicherheit
Wie in der technischen Betrachtung ist auch die gesellschaftliche Sicherheit aus unterschiedlichen Blickwinkeln zu betrachten und festzulegen aus welcher fachlichen Sicht diese fokussiert werden soll.
Im Kontext der Business Continuity, dt. Geschäftsfortführung, bezeichnet gesellschaftliche Sicherheit die Anforderungen an ein Business Continuity Management System (BCMS) zum Erhalt von Sicherheit und Resilienz; diesen liegt die Norm, der internationale Standard ISO 22301 zugrunde. Diese Norm wurde vom Technischen Komitee ISO/TC 292 „Security and resilience“ in Zusammenarbeit mit dem technischem Komitee CEN/TC 391 „Schutz und Sicherheit der Bürger“ erarbeitet; in Europa kommt die europäische Norm zum Einsatz, welche in drei Sprachen, deutsch, englisch, französisch, verfügbar ist sowie einem nationalen Status entspricht.
ISO, die Internationale Organisation für Normung, ist eine weltweite Vereinigung nationaler Normungsorganisationen und arbeitet bei allen elektrotechnischen Themen eng mit der Internationalen Elektrotechnischen Kommission (IEC) zusammen.
Geschäftsfortführung im Krisenfall - Business Continuity (BC)
Das Geschäftsfortführungsmanagement konzentriert sich auf Ausnahme-Situationen in der Qualität eines Notfalls- und/oder einer Krise. Es besteht aus u. a. der unterjährigen Prävention in Form der Vorbereitung auf einen möglichst schadenreduzierenden und schnellen Wiederanlauf bzw. Wiederherstellung des Geschäftsbetriebs in einen Notbetrieb und schlussendlich in den Normalbetriebeiner Organisation. Bei einem Notfall und/oder einer Krise handelt es sich somit nicht um eine Störung innerhalb der Organisation, auch keine schwere Störung, und auch um keine Katastrophe, das sind Felder und Bereiche angrenzender Einheiten in- & außerhalb der Organisation.
Ein Business Continuity Management (BCM) und dessen Notfall- & Krisenmanagement wird organisiert im fachspezifischen Managementsystem (BCMS) zumeist nach internationalem Standard ISO 22301 und benötigt neben weiteren engen Verbindungen zu anderen Bereichen im Unternehmen eine direkte und unmittelbare Verbindung zur ICT- / Infrastruktur mit allen wichtigen und kritischen sowie schutzwürdigen Elementen und Komponenten. Hierfür stehen ebenfalls Hilfsmittel wie Normen und Standards zur Verfügung. Beispielsweise die ISO/IEC 27031 (IRBC oder auch als ITSCM, IT Service Continuity Management bezeichnet).
Integration der Security in den Business-Continuity-Plan
Security, dt. Sicherheit, bedeutet einen Zustand der störungsfreien Funktion – organisatorisch wie technisch – herzustellen, zu erreichen und aufrecht zu erhalten. Innerhalb eines Business Continuity Managementsystems (BCMS) bedeutet es eine Geschäftsfortführung wie auch Betriebsfähigkeit zu ermöglichen; genau dafür wird ein solches Managementsystem aufgebaut und integriert. Sicherheit ist somit ein Ergebnis, welches durch ein Business Continuity Management System (BCMS) unterstützt wird.
Ein Business Continuity Plan (BCP) wird jeweils für die kritischen Geschäftsprozesse erstellt und eine Einstufung der Kritikalität zu jedem Aspekt und Prozessteil wie auch benötigte Komponenten, Infrastruktur, Personen/Personal, etc. vorgenommen. Dieser sollte alle notwendigen Punkte zur Erstellung einer Betriebsfähigkeit beinhalten, organisatorisch wie technisch und um so genannte Workarounds ergänzt zur Verfügung stehen. Ein Workaround, ist eine s. g. Not- und/oder Behelfslösung, die dann zum Einsatz kommt, wenn für den Prozess notwendige Teile & Komponenten, etc. nicht zur Verfügung stehen. Der Einsatz dieser im BCP, definierten und beschriebenen Workarounds kommt nur dann zum Einsatz, wenn von einer autorisierten Stelle der Notfall und/oder die Krise für den betroffenen Bereich ausgerufen wurde!
