Business Continuity

Business Continuity Konzept auf dem Prüfstand

| Uwe Hoffmeister

In fast allen großen Unter­nehmen sind BCM-Notfall­pläne (Business Continuity Management) vorhanden. Aller­dings ist die Qualität der BCM-Pläne oft nur mittel­mäßig bis schlecht. Und auch die Pflege der Pläne wird oft nur unzurei­chend erfüllt. Denn es reicht eben nicht, einen BCM-Plan in der Schublade zu haben. Die Fortschreibung unter Berück­sich­tigung von Verän­de­rungen der Geschäfts­pro­zesse und sich ändernde Umgebungs­be­din­gungen (Umwelt, wirtschaft­liche und politische Lage) stellt dabei die größte Heraus­for­derung für Unter­nehmen dar.

Beispiel Wetter
Ein schönes Beispiel für eine Verän­derung der Umgebungs­be­din­gungen ist die Dürre und Hitze in Europa 2018. Die lange Trocken­pe­riode führte dazu, dass viele Flüsse über lange Zeit nur noch sehr wenig Wasser führten. In neun der 15 größten Flüsse in Deutschland herrschte an mehr als 100 Tagen extremes Niedrig­wasser. Elbe, Rhein, Oder und Donau führten so wenig Wasser, dass die Schiff­fahrt einge­schränkt war oder einge­stellt werden musste. Fracht­schiffe konnten nur teilweise beladen werden. Auf der Elbe zwischen Magdeburg und Dresden war im Oktober 2018 für Monate kein Schiffs­verkehr mehr möglich, auf der Donau konnten Schiffe praktisch nur noch unbeladen verkehren. Auf dem Rhein, der verkehrs­reichsten Wasser­straße der Welt, herrschte erhöhter Fracht­schiff­be­trieb, weil diese Schiffe nur teilbe­laden werden konnten. Trotz des erhöhten Einsatzes an Fracht­schiffen mussten Indus­trie­un­ter­nehmen wie BASF und Thyssen­Krupp infolge des Niedrig­wassers auf dem Rhein die Produktion drosseln, die zweifelsohne als kriti­scher Geschäfts­prozess zu bezeichnen ist.

Die Konti­nui­täts­planung muss daher laufend an alle relevanten Einfluss­fak­toren angepasst werden. Dies bedeutet jedoch auch, dass Ressourcen für diese Tätigkeit bereit­ge­stellt werden müssen. In der Praxis scheitern Fortschrei­bungen neben organi­sa­to­ri­schen Mängeln oft auch auf Grund fehlender Budgets für diesen Bereich. Ein weiteres Beispiel für „Sparen am falschen Ende“.

Dringende Aktua­li­sierung
Doch wie oft wird ein BCM-Plan aktua­li­siert? Umfragen zu diesem Thema zeigen, dass ca. 40 Prozent der befragten Unter­nehmen ihren BCM-Plan einmal pro Jahr aktua­li­sieren. Etwa 20 Prozent tun dies alle zwei Jahre – immerhin! Doch die viel wichtigere Erkenntnis, die sich aus den Umfragen ablesen ließ, war, dass fast kein Unter­nehmen den Plan mehr als einmal pro Jahr aktua­li­siert, obwohl sich mindestens Geschäfts­pro­zesse durchaus öfter verändern können.

Business Continuity Plan – Organi­sa­to­ri­scher Aufbau

Grund­sätzlich hat eine Fortschreibung entweder regel­mäßig in bestimmten Zeitab­ständen zu erfolgen oder auf Grund eines Anlasses (z. B. Test, Audit). In beiden Fällen sollten organi­sa­to­risch folgende Gruppen zusam­men­wirken:

Der „Owner“
Für jeden Notfallplan oder Teile eines Notfall­plans wird innerhalb des Unter­nehmens ein sogenannter „Owner“ definiert. Dieser ist verant­wortlich für die Aktua­lität der Inhalte „seines“ Notfall­plans. Stellt er Verän­de­rungen zum alten Stand fest, so hat er eine Bring­schuld, diese anzuzeigen und entspre­chend im Notfall­konzept inhaltlich Anpas­sungen vorzu­nehmen.

Die Redaktion
Die zweite Instanz ist die „Redaktion“. Der „Owner“ liefert seine Infor­ma­tionen direkt an die Redaktion, deren Aufgabe es ist, die Zusam­men­stellung und Verteilung (in Einzel­fällen auch mit der Einziehung veral­teter Notfall­pläne) durch­zu­führen. Ergeben sich Änderungen im Notfall­konzept auf Grund neuer oder geänderter Geschäfts­pro­zesse, werden abhängig vom Grad der Änderung neue „Releases“ oder Versionen erstellt und verteilt. Neben der Bring­schuld des Owners besteht für die Redaktion eine Holschuld, z. B. durch regel­mäßige Anfragen bei den Ownern. Durch diese Kombi­nation arbeiten beide Gruppen direkt einander zu.

