Risiken im Fokus

Der Blick muss also bei vielen Unternehmen geweitet werden, um auch für Nicht-IT-Notfälle vorbereitet zu sein. Auch wenn die Schweinegrippe weitgehend harmlos an uns vorübergegangen ist: Was sollte ich vorbereitet haben, wenn ein breiter Personalausfall (zum Beispiel wegen einer Epidemie) droht? Wie sichere ich mich gegen den Ausfall wichtiger Dienstleister ab? Welcher Dienstleister ist wichtig? Und überhaupt: Muss ich das gesamte Geschäft absichern oder kann ich den Umfang sinnvoll einschränken?

Ein bewährtes Vorgehen, um in einer solchen Situation der Neuausrichtung der Notfallplanung nicht die Orientierung zu verlieren, liegt in der Nutzung etablierter Standards und Best-Practices. Die Standards sprechen eine eindeutige Sprache: So adressieren zum Beispiel moderne Standards die Informationssicherheit, anstatt nur die IT-Sicherheit zu behandeln. Einer der hier meistgenannten internationalen Standards ist die ISO/IEC 27001. Diese Norm formuliert die Anforderung, eine Geschäftsfortführungsplanung (Business Continuity Management - BCM) aufzusetzen.

In anderen, nationalen Standards wie etwa dem Britischen Standards BS25999 "Business continuity management" wird ein BCM gefordert und seine typischen Bestandteile beschrieben. In der Bundesrepublik Deutschland beschreibt dies der BSI-Standard 100-4 "Notfallmanagement" des deutschen Bundesamtes für Sicherheit in der Informationstechnik. Zum Teil bestehen für einzelne Branchen sogar konkretere regulatorische Vorgaben, wie etwa für deutsche Banken und Versicherungen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin).

Grundsätzlich empfiehlt es sich, eine BCM-Planung im Unternehmen durchzuführen, denn nur so kann man systematisch den bestehenden Notfall-Risiken des Unternehmens begegnen. Dabei sollte der Grundsatz "so viel wie nötig, so wenig wie möglich" Beachtung finden, um einen wirtschaftlich vernünftigen Beitrag der BCM-Planung zum langfristigen Unternehmenserfolg und eine nachhaltige Pflege des BCM-Plans zu ermöglichen. Was sind nun die typischen Bestandteile einer solchen BCM-Planung?

In der Praxis hat es sich bewährt, zunächst eine angemessene Notfall-Organisation, also die für die Notfallbehandlung notwendigen Rollen, Gremien und Prozesse zu ermitteln und festzulegen. So ist die Etablierung eines Notfallbeauftragten, der die Pflege der Notfallplanung übernimmt und das in Notfällen steuernde Gremium - den Krisenstab - bei der Bewältigung der Krise unterstützt, zwingend. Daneben ist er in die notwendigen Alarmierungs- und Eskalationsprozesse geeignet einzubinden, um dann, wenn es notwendig ist, für eine sichere und frühe Erkennung von Notfallsituationen zu sorgen.

Der aus geschäftlicher Sicht benötigte Umfang der Absicherung sollte ermittelt werden. Hierzu empfiehlt es sich, zunächst mit mittlerer Feinkörnigkeit zu identifizieren, welche Geschäftsprozesse (in der Folge kurz Prozesse genannt) im Unternehmen vorhanden sind. Dies schafft die notwendige Übersicht sowie die Grundlage, um anschließend geeignet zu filtern, also die Prozesse zu bestimmen, die für das Unternehmen auch in Notfallsituationen wichtig sind. Hierfür sollte zum Beispiel in Form von definierten Kategorien oder eines Bewertungsschemas festgelegt werden, welche Abstufungen für das Unternehmen gewählt werden, und wie diese Stufen heißen. Weniger Stufen sind hier meist mehr, in der Regel reichen drei Stufen ("hochkritisch", "kritisch", "unkritisch") völlig aus.

