04.03.2022

Was sind BCM und ITSCM, und warum ist das Interesse an diesem Thema gestiegen?

Heutzutage haben Unternehmen enorme Entwicklungsmöglichkeiten, aber auch große Risiken. Man denke nur an die Pandemie, in der viele Unternehmen einfach aufhörten zu existieren. Aus diesem Grund wächst das Interesse an BCM und ITSCM, den Grundsätzen des Business Continuity Management.

Was ist BCM?

BCM (Business Continuity Management) ist die strategische, taktische und operative Fähigkeit eines Unternehmens, auf Notfälle oder Krisen auf einem akzeptablen, vorher festgelegten Niveau zu reagieren. Ein BCM ermöglicht es, Reaktionen auf höhere Gewalt, negative Finanz Szenarien und andere Notfälle auszuarbeiten und Präventivmaßnahmen zu entwickeln, damit diese Situationen nicht eintreten. Das Ergebnis ist ein ganzheitlicher Unternehmensführungsprozess, der darauf abzielt, die Widerstandsfähigkeit des Unternehmens gegenüber negativen Faktoren zu maximieren.

Welche Faktoren könnten das sein? 

Ein BCM berücksichtigt zum Beispiel so viele Worst-Case-Szenarien wie möglich:

  • Ihr Hauptlieferant hat die Lieferung von Waren eingestellt;
  • Das Lagergebäude ist zerstört;
  • Aufgrund eines neuen Pandemieausbruchs müssen die Mitarbeiter auf Remote Arbeit umgestellt werden;
  • Die IT-Ausrüstung ist außer Betrieb.

Für jedes Szenario werden Präventiv- und Reaktionsmaßnahmen ausgearbeitet. Um beispielsweise ein Lagerhaus vor Überschwemmungen zu schützen, muss der Schutz vor eindringender Feuchtigkeit täglich überprüft werden. Und wenn höhere Gewalt eintritt, müssen eindeutige Maßnahmen getroffen werden, um die Waren aus dem Lager zu evakuieren.

Was ist ITSCM?

ITSCM (IT Service Continuity Management) ist das Kontinuitätsmanagement der IT-Infrastruktur. Heutzutage sind die Geschäftsprozesse eines jeden modernen Unternehmens – Personalbeschaffung, Produktion, Einkauf, Rechnungswesen etc. – eng mit der IT verbunden. Daher ist die Anfälligkeit von IT-Ressourcen zu einem ernsten Problem geworden. Wird der Server eines Unternehmens angegriffen oder werden Daten versehentlich zerstört, kann dies zu Ausfallzeiten für das gesamte Unternehmen führen. 

Außerdem haben viele große Unternehmen sehr strenge SLAs (Service Level Agreements), die einen klaren Zeitplan oder die Kontinuität des Dienstes vorschreiben. Wenn sich der Anbieter einige Zeit nicht meldet und die Leistungen nicht erbracht werden, riskiert das Unternehmen den Vertrauensverlust seiner Kunden und im schlimmsten Fall empfindliche Geldstrafen, nach denen es schwer ist, sich über Wasser zu halten. 

ITSCM bietet hochmoderne Lösungen, die die Kontinuität der IT-Infrastruktur und ihre schnelle Wiederherstellung nach höherer Gewalt gewährleisten. Zu den Lösungen gehören beispielsweise die Übertragung von Daten auf einen Cloud-Speicher und die Erstellung eines synchronisierten Backups der Unternehmensdaten. Dazu gehört auch die Cybersicherheit – sowohl extern als auch intern. So können beispielsweise wichtige Dateien vor dem Speichern oder Kopieren geschützt werden, um zu verhindern, dass skrupellose Mitarbeiter Informationen an Konkurrenten “weitergeben”. 

Was ist der Unterschied zwischen BCM und ITSCM?

BCM (Business Continuity Management) ist eine Maßnahme zur Aufrechterhaltung der internen und externen Prozesse eines Unternehmens. Bei der Bewertung der Wirksamkeit von BCM wird die Zeit bis zur vollständigen Wiederanlauf der Geschäftsprozesse (RTO) betrachtet.

ITSCM kann als ein Teil von BCM betrachtet werden, der nur die IT-Infrastruktur des Unternehmens umfasst. In diesem Fall ist das Hauptkriterium für die Bewertung des ITSCM eines Unternehmens die Zeit für den Neustart und die Wiederherstellung von Rechenzentren.

