Business Continuity Planning.

Prävention

Kern einer jeden Business Continuity-Planung muss es sein, Prozesse, die zu Schäden führen können, so zu gestalten, dass wir sie im Bestfall auszuschließen. Wenn die Vorbeugung nicht wirkt, muss dafür Sorge getragen werden, dass eine Fehlentwicklung schnell erkannt und ihr entgegen gewirkt werden kann.

Bestandsaufnahme Sicherheitskonzept

Prozessanalysen

  • Abhängigkeits-, Business Impact-Analyse
    Für die kritischen Geschäftsprozesse und zentralen Funktionen wird über die durch einen Stillstand hervorgerufenen materiellen und immateriellen Sekundärschäden die maximal tolerierbare Ausfallzeit bestimmt. Eine Alternative besteht darin, dass die maximal tolerierbaren Ausfallzeiten von der Geschäftsleitung vorgegeben werden.
    • Schwachstellenanalysen
    • Ermittlung von SPOFs (Single Point of Failure)
  • Modulbildung und Schadensszenarien
    Es werden diejenigen Komponenten der technischen und informationstechnischen Prozessketten sowie der baulichen Infrastruktur herausgefiltert, von deren Funktionsfähigkeit die Verfügbarkeit der kritischen Geschäftsanwendungen und Zentralenfunktionen abhängig ist. Weiter wird aufgezeigt, welche Interdependenzen zwischen diesen Modulen bestehen und welche Schadensszenarien daraus abgeleitet werden können.
  • Modell der Kernprozesse und -funktionen
    Eine Wiederanlauffähigkeit bei den Modulen der Infrastruktur wird durch die obigen Maßnahmenansätze weitgehend erreicht. Teilweise können Schadensereignisse sogar so abgefedert werden, dass ihre Auswirkungen kaum wahrzunehmen sind. Bei größeren Schadensszenarien oder wenn Arbeitsplätze und ihre Umgebung betroffen sind, ist ein weiterer Ansatz zu verfolgen. Die auch nach einem Katastrophenfall unverzichtbaren Geschäftsprozesse und zentralen Funktionen müssen in einem Umfang innerhalb einer festzulegenden Zeitdauer wieder aufgenommen werden, so dass ein Überleben des Unternehmens ermöglicht wird. Also müssen den dafür benötigten Mitarbeitern Ersatzarbeitsplätze mit erforderlicher informationstechnischer und technischer Infrastruktur fristgerecht zur Verfügung gestellt werden. Dies erfordert entsprechende Vorbereitungen.
  • Maßnahmenansätze für die Module
    Grundsätzlich kommen folgende Maßnahmenansätze in Betracht:
    • Redundanzen und Teilredundanzen 
      Diese stellen den effektivsten Maßnahmenansatz dar, finden aber häufig ihre Grenzen in den durch sie verursachten Kosten. Auch die Business Continuity Planung muss sich dem Angemessenheitsprinzip unterwerfen.
    • Notfallüberbrückung
      Hier kommen, wenn auch meist im begrenztem Umfang, personelle und organisatorische Notfallverfahren in Betracht, die für eine bestimmte Zeitdauer in der Lage sind, Ausfälle zu überbrücken. Immer ist jedoch dabei zu prüfen, wie und mit welchem Aufwand die anschließende Rückkehr in den Normalbetrieb erfolgen kann.
    • Wiederanlaufmaßnahmen
      Dazu gehört beispielsweise im Rahmen der Informationsverarbeitung die Nutzung eines Ausweichrechenzentrums
    • Erhöhte präventive Sicherheit
      Module, für die keine der zuvor genannten Maßnahmenkategorien in Frage kommen und die die sogenannten single points of failure darstellen, werden durch ein erhöhtes präventives Sicherheitsniveau geschützt.
  • Dokumentation
    Für die aufgestellten, abgestuften Szenarien werden in fortschreibungsfähiger Form die vorgeplanten Reaktionen dokumentiert. Besonderes Gewicht ist auf Handlungsanweisungen und Checklisten zu legen, die abgestimmt auf die unterschiedlichen Szenarien und betroffenen Zielgruppen, ein effizientes und sicheres Reagieren ermöglichen.

Reorganisation von Sicherheitsprozessen

Redundanzen