Berücksichtigung der Versorgungen mit Gas und Strom im BCM

Abgelegt in: 1 Antwort

Viele Unternehmen beschäftigen sich derzeit intensiv mit den Situationen einer Unterbrechung der Gas- und Stromversorgung angesichts der aktuell kritischen Versorgungslage insbesondere bei Gas.

Grundlage jeder Vorsorgemaßnahme für einen Versorgungsausfall ist die Kenntniss wo, wofür und welche Menge an Gas, Fernwärme, Strom, Internet und Telekommunikation und andere Versorgungsleistungen benötigt wird. In der Industrie kommen noch zusätzlich technische Versorgungen mit Druckluft, Vakuum, Prozessrohstoffen etc. hinzu.

Die Business Impact Analyse ist ein hervorragendes Instrument, um die Anforderungen an diese Versorgungen zu identifizieren. In meinen BIA-Fragebogen berücksichtige ich diese Versorgungen schon immer. Zentrale Versorgungen für die Gebäude werden in der Regel über den Prozess des Facility Managements abgebildet.

Neben den Anforderungen an die Ressourcen Personal, IT, Gebäude, Technik und Dienstleister werden in der BIA auch die Anforderungen an die Versorgungen für den betrachteten Geschäftsprozess strukturiert erhoben:

Grafik: Beipiel für die Erhebung der Anforderungen an die Versorgungen in der BIA

In den Notfallkonzepten wird nachfolgend je Geschäftsprozess für alle identifizierten kritischen Versorgungen die jeweilige Notfallstrategie festgelegt und strukturiert beschrieben:

Grafik: Beispiele Notfallkonzepte Versorgungen

Die Analyse der Anforderungen an die unterschiedlichen Versorgungen zusammen mit den Notfallkonzepten für die kritischen Geschäftsprozesse des BCM bilden eine sehr gute Grundlage für die Vorbereitung auf Mangellagen und Ausfälle und sorgen für Transparenz im Management über das aktuelle Risiko.

BCI Good Practice Guidelines 2018 Edition erschienen

Abgelegt in: 1 Antwort

Nach einer Runde um den Globus sind die aktualisierten Good Practice Guidelines (GPG) Edition 2018 anlässlich der BCI World Conference in London veröffentlicht worden.

Die BCI GPG waren mir damals als Einsteiger in das Thema Business Continuity Management eine wertvolle Hilfestellung. Im Gegensatz zu den BCM-Standards (die es damals im Gegensatz zum GPG noch nicht gab), erläutern die GPG nicht nur was für ein gutes BCM implementiert werden muss, sondern geben auch Hilfestellung mit welchen Methoden die Ziele erreicht werden. Geschrieben von Praktikern für Praktiker. Die neue Version basiert weiterhin auf dem bewährten BCM-Lifecycle mit den Professional Management Practices (PP) “Policy und Programm Management” und  “Embedding BC” sowie den Technical Practices  “Analysis”, “Design”, “Implementation” und “Validation”.

Jede Phase besteht aus den Beschreibungsteilen

  • generell zu beachtende Prinzipien,
  • Konzepte,
  • Detailprozess mit Prozesschritten,
  • Methoden und Techniken sowie
  • Ergebnisse und Review.

Die Business Impact Analyse (BIA) hat die größte Überarbeitung erfahren und basiert in den neuen GPG konsequent auf dem Vorgehen im ISO-Standard ISO 22317:2015.

Aufbau und Inhalt des GPG 2018 sind sowohl für Einsteiger in das Thema BCM als auch für erfahrene Praktiker sehr hilfreich.

Die GPG tragen den Untertitel “Building organizational resilience”. Um das Gute noch besser zu machen, würde ich mir für eine zukünftige Version eine noch stärkere Berücksichtigung der Schnittstellen zwischen den Disziplinen wünschen, die für die organisatorische Resilienz erforderlich sind. In der Grafik auf dem Deckblatt haben sie zumindest schon ihr Plätzchen gefunden.

Eine Übersicht über den neuen Aufbau stellt das BCI auf den neu gestalteten Webseiten zur Verfügung. Der GPG ist für BCI-Mitglieder kostenfrei online erhältlich. Nicht-Mitglieder bezahlen 30 GBP excl. VAT für dieses hilfreiche Werk. Ein Schnäppchen im Vergleich zu den ISO-Standards!

