Der News Blog zu Business Continuity Management und IT Service Continuity Management
Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…
Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …
Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen. Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.
Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.
Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:
Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.
Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.
be prepared
Ihr Matthias Hämmerle
BCM-Szenarien wie IT-Ausfall, Gebäude- und / oder Arbeitsplatzausfall sind in der Notfallvorsorge mittlerweile selbstverständlich. Das Szenario “Personalausfall” gehört in der Theorie gleichwertig mit zu den elementaren Risikoszenarien wie auch der Ausfall kritischer Dienstleistungen / Dienstleister. In der Praxis kommt das Szenario Personalausfall in allen Phasen des BCM-Lebenszyklus leider oftmals zu kurz. Und das, obwohl uns auch die praktische Realität zum Beispiel in Form zahlreicher streikbedingter Personalausfälle bei Bahn, Kitas und Geldtransporteuren die Notwendigkeit einer angemessenen Vorsorge für Personalausfälle aufzeigt. SARS, Vogelgrippe, EHEC/HUS und jetzt aktuell MERS finden vermeintlich im fernen Asien statt. Norovirus, auch “Kreuzfahrer-Virus”, trifft vermeintlich nur Kreuzfahrer – aktuell gibt es eine Lebensmittelwarnung wegen Noroviren in gefrorenen Erdbeeren bei Aldi Nord. Masern-Epidemien betreffen nicht nur die Kinder, wenn Heerscharen von Elternteilen für die Pflege zu Hause bleiben müssen. Doch wenn das Szenario “Personalausfall” zuschlägt ist jede Vorbereitung Gold wert. Hinzu kommt dass das Szenario Personalausfall BCM und Krisenmanagement gerne über Tage, Wochen oder gar Monate auf Trab hält. Eine zweistündige Krisenstabsübung lässt die Anforderungen an ein solches Szenario nur erahnen. Alleine, wenn der Krisenstab in den Drei-Schichtbetrieb gehen soll … Weiterlesen…
Dieser Artikel ist im aktuellen BCM-Sonderheft des Sicherheits-Berater erstmalig erschienen.
Im Business Continuity Management (BCM) gibt es vier grundsätzliche BCM-Szenarien, für die im Rahmen der Notfallplanung Vorsorge getroffen wird. Neben dem Ausfall der IT und Telekommunikation, Gebäude sowie Dienstleister ist ein wesentliches BCM-Szenario der Ausfall von Personal zur Durchführung der kritischen Geschäftsprozesse. Das BCM geht in der Planung von der Wirkungsseite aus, da nicht für jede der vielen möglichen Ursachen ein Notfallplan erstellt werden kann. Die Ursachen, die zu einem Personalausfall führen können, sind sehr vielfältig. Sie reichen von einer Erkrankung einer hohen Anzahl an Mitarbeitern (Beispiele hierfür sind Grippe-Epidemien oder Norovirus-Infektionen), der Ausfall von „Kopf-Monopolen“, Streiks der Mitarbeiter bis hin zu Verkehrsbehinderungen der Arbeitswege (zum Beispiel die mehrtägigen europaweiten Flugausfälle durch den Ausbruch des isländischen Vulkans Eyjafjallajökull im April 2010). Weiterlesen…
Aktuell wird landauf landab das Land durch Streiks gelähmt. Öffentliche Verkehrsmittel, Kitas, Flughäfen und viele öffentliche Einrichtungen und Dienstleistungen sind durch Streikmaßnahmen massiv eingeschränkt. In den Großstädten sind die Mitarbeiter auf diese Services angewiesen, um die Arbeitsplätze zu erreichen und die Kinder während der Arbeit betreut zu haben. Alleine in Frankfurt sind täglich 500.000 Pendler unterwegs. Für die Unternehmen kann dies zur Folge haben, dass viele Mitarbeiter nicht zur Arbeit kommen können. Sei es, daß sie auf den ÖPNV angewiesen sind oder die Betreuung der Kinder. Eine Maßnahme, um die Folgen einer derartigen Situation abzumildern ist die Möglichkeit remote arbeiten zu können. Eine ganz einfache, aber sehr wirkungsvolle Möglichkeit