Krisenmanagement, Wiederanlauf und strategische Neuausrichtung

Business Continuity Management

Unsere Welt und Wirtschaft wird nach den letzten Jahren nicht mehr dieselbe sein. Ein unsauber implementiertes Business Continuity Management, welches den heutigen Herausforderungen nicht gerecht wird, kann ein Risiko darstellen. Wir möchten gemeinsam mit Ihnen Maßnahmen entwickeln, mit denen Sie Ihr Unternehmen sicherer durch Krisen bringen können. So wollen wir Ihre Risiken minimieren und den negativen Impact der Krise auf Ihre Organisation reduzieren.
Wir haben einen Leitfaden ausgearbeitet und bieten Ihnen als ersten Schritt einen Check zur Kontinuität der Betriebsfähigkeit an, der selbstverständlich auch Aspekte des Wiederanlaufs und der strategischen Neuausrichtung enthält.

1von6

Was ist Business Continuity Management?

Das Business Continuity Management ist eine Aufstellung von Verfahren und Prozessen innerhalb eines Unternehmens, welche dazu dienen, die Kritikalität der Geschäftsprozesse zu definieren und deren Kontinuität dauerhaft zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Die grundlegende Anforderung ist der Schutz der Wertschöpfung des Unternehmens.

Ein BCMS hat, wie jedes andere Managementsystem, folgende zentrale Bestandteile:

  1. Leitlinien
  2. Personen mit festgelegten Verantwortlichkeiten
  3. Managementprozess in Bezug auf
    - Leitlinien,
    - Planung,
    - Umsetzung und Betrieb,
    - Leistungsbewertung,
    - Managementüberprüfung, und
    - Verbesserung
  4. Dokumentation zur Bereitstellung auditierbarer Nachweise; und
  5. jeden Prozess des Business Continuity Managements, der für die Organisation bedeutsam ist

Ziel: Das Ziel von Business Continuity Management ist die Sicherstellung der Funktionsfähigkeit unternehmenskritischer Geschäftsprozesse und Ressourcen und die Wiederherstellung dieser im Notfall innerhalb einer definierten Wiederanlaufzeit.

2von6

Treiber - Vorfälle und Krisensituationen

Bombenentschärfung 2017

  • Größte Evakuierung der Nachkriegsgeschichte
  • 70.000 Menschen müssen in Frankfurt evakuiert werden
  • Räumung der naheliegenden Krankenhäuser

Stromausfälle

  • 24h Flughafen Hamburg, 2018
  • 3 Tage Münsterland, 2005
  • 120 Min. europaweiter Stromausfall, 2006

Cyberattacken

  • Cyberangriffe auf IT-System
  • Schadsoftware (Malware)
  • Ransomware - Digitale Erpressung

Pandemie / Epidemie

  • Covid-19, 2020
  • EHEC 2011
  • Schweinegrippe, 2009

Auswirkungen auf den Geschäftsbetrieb

  • Mögliche Beeinträchtigung der Sicherheit
  • Möglicher Bruch vertraglicher Vereinbarungen
  • Mögliche Verstöße gegen rechtliche und regulatorische Anforderungen
  • Mögliche Image- und Reputationsschände
  • Möglicher Verlust von Wettbewerbsvorteilen

3von6

Die Vorteile eines Business Continuity Management Systems liegen auf der Hand

Ein BCM ...

... dient dem besseren Verständnis für Unternehmen und der eigenen Prozesse, die durch präventive und detektive Maßnahmen ermittelt werden können
... legt die Priorisierung auf die kritischen Geschäftsprozesse fest, die in der Wertschöpfungskette des Unternehmens eine große Rolle spielen
... minimiert Ausfallzeiten aufgrund der vorbereiteten Maßnahmen im Falle eines Notfalls durch Notfallpläne, Dokumentationen und Szenario basierte Übungen
... schützt langfristig die Vermögenswerte des Unternehmens
... schafft Wettbewerbsvorteile durch kontinuierliche Überwachung des BCMs und somit durch eine dauerhafte Leistungsverfügbarkeit
... verbessert die IT-Sicherheit des Unternehmens (Aufdeckung von Schwachstellen)
... vermeidet eventuelle Haftungsrisiken im Falle von Katastrophen, wie z. B. durch Zahlungsverzug

4von6

Gängige Standards und Umsetzungshilfen für die Etablierung eines Business Continuity Management Systems

ISO 22301

Die ISO 22301 (aktuellste Fassung 2. Edition von Oktober 2019) als internationale Norm legt Anforderungen an Business Continuity Management Systeme für Organisationen und für die Erstellung und den Umgang mit einem effektiven Business Continuity Management Systems (BCMS) fest.

