In unserer heutigen Zeit nimmt die globale Vernetzung immer weiter zu. Nicht nur digital durch die Verstärkung von Online-Aktivitäten, sondern auch physisch durch die Etablierung von weltweiten Lieferketten. Organisationen sind davon abhängig, dass die gesamte Infrastruktur, egal ob digital oder analog, stabil funktioniert, um einen reibungslosen Geschäftsablauf sicherzustellen. Treten dann bspw. Lieferantenausfälle, Cyberangriffe oder Stromausfälle auf, führen diese aufgrund des Verlustes an Produktivität zu kostenintensiven Problemen im Unternehmen. Ein Business Continuity Management System (BCM) gewinnt daher eine immer größere Bedeutung.
Mit der zunehmenden Verbreitung von Technologien wie IoT (Internet of Things*), Virtualisierung und Cloud Computing werden die Netzwerke in Organisationen immer komplexer und somit auch schwieriger zu verwalten, was häufig dazu führt, dass mehr Schwachstellen entstehen, die schwieriger entdeckt werden. Es gibt eine Vielzahl von Faktoren, die einen Ausfall des Netzwerkes verursachen können, wie zum Beispiel ein Firmware-Update. Oftmals sind solche Ausfälle nicht schnell zu beheben, was zur Folge hat, dass (wichtige) Systeme oder digitale Infrastrukturen zum Teil stunden- oder tagelang nicht zur Verfügung stehen.
Ziel eines Business Continuity Management Systems ist es, die Funktionsfähigkeit der Geschäftsprozesse trotz einer Krisensituation aufrechtzuerhalten, Schäden in der Organisation zu minimieren sowie die Sicherheit von Beschäftigten und weiteren Anspruchsgruppen zu gewährleisten.
Eine gesetzliche Pflicht, ein Business Continuity Management System zu betreiben, besteht zurzeit nur für Unternehmen der kritischen Infrastruktur. Aus verschiedenen internationalen Standards und Normen, wie zum Beispiel einer ISO 27001 oder auch TISAX©, geht eine Forderung nach einem BCM hervor. Ebenso kann bei Abschluss einer Cyber-Versicherung die Forderung nach einer Risikominimierung, welche durch ein BCM realisiert werden kann, bestehen.
Ein Notfallmanagement umfasst in der Regel mehrere Elemente, um den Geschäftsbetrieb sicherzustellen. Dazu gehören u.a. die Risikoanalyse, die Identifizierung kritischer Geschäftsprozesse, die Entwicklung von Notfallplänen und -maßnahmen, die Implementierung von Kommunikationsstrategien, die Durchführung von Schulungen für Beschäftigte sowie regelmäßige Tests und Übungen, um die Wirksamkeit des entwickelten Notfallplans zu überprüfen und ständig zu verbessern.
Bei der Einführung eines Notfall- oder Business Continuity Managements im Unternehmen geht man in den folgenden Schritten vor:
Verschiedene Normen und Richtlinien, wie die DIN EN ISO 22301 zum BCM oder der BSI-Standard 200-4 Business Continuity Management vom Bundesamt für Sicherheit in der Informationstechnik (BSI), geben einen Rahmen für den Aufbau eines Notfallmanagements vor.
Bei der Implementierung eines Notfallmanagements in Ihrer Organisation werden alle Organisationsbereiche berücksichtigt. Ein besonderer Fokus muss dabei auf die IT-Infrastruktur mit allen Systemen und Anwendungen, die im tagtäglich im Geschäftsbetrieb der Organisation genutzt werden, gelegt werden. Durch die Zunahme von Online-Aktivitäten und die Vernetzung von Systemen wird die IT-Infrastruktur zu einem beliebten Ziel für Angreifer. Aus der Erfahrung verschiedener Projekte heraus macht es Sinn, mit dem Aufbau eines IT-Notfallmanagements zu starten.
In Verbindung mit im Unternehmen bereits bestehenden Managementsystemen wie ein Qualitäts-, Umwelt- oder Arbeitsschutzmanagement können Synergien genutzt werden, um die Sicherheit der Organisation und die eigene Widerstandsfähigkeit sowie Resilienz in Krisensituationen zu stärken.
* Internet of Things (IoT): „Der Begriff Internet der Dinge oder Internet of Things (IoT) steht für eine vernetzte Welt aus „smarten“, d.h. intelligenten, Geräten. Diese IoT-Geräte verhalten sich wie Computer und sind lokal oder über das Internet mit anderen Geräten vernetzt.“ (Definition des Bundesamt für Sicherheit in der Informationstechnik, online abgerufen, zuletzt abgerufen am 23.04.2024 um 09:46 Uhr)
Bildquelle: Foto von Daniel McCullough auf Unsplash // TISAX® ist eine eingetragene Marke der ENX®-Association.