bietet zum Beispiel Outlook Web Access (OWA). Ich habe mehrere Postfächer von Kunden, auf die ich per OWA zugreifen kann. So kann ich mit meinem kleinen Smartphone von unterwegs und vom Home Office die Mails lesen und auch direkt beantworten sowie auf die Terminkalender zugreifen und Termine bestätigen oder absagen. Eine weitere Möglichkeit ist es, Mitarbeiter mit Laptops und remote-Zugang via VPN auszustatten. Auf diesem Weg stehen nicht nur das Postfach und der Kalender, sondern zusätzlich auch IT-Anwendungen, Laufwerke und Dateien remote zur Bearbeitung zur Verfügung. Auch diese Variante habe ich für einen Kunden im praktischen Einsatz. Dies bedingt jedoch, den Laptop auch immer dabei zu haben. Der Laptop in der Dockingstation am Arbeitsplatz hilft wenig, wenn es keinen Zugang zum Arbeitsplatz mehr gibt. Sei es, daß der Zugang zum Gebäude unmöglich ist oder wie im aktuellen Fall die Anreise. Zudem benötigt der Laptop in der Regel aus Sicherheitsgründen einen LAN-Zugang und man kann sich nicht über öffentliche WLan einwählen. Dies schränkt die Nutzungsmöglichkeiten weiter ein. In den Hotels habe ich in der Regel nur einen WLan-Zugang, aber keine LAN-Buchse mehr. Eine weitere Variante ist das Home Office, bei dem zu Hause ein vollwertiger Arbeitsplatz eingerichtet ist. Dies ist jedoch keine kurzfristig zu realisierende Option. Die Nutzung des Home Office ist in Betriebsvereinbarungen geregelt und erfordert umfangreichere technische Einrichtungen mit entsprechendem zeitlichen Vorlauf. Eine weitere aktuell sehr diskutierte Variante ist “Bring Your Own Device (BYOD)”. Dies ermöglicht dem Mitarbeiter, seine eigene IT-Umgebung zu nutzen und hierüber sicher auf die Arbeitsumgebung im Office zuzugreifen. Für BYOD gibt es mittlerweile sichere und zuverlässige IT-Middleware. Viele IT-Anwendungen unterstützen dieses Zugriffsverfahren. Für alle diese Lösungen gilt: ad-hoc sind sie in Notfällen nicht umzusetzen. Zum Teil ist die Umsetzbarkeit durch gesetzliche, interne betriebsverfassungsrechtliche und / oder technische Rahmenbedingungen eingeschränkt. Der Wertpapierhandel einer Bank kann und darf nicht vom Home Office druchgeführt werden. Auch datenschutzrechtliche Voraussetzungen müssen selbstverständlich bei all diesen Varianten eingehalten werden. Durch Tests und Übungen muß überprüft werden, ob die Lösung auch bei einer großen Anzahl an externen Zugriffen zur gleichen Zeit funktioniert. Die Anzahl an VPN-Zugängen oder die Performance können die Nutzungsmöglichkeiten limitieren. Die aktuellen Streiks sind ein guter Anlass, über die Einsatzmöglichkeiten einer oder mehrer dieser Optionen nachzudenken.
Kommen Sie gut durch die streikbedingten Unannehmlichkeiten!
“Ja, mach nur einen Plan, sei ein großes Licht. Und mach’ dann noch ‘nen zweiten Plan, gehen tun sie beide nicht.”, so Bertolt Brecht in der Dreigroschenoper.
An dieses Zitat musste ich unweigerlich nach meinem Besuch des BCI Regionalforum West denken, zu dem ich in der vergangenen Woche für einen kleinen Vortrag über “Test und Üben” eingeladen war. Eine tolle und gut organisierte Veranstaltung übrigens, Respekt!
In meinem Vortrag habe ich – natürlich etwas überzeichnet – die Bedeutung von Tests und Übungen für die Notfallvorsorge in den Mittelpunkt gestellt. In mehreren größeren zu bewältigenden “Ausnahmesituationen wie Blockupy in Frankfurt, Hurrican Sandy in New York, Norovirus Epidemie und Stromausfällen habe ich immer die gleiche Erfahrung gemacht: die Realität hält sich an keinen Plan!
Doch hieraus die Lehre zu ziehen, auf die Notfallplanung verzichten zu können ist genauso falsch, wie die Hoffnung, eine umfangreiche und ausgetüftelte Notfallplanung könnte bei Eintritt eines Notfalls automatisiert abgearbeitet werden wie der Wiederanlaufplan eines IT-Systems.
