Mobile-Menu

Definition Was ist Business Continuity Management (BCM)?

Business Continuity Management ist ein ganzheitlicher Ansatz mit der Zielsetzung, in Krisensituationen den Fortbestand eines Unternehmens samt Geschäftsprozessen sicherzustellen. Im Rahmen des Business Continuity Managements werden mögliche Risiken identifiziert, ihre Auswirkungen untersucht und Maßnahmen beschrieben, den Betrieb in einem Krisenfall aufrechtzuerhalten oder für einen schnellen und reibungslosen Wiederanlauf nach einem Ausfall zu sorgen.

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Der deutsche Begriff für Business Continuity Management, abgekürzt BCM, lautet Betriebskontinuitätsmanagement. Es handelt sich um einen ganzheitlichen Ansatz mit der Zielsetzung, in Krisensituationen den Fortbestand eines Unternehmens oder einer Organisation samt Geschäftsprozessen sicherzustellen. Risiken für Betriebsunterbrechungen mit den daraus resultierenden finanziellen Schäden oder existentiellen Bedrohungen des Unternehmens sollen minimiert werden. Das Business Continuity Management identifiziert mögliche Risiken und deren Auswirkungen auf die Geschäftsprozesse. Zentrale Fragestellungen des Business Continuity Managements sind:

  • welche Geschäftsprozesse sind wichtig und im Krisenfall unbedingt aufrechtzuerhalten?
  • welche Maßnahmen sind notwendig, um dies sicherzustellen?

Auf Basis der Antworten auf diese Fragestellungen beschreibt das BCM Konzepte, Maßnahmen, Prioritäten und Verantwortlichkeiten, den Betrieb im Fall einer Krisensituation weiterzuführen oder nach einem Ausfall schnell und reibungslos wieder aufzunehmen. Das BCM liegt im Verantwortungsbereich der Führungsebene. Die Einrichtung und Umsetzung eines Business Continuity Managements wird an entsprechende Einheiten oder Stellen delegiert. In der Regel sind sämtliche Ebenen und Bereiche eines Unternehmens in das BCM einbezogen. Im Rahmen des BCM sind sowohl proaktive als auch reaktive Maßnahmen sowie strategische Planungen beschrieben.

Zahlreiche Normen und Standards beschäftigen sich mit dem betrieblichen Kontinuititäts- und Notfallmanagement. Eine international anerkannte Norm ist die ISO-Norm ISO 22301. In Deutschland hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) hierzu den Standard BSI 100-4 veröffentlicht. Er beschreibt einen systematischen Ansatz zum Aufbau und zur Implementierung eines Notfallmanagements in Behörden oder Unternehmen.

Betriebliches Kontinuitätsmanagement aus IT-Sicht

Betriebliches Kontinuitätsmanagement ist ein ganzheitlicher, aus der Betriebswirtschaftslehre stammender Ansatz. Oft erfolgt die Betrachtung des Business Continuity Managements aber aus IT-Sicht. Aus dieser Perspektive kümmert sich das BCM um die Sicherung und Aufrechterhaltung geschäftskritischer IT-Prozesse inklusive der zugrundeliegenden Hard- und Software. Risiken für Betriebsunterbrechungen der Unternehmens-IT und mögliche Folgeschäden werden minimiert. Zum einen sorgt das BCM dafür, dass der IT-Betrieb unter Krisenbedingungen weiterlaufen kann, zum anderen ermöglicht das BCM einen schnellen und fehlerfreien Wiederanlauf der IT-Prozesse nach einem Hard- oder Softwareausfall. Szenarien, die für die Unternehmens-IT und IT-Prozesse ein Risiko darstellen oder einen Krisenfall auslösen, sind beispielsweise:

