{"id":1285,"date":"2023-09-12T11:46:23","date_gmt":"2023-09-12T09:46:23","guid":{"rendered":"https:\/\/www.it-ps.at\/?p=7635"},"modified":"2024-10-16T11:02:58","modified_gmt":"2024-10-16T09:02:58","slug":"bcm-wissen","status":"publish","type":"post","link":"https:\/\/www.it-ps.de\/en\/bcm-wissen\/","title":{"rendered":"Business Continuity Management"},"content":{"rendered":"\n<!--more-->\n\n\n\n<p>Im Mai 2023 hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) den <a href=\"https:\/\/www.onlinesicherheit.gv.at\/Themen\/Experteninformation\/Normen-und-Standards\/BSI-IT-Grundschutz-Standards.html\" target=\"_blank\" rel=\"noopener\" title=\"\">BSI-Standard 200-4 \u201eBusiness Continuity Management\u201c<\/a> ver\u00f6ffentlicht. Dieser wurde von Experten und AnwenderInnen durch Feedbackrunden mitgestaltet und zeigt Synergiepotentiale zu weiteren Managementsystemen wie dem IT-SCM (IT Service Continuity Management), ISMS (Information Security Management System) und den BSI-Standards 2001-1 bis 200-3 auf. Au\u00dferdem ist dieser durch ein 3-Stufenmodell f\u00fcr alle Gr\u00f6\u00dfen, Branchen und Arten von Organisationen anwendbar. Mit dieser praxisnahmen Anleitung haben nun nicht nur Experten, sondern auch Anf\u00e4nger die Chance langsam in ein BCMS (Business Continuity Management System) reinzuwachsen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist Business Continuity Management?<\/h2>\n\n\n\n<p><a href=\"https:\/\/de.wikipedia.org\/wiki\/Betriebliches_Kontinuit%C3%A4tsmanagement\" target=\"_blank\" rel=\"noopener\" title=\"\">Business Continuity Management<\/a> (kurz: BCM, oder auch Krisenmanagement) ist ein ganzheitlicher Managementprozess, der zum Ziel hat, das \u00dcberleben eines Unternehmens im Krisenfall sicherzustellen. Das geschieht durch Definition der \u00fcberlebensnotwendigen Gesch\u00e4ftsprozesse (<strong>systemrelevante Prozesse<\/strong>), Erarbeiten von Notfalll\u00f6sungen sowie deren Dokumentation (Notfallpl\u00e4ne), regelm\u00e4\u00dfige Tests der Notfallpl\u00e4ne und Updates der Dokumentation. Diesen Zyklus nennt man <strong>PDCA-Zyklus<\/strong>: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>P<\/strong>lan (nachvollziehbare Planung)<\/li>\n\n\n\n<li><strong>D<\/strong>o (Durchf\u00fchrung der Tests)<\/li>\n\n\n\n<li><strong>C<\/strong>heck (\u00dcberwachung und Dokumentation der Schwachstellen)<\/li>\n\n\n\n<li><strong>A<\/strong>ct (laufende Verbesserung und Updates der Pl\u00e4ne)<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Warum sind Notfallpl\u00e4ne wichtig?<\/h3>\n\n\n\n<p>Nehmen wir ein Beispiel: Sie kommen nach Hause und stellen fest, dass Ihre Wohnung wegen einer undichten Wasserleitung \u00fcberschwemmt ist. Oft, kommen dann viele kleine Problemchen zusammen: Wo ist der Hauptwasserhahn? Und wo habe ich nochmal den Schl\u00fcssel dazu hingelegt? Da war doch ein Installateur ums Eck, wie hat der nochmal gehei\u00dfen? Mist, Handyakku leer\u2026<\/p>\n\n\n\n<p>In einem Notfallplan werden genau diese Dinge genau durchdacht und organisiert. In diesem Beispiel k\u00f6nnte der Plan beinhalten, dass es einen Plan gibt, wo der Hauptwasserhahn zu finden ist plus genau definiert, wo der Schl\u00fcssel hinterlegt ist. Es k\u00f6nnte ein Ersatzhandy geben oder jederzeit geladenes Akkupack sowie einen eingespeicherten Installateurkontakt. Der Vorteil liegt auf der Hand: man muss in einer Ausnahmesituation nicht nachdenken was zu tun ist und durch die Tests der Notfallpl\u00e4ne, kommt auch eine gewisse Routine in die Situation. Die Chance auf Panik-Fehlentscheidungen sinkt.