Der News Blog zu Business Continuity Management und IT Service Continuity Management
Auch in diesem Jahr führt das Business Continuity Institute BCI in Zusammenarbeit mit Zurich Insurance bereits zum zehnten Mal die Umfrage zur Supply Chain Resilience durch.
Die Umfrage beinhaltet Fragen zu Ursachen und Wirkungen von Unterbrechungen der Lieferketten.
Die kurze Umfrage kann online durchgeführt werden.
Die Ergebnisse des Supply Chain Resilience Report 2017 sind online auf den Seiten des BCI verfügbar.
“Betriebsunterbrechung ist zum im fünften Jahr in Folge das größte Risiko für Unternehmen. Neue Auslöser sind auf dem Vormarsch. Gefahren wie Naturkatastrophen und Brände sind weiterhin die Ursachen, die Unternehmen am meisten fürchten, aber die Art des Risikos verschiebt sich zunehmend auf Nicht-Schaden-Ereignisse. Ein Cybervorfall oder die indirekten Auswirkungen eines terroristischen Gewaltakts sind Ereignisse, die zu großen Verlusten führen können, ohne physische Schäden zu verursachen. Eine Zunahme solcher Ereignisse wird erwartet.“, so das Ergebnis des Allianz Risk Barometer 2017. Gute Gründe also, Notfallvorsorge in Form von Business Continuity Management (BCM), IT-Service Continuity Management (ITSCM) und Krisenmanagement zu betreiben. Ein gutes Business Continuity Management in Form eines “all hazard approach” wirkt sowohl für Schaden, als auch Nicht-Schaden-Ereignisse gleichermaßen. Nicht-Schaden-Ereignisse wie Cyber-Attacken erfordern neben den klassischen BCM-Konzepten und -plänen eine enge und sorgfältige Abstimmung aller Disziplinen von den Notfallplänen über eine abgestimmte IT-Notfallvorsorge bis hin zu einem funktionierenden Krisenmanagement mit der internen und externen Krisenkommunikation. Notfallpläne in der Schublade alleine reichen für die aktuellen Anforderungen komplexer und dynamischer Szenarien nicht mehr aus. BCM, ITSCM und Krisenmanagement müssen fester Bestandteil der Unternehmensführung und -steuerung sein. Nicht umsonst steckt in jeder dieser Disziplinen das Wörtchen “…management”. Die Implementierung mag ein langer, steiniger Weg sein, doch erkennen viele Unternehmen inzwischen den Nutzen dieser Investition über die reine Notfallvorsorge hinaus. Gibt eine Versicherung nur ein etwas beruhigerendes Gefühl für das ausgegebene Geld, schaffen BCM und ITSCM demgenüber ein hohes Maß an Transparenz der komplexen Zusammenhänge von Wertschöpfungsketten und Ressourcen des Unternehmens – quasi als Nebenprodukt einer Business Impact Analyse. Das Krisenmanagement unterstützt in Form von Krisenstabstrainings und -übungen die übergreifende Zusammenarbeit und das Verständnis für die Inhalte des “Silos” der jeweiligen Anderen. Damit zu starten, ist ein guter Vorsatz für 2017. Viele Vorsätze für das neue Jahr scheitern, weil die Ziele für das Leistungsvermögen, Zeit und Budget weit zu hoch gesteckt sind. Ich empfehle daher eine stufenweise Implementierung in überschaubaren Schritten mit einer abgestimmten Vision, damit die Organisation in das Thema “wachsen” kann und keine Investitionsruine entsteht.
Der Allianz Risk Barometer 2017 ist auf der Webseite der AGCS verfügbar.
Be prepared
Matthias Hämmerle MBCI
Risiken, die keine physischen Schäden verursachen, aber trotzdem zu finanziellen Schadensfolgen für das Unternehmen führen, nehmen zu. Zu diesen Risiken gehören zum Beispiel Schäden durch Cyber Attacken oder geo-politische Risiken. Die finanziellen Schäden in Folge von Reputations- und Imageverlusten übersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Über 500 Risikomanager in mehr als 40 Ländern wurden für die Studie befragt. Geschäftsunterbrechungen auf Grund von physischen Schäden wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlägt sich in den Risiken nieder. Der legendäre “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande über die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.
Was bedeutet dies für das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von Gebäuden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, müssen im Business Continuity Management stärker berücksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kürzer werden, als wir sie häufig für die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor für die Bewältigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Übungen für das BCM und Krisenmanagement berücksichtigt werden müssen. Übungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur üben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens für mehrere Stunden lahm.