im BCMS – Business Continuity Management System / Geschäftsfortführungsmanagement definierte Wünsche an messbaren Werten:
RTO = engl. Recovery Time Objective – Ziel für die Wiederherstellungszeit
RPO = engl. Recovery Point Objective – Ziel des Wiederherstellungspunkts oder max. Datenverlust
MBCO = engl. Minimum Business Continuity Objective – Notbetriebs-Niveau
MTPD = engl. Maximum Tolerable Period of Disruption – höchstzulässige Dauer der Unterbrechung
und wird einmal im Jahr, durch eine BIA, Business Impact Analyse erhoben. Diese Wünsche der Fachseite werden dann gegen die Realitäten der Möglichkeit und Machbarkeiten* der organisatorischen und technischen Seite gespiegelt und ein Matching vollzogen.
Schulung, Training, Test und Übung sind wichtige Bausteine u. a. innerhalb eines Business Continuity Management Systems (BCMS), um das fachspezifisch gemeinsam geplante, definierte, fixierte, organisierte und spezifisch für jede Einheit dokumentierte den jeweilig Beteiligten und Betroffenen an die Hand zu geben, zu trainieren und somit eine gewisse geführte wie autarke „intuitive richtige Handlungsweise“ in einem, auch bedrohlichen, Ereignis in der Qualität eines Notfalls und/oder Krise zu ermöglichen.
Business Continuity Management: Vorteile und Nachteile eines BCM
Einfach gesagt ist Business Continuity eine hauseigene und selbst generierte Versicherung im Unternehmen; gut gemacht, ist es ein „Netz mit doppeltem Boden“ innerhalb der Organisation, um trotz Vorfall in der Qualität eines Notfalls oder einer Krise diese möglichst optimal zu handhaben und den Geschäftsbetrieb entweder aufrechtzuerhalten oder schnellstmöglich in den Notbetrieb und schlussendlich wieder in den normalen Geschäftsbetrieb zurückzuführen.
Ein Business Continuity Management (BCM) und dessen Notfall- & Krisenmanagement nebst der wiederum darin enthaltenen Besonderen Aufbauorganisation (BAO) bietet unterjährig die Möglichkeiten zur Resilienz-Entwicklung der Organisation durch z. B. Schwachstellen-Erkennung, Potential-Nutzung, der gezielten Entwicklung und Umsetzung von geeigneten Maßnahmen zur Erhöhung der Organisationssicherheit sowie der Erarbeitung von spezifischen Notfall- & Krisenplänen nebst fachseitigen Workarounds zum möglichst schadenminimierenden sowie schnellen Aufbau eines Notbetriebs und späteren Rückkehr zum Normalbetrieb des Unternehmens.
Ein Business Continuity Management System (BCMS) verhindert keine Ereignisse/Vorfälle – es trägt u. a. und neben anderen Managementsystemen dazu bei
Risiken frühzeitig zu erkennen und geeignete Maßnahmen zu entwickeln, um bestmöglich mit dem Ereignis/Vorfall-Eintrittsfall so genannte Ausfall-Szenarien / Bedrohungs-Szenarien / Gefährdungs-Potentiale umzugehen respektive umgehen zu können und so gut wie möglich sowie wirtschaftlich sinnvoll auf definierte Eintritts-Szenarien der Güteklasse Notfall oder Krise vorbereitet zu sein.
Kurzum: auch ein BCMS, Business Continuity Management System, dt. Geschäftsfortführungsmanagement, dient neben anderen der Risikominimierung und Organisationssicherheit mit dem fachspezifischen Alleinstellungsmerkmal des unternehmensspezifischen Aufbau eines Notfall- & Krisenmanagement zur Vorbereitung auf eine professionalisierte Handhabung mit einem Vorfall in Qualität eines Notfalls oder Krise.
nach Eintritt eines solchen Falls, diese Situation bestmöglich, mit den geringstmöglichen Schäden sowie schnellstmöglich zu meistern und eine möglichst uneingeschränkte Betriebsfähigkeitwiederherzustellen. Hierzu ist eine besondere Aufbauorganisation (BAO) zu schaffen sowie geeignete Maßnahmen und Pläne zu entwickeln das Unternehmen in einen Notbetrieb und später in den Normalbetrieb zurückzuführen.
