Was ist Business Continuity Management (BCM)

Zu Business Continuity Management gibt es zahlreiche Erklärungsversuche und noch mehr Definitionen. So stellt sich natürlich die Frage: Was ist Business Continuity Management (BCM)? Ein erster Versuch kann unternommen werden, indem BCM auf Deutsch übersetzt wird. Das würde in etwa Betriebliches Kontinuitätsmanagement heißen, was dem Ganzen schon sehr nahe kommt.

 

BCM beschreibt ein Management System, das einem Unternehmen dabei hilft, selbst in Krisenzeiten oder bei Notfällen die Geschäftstätigkeit, wenn auch möglicherweise in geringerem Ausmaß, aufrecht zu erhalten.

 

Insbesondere handelt es sich dabei auch um die Fortführung der Geschäftstätigkeit im Angesicht eines Cyberangriffes, was dieses Thema für MSPs  und IT Dienstleister  so unglaublich wichtig macht.

 

Wie funktioniert Business Continuity eigentlich?

 

Nun stellt sich aber die Frage, wie die „Fortführung der Geschäftstätigkeit“ funktioniert. Schließlich weiß jeder, dass es unmöglich ist alle Risiken vorher zu sehen, sich vollständig vor allem zu schützen und dass Schutz Geld kostet. Aber im Business ist es unmöglich sich zu verschanzen und keinerlei Risiken einzugehen. Doch mit Business Continuity Management können Sie den Mittelweg zwischen kalkuliertem Risiko und ausreichendem Schutz gehen. Dazu brauchen Sie einige hilfreiche Tools.

 

Was beinhaltet Business Continuity Management?

 

Business Continuity Management umfasst alles, was an Maßnahmen und Plänen nötig ist, um die Fortführung der geschäftlichen Tätigkeit sicherzustellen. Sie fällt in großen Unternehmen (unter anderem) in den Bereich der IT Abteilung  oder aber wird von MSPs für ihre Kunden übernommen. Wenn Sie einen raschen Überblick über die Inhalte von BCM haben möchten, haben wir Ihnen die wichtigsten Punkte hier zusammengefasst:

 

Krisen Management

 

Die höchte Ebene bildet das Krisen Management. Ziel ist es festzulegen, wie im Angesicht eines Notfalles reagiert werden muss. Das bedeutet, es gibt eine klar vorgegebene Vorgehensweise mit Rollen und Verantwortlichen um eine Krise so schadlos wie möglich zu überstehen. Alle Ergebnisse und Vorgaben sollten in jedem Fall dokumentiert werden!

 

Business Impact Analyse

 

Am Beginn des Business Continuity Management steht die Business Impact Analyse. Das bedeutet, Sie analysieren sämtliche Ihrer Geschäftsprozesse und verschaffen sich einen Gesamtüberblick über sämtliche Schnittstellen, Zusammenhänge und Abhängigkeiten. Davon ausgehend legen Sie fest, welche Geschäftsprozesse unternehmenskritisch sind. Diesen unternehmenskritischen Prozessen weisen Sie anschließend eine Zeit zu, wie lange sie maximal ausfallen dürfen. Wie genau das geht, können Sie im Artikel zu RPO und RTO nachlesen.

 

Notfallpläne

 

Nach Abschluss der Analyse werden die Notfallpläne erstellt. Hier definieren Sie, wie in einem KRisenszenario im Einzelnen zu reagieren ist. Das beinhaltet konkrete Schritte und Maßnahmen, die sofort durchgeführt werden müssen, um in Notfallbetrieb übergehen zu können und auch die Maßnahmen, die nötig sind um wieder zum gewöhnlichen Betrieb zurückzukehren. Wichtige Tipps und Tricks hierzu, finden Sie im Artikel zu Disaster Recovery Plan.

 

Notfallübungen

 

Notfallpläne alleine reichen nicht, wenn Sie in Schubladen verschwinden und dort verstauben. Führen Sie also regelmäßig Notfallübungen durch, damit Ihre Mitarbeiter üben können, wie sie im Ernstfall reagieren sollten.

 

Laufende Optimierung

 

Die einmalige Erstellung eines Notfallplans ist unzureichend. Bedrohungen ändern sich, Geschäftsprozesse ändern sich, Personen ändern sich, sodass es nötig ist, auch hier in regelmäßigen Abständen neuerliche Analysen durchzuführen und die Pläne und Szenarien entsprechend anzupassen.