Auf der BCI World Conference 2015 in London wurde der diesjährige Supply Chain Continuity Report des Business Continuity Institute und Zurich veröffentlicht.
Der Supply Chain Resilience Report 2015 kann kostenfrei beim BCI bezogen werden.
Zur Absicherung der Lieferkette ist in diesem Jahr der neue ISO Standard ISO 22318:2015 supply chain continuity guidelines in Ergänzung zu ISO 22301:2012 erschienen.
Der Standard BS 11000 Collaborative Business Relationships hilft ebenfalls bei der Ausgestaltung der Zusammenarbeit mit Lieferanten und Dienstleistern. Aus dem BS 11000 wird wird in 2016 der ISO-Standard ISO 11000 werden. Dies zeigt die zunehmende Bedeutung der sicheren Ausgestaltung übergreifender Wertschöpfungsketten.
Die Absicherung wesentlicher und kritischer Auslagerungen ist derzeit eines der zentralen Themen im BCM. Wichtige Erkenntnisse zu Supply Chain Resilience liefert die Studie des Business Continuity Institute BCI mit Zurich Insurance. Aktuell läuft bereits die 7. weltweite Umfrage in allen Branchen und Sektoren.
“This survey asks questions about the levels and types of supply chain disruption, its impact, applying business continuity and supply chain management techniques, and some organizational profile information. We will be providing a complimentary copy of the survey results (worth €200) in exchange for your time should you give your contact Details.”
Hier der Link zur Teilnahme an der Umfrage.
Im Januar und Februar 2015 hat die BCM Academy die bundes- und branchenweite Umfrage zum Business Continuity Management durchgeführt. 62 Personen haben an der Umfrage teilgenommen und einen guten Überblick über den Status des BCM gegeben.
Der Ergebnisbericht des BCM-Barometer steht kostenfrei bei der BCM Academy zum Download BCM Barometer zur Verfügung.
(Foto: BCM Academy)
Das Fachmagazin Sicherheitsberater veröffentlicht jedes Jahr zu Jahresbeginn seine Prognosen zur Entwicklung der Märkte der verschiedenen Sicherheitsthemen. In der aktuellen Ausgabe 1/2 geben die erfahrenen Autoren auf 15 Seiten des aktuellen Hefts ihre Prognose 2015 für das ganze Spektrum der Sicherheitsthemen ab von BCM bis zur RZ-Sicherheit. Für das BCM und Notfallmanagement hatten die Autoren für die vergangenen Jahre große Investitionen der Unternehmen in die Behebung der existierenden Lücken und Synergiedefizite prognostiziert. Der Trend zur Hebung der Synergieeffekte wird laut Sicherheitsberater in 2015 weiter anhalten. Die Beratungsunternehmen werden von dieser Entwicklung allerdings nur eingeschränkt profitieren können. Es gebe zu wenig gute BCM-Berater und Unternehmen bilden ihre Mitarbeiter in Schulungen aus, um das Thema dann intern umzusetzen. Für Seminare / Schulungen sieht der Sicherheitsberater einen Trend zu Inhouse-Schulungen. Zu viele Anbieter mit qualitativ zweifelhaften Angeboten drängen sich auf dem Markt und Inhouse-Schulungen erlauben die Individualisierung der Inhalte auf die spezifischen Bedürfnisse der Unternehmen.
Seit 2009 führt das Business Continuity Institute bereits die Supply Chain Resilience Studie durch. Jetzt ist die sechste Studie zur Widerstandsfähigkeit der Lieferketten erschienen. 525 Teilnehmer aus 71 Ländern geben einen repräsentativen Einblick:
Die Ergebnisse der Studie zeigen, dass der Absicherung der Lieferketten eine wachsende Bedeutung zukommt. Es bleibt ein Punkt auf der Top-Agenda im BCM, zumal hier noch an der Awareness für das Thema gearbeitet werden muß. Für den Finanzdienstleistungsbereich in Deutschland sind die Anforderungen an die Absicherung der Lieferketten in den Mindestanforderungen an das Risikomanagement “MaRisk” des BaFin konstatiert. Festzusstellen ist, dass gerade diese Anforderungen zunehmend durch Wirtschaftsprüfer und Aufsicht bei den Unternehmen unter die Lupe genommen werden. Dienstleister müssen sich auf eine zunehmende Anzahl und Detaillierung der Kunden-Audits einstellen. Auch das Thema BCM-Zertifizierung wird sicherlich von dieser Entwicklung profitieren, auch wenn eine Lieferanten-Zertifizierung natürlich keine Gewähr für die konkrete Absicherung der spezifischen Services darstellt und nicht den Anforderungen einer “Abstimmung der Notfallkonzepte” gemäß MaRisk genügt.