Anschließend erfolgt auf Basis dieses Rasters die Einstufung der ermittelten Prozesse. So wird festgelegt, welche Prozesse im BCM-Plan behandelt werden, und welche nicht. Die Unternehmensleitung sollte diese Festlegung billigen, da ein BCM-Plan ein Mittel zum Management operationeller Risiken des Unternehmens ist, und die Unternehmensleitung hierfür generell verantwortlich ist.

Nun muss im Rahmen einer Business Impact Analyse (BIA) ermittelt werden, welchen Ressourcen-Bedarf die ausgewählten Prozesse haben, und mit welchen Notfallverfahren auf typische Notfallszenarien reagiert werden kann. Diese Informationen sollten unbedingt mit den Prozess-Verantwortlichen erhoben werden, um ein realistisches Bild der Praktiker über die tatsächlichen Gegebenheiten zu gewinnen. Dabei ist gerade in diesem Schritt ein wirtschaftliches Vorgehen zur Erhebung unabdingbar, da hier tendenziell viele beteiligt werden müssen.

Mit für den Prozess wichtigen "Ressourcen" sind hier typischerweise das Personal, spezielle Geräte oder Maschinen, IT-Anwendungen, Räume, Dienstleister sowie gegebenenfalls notwendige Dokumente oder Medien (wie zum Beispiel Kraftfahrzeugbriefe) gemeint.

Zur Ermittlung der Notfallverfahren der einzelnen Prozesse sollten verschiedene generische Notfallszenarien abgefragt werden, die den Ausfall typischer Ressourcen adressieren, ohne schon im Szenario zu sehr ins Detail zu gehen. So wäre es zum Beispiel nicht empfehlenswert, mehrere Szenarien zum Ausfall eines Gebäudes beziehungsweise Raums abzufragen, etwa wegen Brand, Überschwemmung oder wegen externer Einwirkungen wie beispielsweise eines schweren LKW-Verkehrsunfalls oder eines Chemie-GAUs. Für den Prozess ist in aller Regel eher wichtig, dass das Gebäude überhaupt ausfällt und wie lange dieser Ausfall anhält. Dennoch sollte den Prozess-Verantwortlichen im Rahmen der Abfrage gerade hinsichtlich der möglichen Notfallszenarien Freiraum für Phantasie geboten werden, um so das bestehende Verständnis des betrachteten Prozesses zur BCM-Plan-Verbesserung zu nutzen.

Abschließend müssen die Ergebnisse der bisherigen Aktivitäten zusammengetragen und dokumentiert werden, um den BCM-Plan zu erstellen und verfügbar zu machen. Durch den Abgleich der Ergebnisse können bestehende Lücken in der bestehenden Notfallplanung ermittelt und der Bedarf für zusätzliche ergänzende Notfallpläne aufgezeigt werden. So liefert das geschilderte Vorgehen oft auch für einen IT-Notfallplan zusätzliche Hinweise, da bisher nicht im IT-Notfallplan enthaltene, aber für einen kritischen Prozess unbedingt notwendigen Anwendungen (zum Beispiel Office-basierte Datenbanken) identifiziert werden. Ebenso wird häufig erst im Rahmen eines BCM-Plans erkannt, welch kritischen Stellenwert der eine oder andere Dienstleister für das Unternehmen tatsächlich hat. Im Rahmen nachgelagerter Aktivitäten sollte man dann Prävention betreiben.

Mit Abschluss des BCM-Plans verbleibt allerdings nicht nur die Aufgabe, die erkannten Handlungsbedarfe zu behandeln. Wichtig, aber leider in Realität oft nicht ausreichend ernst genommen, sind Notfallübungen, die noch bestehende Ungereimtheiten aufdecken, den BCM-Plan überprüfen und seine Wirksamkeit nachweisen. Es gilt das alte Sprichwort: Übung macht den Meister!