Die Resilienz und Widerstandsfähigkeit eines Unternehmens zu erhöhen und sich in dieser selber kein Organisationsverschulden zu begehen und somit der Compliance sowie der auf die Organisation einwirkende Regulatorik durch Gesetze, Verordnungen, Richtlinien sowie Normen & Standards genüge zu tun, um sich somit auch keinem Straftatbestand schuldig zu machen.
Nachteile eines BCM System
Was kann an einem Netz mit doppeltem Boden als Drahtseil-Jongleur oder eigengenerierten Versicherung in der Organisation verkehrt sein? Ja, es kostet Geld und es bedarf Arbeit, Willen, Verständnis und ein wenig Aufwand um ein Business Continuity Management System (BCMS), zu deutsch Geschäftsfortführungsmanagementsystem aufzubauen, zu etablieren, aufrechtzuerhalten und stets zu erweitern und zu verbessern. Das ist eine Entscheidung kann niemand anderes Treffen als die jeweils verantwortliche Person.
Nutzen eines Netzwerk – Gemeinsam noch stärker
wie schon zu anderen Begriffen und Begrifflichkeiten ist auch zum Begriff Netzwerk zu fragen
was genau ist mit dem Begriff gemeint?
welches Netzwerk wird angesprochen?
handelt es sich um Personen- oder Unternehmens-Netzwerke?
oder handelt es sich z.B. um ICT-Infrastruktur und dessen dortigen Netzwerke mit deren Hard- & Software?
etc.
Im Business Continuity Management, zu deutsch Betriebsfähigkeit- & Geschäftsfortführungsmanagement, sowie dessen inkludiertem Notfall- & Krisenmanagement ist es notwendig wie auch zwingend erforderlich klar, konkret, genau definiert und nachvollziehbar sowie am besten durchweg gerichtsfest zu kommunizieren, zu dokumentieren und zu agieren!
Dokumentation und Nachweisbarkeit ist wichtig und unterliegen allen rechtlichen wie Compliance-relevanten Grundlagen.
Es kommt also immer darauf an worum es geht und wann, wie in welcher Ausprägung und in welcher Situation ein Netzwerk genutzt wird sowie für welche Themen und Projekte. Grundsätzlich jedoch gilt, gemeinsam kann mehr erreicht werden wie auch geteiltes Leid ist halbes Leid, sofern es mit rechten Dingen zugeht. Leider ist in der heutigen Zeit eine hohe Ideologie-Verliebtheit sowie eine umfängliche Schwarm-Unwissenheit zu verzeichnen, somit kann ein Netzwerk auch kontraproduktiv sein und werden.
Fazit: betriebliches Kontinuitätsmanagement
Ein Business Continuity unterstützt die Verfügbarkeit und den Betrieb einer Organisation. Die Implementierung sollte in jedem Unternehmen oder Organisation erfolgen, um auf Notfall- und Krisensituationen auch in der Praxis vorbereitet zu sein. Regelmäßige Tests und Übungen trainieren die Handhabung des Disaster Recovery, der Notfall- & Krisen-Bewältigung, zur Wiederherstellung des Geschäftsbetriebs.
Definitionen, Guidelines sowie korrekte Anwendung und klare Kommunikation sind ganz wichtige Punkte im ISO BCM oder BSI BCM und allen weiteren möglichen und verfügbaren BCM Standards. Jeder Standard bildet eine Grundlage für die jeweilige BCM Zertifizierung sowie eine hohe Verfügbarkeit der notwendigen Daten & Informationen, sowie Wissen um maximale Ausfallzeiten. Diese sind gerade für Krisenzeiten wichtig zu kennen, da sich doch die Bedrohungslage mit Blick auf die Notwendigkeit einer umfassenden CyberSecurity oder auch kriegerischen Auseinandersetzungen wie auch volatilen Lieferketten oder gar der Wirtschaft als solches, stetig verschärft.
BCM Berater gibt es viele, doch wirklich gute und Erfahrene Berater nur sehr wenige. Die BCM Strategie ist dann meist die rudimentäre Abbildung von Ausfallzeiten im Business Kontinuitätsplan, dazu passt dann auch das Thema BLACKOUT!
In der Praxis bewährte Verfahren mit hoher Wirksamkeit sind spezifisch konzipierte und miteinander verzahnte Managementsysteme; diese dienen als Steuerungsinstrumente, minimieren Risiken und erhöhen die Betriebs- & Geschäftsfähigkeit in und von Unternehmen.
