Anforderungen der BCM-Standards an die BCM-Risikoanalyse

Abgelegt in: Antworten

Die BCM-Risikoanalyse stellt Unternehmen im Vergleich zu den anderen Phasen des BCM-Lebenszyklus, der Business Impact Analyse, der Notfallplanung sowie den Tests und Übungen oftmals vor neue methodische und organisatorische Fragestellungen. Das Verständnis, ob, wann und wie eine Risikoanalyse im Business Continuity Management durchgeführt werden soll hat sich im Entwicklungsverlauf der BCM-Disziplin gewandelt und auch innerhalb der BCM-Verantwortlichen gibt es heute unterschiedliche Sichtweisen auf dieses spannende Thema. Der BS 25999, Vorläufer des aktuellen ISO-Standards 22301, verweist bei der Risikoanalyse noch auf die Pflichtelemente des ISO 27001. In der Fassung von 2012 verweist der ISO 22301 dann bei der Umsetzung des Risikomanagements auf die ISO 31000 und definiert darüber hinaus nur sehr rudimentäre Anforderungen an das Risikomanagement aus BCM-Sicht. Dies lässt die BCM-Verantwortlichen mit zahlreichen Fragezeichen zurück.

In meinem Beitrag auf 3GRC habe ich die Anforderungen der Standards an die BCM-Risikoanalyse näher betrachtet und gegenübergestellt.

Kennen Sie die Risiken, die die Existenz Ihres Unternehmens akut gefährden würden?

Abgelegt in: 1 Antwort

Jedes Jahr wiederholt sich zu Jahresbeginn das gleiche Ritual: Risikoeinschätzungen für das anstehende neue Jahr werden erhoben und mit den Einschätzungen der vergangenen Jahren abgeglichen. Heraus kommt eine Hitliste der von der Mehrheit der Befragten zu erwartenden Risiken. Nicht sehr überraschend ist dieses Jahr die Pandemie auf der Hitliste ganz oben, nachdem dieses Risiko in den vergangenen Jahren offensichtlich stark unterschätzt wurde.

Weiterlesen…
BCM-Wiki

Warum das Produkt aus Eintrittswahrscheinlichkeit mal Schadenshöhe zu Fehlentscheidungen führt

Abgelegt in: 1 Antwort

Vor Kurzem habe ich auf der Plattform 3GRC den Artikel “Wie wahrscheinlich ist das Unwahrscheinliche” veröffentlicht. In diesem Beitrag lege ich dar, dass die Eintrittswahrscheinlichkeit eines Ereignisses keine Rolle bei der Bewertung eines Risikos spielen darf. Jetzt bin ich auf einen Artikel in der Resiliencepost gestossen, der diese Argumentation bestärkt und zudem ein sehr anschauliches Beispiel hierfür liefert. Ich habe mir daher erlaubt dieses Beispiel aus dem Artikel “zu klauen” und hier etwas modifiziert wiederzugeben.

Weiterlesen…

Wie wahrscheinlich ist das Unwahrscheinliche?

Abgelegt in: 3 Antworten

Business Continuity Management (BCM) ist eine Disziplin des Risikomanagements. Es ist daher naheliegend, für die Risikoanalyse im BCM auf die klassischen und bewährten Methoden und Verfahren dieser Disziplin zurückzugreifen. Zu diesen klassischen Vorgehensweisen gehört die Betrachtung eines Risikos unter den beiden Gesichtspunkten Eintrittswahrscheinlichkeit und Schadenshöhe. Als Ergebnis lassen sich Risiken sehr anschaulich in einer Risikomatrix darstellen und es lassen sich erwartete Schadenshöhen zum Beispiel für die finanzielle Risikovorsorge berechnen. Beim BCM stößt dieses Vorgehen jedoch an seine Grenzen, denn wir betrachten im BCM Risiken mit geringer Eintrittswahrscheinlichkeit dafür aber existentiellen Schadenshöhen. Die Eintrittswahrscheinlichkeit des Risikos spielt bei der Notfallvorsorge für BCM-Risiken keine Rolle, denn ein Schaden, wann immer er eintritt, würde die Existenz des Unternehmens bedrohen. Es ist zum Beispiel unerheblich für die (IT-) Notfallplanung, wann und wie oft eine Cyber-Attacke auf die IT-Infrastruktur zu erwarten ist, denn eine entsprechende Vorsorge der IT und des BCM für den Fall einer Cyber-Attacke ist für ein Unternehmen notwendig zur Aufrechterhaltung der kritischen Geschäftsprozesse. Ob und wie die Eintrittswahrscheinlichkeit doch noch ihren Weg ins BCM finden kann, behandelt mein aktueller Beitrag auf 3GRC.

Körperliche Dokumente im Notfallkonzept

Abgelegt in: 2 Antworten

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die überwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und Faxgeräte eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zählen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  häufig erstaunt fest, dass der Postdienst für das Funktionieren der Geschäftsprozesse weiter unerlässlich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies für das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergänzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusätzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zählen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb häufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwändig wiederherstellbar. Für das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schärft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zählt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus Gründen der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch müssen für Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei Gebäudeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte für diese Dokumente erstellt werden.

Häufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten über IT-Anwendungen schnell unterschätzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse überrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Die Top 20 der finanziell am meisten durch Terror gefährdeten Metropolen

Abgelegt in: Antworten

Lloyd’s of London hat gemeinsam mit dem Cambridge Center for Risk Studies die möglichen wirtschaftlichen Einbußen für große Städte durch Katastrophen analysiert:

Lloyds_Terror

In dieser interaktiven Grafik können die Werte für Regionen und Städte angezeigt werden. In Deutschland trägt München, gefolgt von Hamburg und Berlin das höchste wirtschaftliche Risiko.

