Business Continuity Management als Hands-on-Ansatz

Die vergangenen zwölf Monate haben deutlich gezeigt, wie schnell unvorhergesehene
Ereignisse die Geschäftsprozesse eines Unternehmens erheblich stören und ernsthafte
Schäden oder vernichtende Verluste verursachen können. Lockdowns der Wirtschaft,
Verpflichtung zum Homeoffice, Massenerkrankungen der Belegschaft, aber auch massive
Angriffe auf die IT der Unternehmen in Form von Datenspionage oder Hackerangriffe
sind nur einige Beispiele.

Wer in solchen Fällen auf ein professionelles Krisenmanagement bzw. ein „Betriebliches Kontinuitätsmanagement“ zugreifen kann, ist hier im Vorteil. „Betriebliches Kontinuitätsmanagement”, auf Englisch Business Continuity Management (BCM), hat das Ziel, Schäden von Unternehmen zu minimieren und bestmögliche Vorkehrungen für den Fall gravierender Störungen zu treffen. Das BCM-System definiert Pläne, wie der reguläre Betrieb nach störungsbedingter Unterbrechung in kürzest möglicher Zeit wieder aufgenommen werden kann. So lassen sich Schäden reduzieren und existenzielle Bedrohungen für das eigene und verbundene Unternehmen vermeiden.

BCM nach ISO 22301
Die internationale ISO 22301 Norm hilft, die wichtigsten Punkte für ein Business Continuity Management
zu berücksichtigen. Sie schafft das Verständnis und liefert den geeigneten Rahmen für die  Implementierung eines BCM-Systems in Unternehmen jeder Branche und Größe. Wie alle anderen Anforderungen an Managementsysteme fordert die ISO 22301 grundsätzliche Dinge wie Verfahren, die den systematischen Betrieb organisationsindividuell festlegen.

Der Nachteil der Einführung eines BCM-Systems nach ISO 22301 ist die Komplexität. Kernelemente
wie die Business Impact Analyse (BIA) und das Risikom Assessment müssen zwingend umgesetzt werden.
Erst nach der theoretischen Analyse erfolgt die praktische Umsetzung im Rahmen von Business Continuity Aktivitäten. Die meist für BCM-Systeme nach ISO 22301 erforderlichen Werkzeuge und Berater stellen zudem einen enormen Kostenfaktor dar, den so mancher Mittelständler scheut. Dadurch bleiben die Beschäftigung mit Risiken und die Einführung eines BCM leider oft komplett auf Strecke.

Der pragmatische Hands-on-Ansatz

Abgeschreckt vom Aufwand, ist gar nichts tun jedoch die falsche Strategie. Denn ein BCM ist nahezu für
jedes Unternehmen überlebenswichtig. Nüchtern betrachtet, handelt es sich beim BCM um technische,
organisatorische sowie personelle Maßnahmen im Unternehmen, um nach einem Krisenfall die Fortführung des Kerngeschäftes zu sichern.

Im Grunde muss auf Managementebene „lediglich“ festgelegt und niedergeschrieben werden, welche
Vorkommnisse eine Beeinträchtigung des Betriebs darstellen und wie damit umgegangen werden muss.
Damit wird sichergestellt, dass im realen Fall wertvolle Zeit gespart wird, weil die Planung in großen
Teilen schon erledigt ist. Diese Vorarbeiten können ganz pragmatisch in einem einfachen Textdokument
festgehalten werden, das anschließend gesichert abgelegt werden sollte. Für die tiefergehende Planung,
Festlegung und Ausführung der Business Continuity Aktivitäten im Ernstfall gibt es IT-Systeme, die nur
einen Bruchteil der professionellen BCM-Tools kosten. Idealerweise sollte solch ein System abgekoppelt
von der Unternehmens-IT – also z. B. webbasiert als SaaS-Lösung – arbeiten. Das ist deshalb so wichtig,
weil beispielsweise bei einem Cyberangriff zumeist die gesamte eigene IT-Infrastruktur runtergefahren
wird. Als abgekoppelte IT-Lösung ist das BCMSystem autark und erledigt in der Krisensituation
zuverlässig seine Arbeit.

Wie Unternehmen mithilfe eines solchen pragmatischen BCM-Systems in der Krise entscheidungs- und
handlungsfähig bleiben, zeigen die folgenden sechs Schritte. Diese verfolgen im Grundgedanken das
Konzept des PDCA-Zyklus nach Demming (Plan-Do-Check-Act).

