Business Continuity Management: Definition und Vorteile eines BCM

Das Wichtigste in Kürze

• Business Continuity Management sichert die betriebliche Kontinuität von Unternehmen und Organisationen in Extremsituationen.
• Zu Extremsituationen führen zum Beispiel Elementarereignisse wie Stürme oder Erdbeben aber auch Pandemien, technische Pannen wie Stromausfälle oder diverse Cyber-Vorfälle.
• Ein BCM hat die Aufgabe, auf die Gefährdungslage und das unternehmensspezifische Risiko abgestimmte Sicherheitsmaßnahmen und Notfallpläne zu entwickeln.
• Grundlegend für Aufbau und Betrieb eines BCM ist der PDCA-Zyklus: plan, do, check, act.
• BCM ist für die meisten Unternehmen kein Muss, aber ein großer Gewinn an Sicherheit.

In diesem Beitrag

• Was ist Business Continuity Management?
• Wie funktioniert ein BCM?
• Welche Unternehmen brauchen ein Business Continuity Management und warum?
• Auf welche Risiken und Bedrohungen zielt BCM ab?
• Wer ist in Unternehmen für den BCM-Aufbau und die -Pflege verantwortlich?
• Gibt es einen Unterschied zwischen Business Continuity Plan und Business Continuity Management?
• Wie unterscheidet sich Business Continuity Management von Incident Management?
• Sind BCM und Risikomanagement ein und dasselbe?
• Welche Kriterien sollte ein gutes BCM erfüllen?
• Welche Vorteile bietet Business Continuity Management?
• Ausblick: Welche Entwicklungen verändern das Business Continuity Management?

Was ist Business Continuity Management (BCM)?

Ziel von Business Continuity Management (BCM) ist es, die betriebliche Kontinuität eines Unternehmens in Krisensituationen aufrechtzuerhalten. Bedroht sein kann diese je nach Betrieb durch verschiedene Ereignisse. Das Spektrum reicht von Stromausfällen über Krankheiten und Naturkatastrophen bis hin zu Cyber-Kriminalität und IT-Ausfällen. Im Rahmen von Business Continuity Management werden die potenziellen Bedrohungen ermittelt und vorbeugend Strategien, Prozesse sowie Maßnahmen entwickelt, mit denen die Geschäftsfähigkeit eines Betriebs oder einer Organisation im Ernstfall sichergestellt werden kann.

Wie funktioniert ein BCM?

Grundlegend für BCM-Konzepte ist der sogenannte PDCA-Zyklus. PDCA steht für „Plan“, „Do“, „Check“, „Act“.

Die Phasen kurz erklärt:

1. Plan – Welche potenziellen Bedrohungen gibt es, wie kann ein Unternehmen diesen vorbeugen und was muss im Fall der Fälle passieren? Wichtig: Die in dieser Phase entwickelten Handlungspläne sollten regelmäßig getestet und von allen Beteiligten beherrscht werden. Nur so lässt sich beispielsweise sicherstellen, dass bei einem Feueralarm im Unternehmen alle wissen, was zu tun ist.
   
   
2. Do – In dieser Phase wird das für den Ernstfall Geplante umgesetzt. Die Akteure befolgen die in Phase 1 erarbeiteten Handlungspläne und stellen so die betriebliche Kontinuität sicher. Beispielsweise, indem sie verlorengegangene Daten aus einem Backup wiederherstellen.
   
   
3. Check – Ist eine akute Krisensituation erstmal überwunden, steht die Frage nach den Ursachen auf dem Programm. Der Vorfall sollte von den BCM-Verantwortlichen im Unternehmen ausgewertet und entsprechende forensische Analysen durchgeführt werden.
   
   
4. Act – Zu guter Letzt geht es um die Rückkehr zum Normalbetrieb und das Ziehen etwaiger Konsequenzen aus einem Vorfall. Sollten für den nächsten PDCA-Zyklus schon in Phase 1 neue Maßnahmen geplant und Verbesserungen eingeführt werden? Oder ist die Wahrscheinlichkeit, dass sich die Bedrohungslage wiederholt, so gering, dass im Business Continuity Management keine Anpassungen erforderlich sind?