Business Continuity, zu deutsch Kontinuitätsmanagement besser Geschäftsfortführungsmanagement, ist ein umfangreiches Managementsystem. Es bietet die Möglichkeit auf Ereignisse in Qualität respektive Ausprägung eines Notfalls oder einer Krise vorbereitet, möglichst trainiert und professionalisiert zu reagieren, um bestenfalls mit geringem Schaden so schnell wie möglich in einen normalen Geschäftsbetrieb zurückzukehren wie auch unterjährig „in Friedenszeiten“ Risiken, Chancen und Potentiale frühzeitig zu erkennen, zu minimieren sowie zu nutzen.
es ist Organisationsspezifisch konzipiert, aufgebaut und implementiert
es ist integrativ verzahnt zu anderen Steuerungs- & Managementsystemen
es deckt alle potenziellen und relativen Risiken ab
es generiert eine Betriebs- & Geschäftsfortführungsfähigkeit
es erkennt Schwachstellen & Lücken und minimiert Risiken
es verbessert die Widerstandsfähigkeit und Resilienz, wie auch das Tagesgeschäft und die Innovationskraft der Unternehmen
Es sollten alle notwendigen Grundlagen wie grundlegende Informationen, Daten & Systeme vorhanden sein wie zum Beispiel Übersicht der Prozesse und Prozesslandschaft wie auch der Produktions- & ICT-Landschaft mit all deren Komponenten an den auch unterschiedlichsten Standorten wie auch in der Cloud etc.
Es ist kein „mal eben“ „aus der Hüfte geschossenes Unterfangen“ oder mit einem Zettelchen an rudimentären Sofortmaßnahmen getanes Vorhaben. Es handelt sich um die Einführung eines Managementsystems und Steuerungsinstruments zur Ab-/Sicherung und Risikominimierung des Unternehmens, der Unternehmen
Der Erfolg wie die dafür notwendige Funktionalität und Wirksamkeit ist nur durch eine Unternehmensspezifische Konzeption unter Nutzung allgemein anerkannter Standards wie zum Beispiel ISO sowie genügend Zeit und Ressourcen wie auch Rückhalt und Vorleben der Geschäftsführung zu generieren und zu erreichen.
Risiken frühzeitig zu erkennen und geeignete Maßnahmen zu entwickeln, um bestmöglichst mit dem Ereignis im Eintrittsfall des Ausfall- & Bedrohungs-Szenarios wie auch mit Gefährdungs-Potentialen umzugehen und so gut wie möglich und wirtschaftlich sinnvoll auf definierte Vorfalls-Szenarien der Güteklasse eines Notfall oder einer Krise vorbereitet zu sein.
Betriebsfähigkeit wiederherzustellen indem eine besondere Aufbauorganisation (BAO) geschaffen wurde sowie geeignete Maßnahmen und Pläne entwickelt wurden das Unternehmen in einen Notbetrieb und später in den Normalbetrieb zurückzuführen.
Resilienz und Widerstandsfähigkeit eines Unternehmens zu erhöhen und in dieser selber kein Organisationsverschulden zu begehen sowie somit auch der Compliance und der auf die Organisation einwirkende Regulatorik durch Gesetze, Verordnungen, Richtlinien und Normen & Standards genüge zu tun und sich damit ebenfalls keinem Straftatbestand schuldig zu machen.
ISO 27031 ist ein Hilfsmittel zum Erhalt einer Readiness for Business Continuity, auf deutsch Leitfaden für die Betriebsbereitschaft für die Geschäftsfortführung.
ISO/IEC 27031, Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity, IRBC oder auch als ITSCM, IT Service Continuity Management bezeichnet Sicherheitstechniken und Leitlinien für die Bereitschaft der Informations- und Kommunikationstechnologie für die Geschäftskontinuität (IRBC oder auch als ITSCM, IT- besser ICT Service Continuity Management bezeichnet.
Die Guideline, ISO/IEC 27031 IRBC, ist eng und untrennbar, neben weiteren, mit dem BCMS, Business Continuity Management System und dessen internationalen Standard der ISO 22301, gesellschaftliche Sicherheit und Anforderungen an ein Geschäftsfortführungsmanagementsystems (BCMS, Business Continuity Management System) verbunden.