Wie gut ist meine Geschäftsfähigkeit abgesichert?
Ein Gastbeitrag von Karin Boss-Wollheim
Nach dem Rechenzentrumsbrand bei dem Internetdienstleister OVH sollte sich jedes Unternehmen diese Frage stellen. Am 10. März 2021 hat ein Rechenzentrum des Unternehmens OVH, einem der größten Internetdienstleister und Cloudanbieter in Europa, gebrannt. Bereits in der Nacht hat das Unternehmen getwittert: “If your production is in Strasbourg, we recommend to activate your Disaster Recovery Plan.” Wie wäre Ihr Unternehmen auf eine solche Situation vorbereitet?
Verfügt Ihr Unternehmen über ein entsprechendes Notfallmanagement?
Das Beispiel von OVH zeigt, der Einsatz von Cloud-Lösungen entbindet Unternehmen nicht von der Verantwortung für ihre Daten und die entsprechenden Wiederherstellungskonzepte. Neben Bedrohungen, die im direkten Zusammenhang mit der IT-Sicherheit stehen, können auch Vorkommnissen wie z.B. Gebäudeausfall, Ausfall von Personal (z.B. bei einer Epidemie), Ausfall von Lieferanten oder Partnern, unvorhergesehene Ereignisse wie Naturkatastrophen, Stromausfälle oder Brände die Geschäftsprozesse empfindlich stören.
„Business Continuity Management”
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang 2021 den Standard BSI 200-4 „Business Continuity Management“ veröffentlicht, der die erforderlichen Vorkehrungen beschreibt, die Unternehmen durchführen sollten, um auf Ausnahmesituationen vorbereitet zu sein.
Warum braucht mein Unternehmen ein Business Continuity Management?
Der Vorfall bei OVH zeigt, dass es zur Absicherung der Geschäftsfähigkeit eines Unternehmens wichtig ist, auf Bedrohungen und deren Auswirkungen vorbereitet zu sein. Business Continuity Management (BCM) ist ein ganzheitlicher Managementprozess, der Ihrem Unternehmen hilft, seine kritischen Geschäftsfunktionen in einem Notfall oder einer Krise abzusichern.
Im ersten Schritt sind die Geschäftsprozesse zu identifizieren und anschließend die möglichen Risiken zu ermitteln und zu bewerten. Dieses Wissen bildet die Basis für die Etablierung eines Business Continuity Management Prozesses.
Was beinhaltet ein Business Continuity Management?
Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen. Im BCM werden zudem verschiedene Bedrohungsstufen definiert, die das BSI wie folgt unterscheidet:
- Störung − Prozesse oder Ressourcen stehen nicht wie vorgesehen zur Verfügung − Innerhalb des Normalbetriebs behebbar (keine Notfallpläne erforderlich)
- Notfall − Erhebliche Unterbrechung eines zeitkritischen Geschäftsprozesses − Notfallpläne liegen vor oder können angepasst werden
- Krise − Massive Unterbrechung eines (zeit-) kritischen Geschäftsprozesses − Es liegen keine Notfallpläne vor oder diese greifen nicht ausreichend
Die Hauptbestandteile des BCM sind der:
- Business-Continuity-Plan (BCP) auch Notfallplan − Beschreibung aller Sofortmaßnahmen bei Eintritt eines Notfalls oder einer Krise
- Krisenmanagementplan − Beschreibung der wichtigsten Maßnahmen zur Bewältigung der Krise
- Business-Recovery-Plan (BRP) bzw. Disaster-Recovery-Plan (DRP) − Beschreibung der Wiederanlaufmaßnahmen
Fazit
Für jedes Unternehmen ist es wichtig, unter Umständen überlebenswichtig, auf äußere und innere Bedrohungen vorbereitet zu sein und seine Geschäftsfähigkeit für Notfall- und Krisensituationen durch ein angemessenes Business Continuity Management (BCM) abzusichern. Das BCM ist kein einmaliges Projekt, sondern es wird ein Business-Continuity-Management-Systems (BCMS) benötigt, das sich an die sich stetig verändernden Rahmenbedingungen eines Unternehmens anpasst. Zur kontinuierlichen Verbesserung der organisatorischen Resilienz (Widerstandsfähigkeit) eines Unternehmens bietet das BCMS den entsprechenden Rahmen. Eine gute Basis für die Erarbeitung eines BCMS stellt der Datenschutz und hier insbesondere die Technischen und Organisatorischen Maßnahmen (TOMs) dar.
Zur Verfasserin
Karin Boss-Wollheim unterstützt Unternehmen zu IT-Prozessen und berät insbesondere zum Thema Datensicherheit und Notfallmanagement. Weitere Informationen finden Sie unter: https://www.kabw-it-beratung.de/