Wenn Sie eine aktuelle deutsche Literatur zu BCM und IT Service Continuity Management suchen, dann werden Sie hier fündig:
Business Continuity und IT-Notfallmanagement: Grundlagen, Methoden und Konzepte (Edition <kes>)

Körperliche Dokumente im Notfallkonzept

Abgelegt in: 2 Antworten

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die überwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und Faxgeräte eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zählen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  häufig erstaunt fest, dass der Postdienst für das Funktionieren der Geschäftsprozesse weiter unerlässlich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies für das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergänzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusätzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zählen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb häufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwändig wiederherstellbar. Für das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schärft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zählt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus Gründen der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch müssen für Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei Gebäudeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte für diese Dokumente erstellt werden.

Häufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten über IT-Anwendungen schnell unterschätzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse überrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Abgelegt in: Antworten

Wenn die Lieferkette an einer Stelle reißt, kommt häufig die gesamte Wertschöpfungskette für ein Produkt oder einen Service zum Stillstand. Die Vorsorge für Notfälle in der Lieferkette – das Supply Chain Continuity Management – ist daher ein elementarer Baustein für eine widerstandsfähige Lieferkette. Der vorangegangene Beitrag „Supply Chain Resilience“ behandelte die Governance, Risk und Compliance-Aspekte. Dieser Beitrag, den ich auf der Plattform GR3C veröffentlicht habe, geht vertieft auf die Rolle des Business Continuity Management zur Sicherung der Lieferketten bei Unterbrechungen ein:

Zum Beitrag auf 3GRC

Die zehn Schritte zum Business Continuity Management

Abgelegt in: Antworten

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.

Nicht “ob”, sondern “wann” ist die Frage

Abgelegt in: 1 Antwort

Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen.  Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.

Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.

Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias Hämmerle

Personalausfall – der schlafende Riese

Abgelegt in: 1 Antwort

BCM-Szenarien wie IT-Ausfall, Gebäude- und / oder Arbeitsplatzausfall sind in der Notfallvorsorge mittlerweile selbstverständlich. Das Szenario “Personalausfall” gehört in der Theorie gleichwertig mit zu den elementaren Risikoszenarien wie auch der Ausfall kritischer Dienstleistungen / Dienstleister. In der Praxis kommt das Szenario Personalausfall in allen Phasen des BCM-Lebenszyklus leider oftmals zu kurz. Und das, obwohl uns auch die praktische Realität zum Beispiel in Form zahlreicher streikbedingter Personalausfälle bei Bahn, Kitas und Geldtransporteuren die Notwendigkeit einer angemessenen Vorsorge für Personalausfälle aufzeigt. SARS, Vogelgrippe, EHEC/HUS und jetzt aktuell MERS finden vermeintlich im fernen Asien statt. Norovirus, auch “Kreuzfahrer-Virus”,  trifft vermeintlich nur Kreuzfahrer – aktuell gibt es eine Lebensmittelwarnung wegen Noroviren in gefrorenen Erdbeeren bei Aldi Nord. Masern-Epidemien betreffen nicht nur die Kinder, wenn Heerscharen von Elternteilen für die Pflege zu Hause bleiben müssen. Doch wenn das Szenario “Personalausfall” zuschlägt ist jede Vorbereitung Gold wert. Hinzu kommt dass das Szenario Personalausfall BCM und Krisenmanagement gerne über Tage, Wochen oder gar Monate auf Trab hält. Eine zweistündige Krisenstabsübung lässt die Anforderungen an ein solches Szenario nur erahnen. Alleine, wenn der Krisenstab in den Drei-Schichtbetrieb gehen soll … Weiterlesen…

Wenn die kritische Ressource “Personal” ausfällt

Abgelegt in: 1 Antwort

Dieser Artikel ist im aktuellen BCM-Sonderheft des Sicherheits-Berater erstmalig erschienen.

