Autor – Dr. Roland Erben, Vorstandsvorsitzender, Risk Management Association e. V.
Viele Unternehmen machen sich in Bezug auf das Thema „Risikomanagement“ zu wenig Gedanken über mögliche Störfälle in den eigenen Reihen. Denn unter dem Schlagwort „proaktives Risikomanagement“ bestand die erste Aufgabe lange Zeit vor allem darin, mögliche Gefahrenpotenziale möglichst genau zu analysieren, zu messen und zu prognostizieren. In vielen Fällen führt dieser Ansatz aber nicht zum Ziel. Entscheidend ist im Notfall nicht, was genau passiert, sondern was die Organisation macht, wenn irgendetwas passiert.
Die neue Denkrichtung liegt dementsprechend in einer „Renaissance der Resilienz“. In den vergangenen Jahren wurde dieser Ansatz vielfach milde belächelt und als „reaktives Risikomanagement“ abgetan.
Kontinuität bei Geschäftsprozessen gewährleisten – auch im Notfall
Wenn das proaktive Risikomanagement aber an seine Grenzen stößt, muss wieder größeres Augenmerk auf die Verbesserung der Resilienz und Reaktionsfähigkeit liegen. Wenn also beispielsweise ein Rechenzentrum ausfällt, muss das betreibende Unternehmen schnell handeln und entsprechende Notfallpläne in der Schublade haben und auch umsetzen können. In diesem Kontext spielt es keine Rolle, ob der Ausfall des Rechenzentrums durch einen Brand, einen Wasserschaden oder einen Meteoriteneinschlag verursacht wurde. Wichtig ist, die Handlungsfähigkeit nicht zu verlieren, geeignete Maßnahmen im Vorfeld auszuarbeiten und dafür zu sorgen, dass diese im Ernstfall schnell greifen. Die eine Stunde Produktionszeit, die ein Unternehmen aufgrund der Durchführung einer Notfallübung vielleicht verlieren mag, wird sich im echten Notfall mehrfach bezahlt machen – ein wichtiger Aspekt bei einem Blick auf die eng miteinander verzahnte Wirtschaft mit sensiblen Produktions-, Infrastruktur- und Datenbereichen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht es unter dem Punkt der „Einbeziehung von Aspekten des Notfallmanagements in alle Geschäftsprozesse“ als obligatorisch an, dass die Leitungsebene „einen Überblick über die geschäftskritischen Fachaufgaben bzw. Geschäftsprozesse und Informationen haben“ muss. Und weiter: „Die zuständigen Fachverantwortlichen und das Notfallmanagement-Team müssen konkrete Regeln zur Einbindung von Kontinuitätsaspekten bei der Planung und Umsetzung von Geschäftsprozessen aufstellen (z. B. Schutzmaßnahmen und Klassifizierung).“ Doch in der Praxis verblassen die Empfehlungen meist hinter der grauen Theorie.
Business Continuity Management als Basis für ein organisationsweites Risikomanagement
Eine Basis für ein allgemeines Notfallmanagement bietet das Business Continuity Management (BCM). Ziel eines organisationsweiten BCM-Prozesses ist das Aufrechterhalten der unternehmerischen Kontinuität und das Fortführen der Geschäftstätigkeit nach einem Notfall oder einer Krise. Hierbei stehen Konzepte, Prozesse und Maßnahmen im Mittelpunkt der Betrachtung, die eine nachhaltige Sicherstellung der wichtigsten Geschäfts- und Produktionsprozesse in kritischen Situationen gewährleisten. Das BCM ist als fester Bestandteil eines organisationsweiten Risikomanagements zu verstehen und bereitet Organisationen darauf vor, Risiken plan- und wirkungsvoll entgegenzuwirken – gerade dann, wenn trotz aller Maßnahmen des proaktiven Risikomanagements Notfälle dennoch eintreten. Voraussetzung dafür, dass Verluste und Schäden dann minimiert werden können, ist, dass ein BCM funktionsfähig eingeführt wird und der Prozess als ständig und nachhaltig in der Organisation verankert wird. Hinzu kommt die Querschnittsfunktion von BCM. Im Klartext: Eine professionelle BCM-Strategie muss alle Organisationsbereiche umfassen sowie mit anderen Organisationsprozessen verzahnt sein.
Der neue BCM-Standard fordert, dass auch kritische Lieferanten eines Unternehmens den Nachweis eines funktionierenden BCM erbringen müssen. Dies würde beispielsweise bedeuten, dass externe Rechenzentrumsbetreiber und -dienstleister einen durchgängigen BCM-Prozess vorhalten müssen (Zertifizierung nach ISO 22301). Dieser ISO-Standard schließt unter anderem die Organisationsebene ein, in der eine Analyse von Aufgaben, Dienstleistungen und Lieferketten stattfinden muss, inklusive der Auswirkungen bei einer Organisationsunterbrechung. Weitere Bereiche bilden die Tragfähigkeit der Risikomanagement-Strategie und der Compliance-Richtlinien. Hinzu kommt die Berücksichtigung der organisatorischen Gesamtstrategie sowie von geschäftskritischen Produkten, Dienstleistungen und Werten samt Vertragsbindungen.