Welche Unternehmen brauchen ein Business Continuity Management und warum?

Keines und jedes. Generell ist ein BCM wertvoll für Unternehmen jeder Branche und Größe. Schließlich sind Ereignisse, die die Betriebskontinuität gefährden, für jedes Unternehmen potenziell existenzbedrohend. Deshalb ist es so wichtig, Störungen frühzeitig erkennen und gegensteuern zu können. Genau dazu befähigt das Business Continuity Management.

Um Risiken wirksam zu minimieren, gehen BCM-Konzepte immer vom Schlimmsten aus und bereiten auf Extremfälle vor. Gesetzlich vorgeschrieben ist ein BCM nicht. Allerdings gilt: Möchten Unternehmen gemäß ISO 9001 (Qualitätsmanagement), ISO 27001 (Informationssicherheit) oder NIS2 (Cybersicherheit) zertifiziert werden, benötigen sie ein BCM in definierter Weise.

Auf welche Risiken und Bedrohungen zielt BCM ab?

Diesbezüglich gibt es keinerlei Einschränkungen. BCM hat alle Risiken im Fokus, die in irgendeiner Weise den Betrieb eines Unternehmens stören könnten. Zu den möglichen Ursachen zählen Pandemien und Elementargefahren wie Überschwemmungen, Erdbeben, Brände, Stürme und Vulkanausbrüche, aber auch technische Pannen wie Stromausfälle oder Internet-Blackouts und alle nur denkbaren Cyber-Vorfälle – vom einfachen Datenverlust über Ransomware-Attacken bis hin zum Server-Ausfall ohne Fremdweinwirkung.

Gut zu wissen: Laut einer internationalen Allianz-Befragung* liegen Cyber-Vorfälle wie IT-Ausfall, Datenschutzpannen und Datendiebstahl mit 39 Prozent aller Nennungen weltweit auf Platz 1 der Geschäftsrisiken. *Allianz Risk Barometer — Identifying The Mayor Business Risks for 2020

Wer ist in Unternehmen für den BCM-Aufbau und die -Pflege verantwortlich?

Der Aufbau eines Managementsystems für Business Continuity ist immer und zuerst eine Management-Aufgabe. Die Situation ist vergleichbar mit der beim Aufbau eines ISMS (Information Security Management System).

Bei größeren Unternehmen und in Konzernen wird die Verantwortung daher beim Chief Information Security Officer (CISO) liegen. Dieser sollte ein geeignetes Team installieren, bestehend aus BCM-Experten und Risikomanagern, das sich um alle BCM-Aufgaben kümmert. Erfolgreich kann BCM aber nur sein, wenn alle im Unternehmen die konkreten Maßnahmenpläne kennen und deren Umsetzung regelmäßig üben.

Gibt es einen Unterschied zwischen Business Continuity Plan und Business Continuity Management?

Nein, der Unterschied liegt in der Detailtiefe. Im Idealfall hat ein Unternehmen für alle denkbaren Störfälle geeignete Pläne ausgearbeitet. Erst die Gesamtheit – also das Zusammenspiel der etablierten Notfallpläne, - maßnahmen und -prozesse – ergibt das unternehmensspezifische Business Continuity Management – abgestimmt auf die individuelle Risiko- und Bedrohungslage. So muss ein Unternehmen, dessen Gebäude in einer Talsenke oder an einem Fluss steht wesentlich umfassendere Hochwasserpläne entwickeln als eines, dessen Gebäude auf einer Anhöhe liegt.

Ein professionelles Backup-Management kann Ihnen neben einem BCM zudem dabei helfen, Ihre Business Kontinuität bei Ransomware- und Cyberangriffen zu schützen. Gemeinsam mit NovasStor hat DataGuard eine Checkliste mit relevante Kriterien für ein Backup-Management erstellt. 

Wie unterscheidet sich Business Continuity Management von Incident Management?

