ITK-Experts.de

Datenschutz * Security * Continuity

Haben Sie einen Plan B ?

Warum es sich lohnt über Business Continuity nachzudenken

Jedes Unternehmen ist anders und jedes Unternehmen ist in unterschiedlicher Art und Weise auf das Vorhandensein und die Funktion bestimmter Ressourcen angewiesen.  Für einige, meist technische Systeme und Prozesse sind dabei fast immer Vorkehrungen für Ausfall oder Verlust getroffen, beispielsweise ein regelmäßiges Backup oder eine hochverfügbare Auslegung des Systems. Damit sehen sich viele gut gerüstet, es sind ja schließlich Maßnahmen vorhanden. Wie sieht es aber bei anderen Ressourcen wie Geschäftsräumen, Mitarbeitern oder Dienstleistern aus? Was passiert, wenn plötzlich große Teile der Belegschaft nicht zu ihrem Arbeitsplatz können? Die aktuelle Situation mit dem Corona-Virus SARS-CoV-2 zeigt eindrucksvoll, dass ein ganzheitlicher Blick auf die Geschäftsprozesse notwendig ist, um die Auswirkungen einer Krise auf das eigene Unternehmen abzumildern und dessen Fortbestand zu sichern.

Es ist daher sinnvoll, sich Gedanken darüber zu machen, welche Prozesse und Ressourcen für das eigene Unternehmen lebensnotwendig sind, und wie lange man einen Ausfall tolerieren kann ohne existenzbedrohende Schäden hinnehmen zu müssen. Formalisiert erhebt man dies am Besten im Rahmen einer Business Impact Analyse (BIA) . Hier wird übersichtlich festgehalten, welche Geschäftsprozesse welche Ressourcen nutzen, welche direkten und indirekten Konsequenzen (finanzielle Einbußen, Umsatzverluste, Wechselwirkungen auf andere Prozesse …) ein Ausfall dieser Ressourcen jeweils hat und wie der zeitliche Verlauf des zu erwartenden Schadens ist. Aus diesen Erkenntnissen lässt sich in Folge ableiten, welche Ausfallzeit je Objekt maximal tolerierbar ist, d.h. wann ein Ausfall beginnt richtig weh zu tun (der sogenannte „Cry Point“). Ausserdem kann man so ableiten, ab welcher Ausfallzeit ein irreparabler oder existenzgefährdender Schaden entsteht (der „Die Point“). Ziel der Continuity Maßnahmen sollte sein, eine akzeptable Funktionalität möglichst noch vor Erreichen des „Cry Point“ wieder herzustellen und — falls dies nicht funktioniert — das Erreichen des „Die Point“ durch geeignete Maßnahmen der Krisenbewältigung zu verhindern.

Auf Basis dieser Daten lassen sich im nächsten Schritt Business Continuity Pläne (BCP) für Ressourcen oder Geschäftsprozesse aufstellen. In diesen wird festgelegt, welche Maßnahmen unter welchen Bedingungen getroffen werden, um den Ausfall der entsprechenden Ressource zu kompensieren oder den entstehenden Schaden zu verringern. Sinnvoll ist hierbei auch, sich über mögliche Katastrophenszenarien und deren Eintrittswahrscheinlichkeit Gedanken zu machen, da schon aus wirtschaftlichen Überlegungen heraus die Maßnahmen priorisiert und im Hinblick auf ein optimales Kosten/Nutzen Verhältnis eingeführt werden sollten. Nicht für jedes Katastrophenszenario muss man einen Plan in der Schublade haben, wohl aber für diejenigen, deren Eintrittswahrscheinlichkeit den „Risikoappetit“ des Unternehmens übersteigt.

In einem Krisenfall sind die normalen Prozesse und Entscheidungswege in einem Unternehmen zu schwerfällig, es muss direkt, aber auf Basis fundierter Informationen entschieden werden um die Lage nicht zu „verschlimmbessern“. Zu einem funktionierenden Business Continuity Management (BCM) gehört daher auch, dass die Krisenorganisation definiert wird und Kommunikationswege und Entscheidungskompetenzen klar festgelegt werden. Auch ist der schwierige Balanceakt zwischen zielgerichteter, zeitnaher und hinreichend detaillierter Information der Entscheider einerseits und einem handlungslähmenden Berichtsmarathon zu meistern. All dies erfordert, den Krisenfall im Normalbetrieb zumindest einmal durchzuspielen oder besser noch dies regelmäßig zu üben.

All dies klingt zunächst aufwändig, bürokratisch und kostenintensiv, muss es aber in der Praxis nicht sein. Es kommt darauf an, einen individuell zu dem jeweiligen Unternehmen passenden Ansatz zu wählen. In der Regel ist es nicht sinnvoll, zuviel auf einmal zu wollen und aus dem Stand ein vollumfängliches BCM aufzustellen. Es genügt als Basis zunächst, die kritischsten Szenarien und Prozesse zu ermitteln und für diese angemessene Maßnahmen festzulegen. Sobald das Thema damit grundsätzlich etabliert ist und der Krisenplan für die „Kronjuwelen“ steht, kann man die bestehende Methodik auf die Ressourcen und Prozesse der „zweiten Reihe“ ausdehnen. Ich helfe Ihnen gerne bei einem modularen Aufbau des BCM in Ihrem Unternehmen.

Comments are currently closed.