Die Supply Chain Resilience Studie kann kostenfrei beim BCI bezogen werden.
Das Business Continuity Institute BCI führt jetzt bereits seit sechs Jahren gemeinsam mit der Zurich Insurance Group die Studie zur Supply Chain Resilience durch.
Die Bedeutung der Lieferkette für die Funktionsfähigkeit eines Unternehmens machen die Ergebnisse der vergangenen Studien deutlich:
Die Erhebung für die Studie 2014 ist aktuell gestartet, um die Ergebnisse aktuell zu halten. Die anonyme Teilnahme ist bis zum 23. August 2014 unter diesem Link möglich.
Die Ergebnisse eines Forschungsprojektes zum Thema Stromausfall sind nun in Band 12 der Reihe Wissenschaftsforum veröffentlicht worden (BBK:
Stromausfall – Grundlagen und Methoden zur Reduzierung des Ausfallrisikos der Stromversorgung).
Wie diese Folgen aussehen können, wurde im 2010 erschienenen Bericht „Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel eines
großräumigen und langandauernden Ausfalls der Stromversorgung“ des Büros für Technikfolgen-Abschätzung beim Deutschen Bundestag für verschiedene Lebensbereiche systematisch beschrieben. Das Fazit macht deutlich: „[B] ereitsnach wenigen Tagen [ist] im betroffenen Gebiet die flächendeckende und bedarfsgerechte Versorgung der Bevölkerung mit (lebens)notwendigen Gütern und Dienstleistungen nicht mehr sicherzustellen“.
Marc Elsberg hat in seinem Roman “Blackout” das Szenario eines großräumigen Stromausfalls gut recherchiert und anschaulich beschrieben.
In der Veröffentlichung werden die Rahmenbedingungen des deutschen Stromversorgungssystems erläutert. Es werden Vorschläge für die einzelnen Schritte des Risikomanagements in Bezug auf Stromversorgungsinfrastrukturen gemacht, also zur Szenarienbildung, Kritikalitätsanalyse, Verwundbarkeitsanalyse, Risikobewertung sowie zur Risiko- und Krisenkommunikation.
(Quelle: BBK)
Ein Stromausfall in Berlin würde die Feuerwehr schnell an ihre Leistungsgrenze bringen, so das Ergebnis einer Studie, die vom Tagesspiegel zitiert wird. Lebensgefährlich wird ein Stromausfall nach wenigen Stunden für Dialyse- und Beatmungspatienten zu Hause. Gerade drei Tankstellen haben in Berlin einen Anschluss für eine Notstromversorgung, jedoch kein Aggregat. So kommt es schnell zu Engpässen bei der Versorgung von öffentlichen und privaten Einrichtungen mit Notstromaggregaten, gefolgt von der Problematik der Versorgung der Aggregate mit Treibstoff. In einer Befragung von 800 Personen hat sich gezeigt, dass ein Großteil der Bevölkerung rund drei bis vier Tage mit bevorrateten Lebensmitteln überbrücken kann. Feuerwehr, Polizei und Krankenhäuser wären die ersten bevorzugten Anlaufpunkte für die Bevölkerung. Die Bevölkerung Berlins zeigt sich in der Befragung sehr hilfsbereit. Allen voran Ältere, Berliner nichtdeutscher Herkunft und Familien mit Kindern. Auch Nachbarschaftshilfe wird in der Befragung groß geschrieben.
Die ökonomischen Folgen weltweiter Katastrophen hat 2012 im dritten Jahr in Folge über 100 Miliarden Dollar betragen – ein neuer Höchststand. Dies berichtet aktuell das UN Office for Disaster Risk Reduction (UNISDR). Als Grund für die Zunahme der ökonomischen Schäden hat das UNISDR die starke Zunahme der Gefährdung von industriellen und privaten Werten durch Katastrophen identifiziert.
Die ökonomischen Schäden von Katastrophen betrugen 210 138 Mrd. USD, 2011 371 Mrd. USD und 2012 138 Mrd. USD.
Bei 310 Katastrophen verloren 2012 9.300 Menschen ihr Leben, 106 Millionen waren durch die Katastrophen betroffen. Die Schwerpunkte waren USA, Italien und China. Asien ist die durch Naturkatastrophen am meisten gefährdete Region. Alleine durch den Taifun Bopha starben auf den Philipinen m Dezember 2012 1.900 Menschen. Die meisten Menschen starben durch Fluten oder Trockenheit. Der Schwerpunkt der finanziellen Schäden war 2012 in den USA, vor allem durch Hurrican Sandy (50 Mrd. USD).
Quelle: UNISDR