Business Continuity Konzept – Praktische Umsetzung

Die Notfall­planung unter­liegt einem Zyklus, der mit der Analyse beginnt, dazuge­hörige Lösungen definiert, diese in der Praxis imple­men­tiert und im Nachgang mit Testver­fahren überprüft. Die Ergeb­nisse der Testver­fahren fließen dann wieder einer erneuten Analyse zu. Somit ist das „Testen“ der selbst definierten Abläufe und Regeln ein wichtiges Binde­glied im Notfall­pla­nungs­zyklus. Daher
sollte hierfür ein Testkonzept erstellt werden, das genauso fortge­schrieben wird wie der BCM-Plan. Grund­le­gende Inhalte des Tests­kon­zeptes sind:

  • Beschreibung von Testvor­be­rei­tungen (z. B. eine Liste der Testob­jekte)
  • Beschreibung der Testdurch­führung („Drehbuch“)
  • Dokumen­tation der Durch­führung
  • Auswertung/Analyse
  • Fortschreibung

Die Ergeb­nis­be­wertung fließt dann in die Überar­beitung des Notfall­plans ein.

Natürlich können Tests und Übungen nur bedingt die Realität eines tatsäch­lichen Schaden­er­eig­nisses abbilden. Dennoch sind sie das einzige Mittel, um für den Ernstfall gewappnet zu sein. Vorüber­le­gungen sollten sein:

  • Was kann wie getestet werden? (Teile oder der Notfallplan als Ganzes)
  • Häufigkeit (regel­mäßige Wieder­holung)
  • Beurteilung mögl. Risiken eines Tests (Neben­ef­fekte)

Nach Abschluss der Vorüber­le­gungen stehen nachfol­gende Ansätze von Tests und Übungen zur Prüfung und Überwa­chung der Notfall­planung zur Verfügung:

Bewusst­seins­bildung
Die Perso­nal­be­spre­chungen zur Bewusst­seins­bildung gehören zur grund­le­genden Einführung und Vorbe­reitung der Beschäf­tigten auf die Notfall­planung. Mit der Bewusst­seins­bildung soll das Verständnis für die Notwen­digkeit der Notfall­planung geweckt werden. Es soll Verständnis darüber erlangt werden, welche Schnitt­stellen zu anderen Teams und Abtei­lungen bestehen und welche Anfor­de­rungen diese haben. Darüber hinaus wird überprüft, ob Organi­sa­ti­ons­regeln bezogen auf die Bezie­hungen zwischen den Betei­ligten angepasst werden müssen.

Schreib­tischtest
Der Schreib­tischtest ist eine schrift­liche Testsi­mu­lation eines Ernst­falls und stützt sich auf definierte Verfahren des Notfall­planes eines Unter­neh­mens­be­reiches. Dieser Test sollte vor dem prakti­schen Test durch­ge­führt werden, damit die größten Fehler und Abwei­chungen ohne den Einsatz unnötiger Kosten, techni­scher Einrich­tungen oder sonstiger Ressourcen behoben werden können.

Szena­riotest
Bei einem Szena­riotest werden Mitar­beitern Rollen entspre­chend dem Notfallplan zugewiesen. Vor dem Hinter­grund eines simulierten Ernst­falls, der so realis­tisch wie möglich darge­stellt werden sollte, können Notfall­pläne verschie­dener Bereiche in einem Szenario vereinigt werden und so der Gesamt­ablauf getestet werden, insbe­sondere die Schnitt­stellen zwischen den betei­ligten Teams. Ein Simula­ti­onsteam arbeitet im Vorfeld das Szenario aus und versorgt während der Übung die Mitar­beiter mit den notwen­digen Infor­ma­tionen. Auch hier sollte möglichst eine reali­tätsnahe Simulation angestrebt werden. Ein Szena­riotest kann in Extrem­fällen mehrere Tage dauern. Norma­ler­weise werden diese Übungen auch unter der Wahrung termin­licher Verbind­lich­keiten der einzelnen Betei­ligten angekündigt durch­ge­führt. Besser ist es aber in jedem Fall, auch unange­kün­digte Übungen durch­zu­führen. Um der Termin­si­tuation gerecht zu werden, können z. B. der Tag (ohne genaue Uhrzeit) oder die Kalen­der­woche angegeben werden.

Ziele dieser Übung sind:

  • Übung des Umgangs mit Notfällen in einer sicheren Umgebung
  • Erfahren und Verstehen, welchen Einfluss Kommu­ni­kation auf den Ablauf von Schadens­er­eig­nissen haben kann
  • Verständnis und Sinn der Benach­rich­ti­gungs­struktur in einer Notfall­si­tuation
  • Erkennen von logischen Fehlern und prakti­schen Hinder­nissen, die eine Wieder­her­stellung des Normal­zu­standes erschweren bzw. verhindern

Techni­scher Test
Bei diesen Tests werden die techni­schen Fähig­keiten und das Selbst­ver­trauen des verant­wort­lichen Personals zum Starten von (redun­danten) Systemen oder dem Einrichten von Notfall­in­stal­la­tionen abgeprüft, um heraus­zu­finden, ob der für diese Aktionen vorge­sehene Zeitbedarf zur Wieder­her­stellung realis­tisch ist. Die Ergeb­nisse müssen proto­kol­liert werden und eine Aktions­liste für notwendige Verbes­se­rungen erstellt werden.

Nach Fertig­stellung der Notfall­planung ist es außer­or­dentlich wichtig, einen konti­nu­ier­lichen Überblick über alle Notfall­ak­ti­vi­täten zu behalten. Daher ist es erfor­derlich, die im Notfall­konzept definierten Maßnahmen auf ihre tatsäch­liche Umsetzung durch eine dritte Stelle (unter­neh­mens­intern oder ‑extern) überprüfen bzw. auditieren zu lassen.

Dieser Beitrag wurde ursprünglich veröf­fent­licht im Sicher­heits-Berater 17–2019, www.sicherheits-berater.de