<\/p>\n\n\n\n<p>In einem Unternehmen mit vielen verschiedenen Bereichen, Personen und ben\u00f6tigen Ressourcen ist es noch komplexer und der Notfallplan stellt sicher, dass jede\/r Beteiligte ganz genau wei\u00df, was wer macht, um einen reibungslosen Ablauf im Fall einer Krise sicherzustellen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Der Aufbau eines BCM-Prozesses<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Management Kommittment zum BCM Prozess<\/h3>\n\n\n\n<p>Da BCM das gesamte Unternehmen betrifft, ist es wichtig vom Management das Kommittment zu haben, die BCM-Strategie umzusetzen. Ohne Zusammenarbeit aller Abteilungen ist eine erfolgreiche Umsetzung unm\u00f6glich. Weiters ist der Aufwand nicht zu untersch\u00e4tzen und die Verf\u00fcgbarkeit der Beteiligten zwingend erforderlich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Die Business Impact Analyse (BIA)<\/h3>\n\n\n\n<p>Im ersten Schritt werden alle Gesch\u00e4ftsprozesse aufgelistet, die anschlie\u00dfend step-by-step analysiert werden. Dabei werden folgende Aspekte pro Prozess bewertet:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Unterst\u00fctzende Prozesse<br>Welche Ressourcen (Personen, Systeme, Infrastruktur, Informationen, etc.) werden f\u00fcr diesen Prozess ben\u00f6tigt?<\/li>\n\n\n\n<li>Schadenspotential und -kategorie<br>Wie hoch ist der zu erwartende Schaden, wenn der Prozess \u00fcber eine bestimmte Zeit stillstehen w\u00fcrde? Daraus ergibt sich das Untragbarkeitsniveau: ab welchem Zeitpunkt hat die Unterbrechung dieses Gesch\u00e4ftsprozesses untragbare negative Auswirkungen auf das Unternehmen.<\/li>\n\n\n\n<li>Daraus leiten sich folgende Kennzahlen ab:\n<ul class=\"wp-block-list\">\n<li><strong>RTO <\/strong>= Recovery Time Objective (ben\u00f6tigte Wiederanlaufszeit des Prozesses)<\/li>\n\n\n\n<li><strong>RPO <\/strong>= Recovery Point Objective (maximal zul\u00e4ssiger Datenverlust; v.a. in der IT wichtig f\u00fcr den Datensicherungszyklus)<\/li>\n\n\n\n<li><strong>MTPD <\/strong>= Maximum Tolerable Period of Disruption (abgeleitet vom Untragbarkeitsniveau)<\/li>\n\n\n\n<li><strong>MBCO <\/strong>= Minimum Business Continuity Objective<br>Was ist das Notbetriebsniveau, um den Prozess im Krisenfall am Laufen zu halten.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Anhand dieser Informationen k\u00f6nnen systemrelevante Gesch\u00e4ftsprozesse definiert werden, die im Notfall abgesichert werden m\u00fcssen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/www.it-ps.at\/wp-content\/uploads\/2023\/09\/defense-1403072_1280_bruno_pixabay-1024x521.jpg\" alt=\"Eine Hand stoppt anfliegende Fremdk\u00f6rper\" class=\"wp-image-7660\" \/><figcaption class=\"wp-element-caption\">defense, by Bruno via pixabay<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Das Risk Assessment (RA)<\/h3>\n\n\n\n<p>Grunds\u00e4tzlich muss man verstehen, dass man Risiken bzw. Krisen nicht verhindern kann! Aber man kann definieren, wie wahrscheinlich die Bedrohung ist und wie im Ernstfall damit umgegangen wird. Darum geht\u2019s beim BCM.<\/p>\n\n\n\n<p>Bei der Risikoanalyse werden Bedrohungspotentiale bewertet. Wie hoch ist die Eintrittswahrscheinlichkeit, welche Ressourcenkategorien sind davon betroffen, wie hoch w\u00e4re der Schaden?<\/p>\n\n\n\n<p>Aus der BIA ist bekannt, welche Prozesse systemrelevant sind. Diese Prozesse werden nun mit den Informationen der Risikoanalyse kombiniert.<\/p>\n\n\n\n<p>Es gibt vier Entscheidungsm\u00f6glichkeiten zum Umgang mit potenziellen Bedrohungen:<\/p>\n\n\n\n<ul class=\"wp-block-list\" id=\"transfer-risk\">\n<li><strong>Mitigate<\/strong><br>Was kann ich tun, um das Risiko zu minimieren? zB Notfallpl\u00e4ne f\u00fcr diesen Prozess erstellen<\/li>\n\n\n\n<li><strong>Avoid<\/strong><br>Gibt es M\u00f6glichkeiten das Risiko zu verhindern?<\/li>\n\n\n\n<li><strong>Accept<\/strong><br>Das Risiko ist so gering, bzw. die Bedrohung so unwahrscheinlich, dass ich das Risiko der Prozessunterbrechung akzeptiere.<\/li>\n\n\n\n<li class=\"transfer-risk\"><strong>Transfer<\/strong><br>Gibt es eine M\u00f6glichkeit das Risiko auszulagern? z.B. Outsourcing zur IT-PS (von Managed bis Cloud Service)<\/li>\n<\/ul>\n\n\n\n<p>Als Ergebnis der RA stehen nun die Gesch\u00e4ftsprozesse sowie deren m\u00f6gliche Bedrohungen und Wahrscheinlichkeiten fest.