Zum Inhalt springen Zur Navigation springen
BCM: Die Existenz des Unternehmens schützen

BCM: Die Existenz des Unternehmens schützen

Notfälle und unerwartete Situationen sind unvermeidlich. Die COVID-19-Pandemie hat dies deutlich gezeigt. In einer solchen sich ständig verändernden Welt werden Unternehmen früher oder später mit Notsituationen konfrontiert, die ihre Existenz gefährden können. Um diesen Herausforderungen zu begegnen, kann das Business Continuity Management (BCM) den Unterschied ausmachen. Dieser Artikel wird die Vorteile und die wichtigsten Schritte für den Aufbau eines solchen Systems aufzählen.

Was bedeutet BCM?

Das Akronym BCM steht im Englischen für Business Continuity Management. Im Deutschen wird der Begriff Betriebskontinuitätsmanagement (BKM) verwendet.

BCM bezeichnet die Fähigkeit eines Unternehmens, unerwartete Situationen und andere Notfälle (Cyberangriffe, Stromausfall, Technische Ausfälle sowie Personal- und Dienstleistersausfall), die sein Bestand gefährden könnten, zu überstehen und effektiv auf diese zu reagieren.

Gibt es einen Unterschied zwischen BCM und Notfallmanagement?

Die Begriffe BCM und Notfallmanagement werden in der Regel synonym verwendet, aber es gibt dennoch einen Unterschied.

Das Notfallmanagement konzentriert sich auf die Vorbereitung und die unmittelbare Reaktion auf einen Notfall. Sein Ziel ist es, den Schaden für die Menschen zu begrenzen. Es zielt also auf den Schutz von Menschenleben, Eigentum und der Umwelt ab. Bei einem Brand kann das Notfallmanagement dazu dienen, das Leben von Menschen zu retten und z.B. das Feuer in den Lagerräumen des Unternehmens zu löschen.

Das BCM geht weiter und konzentriert sich auf kritische Geschäftsprozesse, auf die Fortführung der Geschäftstätigkeit des Unternehmens nach verschiedenen Zwischenfällen und Notfällen. Die Aufgabe des BCM ist es, die kritischen Prozesse und Ressource (Daten, IT-Infrastruktur) des Unternehmens schnell wiederherzustellen, um Störungen und finanzielle Verluste zu minimieren.

Das Notfallmanagement konzentriert sich auf die sofortige Reaktion auf Notfälle, während sich das BCM auf die langfristige Wiederherstellung des Geschäftsbetriebs eines Unternehmens konzentriert. Diese beiden Konzepte sind komplementär. Aus diesem Grund sind einige zu dem Schluss gekommen, dass Notfallmanagement ein Teil des Business Continuity Management ist.

Warum ist Business Continuity Management wichtig?

Um festzustellen, ob ein BCM wichtig ist, betrachten wir einen Fall aus der Praxis:

Sie sind z.B. Geschäftsführer einer Firma, kommen morgens ins Büro, wollen Ihren Computer einschalten und sehen auf dem Bildschirm die folgende Meldung:

<< Ihre Daten wurden verschlüsselt, wenn Sie sie wieder haben wollen, müssen Sie 1.000.000 € auf folgendes Konto überweisen>>.

Sie denken vielleicht, dass es sich um einen Scherz handelt, aber ein paar Minuten später teilt Ihnen Ihre IT-Administration mit, dass Ihr Fileserver nicht mehr verfügbar ist und zur gleichen Zeit fällt der Strom aus und Ihr Unternehmen ist plötzlich stillgelegt. Dieser Vorfall hat schlimme Auswirkungen auf Ihre kritischen Geschäftsprozesse und Sie können Ihre Kunden nicht mehr zufriedenstellen. Sie wissen nicht, wo Sie anfangen sollen? Lassen wir es dabei bewenden, denn es könnten noch andere, viel schlimmere Unwägbarkeiten passieren.

Betrachten wir zwei Situationen:

  • Der erste Fall ist, dass Sie kein BCM implementiert, haben: Wie werden Sie auf diese Situation reagieren? Was werden Sie als Erstes tun? Könnten Sie ihre Daten wiederherstellen und ihre Arbeit wieder aufnehmen? Wie lange würden Sie dafür brauchen?
  • Im zweiten Fall wissen Sie, dass Vorsicht besser ist als Nachsicht. Deshalb haben Sie ihr Geschäft schon vorher überprüft, um zu erkennen, was Ihnen passieren könnte, und um zu planen, was Sie im Notfall tun werden.

Es ist klar, dass, obwohl der Vorfall in beiden Fällen Schäden verursachen wird, der zweite Fall vorzuziehen ist, da die Schäden dank der Ausführung des BCM minimiert werden können.

Ein BCM ist also wichtig, weil es die Risiken und Schäden, die in einem Unternehmen auftreten können, vorhersieht und es ermöglicht, sich entsprechend vorzubereiten. Dies ermöglicht es, den Schaden zu begrenzen, einen effektiven Aktionsplan für den Notfall zu haben und das Geschäft schnell wieder aufzubauen.

Wer benötigt ein Business Continuity Management?

In der Regel implementieren Unternehmen ein Business Continuity Management, um regulatorische und/oder vertragliche Anforderungen zu erfüllen oder um internationalen Standards zu entsprechen, die die Implementierung eines BCMS regeln. Doch in Anbetracht des geschilderten Vorfalls kann man sagen, dass jedes Unternehmen, unabhängig von seiner Größe oder seinem Tätigkeitsbereich, ein BCM implementieren soll.

