Business Continuity Management – die Kronjuwelen sichern
Mit Susanne Kufeld, Leiterin Geschäftsfeld Business Resilience bei VZM und CSO, Leiterin Unternehmenssicherheit – Informationssicherheit der Messe Berlin GmbH, sprach Peter Niggl
Frau Kufeld, vielleicht eingangs ein paar Worte zum Begriff des Business Continuity Managements und dessen aktuellen Stellenwert für die Wirtschaft…
…Business Continuity Management – meist nur das Kürzel BCM - ist ja zurzeit in aller Munde, weil die Sicherheitswelt mit BCM die Erhöhung der Resilienz verbindet. Und das ist gerade für die Kritischen Infrastrukturen wesentlich. Die in diesem Bereich agierenden Unternehmen werden mit Blick auf das KRITIS-Dachgesetz – welches neben dem NIS2 Umsetzungsgesetz voraussichtlich im Oktober veröffentlicht wird – einiges unternehmen müssen, um ihre Resilienz zu erhöhen. Und da ist sich die Fachwelt einig, dass BCM ein geeignetes Mittel ist, dies zu erreichen.
Wenn Sie mich vor 15 Jahren gefragt hätten, was BCM für mich ist, dann hätte ich eine andere Antwort gegeben als heute. Da war ich noch mit Herzblut Krisenmanagerin und habe mir gesagt, was soll ich noch so ein „Mikro“-Management-System beachten. Denn wenn man sich die eigentliche Schule des BCM ansieht – wie man vorgeht, welche Methoden man umsetzen soll usw. – da können sich Berater bei einer Lehrbuch-Umsetzung eine goldene Nase verdienen. Heute ist BCM für mich – bei einer verdaulichen Umsetzung – ein Must-have für Unternehmen, die langfristig am Markt bleiben wollen. Mein Anliegen ist es, dass man ein BCM für Unternehmen praxistauglich anbietet. Das heißt, es muss für das Unternehmen umsetzbar sein. Es geht mir nicht darum, das Rundum-sorglos-Paket anzubieten, indem ich im Business Continuity-Plan vorgebe, viele Business-Continuity-Notfallpläne, Wiederanlaufpläne, Wiederherstellpläne oder wie die Pläne auch immer genannt werden, zu erstellen. Die Implementierung eines BCM muss für das Unternehmen passgerecht gestrickt werden. Es muss zum Reifegrad des Unternehmens passen.
Wo liegt Ihre Zielgruppe?
BCM bietet mit der Strategie der Praxistauglichkeit für jedes Unternehmen eine Lösung. Voraussetzung hierfür ist, dass die Chefin oder der Chef das wollen. Ich lehne auch Aufträge ab, wenn die Unternehmensleitung sagt: wir wollen nur eine BCM-Zertifizierung auf dem Papier, machen Sie mir aber hier nicht zu viel Unruhe! Was ich damit sagen will: Die Unternehmensleitung muss es wirklich wollen. Die muss verstanden haben, dass es darum geht ihre Kronjuwelen zu schützen.
Das klingt aber auch so, als würde zwischen Wollen und Können doch noch ein „kleiner“ Unterschied sein…
Die Budget-Frage ist die Schlüsselfrage für alle Chefinnen und Chefs, die noch nicht verstanden haben, dass es eine gute Idee ist, sich um die wichtigsten Dinge Ihres Unternehmens zu kümmern; damit es weitergehen kann, wenn es geknallt hat. Und wenn wir uns die geopolitische Lage und die Umweltprobleme ansehen, dann müssen wir keine Propheten sein, um zu erkennen, dass was auf uns zukommt.
Entscheidend ist für die Unternehmensleitung die Erkenntnis, dass sie die Verantwortung für ihr Business haben, dass sie Entscheidungen zur Vorbereitung auf Vorfälle treffen müssen. Hier ist es natürlich nicht unbedeutend, welches Budget zur Verfügung steht. Ich betone in diesem Zusammenhang immer wieder, BCM ist kein Kostenfaktor, sondern eine Investition in die Zukunft des Unternehmens. Das ist der erste eigentliche Mindshift, der bei den Verantwortlichen des Unternehmens stattfinden muss.
Wie gehen wir vor: Nachdem die Unternehmensleitung den Geltungsbereich festgelegt hat, stellen wir Fragen in verschiedenen Formaten, um das Business zu verstehen. In diesem Prozess werden die zeitkritischen Geschäftsprozesse (GP) identifiziert und einer Business Impact Analyse (BIA) unterzogen. Es geht in einem ersten Schritt darum feststellen, wo der Schmerz bei einem Vorfall am größten ist. In der BIA werden die Teilprozesse der zeitkritischen GP intensiv untersucht. Das Ergebnis wird in einem Business-Continuity-Plan oder einer Business-Continuity-Strategie zusammengefasst. In diesem Papier wird beschrieben, wie das Unternehmen im Falle eines schwerwiegenden Vorfalls den Geschäftsbetrieb aufrechterhalten oder schnell wiederanlaufen kann. Die Geschäftsleitung hat nun einen Überblick über die Schwachstellen und kann entscheiden, was sie in die Härtung der zeitkritischen Prozesse investieren will. Vor der BIA ist aufzuklären, was es im Unternehmen bereits an vorbereitende Maßnahmen gibt. Diese gilt es zu berücksichtigen und die Mitarbeitenden einzubeziehen.