Im Business Continuity Management (BCM) gibt es vier grundsätzliche BCM-Szenarien, für die im Rahmen der Notfallplanung Vorsorge getroffen wird. Neben dem Ausfall der IT und Telekommunikation, Gebäude sowie Dienstleister ist ein wesentliches BCM-Szenario der Ausfall von Personal zur Durchführung der kritischen Geschäftsprozesse. Das BCM geht in der Planung von der Wirkungsseite aus, da nicht für jede der vielen möglichen Ursachen ein Notfallplan erstellt werden kann. Die Ursachen, die zu einem Personalausfall führen können, sind sehr vielfältig. Sie reichen von einer Erkrankung einer hohen Anzahl an Mitarbeitern (Beispiele hierfür sind Grippe-Epidemien oder Norovirus-Infektionen), der Ausfall von „Kopf-Monopolen“, Streiks der Mitarbeiter bis hin zu Verkehrsbehinderungen der Arbeitswege (zum Beispiel die mehrtägigen europaweiten Flugausfälle durch den Ausbruch des isländischen Vulkans Eyjafjallajökull im April 2010). Weiterlesen…

Remote working – die Allzweckwaffe des BCM

Abgelegt in: Antworten

Aktuell wird landauf landab das Land durch Streiks gelähmt. Öffentliche Verkehrsmittel, Kitas, Flughäfen und viele öffentliche Einrichtungen und Dienstleistungen sind durch Streikmaßnahmen massiv eingeschränkt. In den Großstädten sind die Mitarbeiter auf diese Services angewiesen, um die Arbeitsplätze zu erreichen und die Kinder während der Arbeit betreut zu haben. Alleine in Frankfurt sind täglich 500.000 Pendler unterwegs. Für die Unternehmen kann dies zur Folge haben, dass viele Mitarbeiter nicht zur Arbeit kommen können. Sei es, daß sie auf den ÖPNV angewiesen sind oder die Betreuung der Kinder. Eine Maßnahme, um die Folgen einer derartigen Situation abzumildern ist die Möglichkeit remote arbeiten zu können. Eine ganz einfache, aber sehr wirkungsvolle Möglichkeit bietet zum Beispiel Outlook Web Access (OWA). Ich habe mehrere Postfächer von Kunden, auf die ich per OWA zugreifen kann. So kann ich mit meinem kleinen Smartphone von unterwegs und vom Home Office die Mails lesen und auch direkt beantworten sowie auf die Terminkalender zugreifen und Termine bestätigen oder absagen. Eine weitere Möglichkeit ist es, Mitarbeiter mit Laptops und remote-Zugang via VPN auszustatten. Auf diesem Weg stehen nicht nur das Postfach und der Kalender, sondern zusätzlich auch IT-Anwendungen, Laufwerke und Dateien remote zur Bearbeitung zur Verfügung. Auch diese Variante habe ich für einen Kunden im praktischen Einsatz. Dies bedingt jedoch, den Laptop auch immer dabei zu haben. Der Laptop in der Dockingstation am Arbeitsplatz hilft wenig, wenn es keinen Zugang zum Arbeitsplatz mehr gibt. Sei es, daß der Zugang zum Gebäude unmöglich ist oder wie im aktuellen Fall die Anreise. Zudem benötigt der Laptop in der Regel aus Sicherheitsgründen einen LAN-Zugang und man kann sich nicht über öffentliche WLan einwählen. Dies schränkt die Nutzungsmöglichkeiten weiter ein. In den Hotels habe ich in der Regel nur einen WLan-Zugang, aber keine LAN-Buchse mehr. Eine weitere Variante ist das Home Office, bei dem zu Hause ein vollwertiger Arbeitsplatz eingerichtet ist. Dies ist jedoch keine kurzfristig zu realisierende Option. Die Nutzung des Home Office ist in Betriebsvereinbarungen geregelt und erfordert umfangreichere technische Einrichtungen mit entsprechendem zeitlichen Vorlauf. Eine weitere aktuell sehr diskutierte Variante ist “Bring Your Own Device (BYOD)”. Dies ermöglicht dem Mitarbeiter, seine eigene IT-Umgebung zu nutzen und hierüber sicher auf die Arbeitsumgebung im Office zuzugreifen. Für BYOD gibt es mittlerweile sichere und zuverlässige IT-Middleware. Viele IT-Anwendungen unterstützen dieses Zugriffsverfahren. Für alle diese Lösungen gilt: ad-hoc sind sie in Notfällen nicht umzusetzen. Zum Teil ist die Umsetzbarkeit durch gesetzliche, interne betriebsverfassungsrechtliche und / oder technische Rahmenbedingungen eingeschränkt. Der Wertpapierhandel einer Bank kann und darf nicht vom Home Office druchgeführt werden. Auch datenschutzrechtliche Voraussetzungen müssen selbstverständlich bei all diesen Varianten eingehalten werden. Durch Tests und Übungen muß überprüft werden, ob die Lösung auch bei einer großen Anzahl an externen Zugriffen zur gleichen Zeit funktioniert. Die Anzahl an VPN-Zugängen oder die Performance können die Nutzungsmöglichkeiten limitieren. Die aktuellen Streiks sind ein guter Anlass, über die Einsatzmöglichkeiten einer oder mehrer dieser Optionen nachzudenken.