Quelle: Lloyds

Aktuelles zum IT-Sicherheitsgesetz

Abgelegt in: 1 Antwort

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-). Weiterlesen…

BCI Horizon Scan – welche Risiken sehen Sie für ihr Unternehmen?

Abgelegt in: Antworten

Auch dieses Jahr führt das Business Continuity Institute BCI gemeinsam mit Zurich die internationale Umfrage “BCI Horizon Scan” zur Risikolandschaft durch.

Hier geht es zur Umfrage:

https://www.surveymonkey.com/r/BCI-Horizon-Scan-2016

Das Ergebnis der letzten Umfrage kann hier abgerufen werden:

http://www.thebci.org/index.php/obtain-the-horizon-scan-2015-document

Wo ist die Lieferkette am sichersten?

Abgelegt in: Antworten

Die Sicherheit der Lieferkette hängt essentiell von der Widerstandsfähigkeit der Länder und Regionen ab, in denen die Zulieferer ihren Sitz haben. Der FM Global Resilience Index 2015 vergleicht 130 Länder und Regionen an Hand von neun Faktoren, die einen starken Einfluss auf die Business Resilience dieser Länder und Regionen haben.

Am sichersten sind die Zulieferer – wie im Vorjahr – in Norwegen aufgehoben. Unruhig schlafen sollte man, wenn der Zulieferer in Venezuela sitzt, das den letzten Rang im Index einnimmt. Deutschland nimmt weltweit Rang sechs ein. Nur die Schweiz, Niederlande, Irland und Luxemburg sind besser aufgestellt. Den stärksten Sprung nach oben im Index hat Taiwan gemacht, das 52 gut gemacht hat. Die Ukraine ist der größte Verlierer im Index.

Neue BBK-Publikation: Stromausfall – Grundlagen und Methoden zur Reduzierung des Ausfallrisikos der Stromversorgung

Abgelegt in: Antworten

Die Ergebnisse eines Forschungsprojektes zum Thema Stromausfall sind nun in Band 12 der Reihe Wissenschaftsforum veröffentlicht worden (BBK:
Stromausfall – Grundlagen und Methoden zur Reduzierung des Ausfallrisikos der Stromversorgung).

Wie diese Folgen aussehen können, wurde im 2010 erschienenen Bericht „Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel eines
großräumigen und langandauernden Ausfalls der Stromversorgung“ des Büros für Technikfolgen-Abschätzung beim Deutschen Bundestag für verschiedene Lebensbereiche systematisch beschrieben. Das Fazit macht deutlich: „[B] ereitsnach wenigen Tagen [ist] im betroffenen Gebiet die flächendeckende und bedarfsgerechte Versorgung der Bevölkerung mit (lebens)notwendigen Gütern und Dienstleistungen nicht mehr sicherzustellen“.

Marc Elsberg hat in seinem Roman “Blackout” das Szenario eines großräumigen Stromausfalls gut recherchiert und anschaulich beschrieben.

In der Veröffentlichung werden die Rahmenbedingungen des deutschen Stromversorgungssystems erläutert. Es werden Vorschläge für die einzelnen Schritte des Risikomanagements in Bezug auf Stromversorgungsinfrastrukturen gemacht, also zur Szenarienbildung, Kritikalitätsanalyse, Verwundbarkeitsanalyse, Risikobewertung sowie zur Risiko- und Krisenkommunikation.

(Quelle: BBK)

Zwanzig IT-Fachleute eines Unternehmens an Bord der MH 370

Abgelegt in: Antworten

Die Print-Ausgabe der FAZ berichtet heute, dass an Bord der vermissten Machine MH 370 der Malaysia Airlines zwanzig Mitarbeiter des Halbleiter-Herstellers Freescale an Bord sind. Die Spezialisten und Ingenieure waren beauftragt, Fertigungsstätten in Malaysia und China effizienter zu machen, so die FAZ. Eine solche Meldung elektrisiert natürlich jeden BCM-Verantwortlichen. Ich habe schon erlebt, dass alle verdienten Vertriebler in einem Flugzeug zu einem Incentive geflogen wurden oder ganze Vorstände im Spareifer in einem Bus gemeinsam unterwegs waren. Reiserichtlinien und die zentrale Buchung von Reisen, verbunden mit dem Awareness für ein solches Risiko, sollten solche RPersonalausfall-Risiken minimieren helfen. Effizienz und Spareifer stehen hier wieder einmal im Widerspruch zum BCM-Gedanken. Doch unvorstellbar, sollte eine große Zahl an Know How- und / oder Entscheidungsträger bei einem Unglück ums Leben kommen. Viele kleine und mittelständische Unternehmen hat der Verlust des Gründers und Geschäftsführers schon um die Existenz gebracht. Der Wertpapierhändler Cantor Fitzgerald hat den Personalverlust bei 9/11 nur ganz knapp und mit der Hilfe von Auslandsniederlassungen und Mitbewerbern überlebt. Das Szenario Personalausfall sei unwahrscheinlich und es gäbe keine richtigen Szenarien zum Üben, höre ich manchmal. Die Realität liefert uns diese Szenarien frei Haus. Gleichzeitig haben gestern und heute viele Mitarbeiter durch Warnstreiks größte Mühe, ihre Arbeitsplätze zu erreichen. Eine weitere Ursache für mögliche Personalausfälle. Gut wenn Mitarbeiter jetzt die Möglichkeit haben, remote zu arbeiten und dies durch Personal und Betriebsrat entsprechend legitimiert wurde.