Wie läuft so etwas konkret ab?
Vielleicht erzähle ich am Beispiel eines Auftrages von einer Privatschule wie wir vorgehen: Zunächst galt es festzustellen, was für den Direktor die Kronjuwelen der Schule sind. Natürlich ist der wichtigste Prozess der Schule, dass die Schüler unterrichtet werden und lernen können. Der Direktor brachte dann noch einen weiteren Punkt ein: Für ihn ist ein „Safe and Secure Environment“, also eine sichere Umgebung als Voraussetzung für ein adäquates Lernen der Schüler wesentlich.
BCM kümmert sich nur um die Prozesse, die zeitkritisch sind. Der Direktor definierte den Prozess für ein „Safe and Secure Environment“ so, dass für die Schüler „well-being“ im Mittelpunkt stehen muss, um lernen zu können. Hier sind Themen wie Mobbing im Fokus. Das ist wichtig für die Schule, das ist aber kein zeitkritischer Prozess. Zeitkritisch kann zum Beispiel die Ressource Lehrkraft sein, wenn nur eine Lehrer:in für ein bestimmtes Fach zur Vorbereitung auf wichtige Abschlussprüfungen zur Verfügung steht und kein Vertretungsprozess organisiert ist. Man spricht hier von Kopfmonopolen. Der Ausfall dieser personellen Ressource kann für eine Privatschule ein großes Problem werden.
Es geht also, wenn ich das richtig verstehe, um die Verfügbarkeit der Ressourcen?
Genau. Es geht um die Verfügbarkeit der Ressourcen, die für den zeitkritischen Prozess im Notbetriebsmodus erforderlich sind. Es geht nicht um kritische Prozesse, wie die Prozesse zur Sicherstellung einer „Well-being-Umgebung“. Das ist nicht im Fokus von BCM. Wenn mir vom Auftraggeber dies als Scope definiert wird, dann analysieren wir das ebenfalls, halten das Ergebnis in der BC-Strategie fest, sagen aber: „Das ist nicht BCM!“
Bleiben wir noch ein wenig bei dem Thema Schule. Alle BCM-Maßnahmen wurden getroffen, dann aber kommt die Pandemie. Ein Großteil der Lehrkräfte ist krank, andere bleiben aus Sicherheitsgründen zu Hause, der Schulbetrieb kommt praktisch zum Erliegen. Wie soll in einem solchen Szenario vorgebeugt werden?
Da ist es abhängig davon, wie lange der Schul-Notbetrieb andauern soll. Das ist immer eine grundsätzliche Frage bei allen Analysen im BCM. Wenn dann eine Schulleitung sagt: Wir möchten zwei Monate vor den Prüfungen, dass der Laden läuft, dann muss das entsprechend berücksichtigt werden. Es trifft aber nicht nur auf Schulen zu, dass saisonale Aspekte beachtet werden müssen. Amazon beispielsweise muss zu Weihnachten eine andere BC-Strategie vorhalten als im Juni.
Wie überall kann doch wahrscheinlich auch dort der Mangel an Fachkräften zum Fallstrick werden. Wie lässt sich dieser Engpass vorher planen?
Fachkräfte bei der BIA als personelle Ressource einzuordnen. Stellt man in der Analyse der zeitkritischen Teilprozesse fest, dass nur ein Mitarbeitender über bestimmte Kompetenzen verfügt, spricht man von Kopfmonopolen. Die Nichtverfügbarkeit von entscheidenden Mitarbeitenden kann zu erheblichen Problemen führen. Nach dieser Feststellung gilt es sicherzustellen, dass mehrere Mitarbeitende in den Kompetenzen so weitergebildet werden, dass der Notbetrieb sichergestellt ist.
Neben der Ressource „Mensch“ gibt es noch weitere zeitkritische Ressourcen, die in der BIA identifiziert werden. Gibt es zum Beispiel Standortabhängigkeiten oder Abhängigkeiten von einem einzigen Lieferanten oder Dienstleister? Welche IT-Systeme sind für den zeitkritischen Prozess erforderlich? Mit der Identifikation der zeitkritischen Ressourcen wird deutlich, welche Maßnahmen zur Kontinuität der wirklich wichtigen Prozesse im Unternehmen erforderlich sind.
Letzte Frage: Wenn etwas passiert, agiert das BCM dann als separate Disziplin?
Das BCM muss immer in die Managementsysteme des Unternehmens eingebunden sein. Das BCM ist kein Managementsystem auf einer einsamen Insel. Die Schnittstellen insbesondere zum Krisenmanagement, zum Risikomanagement und zum Informationssicherheitsmanagement sind zu identifizieren, um effizient Maßnahmen vorzubereiten und um Doppelarbeit zu vermeiden.
Mehr Artikel vom Autor
Peter Niggl
Peter Niggl, Journalist und Chefredakteur der Fachzeitschrift Security Insight