Kommen Sie gut durch die streikbedingten Unannehmlichkeiten!

Ja, mach nur einen Plan …

Abgelegt in: 1 Antwort

“Ja, mach nur einen Plan, sei ein großes Licht. Und mach’ dann noch ‘nen zweiten Plan, gehen tun sie beide nicht.”, so Bertolt Brecht in der Dreigroschenoper.

An dieses Zitat musste ich unweigerlich nach meinem Besuch des BCI Regionalforum West denken, zu dem ich in der vergangenen Woche für einen kleinen Vortrag über “Test und Üben” eingeladen war. Eine tolle und gut organisierte Veranstaltung übrigens, Respekt!

In meinem Vortrag habe ich – natürlich etwas überzeichnet – die Bedeutung von Tests und Übungen für die Notfallvorsorge in den Mittelpunkt gestellt. In mehreren größeren zu bewältigenden “Ausnahmesituationen wie Blockupy in Frankfurt, Hurrican Sandy in New York, Norovirus Epidemie und Stromausfällen habe ich immer die gleiche Erfahrung gemacht: die Realität hält sich an keinen Plan!

Doch hieraus die Lehre zu ziehen, auf die Notfallplanung verzichten zu können  ist genauso falsch, wie die Hoffnung, eine umfangreiche und ausgetüftelte Notfallplanung könnte bei Eintritt eines Notfalls automatisiert abgearbeitet werden wie der Wiederanlaufplan eines IT-Systems.

Der größte Nutzen der Notfallplanung liegt aus meiner Sicht in der geistigen Auseinandersetzung mit möglichen Notfall-Szenarien und Handlungsstrategien zur Beherrschung dieser Situationen sowie zur Minderung der potentiellen Folgeschäden. Notfallplanungen bilden die Grundlage für Tests und Übungen, in denen die Funktionsfähigkeit der Notfallpläne überprüft werden und vor allem die Mitarbeiter in ihren Rollen für außergewöhnliche Situationen trainiert werden. Hierdurch wird die Grundlage geschaffen, um in Notfallsituationen handlungsfähig zu bleiben. Tritt der Notfall ein, kommt ein weiteres wichtiges Element zur Bewältigung hinzu: das Krisenmanagement. Im Rahmen des Krisenmanagements wird die Lage analysiert und die angemessenen Entscheidungen zur Bewältigung der Lage getroffen bzw. herbeigeführt. Pläne sollten die klassischen BCM-Szenarien Gebäude-, Personal-, IT- und Dienstleisterausfall abdecken. Sie können jedoch besondere Umstände in der Notfallsituation, die aus der aktuellen Markt- und / oder Auftragslage, Projekten, besonderen Produkt- und Kundensituationen resultieren nicht  berücksichtigen. Zudem kann das reine Abarbeiten von Plänen die Lage verschlimmern, wenn zum Beispiel die Umsetzung nur eines Teils der Planung ausreichend wäre. Nur die betroffenen Mitarbeiter müssen bei einem Teilausfall eines Gebäudes die Notfallarbeitsplätze beziehen, das Aussetzen eines kritischen Prozesses kann eine adäquate Lösung sein, wenn die Auslastung aktuell gering ist. Die Steuerung dieser Plan-Ausführung kommt dem Krisenmanagement zu.Die Brücke zwischen dem Business Continuity Management und dem Krisenmanagement bilden die Notfallpläne. Sie sind wichtig für das Krisenmanagement, aber nicht ausreichend und absolut. Neben den Tests und Übungen im BCM kommt daher den Krisenmanagementübungen eine zentrale Bedeutung zu. In diesen Übungen wird neben den Entscheidungsverfahren die Funktionsfähigkeit der Notfallstrategien und -pläne verprobt.

Um mit Brecht zu antworten: die Pläne gehen nicht, sie bilden die Handlungsbasis in Notfällen und müssen durch das Krisenmanagement in adäquater Weise, den konkreten Umständen angepasst, in Kraft gesetzt und umgesetzt werden:

“Sorgfältig prüf ich Meinen Plan;

er ist Groß genug;

er ist Unverwirklichbar.”