  • Ausfall oder Probleme der Hardware
  • Ausfall oder Probleme der Software
  • Ausfall oder Probleme des Netzwerks und der Kommunikationsverbindungen
  • Ausfall oder Probleme einzelner IT-Prozesse
  • Ausfall oder Beeinträchtigung eines RZ-Gebäudes
  • Angriff auf Firmennetzwerke, Firmen-Hard- und -Software, Firmendaten, Datenintegrität, Datensicherheit und andere Cyber-Bedrohungen wie Malware oder Ransomware
  • Stromausfall, Wasserschäden oder Naturkatastrophen, die die Funktion der IT-Systeme gefährden oder beeinträchtigen
  • Ausfall von Personal durch Kündigung, Krankheit oder Pandemien
  • Ausfall von Partnern, Service Providern oder anderen Dienstleistern

Jedes Szenario erfordert ein spezifisches Vorgehen mit individuellen Maßnahmen. Häufig kommen Backup-Konzepte und Redundanzen zum Einsatz, um den Weiterbetrieb kritischer IT-Systeme im Krisenfall sicherzustellen.

Die verschiedenen Komponenten und Prozessphasen des Business Continuity Managements

Das Business Continuity Management setzt sich aus mehreren Einzelkomponenten und verschiedenen Prozessphasen zusammen. Es handelt sich um einen kontinuierlichen Prozesskreislauf, der immer wieder zu durchlaufen ist. Abhängig von Branche, Unternehmen oder Geschäftsprozessen variieren die Details des Business Continuity Managements. Folgende Komponenten und Phasen sind üblicherweise enthalten:

  • Risikoanalyse
  • Business-Impact-Analyse
  • Business-Continuity-Plan
  • Notfallübungen
  • kontinuierliche Optimierung des Business Continuity Managements

Aufgabe der Risikoanalyse ist es, potenzielle Gefahren für Unterbrechungen der Geschäftsprozesse zu finden. Aus den Ergebnissen lassen sich erste Maßnahmen ableiten, Risiken schon im Vorfeld proaktiv zu reduzieren. Im Rahmen der Business-Impact-Analyse wird die Kritikalität der Geschäftsprozesse bewertet. Anhand dieser Bewertungen lässt sich ableiten, welche Prozesse in welchem Umfang vor den identifizierten Risiken zu schützen sind. Abhängig von der Kritikalität definiert die Business-Impact-Analyse maximal tolerierbare Ausfallzeiten.

Der Business-Continuity-Plan beschreibt Maßnahmen zur Aufrechterhaltung der Geschäftsprozesse, zur Minimierung von Ausfallzeiten und zum Wiederanlauf nach Ausfällen. Bestandteile eines Business-Continuity-Plans sind mehrere Einzelpläne wie Desaster- und Business-Recovery-Plan, Krisenmanagementplan, Notfallplan, Notbetriebsplan, Alarmierungsplan, Eskalationsplan und die Definition eines Notfall-Response-Teams. Die Maßnahmen einzelner Pläne lassen sich wiederum verschiedenen Einzelphasen eines Krisenfalls zuteilen. Dies sind beispielsweise die Durchführung von Sofortmaßnahmen, das Ausführen eines Notfallbetriebs, die Rückführung des Notfallbetriebs in den normalen Betrieb und die Nachbetrachtung eines Vorfalls. Die in den Plänen definierten Strukturen, Meldewege, Verantwortlichkeiten und Rollen erlauben ein schnelles Reagieren in Krisensituationen und die Steuerung der beschriebenen Maßnahmen.

Die Wirksamkeit der im Business-Continuity-Plan beschriebenen Maßnahmen und die definierten Verantwortlichkeiten sind in regelmäßigen Notfallübungen zu überprüfen. Ergebnisse solcher Notfallübungen, Audits und Tests lassen sich verwenden, um das Business Continuity Management kontinuierlich zu überarbeiten und zu optimieren. Darüber hinaus muss das BCM den Veränderungen des Unternehmens, der Geschäftsprozesse, des Geschäftsumfelds und der IT-Landschaft ständig angepasst werden.

(ID:47118740)

Über den Autor