Das Incident Management behandelt ausschließlich Informationssicherheitsvorfälle bzw.
-ereignisse. Ein Ereignis wäre zum Beispiel die Eingabe eines falschen Passworts bei der Anmeldung ans Firmennetzwerk. Ein solches Ereignis muss bewertet werden. Ist es harmlos, weil sich eine berechtigte Person einfach nur vertippt hat? Oder steckt dahinter ein Angriff mit vielen Wiederholungen bis zum Knacken des Passworts? Ist Letzteres der Fall, wird aus den Ereignissen ein Informationssicherheitsvorfall, der im Rahmen des Incident Management behandelt werden muss. Ein solcher Vorfall wäre dann auch BCM-relevant.

Sind BCM und Risikomanagement ein und dasselbe?

Risikomanagement ist die Grundlage für Business Coninuity Management. Aufgabe und Ziel des Risikomanagements ist es, die Risiken für ein Unternehmen zu identifizieren, deren Eintrittswahrscheinlichkeiten zu bestimmen und den möglichen Impact zu analysieren. Auf dem Fundament dieses Wissens können im Rahmen des Business Continuity Managements dann entsprechende Pläne und Maßnahmen entwickelt und etabliert werden.

Welche Kriterien sollte ein gutes BCM erfüllen?   

Von hoher Qualität ist ein BCM dann, wenn es alle potenziellen Bedrohungen und Risiken berücksichtigt und nichts übersehen hat. Verbindliche Kriterien gibt es aber nicht – allenfalls Anhaltspunkte und Best Practice Vorgaben im Rahmen der bekannten ISO-Zertifizierungen für Qualitätsmanagement (ISO 9001) und Informationssicherheit (ISO 27001). Den Fokus legen die Standards auf den Schutz, das Funktionieren und die Verfügbarkeit von Personen, Prozessen und Daten eines Unternehmens.

Kennen Sie schon den Unterschied zwischen einer akkreditierten und einer nicht-akkreditierten ISO 27001 Zertifizierung? Hier erfahren Sie was es zu beachten gibt.

Unabhängig davon gilt: Entscheidend für die BCM-Qualität ist es, alles im Blick und an alles gedacht zu haben. Ob beides gelingt, ist in der Praxis schwierig messbar. Business Coninuity Management muss je nach Unternehmen individuell und risikoabhängig umgesetzt werden. Das ist die eigentliche Herausforderung.

Welche Vorteile bietet Business Continuity Management?

Business Continuity Management minimiert die Wahrscheinlichkeit, dass ein Unternehmen durch ein unvorhergesehenes Ereignis handlungsunfähig wird und infolgedessen Insolvenz anmelden muss. Kurz: BCM ist eine Art Versicherung gegen den Worst Case. Darüber hinaus schafft BCM im Unternehmen selbst ein ganz anderes Risikobewusstsein. Notfallpläne und regelmäßige Übungen schärfen den Blick aller Teammitglieder für mögliche Gefahren und erhöhen die Resilienz des Unternehmens insgesamt.

Ausblick: Welche Entwicklungen verändern das Business Continuity Management?

Die Digitalisierung ist auch in diesem Bereich der mit Abstand stärkste Veränderungsmotor – nicht nur im Hinblick auf Cyber-Vorfälle.

Beispiel Cloudspeicher: Ein Unternehmen, dass seine geschäftsrelevanten Daten nicht mehr physisch auf Servern im eigenen Haus speichert, sondern in der Cloud, muss sich vor Datenverlust durch Hochwasserschäden am eigenen Gebäude nicht mehr fürchten. Aber: Das Risiko ist nicht verschwunden, es wurde nur auf den Cloudanbieter verlagert. Dieser kann das Risiko im Idealfall besser managen, komplett verschwinden wird es jedoch nicht. Darüber hinaus bringt die fortschreitende Digitalisierung als solche auch wieder neue Risiken mit sich. Die Anfälligkeit für Cyber-Kriminalität steigt weiter und ohne funktionierendes Internet und zuverlässige Stromversorgung geht heute kaum noch etwas.