Bertolt Brecht

 

Business Continuity Management für geschäftskritische Projekte

Abgelegt in: 1 Antwort

Das BCM fokussiert stark auf die geschäftskritischen Prozesse einer Organisation. Projekte werden in der Regel oftmals ausgeblendet, da sie nicht so recht in die BCM-Konzeption passen wollen. Projekte kommen und gehen, sind oftmals für das Überleben eines Unternehmens nicht kritisch und entziehen sich durch die Projektorganisation der Linienorganisation für das BCM. Doch es gibt auch Projekte, die für die Existenz eines Unternehmens lebensnotwendig sind. Die Projekte zur Umsetzung gesetzlicher und regulatorischer Anforderungen (Änderungen in der Bilanzierung, und dem Rechnungswesen, Steueränderungen) gehören hierzu genau so wie Projekte, die auf Grund ihrer Größe bei einem Scheitern die Existenz des Unternehmens gefährden. Im Immobilienbereich gibt es sicherlich ungezählte Beispiele von Unternehmen, die sich an Projekten zum Beispiel durch Baumängel und/oder Zahlungsverzug des Kunden finanziell verhoben haben und nicht mehr existieren. Nicht jeder Unternehmer kann dann einfach nach der Insolvenz ein neues Unternehmen ohne die Altlasten gründen und wie zuvor weitermachen, wie ich dies im Immobilienbereich selbst erleben musste. Großprojekte können also für Unternehmen einen existenzgefährdenden Charakter analog geschäftskritischer Prozesse haben. Mit dem Unterschied, dass sie auf eine begrenzte Zeit angelegt sind. Doch für welche Projekte werden schon Business Impact Analysen und Notfallpläne gemacht. Im Projektmanagement selbst gibt es eine Disziplin des Projektrisikomanagements. Auch im Rahmen von Projektprogramm-Management und Projekt-Governance sollten Projektrisiken analysiert und gesteuert werden. Für ausgewählte geschäftskritische Projekte wäre es aus meiner Sicht eine  sinnvolle Maßnahme, diese im Business Continuity Management wie ein Prozess, Produkt oder Service mit zu behandeln. In Rahmen einer BIA werden die Auswirkungen eines Scheiterns oder einer Verzögerung des Projekts für das Unternehmen eingeschätzt und transparent gemacht. In der Projekt-Notfallplanung würden Konzepte und Maßnahmen für eine Verzögerung oder Scheitern des Projekts ausgearbeitet. Im Berichtswesen des BCM würden die Risiken aus unternehmenskritischen Projekten mit berichtet werden. Das Projekt des Flughafens Berlin Brandenburg zeigt, wie desaströs Projektverzögerungen in Kombination mit fehlender Kommunikation über die Risiken und deren Folgen für das Unternehmen selbst, aber auch für die Kunden, werden können.

Die Vorteile einer Einbeziehung geschäftskritischer Prozesse sind:

  • Risiken aus geschäftskritischen Projekten werden im BCM mit betrachtet und  es entsteht ein gesamthaftes Bild der Risikolandschaft existenzgefährdender Risiken
  • Bewährte Methoden und Verfahren des BCM können für die Impact-Analyse und die Notfallkonzeption eingesetzt werden
  • Projektrisiken werden im Berichtswesen des BCM mit berücksichtigt
  • Projekte werden in der Notfallkonzeption und -planung mit berücksichtigt (zum Beispiel Ausweicharbeitsplätze).

Dieses Vorgehen ist auch mit Nachteilen und Risiken verbunden:

  • Im Projektmanagement muss zunächst Akzeptanz für dieses Vorgehen geschaffen werden und die Schnittstellen zum Projektrisikomanagement geklärt werden
  • Die Methoden und Verfahren des BCM, wie auch die zeitliche Taktung der Aktivitäten, müssen an die Spezifika temporärer Projekte angepasst werden
  • Zusätzlicher Aufwand für das Projekt
  • Zusätzlicher Aufwand für das BCM.

Der Mehraufwand ist sicherlich nur für geschäftskritische Projekte vertretbar, die nach festgelegten Kriterien identifiziert werden müssen. Für diese Projekte kann das Instrumentarium des BCM aber sicherlich hilfreich sein.

Im neuen Standard ISO 22301 konnte ich übrigens keine Ausführungen zu BCM für Projekte finden.

Wie ist Ihre Erfahrung mit der Einbeziehung von Projekten in das BCM?