Schritt 1: Durchdachte Krisenplanung
Ganz am Anfang steht der Plan (Plan). Dabei arbeitet man idealerweise mit verschiedensten Szenarien, die eine Krisensituation hervorrufen können. Die Zahl der möglichen Szenarien kann dabei beliebig groß
sein und sollte zumindest alle halbwegs realistischen Krisensituationen abbilden. Hierzu zählen eigentlich
immer IT-Pannen, Hackerangriffe, aber auch – wie im vergangenen Jahr mehrfach vorgekommen – Massenerkrankungen der Belegschaft, Umweltkatastrophen usw. Jedes Szenario erhält nun eine genaue
Definition der eingebundenen Akteure sowie der notwendigen Maßnahmen im Rahmen von Reaktionsund
Wiederanlaufplänen. Genaue Handlungsanweisungen legen fest, wer wann was wie zu tun hat.

Schritt 2: Die Krise feststellen
Kommt es zu einer Krisensituation, sollten die notwendigen Maßnahmen schnell griffbereit sein (Do).
Webbasierte Tools haben hier den Vorteil, dass die in der Planung vorbereiteten Maßnahmen jederzeit an
jedem Ort verfügbar sind. So werden die im Plan genannten Akteure mobilisiert und können umgehend
ihre Arbeit aufnehmen, um sich mit notwendigen Aktionen, der Ursachenanalyse und der Wiederherstellung des Normalzustandes zu befassen. Dies kann z. B. in einem definierten Krisenstab passieren oder für kleinere Vorkommnisse auch in der Hand einzelner Personen liegen. Damit möglichst schnell mit der Bearbeitung begonnen werden kann, empfiehlt es sich, die Mobilisierung der Akteure automatisiert durchzuführen, statt auf gedruckte Listen zu setzen, da diese immer die Gefahr bergen, veraltet zu sein.

Schritt 3: Handlungsanweisungen ausführen
Die bereits vorbereiteten Handlungsanweisungen helfen bei der Schritt-für-Schritt-Abarbeitung des
Krisenprozesses: zum Beispiel Schritte zur Ursachenanalyse, Verfassen einer Pressemeldung oder
Wiederanlaufpläne für den Betrieb. Die Beschreibung der Einzelmaßnahmen hilft auch weniger erfahrenem Personal, die anfallenden Tätigkeiten nacheinander durchzuführen und zu dokumentieren. So entsteht bereits hier automatisch ein Überblick, wer wann und mit welchem Ergebnis Maßnahmen durchgeführt hat und welche noch zu erledigen sind.

Schritt 4: Dokumentation und Informationsfluss
Neben der schnellen Reaktion und Lösung des Problems ist eine lückenlose Dokumentation der
Erkenntnisse, Maßnahmen oder Hinweise besonders wichtig − nicht nur aus rechtlichen Gründen, sondern auch, um für die Zukunft die Szenarien weiter zu optimieren. Die Nachvollziehbarkeit und Auswertung der Maßnahmen zur weiteren Verbesserung decken damit den Punkt Check ab. Um diese notwendige chronologische Dokumentation bereits während der Arbeit erledigen zu können, sind sogenannte Einsatztagebücher (ETB) hilfreiche Instrumente. Diese sollten so gestaltet sein, dass ein nachträgliches Ändern der Einträge nicht möglich ist. Neben der handschriftlichen Methode eignen sich dazu Systeme, die Einträge revisionssicher speichern. Digitale Lösungen bieten häufig den Vorteil, dass die Einträge allen Beteiligten direkt zur Verfügung gestellt werden können und so den Informationsfluss in der Krise signifikant verbessern.

Schritt 5: Nachbesetzung
Sollte die Krise länger anhalten, kann eine Ablösung oder Erweiterung der aktuell Beteiligten erforderlich
werden. Die frühe Beschäftigung mit dem Thema sorgt dafür, dass die Ablösung rechtzeitig eintrifft
und der aktuelle Kenntnisstand geordnet übergeben werden kann. Vordefinierte Gruppen oder Schichten
können helfen, diesen Prozess zu vereinfachen.

Schritt 6: Aus dem Vorfall lernen
Wenn die Krisensituation im Griff ist und die Organisation wieder ihren Normalzustand erreicht hat,
erfolgt die Nachbereitung, Analyse und ggf. Optimierung. Im PDCA-Zyklus wird die letzte Phase (Act) zur
Reflexion genutzt. Sollten Optimierungspotenziale erkannt worden sein, wird das entsprechende Szenario
beispielsweise bei den Akteuren oder Handlungsempfehlungen geändert oder ergänzt. An dieser
Stelle helfen alle während der Krise angefertigten Aufzeichnungen.

Hanno Heeskens
cubos Internet GmbH
Goethestraße 5
52064 Aachen
0241 56528880
vertrieb@cubos-internet.de
www.groupalarm.com