SIT_Logo

Business Continuity

  • Autor: Axel Allerkamp
  • Was tun, wenn’s brennt? Handeln statt hoffen - Business Continuity hilft Managern, große und kleine Krisen zu meistern.

    Vor lauter Gewinn-Orientierung verdrängen viele Unternehmen, was alles schief gehen kann. Zwar stehen Prozesse stets im Mittelpunkt, wenn es um die Verbesserung der Wertschöpfung geht, Risiken und Krisenreaktion werden jedoch oft vernachlässigt. IT-Sicherheit nimmt in ihrer Bedeutung in den Unternehmen zu. Doch die Vorsorge für eventuelle Krisenfälle wird meist als Kostenfaktor ohne erkennbaren Mehrwert wahrgenommen, weil Unternehmen Business Continuity sehr häufig nur im Zusammenhang mit großen und eher unwahrscheinlichen Schadensereignissen betrachten. Viele Unternehmen verdrängen schlicht mögliche Gefahren, frei nach dem Motto: Uns passiert so etwas nicht und wenn eine Katastrophe kommt, dann haben wir ganz andere Probleme als uns um die Details zu kümmern. Was Manager oft vergessen: Nicht nur Erdbeben, Unwetter und andere Naturkatastrophen führen zu immensen Schäden. Bereits ganz alltägliche Ereignisse können zu Krisensituationen führen und die Fortführung des Geschäfts nachhaltig stören. Bereits der Ausfall eines einzigen Druckers im Versand kann zu erheblichen Kosten führen, weil sich Lieferbelege und Frachtpapiere nicht mehr erstellen lassen. Ergebnis: Just-in-time-Lieferungen sind nicht mehr möglich, es drohen Schadensersatzforderungen und Kundenverlust. Der ursprüngliche Schaden beträgt dabei nur wenige hundert Euro, die finanziellen Auswirkungen durch Vertragsstrafen und einer notwendigen Mehrarbeit wachsen jedoch schnell zu Millionenbeträgen.

    Das Beispiel verdeutlicht ein grundsätzliches Problem, oft merken Unternehmen erst sehr spät, dass eine Krise eingetreten ist. In solchen Notsituationen herrscht sehr oft ein Informationsdefizit vor, in denen Ursachen und Wirkungen noch nicht vollständig erfasst werden. Um das wirtschaftliche Desaster abzuwenden, müssen Entscheidungen unter Zeitdruck getroffen werden. In diesen Stresssituationen wird jede Aktion begrüßt, die den Stress nicht noch zusätzlich erhöht. Vorbereitete Pläne dienen dazu, in akzeptabler Zeit wieder in den Normalbetrieb zurückzukehren.

    Jeder Manager hat einen natürlichen Ehrgeiz, sein Unternehmen vor solchen alltäglichen Risiken zu schützen. Neben dieser wirtschaftlichen Motivation gibt es jedoch auch gesetzliche oder andere formale Verpflichtungen, sich mit dieser Thematik auseinanderzusetzen. Basel II, Steuergesetze (GDPdU – Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), Handelsgesetzbuch oder auch das GmbH-Gesetz - überall finden sich Verpflichtungen, die bei Nichtbeachtung finanzielle oder zivilrechtliche Konsequenzen nach sich ziehen können.
    Diese Aspekte werden in der meist kostenorientierten Business Continuity-Diskussion in Unternehmen jedoch oft vernachlässigt, bis es zu spät ist.

    Sich für einen Ernstfall vorzubereiten, bedeutet neben der Willenserklärung auch die Bereitstellung von Finanzen und Ressourcen. Daher ist Business Continuity ein Prozess, den das Management initiieren und aktiv unterstützen muss. Primäres Ziel dabei kann es nicht sein, sich für jedes Schadensereignis zu wappnen. Die Realität ist zu vielfältig, als dass sich jedes Szenario bis ins letzte Detail planen lässt. Außerdem kann in Ausnahmesituationen trotz sorgfältiger Planung nicht immer ein Plan zur Wiederherstellung des Normalbetriebes eingehalten werden. In solchen Situationen muss es für Mitarbeiter und Manager die Freiheit geben, sich auf die tatsächliche Situation einzustellen und auf Basis der vorbereiteten Pläne Entscheidungen zu treffen.

    Robustheit und Stabilität zu schaffen, um in Ausnahme- oder Krisensituationen bestehen zu können und den wirtschaftlichen Schaden zu minimieren, das ist das elementare Ziel von Business Continuity.

    Um überhaupt zu wissen, für welche Teile des Unternehmens Notfallpläne zu erstellen sind, muss man sein Geschäft kennen und wissen durch welche Risiken die Fortführung gefährdet ist. Die Automatisierung von Prozessen, die Verschmelzung der Infrastruktur mit den Wertschöpfungsketten, die Mobilität der Mitarbeiter und durch Partner erbrachte Leistungen verlangen eine Gesamtsicht auf das Unternehmen.
    Aufbauend auf diesen Kenntnissen ist im Allgemeinen nur für wenige Prozesse eine Notfallbetrachtung erforderlich.

    So kann man Strategien entwickeln, wie im Ausnahmezustand zu verfahren ist. Jede der Strategien hat Vor- und Nachteile. Nur durch genaues Abwägen gegeneinander kann eine unternehmensspezifische Strategie gefunden werden. Die Strategie gibt die Richtung vor, in der die notwendigen Notfallpläne zu erstellen sind. Zu diesem Zeitpunkt sind bereits die Verantwortlichkeiten für Notfälle festzulegen. Dadurch vermeidet man Auseinandersetzungen über Kompetenzen in Situationen, wo es um die rasche Wiederherstellung des regulären Geschäftsbetriebes geht.
    Neben der Entwicklung von Notfallplänen ist auch deren Aktualität und Funktionsfähigkeit regelmäßig zu überprüfen. Ein Notfallplan von dem die Mitarbeiter nichts wissen oder der veraltet ist, führt in Notfallsituationen zu ähnlich viel Chaos, als wenn es gar keinen Plan gibt.
    Nur das Zusammenspiel von unterschiedlichen Personen und Prozessen schafft die Voraussetzungen, dass aus einem Notfall eine Rückkehr zur Normalität möglich ist.

  • Autor: Axel Allerkamp, Dipl. - Ing, wissenschaftlicher Mitarbeiter am Fraunhofer Institut Sichere Informationstechnologie SIT in Darmstadt, arbeitete im Testlabor IT-Sicherheit