„BCM ist Chefsache“
Grundsätzlich liegt die Verantwortung für das BCM eines Unternehmens beim (Top-)Management. Zur Planung und Konzeption einer entsprechenden Strategie müssen in der Organisation Verfahren dokumentiert werden, um die Kontinuität von Aktivitäten und das Management von Betriebsunterbrechungen sicherzustellen. Im Bereich der Datensicherheit sind Service Provider in puncto Notfallmanagement in der Pflicht.
Bei der konkreten Ausgestaltung der Pläne stehen Fragen im Mittelpunkt, wer den Notfall ausruft, welche Mitarbeiter direkt in den Prozess eingebunden werden und wo Backup-Daten, Telefon- und Passwortlisten zentral hinterlegt sind. Hierzu sind bestimmte Szenarien – je nach Organisationsstruktur, Branche sowie Fertigungs- und Dienstleistungsprozess – festzulegen, die im Fall der Fälle direkt greifen. Eine Möglichkeit bietet ein zuvor eingeplantes Ersatzrechenzentrum – das nicht zwingend über einen Drittanbieter oder ein Outsourcing erfolgen muss – sowie die Virtualisierung der kompletten IT-Infrastruktur als einen gangbaren Lösungsweg. Der Virtualisierungsansatz ermöglicht die Hardware-Auslagerung und Applikationsverteilung. Hierbei werden Rechenzentrumsleistungen über mehrere Standorte verteilt ausgeführt. Sämtliche Maßnahmen sind vor dem Hintergrund vorab zu planen, dass IT-Prozesse, die Datenintegrität und der Informationszugang zeitnah wieder zur Verfügung stehen (oder es im Idealfall zu keiner Beeinträchtigung des kompletten Betriebs kommt). Ein wichtiger Faktor, gerade in Zeiten, in denen Informationen das wichtigste Gut von Unternehmen sind und die dahinter stehende IT-Infrastruktur eine entscheidende Schlüsselfunktion im gesamten Betrieb einnimmt.
Einen bedeutsamen Aspekt spielen im gesamten Notfall- und Informationssicherheitsprozess nicht nur „harte“ Kosteneinsparungen, wie das Vermeiden von Doppelarbeiten oder die Harmonisierung von Datenbeständen. Ebenso wichtig sind die „weichen“ Vorteile, beispielsweise eine verbesserte Informationsbasis und eine höhere Transparenz, die sich in schnelleren und besseren Entscheidungen niederschlägt. Eine wesentliche Rolle in diesem Prozess kommt nicht zuletzt der IT zu: So haben viele Lösungsanbieter die Zeichen der Zeit erkannt und unterstützen die Integrations- und Harmonisierungsbestrebungen in den Unternehmen dank integrierter und umfassender IT-Systeme.
Fazit
Um für ein Unternehmen eine BCM-Strategie zu entwickeln und umzusetzen, ist ein Umdenken vieler Manager und Mitarbeiter geboten. Und das bedeutet, wer sich die Vorteile eines integrierten BCM- und Risikomanagements zunutze machen will, sollte als ersten Schritt nicht den Fokus auf eine Software legen. Entscheidend ist eine verbesserte Risikokultur bei allen Mitarbeitern.
www.rma-ev.org
Dr. Roland Erben, Vorstandsvorsitzender der Risk Management Association e. V. Die RMA ist die unabhängige Interessenvertretung für das Thema Risikomanagement im deutschsprachigen Raum. Als Kompetenzpartner ist sie erster Ansprechpartner für Informationen, den unternehmensübergreifenden Dialog sowie die Weiterentwicklung des Risikomanagements. Zu den Mitgliedern der RMA zählen internationale Konzerne, mittelständische Unternehmen sowie Privatpersonen aus Wirtschaft, Wissenschaft und dem öffentlichen Sektor.
RMA: Arbeitskreis Business Continuity Management (BCM)
Der Arbeitskreis BCM der RMA verfolgt das Ziel, die inhaltlichen Grundlagen des Business Continuity Managements mit den Teilgebieten Management operationeller Risiken, Notfallplanung und Krisenmanagement in ihrer ganzen Bandbreite zu durchleuchten.
Hinzu kommt das Erarbeiten von Gestaltungsmöglichkeiten bei der Einführung eines BCM-Programmes sowie das Entwickeln einer effizienten Standard-Vorgehensweise – und das mit vertretbaren zeitlichen und finanziellen Aufwänden, damit ein zertifizierbares BCM für Unternehmen aller Größenordnungen und Branchen aufrechterhalten werden kann.