Organisationen können gegenüber einem anerkannten Standardisierungsgremium eine ISO-Zertifizierung ihres Business Continuity Management Systems beantragen.

ISO 22301

Die ISO 22301 (aktuellste Fassung 2. Edition von Oktober 2019) als internationale Norm legt Anforderungen an Business Continuity Management Systeme für Organisationen und für die Erstellung und den Umgang mit einem effektiven Business Continuity Management Systems (BCMS) fest. Organisationen können gegenüber einem anerkannten Standardisierungsgremium eine ISO-Zertifizierung ihres Business Continuity Management Systems beantragen.

Ein BCMS betont die Bedeutung:

  • des Verstehens der Bedürfnisse der Organisation sowie der Notwendigkeit der Einführung von Leitlinien und Zielsetzungen für das Business Continuity Management;
  • des Einführens und Betreibens von Kontrollmechanismen und Maßnahmen für das Management der Gesamtfähigkeit einer Organisation, mit Zwischenfällen und Betriebsunterbrechung umzugehen;
  • des Überwachens und Überprüfens der Leistung und der Effektivität des BCMS; und
  • einer ständigen Verbesserung auf Grundlage objektiver Messungen.

Änderungen in der Version 2019:

  • Anforderungen an Management Systeme der ISO wurden angepasst
  • Anforderungen an ein BCMS sind nun (fast) ausschließlich im Kapitel 8 „Operations“ enthalten
  • das Kapitel 8 „Operations“ wurde vereinfacht und strukturierter (jedoch gleichzeitig ausgedehnter)
  • die Terminologie in Kapitel 3 wurde angepasst und verbessert (Verweis auf ISO 22300)
  • die Version 2019 ist konziser, gestraffter und fokussierter auf den Bereich „Operations“

BSI-Standard 100-4 / 200-4

Im BSI-Standard 100-4 Notfallmanagement Version 1.0, welcher 2008 veröffentlicht wurde, wird eine Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten internen Notfallmanagements vorgestellt.

Der BSI-Standard 200-4 ist aktuell als Community Draft Version 1.0 vorzufinden. In Kürze erscheint die Version 2.0 und 2023 die offizielle Version. Er richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS.

BSI-Standard 100-4 / 200-4

100-4
Im BSI-Standard 100-4 Notfallmanagement Version 1.0, welcher 2008 veröffentlicht wurde, wird eine Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten internen Notfallmanagements vorgestellt. Die beschriebene Methodik baut dabei auf der im BSI-Standard 100-2 beschriebenen IT Grundschutz-Vorgehensweise auf.

200-4
Der BSI-Standard 200-4 ist aktuell als Community Draft Version 1.0 vorzufinden. In Kürze erscheint die Version 2.0 und 2023 die offizielle Version. Er richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS. Er führt die 200-x Reihe der BSI-Standards fort und richtet sich an alle relevanten Adressaten (BCM-Beauftragte, Krisenstabsmitglieder, Sicherheitsverantwortliche und -experten, etc.). Der modernisierte BSI-Standard 200-4 bietet verschiedene Hilfsmittel und Dokumentvorlagen an, die darin unterstützen sollen, die beschriebenen Prozesse und Methoden im BCM effektiv umzusetzen. Die Hilfsmittel richten sich primär an die Institutionen, die ein BCMS nach BSI Standard 200-4 aufbauen oder aufgebaut haben, können jedoch teilweise losgelöst vom BSI-Standard 200-4 eingesetzt werden. Der neue Standard erfüllt alle Anforderungen des ISO 22301.

