„Plan B“ für die Krise

Stör- und Ausfallereignisse solcher Art, die einen Betrieb ernsthaft gefährden können, pflegen schnell, unerwartet und mit ungeahnten Folgen einzutreten. Schon aus diesem Grunde beschäftigen sich immer mehr Unternehmen mit Fragen des Business Continuity Managements (BCM). Ganz nach der weisen Devise des großen Perikles: Es komme nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft vorbereitet zu sein.

Business Continuity Management ist kurz formuliert der „Plan B“ für unternehmenskritische Szenarien aller Art. Eine Präventivmaßnahme, um unverzichtbare Geschäftsprozesse auch bei einschneidenden internen oder externen Ereignissen aufrechtzuerhalten beziehungsweise eine unumgängliche Ausfallphase möglichst gering zu halten.

BCM kann in vielen Lagen erforderlich werden. Neben dem Klassiker, dem Ausfall von IT-Systemen und Rechenzentren, müssen auch bösartige Zugriffe auf Netzwerke, Einschleusung von Malware, Stromausfälle, kritische Schäden durch Feuer, Diebstahl/Einbruch, aber auch Pandemien und politisch oder terroristisch motivierte Angriffe ins Kalkül gezogen werden. Einbezogen sollten auch externe Ereignisse, die von den Unternehmen nicht beeinflusst werden können, wie Ausfälle von Lieferanten, Beeinträchtigungen von Lieferketten, landesweite Versorgungsengpässe, Naturereignisse (Ausbruch des Vulkans Eyjafjallajökull) und technische Schadensereignisse (Fukushima).

Welchen praktischen Nutzen BCM für Unternehmen hat, erläutert Tim Jordan, Consultant für BCM und IT Service Continuity Management (ITSCM) der Controllit AG, anhand eines anschaulichen Fallbeispiels. Auf dem Tresen eines Unternehmens der Kredit- und Versicherungsbranche war ein unfrankiertes Päckchen ohne Absenderangaben gefunden worden. Schlimmer noch: Eine erste Untersuchung ergab, dass das Päckchen weißes Pulver enthielt, wie der Absolvent des Bachelor-Studiengang Risiko- und Sicherheitsmanagement an der Hochschule für Öffentliche Verwaltung Bremen gegenüber PROTECTOR berichtet. Nachvollziehbarerweise kam der Verdacht auf Anthrax auf.

Glücklicher Umstand: Das betroffene Unternehmen hatte ein BCM System etabliert. Das ist bei Betrieben dieser Art die Regel, da die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) solche Schutzmechanismen für die gesamte Branche vorschreibt. Folglich war es möglich, dass auf der Grundlage des BCM-Systems planmäßig und geordnet alle erforderlichen Schritte realisiert werden konnten.

So wurde die suspekte weiße Substanz sofort einer chemischen Analyse zugeführt. Zeitgleich wurden Mitarbeiter, die sich in der Nähe des verdächtigen Verpackungsgegenstandes aufgehalten hatten, zur Untersuchung ins Krankenhaus gebracht. Ein für solche Notlagen sinnvolles Procedere war vorab mit der zuständigen Gesundheitsbehörde abgestimmt worden. Ein Krisenstab wurde in kürzester Zeit einberufen, wobei auf ein Mitglied verzichtet werden musste, das zu den potenziell „infizierten“ Beschäftigten zählte. Alle anderen Mitarbeiter wurden evakuiert und –wie im „Plan B“ vorgesehen- zeitgerecht in ein anderes Gebäude umquartiert. Unmittelbar nach dem Umzug übernahm ein Teil der evakuierten Mitarbeiter praktisch nahtlos die unternehmenswichtigsten Aufgaben der Kollegen, die sich im Krankenhaus befanden. Genauso wie es im Business-Continuity-Plan en detail geregelt war.

Zwar erwies sich die weiße Substanz letzten Endes als harmloses Backpulver, doch die vorsorglich ergriffenen Maßnahmen entfalteten dennoch eine überaus positive Innen- und Außenwirkung. Den Mitarbeitern und ihrem Umfeld wurde vor Augen geführt, dass neben der Sicherung von materiellen Unternehmenswerten nicht zuletzt auch der Gesundheitsschutz ganz oben auf der Unternehmensagenda steht. Außerdem wurde im Rahmen der BCM-Maßnahmen eine empfindliche Sicherheitslücke entdeckt. Ausgerechnet dort, wo das verdächtige Päckchen ablegt wurde, gab es Probleme mit der Videoaufzeichnung. Hätte die Überwachung funktioniert, wäre es möglich gewesen, den Verursacher zu identifizieren und den Vorfall eventuell ohne großes Aufhebens intern zu klären.