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Erstellen der Notfallpl\u00e4ne<\/h3>\n\n\n\n<p>Das Ergebnis der BIA und der RA sind nun definierte systemrelevante Gesch\u00e4ftsprozesse, die f\u00fcr verschiedene BCM-Szenarien abgesichert werden m\u00fcssen. Die Definition der Szenarien k\u00f6nnen je Unternehmen unterschiedlich sein. Oft werden die Szenarien \u201eAusfall von\u2026<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Personal<\/li>\n\n\n\n<li>IT<\/li>\n\n\n\n<li>Infrastruktur &amp; Dienstleistungen<\/li>\n\n\n\n<li>Geb\u00e4ude<\/li>\n<\/ul>\n\n\n\n<p>herangezogen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Notfallorganisation &nbsp;&amp; Kommunikation<\/h4>\n\n\n\n<p>Um im Krisenfall schnell agieren zu k\u00f6nnen wird eine BAO (besondere Aufbauorganisation) ben\u00f6tigt, die kleiner und somit effizienter ist. Schnelle Entscheidungen und klare Kommunikationswege sind in einer Krise entscheidender Erfolgsfaktor. Das Krisenkommitee (besteht aus Entscheidungstr\u00e4gern der betroffenen\/entscheidenden Bereiche sowie dem Business Continuity Manager) trifft Entscheidungen und ruft die Krise aus. Dort laufen alle Informationen zusammen. Der BC-Manager koordiniert die Emergencyteams. Eine Kontaktliste aller Betroffenen definiert, wer wen in welchem Fall wor\u00fcber informieren muss, damit die Krise gemeinsam effizient bew\u00e4ltigt werden kann.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Notfallpl\u00e4ne je Gesch\u00e4ftsprozess<\/h4>\n\n\n\n<p>F\u00fcr jeden Gesch\u00e4ftsprozess wird nun je Ausfallsszenario definiert, was zu tun ist.<\/p>\n\n\n\n<p>Ausfall von Strom beispielsweise wird viele Gesch\u00e4ftsprozesse betreffen. Die Implementierung eines Notstromaggregats k\u00f6nnte eine L\u00f6sung sein.<\/p>\n\n\n\n<p>F\u00fcr den Ausfall eines Geb\u00e4udes, kann Homeoffice eine L\u00f6sung sein oder auch das Anmieten von Notfallb\u00fcros, die im Krisenfall schnell bezogen werden k\u00f6nnen.<\/p>\n\n\n\n<p>Um den Ausfall von Personal zu reduzieren (zB Kantinenessen war schlecht, Pandemie) k\u00f6nnte eine Abteilung auf zwei verschiedene B\u00fcrostandorte aufgeteilt werden, damit im Notfall &#8220;nur&#8221; die H\u00e4lfte des Personals betroffen ist.<\/p>\n\n\n\n<p>Bei Ausfall der IT gibt es redundante Rechenzentren, speziell abgesicherte Zug\u00e4nge, entsprechende Datensicherheit sowie Backupprozesse, etc. um hier schnell reagieren zu k\u00f6nnen oder auch den Ernstfall einer Downtime gar nicht entstehen zu lassen.<\/p>\n\n\n\n<p>F\u00fcr jedes einzelne Szenario wird nun ganz genau definiert, was bei einer Krise passieren muss. Wer ruft die Krise aus, wer ruft wen an. Welche Mitarbeiter sind nicht Team des Emergency-Teams und was tun die (nach Hause fahren?). Das ET (Emergency Team) wei\u00df ganz genau, dass sie zB nun ihren Laptop schnappen und in die Alternativb\u00fcror\u00e4ume fahren, die IT-Kollegen fahren sofort ins Rechenzentrum, um das Problem zu beheben, die Alternativdienstleister werden aktiviert, und und und.<\/p>\n\n\n\n<p>Sobald der Notfallbetrieb behoben, und die Gesch\u00e4ftsprozesse nicht mehr gef\u00e4hrdet sind, wird die Krisenorganisation offiziell aufgel\u00f6st und die Steuerung wieder an die Normalorganisation \u00fcbergeben.<\/p>\n\n\n\n<p>All das und noch vieles mehr steht in einem guten BC-Plan.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Tests &amp; Review<\/h3>\n\n\n\n<p>Um sicherzustellen, dass alles funktioniert und nichts vergessen wurde, werden diese Notfallpl\u00e4ne regelm\u00e4\u00dfig getestet. Dabei gibt es mehrere Arten von Tests: Vom theoretischen Test &nbsp;(Durchgehen der Pl\u00e4ne in einem Meetingraum) bis zur unternehmensweiten Simulation eines Szenarios. Empfohlen wird ein Test pro Jahr  (bzw. f\u00fcr systemrelevante Unternehmen gesetzlich vorgeschrieben) auf unterschiedlichen Detailgraden. Das wichtige Ergebnis daraus sind die \u201elessons learned\u201c was gut bzw. nicht gut funktioniert hat und woran man die Pl\u00e4ne noch nachbessern kann.