Unterschiede von 100-4 zu 200-4 (High-Level Änderungshistorie)

  • Neukonzeption basierend auf dem BSI-Standard 100-4
  • Einführung eines Stufenmodells (Reaktiv-BCMS, Aufbau-BCMS, Standard-BCMS)
  • Erstellung praxisnaher Anleitungen für den Aufbau, Betrieb und die kontinuierliche Weiterentwicklung eines BCMS (prozessuale Darstellung, kein Fokus auf den zu erstellenden Dokumenten) 
  • Anpassung an den ISO-Standard 22301:2019
  • Ganzheitliche Betrachtung des BCM im Fokus der Resilienz
  • Änderung der Begriffe „Notfallmanagement“ in „Business Continuity Management (BCM)“ sowie „Notfallmanagementprozess“ in „Business Continuity Management System (BCMS)“
  • Ergänzung der BCM-Prozessschritte „Voranalyse“ und „Soll-Ist-Abgleich“
  • Berücksichtigung der Schnittstellen und Synergien des BCM mit ISMS, ITSCM und Krisenmanagement
  • Ausführliche Beschreibung der Bewältigungsorganisation und Ihrer Strukturen

Good Practice Guidelines

Die BCI Good Practice Guidelines sind seit ihrer ersten Veröffentlichung im Jahr 2001 zum führenden globalen Leitfaden für Business Continuity Fachleute geworden. Der darin beschriebene Business Continuity Management Lifecycle bietet einen Rahmen zur Strukturierung der Business Continuity Methode. Die GPG beschreiben nicht nur, was Fachleute tun sollten, sondern enthalten auch Informationen dazu, warum und wie etwas durchgeführt wird.

Good Practice Guidelines

Die BCI Good Practice Guidelines sind seit ihrer ersten Veröffentlichung im Jahr 2001 zum führenden globalen Leitfaden für Business Continuity Fachleute geworden. Der darin beschriebene Business Continuity Management Lifecycle bietet einen Rahmen zur Strukturierung der Business Continuity Methode. Die GPG beschreiben nicht nur, was Fachleute tun sollten, sondern enthalten auch Informationen dazu, warum und wie etwas durchgeführt wird. Die BCI GPG basieren auf den ISO-Anforderungen, indem sie definieren, was Einzelpersonen im Zusammenhang mit Business Continuity Managementmethoden wissen müssen und die wichtigsten Phasen bei der Entwicklung, Implementierung und Management eines erfolgreichen Business Continuity Programms beschreiben.

5von6

Unsere Vorgehensweise für die Etablierung eines BCMS

Mit unserem einzigartigen Beratungskonzept bieten wir Ihnen maßgeschneiderte Lösungen an. Das systematische Vorgehen zur Etablierung eines funktionsfähigen Managementsystems basiert auf der ISO-22301:

Etablierung eines BCMS

Gemeinsam mit Ihnen werden zunächst alle Anforderungen an das BCMS analysiert, um es an den entsprechenden Bedürfnissen und Anforderungen relevanter Interessengruppen Ihrer Organisation auszurichten. Damit die verschiedenen Zielgruppen innerhalb der Organisation zum richtigen Zeitpunkt auf relevante Informationen zugreifen können, ist es wichtig, die Dokumentation genauer festzulegen. Daher werden in der Leitlinie von der Institutionsleitung die Selbstverpflichtung und die BCMS-Rahmenbedingungen (z. B. Ressourcenausstattung, Verantwortlichkeiten etc.) definiert.

Im Anschluss werden alle Kriterien zum Aufbau und der Befähigung einer BAO (Besondere Aufbauorganisation) implementiert, welche auch befähigt wird, in Not- und Krisenfällen zu agieren und handlungsfähig zu sein. Ziel hierbei ist es, auf Schadensprozesse Schadensvorfälle zu reagieren, ungehindert dessen, ob bereits Notfallpläne für die Fortführung der Geschäftsprozesse vorhanden sind. Alle weiteren Prozessschritte dienen zur Wahrung bzw. Sicherung der kritischen Geschäftsprozesse.

Darüber hinaus werden mithilfe von Übungen und Tests die Praktikabilität der zuvor erstellten Notfallpläne und reaktiven Maßnahmen getestet. Außerdem werden in der Leistungsüberprüfung die festgelegten Anforderungen und Ziele geprüft.
Im Anschluss werden die identifizierten Korrektur- und Verbesserungsmöglichkeiten in sogenannte Maßnahmen formuliert. Diese werden umgesetzt und kontinuierlich überwacht.