Der größte Nutzen der Notfallplanung liegt aus meiner Sicht in der geistigen Auseinandersetzung mit möglichen Notfall-Szenarien und Handlungsstrategien zur Beherrschung dieser Situationen sowie zur Minderung der potentiellen Folgeschäden. Notfallplanungen bilden die Grundlage für Tests und Übungen, in denen die Funktionsfähigkeit der Notfallpläne überprüft werden und vor allem die Mitarbeiter in ihren Rollen für außergewöhnliche Situationen trainiert werden. Hierdurch wird die Grundlage geschaffen, um in Notfallsituationen handlungsfähig zu bleiben. Tritt der Notfall ein, kommt ein weiteres wichtiges Element zur Bewältigung hinzu: das Krisenmanagement. Im Rahmen des Krisenmanagements wird die Lage analysiert und die angemessenen Entscheidungen zur Bewältigung der Lage getroffen bzw. herbeigeführt. Pläne sollten die klassischen BCM-Szenarien Gebäude-, Personal-, IT- und Dienstleisterausfall abdecken. Sie können jedoch besondere Umstände in der Notfallsituation, die aus der aktuellen Markt- und / oder Auftragslage, Projekten, besonderen Produkt- und Kundensituationen resultieren nicht berücksichtigen. Zudem kann das reine Abarbeiten von Plänen die Lage verschlimmern, wenn zum Beispiel die Umsetzung nur eines Teils der Planung ausreichend wäre. Nur die betroffenen Mitarbeiter müssen bei einem Teilausfall eines Gebäudes die Notfallarbeitsplätze beziehen, das Aussetzen eines kritischen Prozesses kann eine adäquate Lösung sein, wenn die Auslastung aktuell gering ist. Die Steuerung dieser Plan-Ausführung kommt dem Krisenmanagement zu.Die Brücke zwischen dem Business Continuity Management und dem Krisenmanagement bilden die Notfallpläne. Sie sind wichtig für das Krisenmanagement, aber nicht ausreichend und absolut. Neben den Tests und Übungen im BCM kommt daher den Krisenmanagementübungen eine zentrale Bedeutung zu. In diesen Übungen wird neben den Entscheidungsverfahren die Funktionsfähigkeit der Notfallstrategien und -pläne verprobt.
Um mit Brecht zu antworten: die Pläne gehen nicht, sie bilden die Handlungsbasis in Notfällen und müssen durch das Krisenmanagement in adäquater Weise, den konkreten Umständen angepasst, in Kraft gesetzt und umgesetzt werden:
“Sorgfältig prüf ich Meinen Plan;
er ist Groß genug;
er ist Unverwirklichbar.”
Bertolt Brecht
Das BCM fokussiert stark auf die geschäftskritischen Prozesse einer Organisation. Projekte werden in der Regel oftmals ausgeblendet, da sie nicht so recht in die BCM-Konzeption passen wollen. Projekte kommen und gehen, sind oftmals für das Überleben eines Unternehmens nicht kritisch und entziehen sich durch die Projektorganisation der Linienorganisation für das BCM. Doch es gibt auch Projekte, die für die Existenz eines Unternehmens lebensnotwendig sind. Die Projekte zur Umsetzung gesetzlicher und regulatorischer Anforderungen (Änderungen in der Bilanzierung, und dem Rechnungswesen, Steueränderungen) gehören hierzu genau so wie Projekte, die auf Grund ihrer Größe bei einem Scheitern die Existenz des Unternehmens gefährden. Im Immobilienbereich gibt es sicherlich ungezählte Beispiele von Unternehmen, die sich an Projekten zum Beispiel durch Baumängel und/oder Zahlungsverzug des Kunden finanziell verhoben haben und nicht mehr existieren. Nicht jeder Unternehmer kann dann einfach nach der Insolvenz ein neues Unternehmen ohne die Altlasten gründen und wie zuvor weitermachen, wie ich dies im Immobilienbereich selbst erleben musste. Großprojekte können also für Unternehmen einen existenzgefährdenden Charakter analog geschäftskritischer Prozesse haben. Mit dem Unterschied, dass sie auf eine begrenzte Zeit angelegt sind. Doch für welche Projekte werden schon Business Impact Analysen und Notfallpläne gemacht. Im Projektmanagement selbst gibt es eine Disziplin des Projektrisikomanagements. Auch im Rahmen von Projektprogramm-Management und Projekt-Governance sollten Projektrisiken analysiert und gesteuert werden. Für ausgewählte geschäftskritische Projekte wäre es aus meiner Sicht eine sinnvolle Maßnahme, diese im Business Continuity Management wie ein Prozess, Produkt oder Service mit zu behandeln. In Rahmen einer BIA werden die Auswirkungen eines Scheiterns oder einer Verzögerung des Projekts für das Unternehmen eingeschätzt und transparent gemacht. In der Projekt-Notfallplanung würden Konzepte und Maßnahmen für eine Verzögerung oder Scheitern des Projekts ausgearbeitet. Im Berichtswesen des BCM würden die Risiken aus unternehmenskritischen Projekten mit berichtet werden. Das Projekt des Flughafens Berlin Brandenburg zeigt, wie desaströs Projektverzögerungen in Kombination mit fehlender Kommunikation über die Risiken und deren Folgen für das Unternehmen selbst, aber auch für die Kunden, werden können.
Die Vorteile einer Einbeziehung geschäftskritischer Prozesse sind:
Dieses Vorgehen ist auch mit Nachteilen und Risiken verbunden:
Der Mehraufwand ist sicherlich nur für geschäftskritische Projekte vertretbar, die nach festgelegten Kriterien identifiziert werden müssen. Für diese Projekte kann das Instrumentarium des BCM aber sicherlich hilfreich sein.