Natürlich sollte es an den Kontext, die Ziele und die Größe des Unternehmens angepasst werden. Jedes Unternehmen, das seine Widerstandsfähigkeit erhöhen und seine Reaktion auf Notfälle verbessern will, um effektiv zu reagieren, braucht ein BCM.

Schritte zum Aufbau eines BCMS

  • Identifizierung von kritischen Geschäftsprozessen und Dienstleistungen:
    In dieser Phase können Sie die Produkte und Dienstleistungen definieren, die für Sie wichtig sind.
  • Durchführung einer BIA (Business Impact Analyse):
    Nachdem Sie die Elemente identifiziert haben, die für Ihr Unternehmen von großer Bedeutung sind, sollten Sie eine Geschäftsanalyse durchführen, um festzustellen, welche Folgen es für Ihr Unternehmen haben wird, wenn wichtige Geschäftsprozesse nicht richtig funktionieren.
  • Durchführung einer Risikoanalyse:
    Hier geht es darum, die potenziellen Gefahren zu bestimmen, denen Ihre kritischen Geschäftsprozesse und Abteilungen ausgesetzt sein können.
  • Entwicklung von BCM-Strategien:
    Auf der Grundlage der obigen Analyse werden Sie in der Lage sein, klare und präzise Verfahren festzulegen, die Ihnen helfen, in Notfällen richtig zu reagieren.
  • Implementierung von BCM-Strategien:
    Hier geht es darum, von der Theorie zur Praxis überzugehen und die zuvor festgelegten Pläne umzusetzen.
  • Durchführung von Übungen:
    Dieser Schritt ist sehr wichtig, um zu testen, ob die festgelegten Pläne auch wirklich wirksam sind.
  • Kontinuierliche Verbesserung des BCMS:
    Es ist wichtig, das System regelmäßig zu überwachen und zu verbessern.

Sind Business Continuity Management Systeme (BCMS) zertifizierbar?

Wie viele andere Managementsysteme ist auch ein Business Continuity Management System zertifizierbar. Einer der bekanntesten internationalen Standards für die Zertifizierung eines BCMS ist ISO 22301.

Diese Zertifizierung bescheinigt, dass Sie die Anforderungen dieser Norm erfüllt haben. Die Zertifizierung verleiht Ihnen Glaubwürdigkeit in Bezug auf die Kontinuität oder ständige Verfügbarkeit der von Ihnen angebotenen Dienstleistungen oder Produkte, selbst in Notsituationen. Darüber hinaus ist es ein Wettbewerbsvorteil, da Unternehmen Partner haben möchten, die in der Lage sind, in Notfällen effektiv zu reagieren.

Wenn Sie ein BCMS haben möchten, das nach ISO 22301 zertifiziert werden kann, müssen Sie die Anforderungen der ISO-Norm 22301 erfüllen. Erst dann können Sie sich mit einem Auditor in Verbindung setzen, der Ihr System überprüft und Ihnen die Zertifizierung  ausstellen kann, wenn Sie die Anforderungen erfüllt haben.

Schnittstelle zwischen BCMS und ISMS

Man könnte sich fragen, ob es notwendig ist, ein BCM zu implementieren, wenn man bereits ein Information Security Management System (ISMS) in seinem Unternehmen implementiert hat.

In der Tat haben diese beiden Managementsysteme in gewissem Maße ähnliche Ziele (Risikomanagement und Informationssicherheit in einer Organisation), aber unterschiedliche Schwerpunkte.

Während das ISMS sich auf den Schutz von Informationen konzentriert und deren Integrität, Vertraulichkeit und Verfügbarkeit erhöhen will, konzentriert sich das BCMS auf die kritischen Geschäftsprozesse und die Fähigkeit eines Unternehmens, auf Notfälle, die seine Existenz zerstören könnten, effektiv zu reagieren. Er bereitet ein Unternehmen auch darauf vor, seine Tätigkeit schnell wieder aufzunehmen, um die anhaltende Zufriedenheit der Kunden und damit das Überleben des Unternehmens zu sichern.

Der Schnittpunkt dieser beiden Standards ist mit den Controls A.5.29 und A.5.30 (Informationssicherheit bei Störungen und IKT-Bereitschaft für die Geschäftskontinuität) in Anhang A (ISO 27001) gegeben.

Es liegt daher an jedem Unternehmen, zu entscheiden, ob es beide Systeme nutzen will, um seine Informationen zu schützen, seine Widerstandsfähigkeit in Notfällen zu erhöhen, oder ob es nur ein System implementieren will.

Die Widerstandsfähigkeit eines Unternehmens erhöhen

Ein Business Continuity Management System ist sehr nützlich, um ein Unternehmen auf unvorhergesehene Ereignisse vorzubereiten. Wie dieser Artikel gezeigt hat, hilft es dabei, die negativen Auswirkungen von Notfällen auf das Kerngeschäft des Unternehmens zu minimieren und oder zu beseitigen. Um ein solches System einführen zu können, müssen die Unternehmen jedoch auf die potenziellen Herausforderungen vorbereitet sein, die bei der Einführung eines BCMS auftreten können.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.