Wir begleiten Sie dauerhaft und zuverlässig sowohl während der Implementierungsphase als auch in Krisensituationen, indem wir durch ein integratives Business Continuity Management die Funktionalität des Betriebs sicherstellen und eine agile und schnelle Reaktionsfähigkeit auf sich verändernde Herausforderungen und Situationen herstellen.

6von6

Unsere Business Continuity Management- und Krisenmanagement-Schwerpunkte sowie Beratungsleistungen

Reifegrad-Analyse BCM (GAP-Analyse)

  • Erhebung gemäß BSI 200-4 / ISO 22301 GAP Analyse
  • Dokumentensichtung
  • Durchführung Experten-Interviews
  • Konsolidierung & Ergebnisbericht

Business Impact Analyse

  • Voranalyse
  • Konzeption der Methodik
  • Schadensbewertung
  • Bestimmung RTO & Wiederanlaufparameter
  • Identifizierung der Vererbung von Abhängigkeiten
  • Erstellung BIA Bericht

Soll-Ist-Vergleich

  • Erhebung gemäß BSI 200-4 auf Basis der BIA
  • Identifizierung der Ressourcen-
    verantwortlichen
  • Abgleich der RTA (IST-Zustand) mit RTO (SOLL-Zustand)

BCM-Risikoanalyse

  • Konzeption der Methodik
  • Festlegung der Rahmenparameter
  • Definition eines Gefährdungskatalogs
  • Risikobewertung
  • Ableitung der Notfallszenarien

BC-Strategien & -Lösungen

  • Ermittlung möglicher Handlungsoptionen (HO) im Notfall
  • Bestimmung der Ressourcen pro HO
  • Durchführung Kosten-Nutzen-Analyse pro HO
  • Erstellung Maßnahmenpläne zur Prävention und Risikominderung

Outsourcing & Lieferketten BCM

  • Klassifizierung kritischer Dienstleister
  • Erstellung Anforderungskatalog an Dienstleister-BCM
  • Vertragsprüfung & BCM-Audit auf Dienstleisterebene

Migration BSI 100-4 auf 200-4

  • Analyse des Ist-Standes / Dokumentensichtung
  • Konzeption des 200-4 Soll-Zustands und Anforderungsfeststellung (Dokumentenlandkarte, Prozesse, etc.)
  • Ableitung/Planung der umzusetzenden Maßnahmen
  • Umsetzung der Maßnahmen

Notfallbewältigung/-planung

  • Erstellung der Geschäftsfortführungspläne
  • Definition Wiederanlauf- & Wiederherstellungspläne
  • Dokumentation des Notfallhandbuchs

Aufbau & Befähigung BAO

  • Festlegung Rahmenbedingungen für Alarmierung inkl. Meldewege
  • Aufbau der BAO (Rollen und Verantwortlichkeiten)
  • Regeln zur Notfallkommunikation
  • Schulung & Sensibilisierung

Üben & Testen

  • Befähigung der mitwirkenden Personen auf Rollen durch Übungsdurchführungen (Alarmierungsübung, Stabsübung, etc.)
  • Konzeption des Übungshandbuchs und der mitgeltenden Dokumente
  • Unterstützung bei der Jahresübungsplanung

Zivile Alarmplanung

  • Vorsorge zur Aufrechterhaltung von Regierungsfunktionen
  • Erarbeitung Alarmkalender
  • Unterstützung bei Abstimmungsbedarfen zwischen Behörden
  • Identifikation kritische Kernfunktionen und Schlüsselpersonal
  • Durchführung Alarmierungsübung

Audit Unterstützung

  • Begleitung, Konzeption & Entwicklung der Vorbereitung von Audits
  • Anforderungscheck gegenüber ISO 22301 Anforderungskatalog
  • Katalogisierung der Anforderungen (Definition des Soll-Zustandes)
  • Erstellung Auditcheckliste & Auditprogramm

Krisenmanagement

  • Absicherung gegen den Ausfall von Ressourcen und Infrastrukturen
  • Entwicklung eines Radarsystems zur Analyse und Monitoring von Angriffen
  • Bildung einer internen und externen Kommunikationsstrategie für Notfälle
  • Definition und Alarmierung der besonderen Aufbauorganisation

Ihre Ansprechpartner Business Continuity

Schreiben Sie uns gerne oder rufen Sie uns an!

Kontaktformular

*Pflichtangaben