Situation von BCM und ITSCM in modernen Unternehmen 

  • Leider sind BCM und ITSCM noch nicht weit genug verbreitet, obwohl die Gewährleistung der Geschäftskontinuität jedem Unternehmen in seiner Entwicklung erheblich helfen kann. 
  • Präventivmaßnahmen für verschiedene Situationen höherer Gewalt werden nicht näher erläutert. 
  • Die Geschäftsprozesse und die Leistung der IT-Infrastruktur werden nur unzureichend überwacht.
  • Pläne zur Wiederherstellung des Geschäftsbetriebs – sofern vorhanden – sind häufig Standardanweisungen, die den aktuellen Fähigkeiten und der Verfügbarkeit von Ressourcen des Unternehmens nicht Rechnung tragen.
  • Die Überwachung anormaler Situationen erfolgt nach dem “Check-the-Box”-Prinzip oder gar nicht. 
  • Es wird nicht berücksichtigt, wie eine Eventualität zu einer anderen führen kann.
  • Die Notfallpläne enthalten keine Anweisungen, wie kritische Aktivitäten wiederhergestellt und die Arbeit so schnell wie möglich wieder aufgenommen werden kann.
  • Notfallschulungen nehmen sehr wenig Zeit in Anspruch und vermitteln wenig oder gar keine Informationen. 
  • In einigen Unternehmen gibt es diesbezüglich überhaupt keine Ausbildung. 

Vorbereitung auf die ordnungsgemäße Umsetzung von BCM und ITSCM

Normalerweise werden BCM- und ITSCM-Systeme von Unternehmen entwickelt, die jedem Kunden ein individuelles Projekt anbieten. Auf Kundenseite werden die Maßnahmen von einem zuständigen Manager überwacht, der unabhängig arbeiten kann (wenn das Unternehmen klein ist) oder ein Team zusammengestellt.

Wie wird ein Plan zum Management der Geschäftskontinuität entwickelt: 

Initiierung: In dieser Phase bewerten die Experten den aktuellen Stand des Geschäftsprozessmanagements, seine Übereinstimmung mit den gesetzlichen Anforderungen und empfohlenen Standards. Auch die Vorbereitung der Mitarbeiter auf Notfälle wird bewertet.

Analyse: Die Spezialisten identifizieren kritische Geschäftsprozesse und Ressourcen, ermitteln deren Zusammenhänge und bewerten die Folgen eines Ausfalls. Sie legen auch die Prioritäten für die Wiederherstellung von Geschäftsprozessen fest.

Eine Liste von Bedrohungen und Szenarien höherer Gewalt wird erstellt. In dieser – der wichtigsten – Phase werden alle Bedrohungen auf der Grundlage von Branchenspezifika, des geografischen Standorts und der Schwachstellen des Unternehmens selbst bewertet. Die Bedrohungen werden nach ihrer Komplexität eingestuft, und es werden Szenarien höherer Gewalt mit ihren möglichen Folgen beschrieben.

Implementierung: Es werden Reaktionsstrategien und Wiederherstellungspläne entwickelt. Zunächst wird eine Gesamtstrategie erstellt, in der das ordnungsgemäße Funktionieren der Geschäftsprozesse vorgeschrieben wird, um sie sicher zu halten. Außerdem gibt es für jeden Prozess Wiederherstellungpläne für den Fall, dass höhere Gewalt eintritt. 

Tests und Schulungen: Jeder Plan wird von Fachleuten getestet, und die Mitarbeiter werden innerhalb des Unternehmens geschult, um die Geschäftsprozesse sicher zu halten und im Notfall handeln zu können. Für die verschiedenen Kategorien von Mitarbeitern werden je nach Verantwortungsebene unterschiedliche Schulungsprogramme entwickelt.

Die Kontinuität des Geschäftsbetriebs wird dann an den entsprechenden Manager übergeben. Zu seinen Aufgaben gehören die Umsetzung der vorgeschriebenen Maßnahmen und Anweisungen, die ständige Überwachung auf Bedrohungen und Notfälle sowie die rechtzeitige Organisation von Mitarbeiterschulungen.

BCM und ITSCM sind unverzichtbare Bestandteile jedes modernen Unternehmens, denn es ist weitaus einfacher, einem Notfall vorzubeugen oder ihn im Voraus zu überdenken, als sich auf den Zufall zu verlassen und auf die Sicherheit der Geschäftsprozesse zu setzen. Deshalb ist es wichtig, sich rechtzeitig an die richtigen Unternehmen für Maßnahmen des Business Continuity Management zu wenden.