Im neuen Standard ISO 22301 konnte ich übrigens keine Ausführungen zu BCM für Projekte finden.
Wie ist Ihre Erfahrung mit der Einbeziehung von Projekten in das BCM?
Nach dem Erdbeben und Tsunami in Japan am 11. März vergangenen Jahres mussten die Automobilhersteller ihre Produktion für mehrere Monate stoppen. Nicht nur die Produktionsanlagen der Hersteller selber waren von der Naturkatastrophe zerstört oder stark beschädigt, auch viele Zulieferer waren nicht mehr lieferfähig. Durch die Effizienzprogramme wurden gerade in der Automobilindustrie teure Zwischenlager abgebaut und durch Single Sourcing Skaleneffekte beim Einkauf genutzt. Diese Maßnahmen rächten sich nach der Katastrophe vom 11. März und verhinderten einen schnellen Wiederanlauf. Nicht nur Hersteller in Japan waren hiervon betroffen. Auch deutsche Hersteller konnten über einen längeren Zeitraum bestimmte Ausstattungs- und Farbvarianten nicht liefern. Toyota hat die Lehren aus diesem Ereignis gezogen und überarbeitet seine Supply Chain. In zwei Wochen soll die Produktion nach einem schweren Beben in Japan wieder anlaufen können, so das Ziel. Im herbst diesen Jahres sollen die Maßnahmen hierzu umgesetzt sein. In einer Analyse der Supply Chain Risiken wurden 300 der 1.500 Produktionsstätten der Lieferanten als riskant eingestuft. Diese sind single sources für rund 1.000 Teile. Die betroffenen Lieferanten werden aufgefordert, die Teile an mehreren Standorten zu produzieren oder Lager anzulegen. Sie verpflichten sich und ihre eigenen Zulieferer die Frist von zwei Wochen Wiederanlaufzeit einhalten zu können. Wer die Supply Organisationen der großen Automobilhersteller einmal kennengelernt hat, weiß dass ein Zuwiderhandeln ganz schnell im De-Listing mündet. Parallel hierzu forciert Toyota die Gleichteile-Strategie, um die Kosten für diese Notfallvorsorge für die Lieferanten senken zu können. Toyota ist damit wiederum Vorreiter im Supply Cain Risk Management. Andere Hersteller und Branchen werden diesem Trend folgen.
[reuters]
Der Streik der Vorfeldmitarbeiter am Frankfurter Flughafen wird bis Freitag ausgeweitet. Doch es zeigt sich, dass sich Fraport offensichtlich gut auf den Streik vorbereitet hat. Die rund 240 streikenden Mitarbeiter haben eine Schlüsselposition bei der Abfertigung der Flüge inne. Ohne “Follow Me” und Ground Control geht keine Maschine in die Luft oder landet auf dem Flughafen. Durch den Einsatz von Mitarbeitern aus anderen Bereichen und Führungskräften können die Schlüsselpositionen offensichtlich ausreichend besetzt werden. Von 1.200 geplanten Flügen mussten am Montag nur 187 Flüge annulliert werden. Im innerdeutschen Verkehr spring die Bahn mit zusätzlichen Kapazitäten ein. Flugtickets der Lufthansa gelten gleichzeitig auch als Bahntickets. Im Inland ist die Bahn ohnehin eine vergleichbare Alternative zumal es derzeit keine frostbedingten Ausfälle gibt. Auch die Bahn hat sich auf den Winter mit zusätzlichen Weichenheizungen und Auftauanlagen für die Züge gewappnet. Fraport kommt natürlich auch entgegen, dass zur aktuellen Karnevalszeit das Passagieraufkommen ohnehin geringer ist.
Streiks, Pandemien / Epidemien und Ausfälle des ÖPNV sind die klassischen Personalausfallszenarien. Im Rahmen des BCM ist es Bestandteil der Notfallstrategien, Kontinuitäts-Optionen für den Ausfall von Schlüsselpositionen (“Kopfmonopole”) sowie der Abwesenheit eines hohen Anteils der Beschäftigten zum Beispiel durch Krankheit zu entwickeln.
Derartige Optionen können zum Beispiel sein
Eine gute Dokumentation der Geschäftsprozesse in einem Organisationshandbuch ist eine wesentliche Grundlage für die Umsetzung dieser Maßnahmen im Notfall. Da es sich häufig um personelle Maßnahmen handelt ist eine Einbeziehung des Personalbereichs und Betriebs- oder Personalrats zwingend. Daher sollten diese Notfallvorsorgemaßnahmen im BCM zu “Friedenszeiten” vorbereitet werden, denn im Ernstfall ist es zu spät. Ganz nach J. F. Kennedy: “The time to repair the roof is when the sun is shining”.