CEO muss unterstützen

In den Augen von Matthias Hämmerle besteht Business Continuity Management aus einem ganzen Strauss von Massnahmen auf unterschiedlichen Ebenen. «Die Kernbotschaft zu BCM lautet: Be prepared – bereite dich mittels Notfallplänen und vor allem im Rahmen von Tests und Übungen auf alle möglichen Szenarien vor, dann kannst du im Notfall besser reagieren. Die Frage ist nämlich nicht, ob das passiert, sondern wann.»

Entscheidend für den Aufbau eines nachhaltigen BCM ist das Mandat der Geschäftsleitung. Der CEO muss die BCM-Konzepte unterstützen, die Fachbereiche mit ins Boot holen, sowie die finanziellen und personellen Ressourcen bereitstellen. «Die grösste Hürde ist gemeistert, wenn ein Bewusstsein darüber existiert, dass wirklich etwas passieren kann», weiss Jürgen Kolb. Sinnvoll ist es zudem, das BCM als Stabsstelle unterhalb der Geschäftsführung einzurichten. «Schon jetzt werden Business-Continuity-Manager aufgewertet und erhalten eigene Budgets. Dieser Trend wird sich fortsetzen, damit sie im Krisenfall auch operativ tätig sein können.»

Beim Aufbau, Betrieb und der Optimierung eines BCM-Systems empfehlen die von Computerworld befragten Experten die Orientierung an Standards und Best Practices wie ISO 22301, ISO 27031 oder BSI 100-4. ISO 22301 beispielsweise basiert auf dem PDCA-Zyklus (Plan, Do, Check, Act) und enthält neben Planung, Überprüfung und Training auch die Verbesserung von Organisationsprozessen. ISO 27031 konzen­triert sich auf die Schnittstellen zwischen BCM und IT-Notfallmanagement, der BSI-Standard 100-4 zeigt einen systematischen Weg für den Aufbau eines Notfallmanagements etwa in einer Behörde.

Als weitere Hilfe gibt es spe­zi­elle Software-Lösungen, die Unternehmen unterstützen. Sie bieten eine zentrale Datenhaltung für Geschäftsprozesse und IT-Anwendungen sowie Schnittstellen zu Systemen etwa zur Alarmierung oder zur IT-Strukturanalyse.

Eine erste Orientierung böte eigentlich der «Magic Qua­drant for Business Continuity Management Program Solutions» von Gartner, der wichtige Hersteller umfasst. Der Haken: «Der Gartner-Quadrant betrifft den internationalen Markt. In Deutschland können diese grossen Anbieter nur schwer Fuss fassen», erklärt Matthias Hämmerle.

Auf dem deutschen Markt gibt es laut Hämmerle einige wenige spezialisierte Hersteller von BCM-Tools mit Funktionen wie Business-Impact-Analyse und Notfallplan, darunter etwa HiScout, Controllit oder die Beluga-Lösung der Finanzinformatik GmbH. Zudem integrieren auch Anbieter von Lösungen für den Aufbau von Information-Security-Management-Systemen zunehmend BCM-Funktionalitäten in ihre Tools. Ein Beispiel dafür ist Fuentis.

Grundsätzlich gilt: Es gibt keine hundertprozentige Sicherheit. Unternehmen müssen das Restrisiko minimieren und mögliche Schäden transparent machen. Genau darum geht es bei BCM. Zu einem guten BCM gehören die Business-Impact-Analyse mit Risikobewertung, das Design der Notfallkonzepte für die kritischen Ressourcen, die eigentliche Implementierung sowie Tests und Übungen zum Überprüfen der Pläne. Ein BCM-Plan umfasst zudem die Kontaktdaten und Alarmierungsketten, Notfallprozeduren für den Notbetrieb, interne und externe Kommunikation im Notfall sowie Verfahren für den Wiederanlauf in den Normalbetrieb.

BCM funktioniert jedoch nur, wenn es in die Gesamtstrategie der Firma eingebunden ist. Die Geschäftsleitung muss BCM unterstützen.