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">IT-Ausfall als Albtraum<\/h2>\n\n\n\n<p class=\"has-pale-cyan-blue-background-color has-background\">Business Continuity Management ist viel Arbeit, aber zur Absicherung des Unternehmens unverzichtbar. Gerade in Zeiten von Digitalisierung und Co hat das Szenario des IT-Ausfalls eine enorme Wichtigkeit. Deshalb geben immer mehr Unternehmen ihre IT in professionelle H\u00e4nde. So wie unsere zufriedenen Outsourcing-Kunden, deren IT wir betreuen d\u00fcrfen. Als Experten in diesem Bereich ist unsere IT-Infrastruktur krisensicher aufgebaut. Unsere Mitarbeiter haben viel Erfahrung und wissen ganz genau, wie die Infrastruktur aktuell gehalten wird, und was im Notfall zu tun ist um den Ausfall so gering wie m\u00f6glich zu halten.<\/p>\n\n\n\n<p class=\"has-white-background-color has-background\">Durch unsere jahrzehntelangen Erfahrungen im IT-Bereich (auch in Gro\u00dfkonzernen), wissen wir ganz genau worauf es in der IT ankommt. Damit verringern wir das Risiko auf ein minimales Level.<br>Zur permanenten \u00dcberwachung unserer IT-Infrastruktur verwenden wir beispielsweise <strong><a href=\"https:\/\/trinity.it-ps.at\/ueber-trinity\/\" title=\"\">TRIN[IT]Y,<\/a><\/strong> unser eigenes Performance Monitoring Tool. Damit sehen wir ganz genau, wo es Bottlenecks oder andere Probleme gibt, und wir k\u00f6nnen eingreifen, bevor ein Problem entsteht. <br><a href=\"#transfer-risk\" title=\"Wenn Sie ihr IT-Risiko auslagern wollen\">Wenn Sie ihr IT-Risiko auslagern wollen<\/a> kontaktieren Sie uns f\u00fcr ein unverbindliches Gespr\u00e4ch.<\/p>\n\n\n\n<p class=\"has-pale-cyan-blue-background-color has-background\">Wenn Sie einen zuverl\u00e4ssigen IT-Partner suchen,<a href=\"https:\/\/www.it-ps.at\/kontakt\/\" title=\"\"> kontaktieren Sie uns<\/a>. Gerne stellen wir Ihnen unsere Services in einem unverbindlichen Gespr\u00e4ch vor oder stellen eine <a href=\"https:\/\/trinity.it-ps.at\/free-trial\/\" title=\"\">Trialversion von TRIN[IT]Y<\/a> zur Verf\u00fcgung.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Was steckt hinter Business Continuity Management? Und was hat das mit der IT-PS zu tun?<\/p>\n","protected":false},"author":5,"featured_media":1286,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_EventAllDay":false,"_EventTimezone":"","_EventStartDate":"","_EventEndDate":"","_EventStartDateUTC":"","_EventEndDateUTC":"","_EventShowMap":false,"_EventShowMapLink":false,"_EventURL":"","_EventCost":"","_EventCostDescription":"","_EventCurrencySymbol":"","_EventCurrencyCode":"","_EventCurrencyPosition":"","_EventDateTimeSeparator":"","_EventTimeRangeSeparator":"","_EventOrganizerID":[],"_EventVenueID":[],"_OrganizerEmail":"","_OrganizerPhone":"","_OrganizerWebsite":"","_VenueAddress":"","_VenueCity":"","_VenueCountry":"","_VenueProvince":"","_VenueState":"","_VenueZip":"","_VenuePhone":"","_VenueURL":"","_VenueStateProvince":"","_VenueLat":"","_VenueLng":"","_VenueShowMap":false,"_VenueShowMapLink":false,"footnotes":""},"categories":[15,67],"tags":[],"class_list":["post-1285","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemeines","category-solutions-services"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/posts\/1285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/comments?post=1285"}],"version-history":[{"count":0,"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/posts\/1285\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/media\/1286"}],"wp:attachment":[{"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/media?parent=1285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/categories?post=1285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.it-ps.de\/en\/wp-json\/wp\/v2\/tags?post=1285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}