 

Wann wird Business Continuity Management eingesetzt?

 

Hier finden Sie einige mögliche Szenarien, in denen Business Continuity Management zum Einsatz kommt. Natürlich gibt es für unterschiedliche Szenarien verschiedene Maßnahmen, die durchgeführt werden müssen und die Szenarien sind keineswegs vollständig. Aber als MSP oder IT Dienstleister müssen Sie wenigstens auf diese Punkte vorbereitet sein:

 

  • Unternehmen werden Opfer von Cyberattacken
  • Netzwerke, Hardware oder Software fallen aus
  • Brände oder Naturkatastrophen suchen das Unternehmen heim
  • Stromausfall
  • Personalmangel (Krankheit, Abgang,…)
  • Lieferanten und Dienstleister liefern nicht

 

Zur Behebung von vielen dieser Fälle, sollten Sie eine gute RMM Software verwenden. Sie hilft Ihnen nicht nur remote alles zu überwachen, sondern kann in vielen Fällen selbst bei der Behebung von Störfällen hilfreich sein.

 

Vorteile von BCM?

 

Warum sollten Sie als Unternehmen oder MSP denn nun ein BCM einrichten? Das kostet Zeit und Geld und bringt ja nur etwas, wenn tatsächlich ein Katastrophenfall eintritt (was unter Umständen Ihr Unternehmen oder Ihre Kunden nie trifft). Natürlich können Sie nun argumentieren, dass das nur unnötige Kosten verursacht. Aber überlegen Sie kurz ein anderes Beispiel. Sie haben bestimmt Versicherungen abgeschlossen. Ob auf Ihre Person, Ihre Besitztümer oder Ihr Unternehmen. Nach dieser Logik, dass möglicherweise nie etwas passiert, sind Versicherungen auch „unnötig“. Wenn der Schadensfall (oder Katastrophenfall) jedoch eintritt, werden Sie sehr froh sein, eine Versicherung  abgeschlossen zu haben und die gesamten Kosten nicht alleine tragen müssen.

 

Ähnlich verhält es sich bei BCM. So lange alles glatt läuft, bräuchten Sie es nicht. Wenn aber ein Katastrophenfall eintritt, werden Sie sehr froh sein, wenn Sie darauf vorbereitet sind. BCM ist im Wesentlichen also nicht viel anders als eine Versicherung, nur hier eben eine Versicherung, dass der gewöhnliche Geschäftsbetrieb aufrecht erhalten werden kann, egal ob Ihr Standort einem Cyberangriff, Brand oder einer anderen Katastrophe zum Opfer fällt.

 

Außerdem schafft gezieltes BCM auch ein Risikobewusstsein im Unternehmen, bei allen Mitarbeitern. Insbesondere, wenn Sie die Notfallpläne allen Mitarbeitern näher bringen und auch die Übungen regelmäßig durchführen, schärfen Sie den Blick von Ihren Mitarbeitern (oder denen Ihrer Kunden) für mögliche Gefahren, was im Umkehrschluss die Widerstandsfähigkeit des Unternehmens allgemein erhöht.

 

Unterschied zwischen BCM und Business Continuity Plan

 

Vermutlich sind Sie während Ihrer Recherche auch auf den Begriff des Business Continuity Plan gestoßen und wundern sich nun, in wie weit sich dieser von BCM unterschiedet.

 

Die einfachste Antwort wäre: sie unterscheiden sich nicht grundsätzlich. Der Unterschied findet sich im Detailgrad der jeweiligen Komponenten. Im besten Fall hat ein Unternehmen Notfallpläne für sämtliche identifizierte Gefahrenquellen erstellt. Erst die Summe sämtlicher Pläne ist es aber, die das BCM ausmacht. Natürlich wird das unternehmensspezifische BCM sich von anderen Unternehmen deutlich unterscheiden. Beispielsweise sind Unternehmen mit einer Lage am Fluss gut beraten mit einem Notfallplan (oder Business Continuity Plan) für Hochwasser, während ein Unternehmen mit Standort auf einer Anhöhe kaum Probleme mit Hochwasser haben dürfte.

 

Der Unterschied liegt also darin, dass BCM sich unter anderem aus der Summe der Business Continuity Pläne ergibt.