Als ersten Schritt auf dem Weg zu einem funktionierenden BCM empfiehlt Jordan die Erarbeitung einer von der Unternehmensführung unterschriebenen BCM-Policy, in der die Ziele verbindlich festgelegt werden. Als BCM-Maximen sind Minimierungen von finanziellen, personellen, rechtlichen und reputationsmäßigen Ausfallwirkungen denkbar. Mit dem „Stempel“ des Managements wird deutlich, dass BCM „von oben“ gewollt ist und die damit befassten Mitarbeiter von höchster Stelle unterstützt werden. Ein wichtiger Aspekt, denn andernfalls laufen die BCM-Sachbearbeiter Gefahr, dass ihre Arbeit nicht im wünschenswerten Maße ernst genommen und umgesetzt wird.

Die weiteren Schritte bestehen nach Angaben des Consultants in der Business Impact Analyse (BIA) und einem standortbezogenen Risk-Assessment. Mit einer BIA werden alle Prozesse und Systeme identifiziert, deren Ausfall oder Störung sich kritisch auf die Überlebensfähigkeit des Unternehmens auswirken würde. In diesem Kontext werden gleichzeitig die maximal tolerierbaren Ausfallzeiten definiert, auf deren Grundlage die weitere Planung aufbaut. Im Zuge des Risk-Assessments werden „im Anschluss die Risiken und deren Eintrittswahrscheinlichkeiten für die kritischen Prozesse und Systeme“ ermittelt, wie es in einer Unterlage der Controllit AG heißt. Risk-Assessment macht also erst dann Sinn „ wenn die Risiken und die Eintrittswahrscheinlichkeiten für das gesamte Unternehmen und dessen Teilbereiche abschätzbar sind“.

Es gilt, sorgfältig zu gewichten, denn alles und jedes zu schützen, wird kaum möglich sein. BCM ist deshalb die Kunst, unverzichtbare Kernprozesse und überlebenswichtige Systeme „sortenrein“ zu identifizieren und durch alternative Ablaufplanungen auch unter schwierigen Bedingungen sicherzustellen. Für weniger bedeutsame Strukturen müssen hingegen vertretbare Risiken in Kauf genommen werden. Diese Priorisierung sei von höchster Bedeutung und gleichzeitig auch der schwierigste Teil der BCM-Arbeit, betont Jordan.

Der Consultant empfiehlt, sich in und mittleren und größeren Unternehmen zunächst einen Teilbereich vorzunehmen und diesen separat unter BCM-Aspekten zu untersuchen. Von vornherein eine unternehmensweite BCM zu realisieren ist zwar möglich, bringt allerdings auch entsprechende Herausforderungen mit sich Zur Erleichterung der BCM-Planung sei es des Weiteren sinnvoll, nicht zu viele Szenarien einzeln zu beleuchten, sondern deren entscheidende Folgewirkungen in Schwerpunkten zusammenzufassen. Auswirkungen von Bränden oder Naturkatastrophen auf Gebäude und auch des beschriebene Vorfall mit dem weißen Pulver lassen sich beispielsweise unter dem Oberbegriff „Gebäudeausfall“ subsummieren. Es genüge dann, eine notfallmäßige Ablaufplanung für dieses Szenario zu entwickeln.

Zur Anwendung von BCM-Software sagt Jordan, dass es möglich sei, ein solches Tool bereits in der Anfangsphase einzusetzen. Er empfehle aber „eine Software insbesondere dann einzusetzen wenn bereits erste Erfahrungen mit BCM gemacht wurden, um die Organisation in der Anfangsphase nicht zu überfordern“. Und immer wichtig: üben, üben, üben. Denn nichts ist schlimmer als ein BCM-System, das es lediglich auf dem Papier gibt. Eine reale Gefahr, denn gerade in Großunternehmen kursieren Unmengen von Dokumenten, deren Pflege allein mehrere Vollzeitkräfte beschäftigen kann. Daher ist eine verbindliche Testplanung unerlässlich, um die Durchführbarkeit und Angemessenheit von entwickelten Business Continuity Plänen zu überprüfen und somit bestmöglich auf kommende Krisen vorbereitet zu sein.