Die digitale Revolution hat alle Branchen erfasst. Mega-Trends wie Big Data, Industrie 4.0 oder mobiles Internet verändern das Geschäftsumfeld rasant. Die Anpassung der Geschäftsmodelle – sei es durch die Digitalisierung von Produkten, die Erschliessung neuer Kundenkanäle oder die Automatisierung der Prozesse – erfordert zuverlässige IT-Services. In diesem Zusammenhang gewinnen Szenarien wie Risk Management, Security Management und Business Continuity Management (BCM) noch mehr an Bedeutung. Vereinfacht gesagt gilt es, Bedrohungen im Zusammenhang mit den neuen Geschäftsmodellen zu identifizieren und ihnen effizient zu begegnen.

Es gilt aber nicht nur, geeignete Kontinuitätspläne zu ent­wickeln, sondern diese auch laufend zu aktualisieren und zu testen. Die Einbettung in einen geeigneten Managementkreislauf stellt sicher, dass Notfallpläne kontinuierlich ak­tuell gehalten und kommuniziert werden. BCM versteht sich dabei nicht als eigene Disziplin, sondern als Teil der strate­gischen, taktischen und operativen Transformationsprozesse. Dadurch können Zeit, Geld und Ressourcen gespart werden.

Die internationale Norm ISO 22301 ist einer der Standards, die die Anforderungen an ein solches Managementsystem spezifizieren. Weitere Hilfen finden sich in der ISO-27000-Normenreihe. Business Continuity und Notfallplanung sind immanenter Bestandteil der IT-Services. Prominente Frameworks und Standards, etwa TOGAF für Enterprise Architecture Management, ITIL für IT Service Management und COBIT für IT Governance, schenken dem Thema viel Beachtung.

Um BCM-relevante Risiken besser einschätzen zu können, muss unter anderem klar sein, in welchen Unternehmens­prozessen IT-Services genutzt werden und wie kritisch diese für das operative Geschäft sind. Diese Einschätzung muss gemeinsam mit den Risikoexperten, den Fachbereichen und letztlich durch die Unternehmensführung erfolgen. Ist die Bedeutung der IT-Services erst einmal bekannt, können die Kritikalitätseinschätzungen auf die Anwendungslandschaft übertragen werden, wobei Anwendungen, deren Schnittstellen untereinander und die zugrundeliegenden IT-Infrastrukturen genauer analysiert werden müssen. Grosse Wichtigkeit kommt dabei auch den Geschäftsobjekten zu – den wesentlichen Datenelementen, die in der IT-Landschaft bearbeitet werden.

Ist ein Notfallplan etabliert, besteht die grösste Herausforderung darin, ihn aktuell zu halten. Notfall­planung muss als permanente Tätigkeit verstanden werden. Mit dem Architecture Development Lifecycle (ADM) liefert etwa das Architektur-Management-Framework TOGAF einen Lebenszyklus, in den Sicherheits- und Kon­ti­nuitätsanforderungen in verschiedenen Stufen eingepasst werden können.

Architecture Vision: Zu Beginn von Transformationsprojekten erfolgt zwingend eine erste Risikoeinschätzung. Auf Basis dieser initialen Einschätzung lassen sich Schwerpunkte in den nachfolgenden Phasen setzen.

Business Architecture: Schon bei der Ausgestaltung der künftigen betrieblichen Abläufe und IT-Services müssen sicherheitsrelevante Anforderungen klar definiert werden. Das Hauptaugenmerk gilt jenen Geschäftsprozessen, die als unternehmenskritisch eingestuft wurden und kritische Daten (etwa sensible Kundendaten) bearbeiten.

Information Systems & Technology Architecture: In diesen beiden Phasen werden die zukünftigen technischen Anforderungen an die IT-Services definiert. Zusammenhänge mit der bestehenden Architektur sind nachvollziehbar aufzubereiten. Mögliche neue oder geänderte Risiken müssen identifiziert werden. Mit anderen Worten: Die Service-Anforderungen werden mit den Fachbereichen unter Einbeziehung des Security Managers abgestimmt. Referenzkataloge wie die BSI-Grundschutzkataloge sparen hierbei Arbeit. So definieren die Grundschutzkataloge beispielsweise ein umfassendes Set an Bedrohungen, womit sich die neuen IT-Services abwägen und bewerten lassen. Die dort ebenfalls katalogisierten Massnahmen dienen als Checkliste, um den Grundschutz sicherzustellen.

Opportunities and Solutions: Hier wird die Lösungsarchitektur konkretisiert und das initiale Projektportfolio definiert. Mögliche Lösungsszenarien müssen den Sicherheitsanforderungen entsprechen. Wiederum können die in den öffentlich verfügbaren Grundschutzkatalogen definierten, bausteinartigen Massnahmen dabei unterstützen, ein ausgewogenes Set an Sicherheitsvorkehrungen zu treffen. Beispiele für derartige Massnahmen sind: Empfehlungen für Zutritts- oder Zugriffsregelungen, organisatorische Regelungen für das Personal oder technische Sicherungsmöglichkeiten für Gebäude, Hardware oder Software.

Migration Planning: Die Migrationsplanung befasst sich mit der finalen Vorbereitung und Abstimmung zur Implementierung der konzipierten Lösung. Spätestens zu diesem Zeitpunkt sind auch Arbeitspakete zur detaillierten Er­arbeitung der Sicherheitsarchitekturen zu definieren und deren Ausführung vorzusehen.

Implementation Governance: In dieser Phase ist dafür Sorge zu tragen, dass die Umsetzung der IT-Services den vereinbarten Sicherheits-Levels entspricht. Die operativen Prozesse für den Betrieb der Services müssen durch Schulungen vermittelt werden. Die erstellten Notfallpläne müssen der Umsetzung der Services entsprechen und ausreichend praktisch erprobt werden.

Architecture Change Management & Requirements Management: Die Verantwortlichen müssen Geschäftsprozesse und etablie­rte IT-Services laufend auf ihr Gefährdungspoten­zial überprüfen. Diese kontinuierliche Analyse und Bewertung muss von Notfalltests begleitet sein. Unzulänglich­keiten werden als Anforderungen definiert und im Rahmen des Requirements Management priorisiert und bewertet. Im Bedarfsfall läuten die Anforderungen wiederum einen neuen Transformationszyklus ein.

Welches Framework auch immer in einem Unternehmen eingesetzt wird, um für den Ernstfall gewappnet zu sein: Die Integ­ration in ein zyklisches Vorgehensmodell zur Durchführung von Business-Transformation-Projekten stellt sicher, dass die BCM-Dokumentation nicht Gefahr läuft, sich als Insel­lösung im Elfenbeinturm von der tatsächlichen Ist-Architektur zu entfernen.

So wird garantiert, dass die Zusammenhänge zwischen den wesentlichen Gestaltungselementen jederzeit transparent sind und nachvollziehbar vorliegen, die Dokumentation kontinuierlich auf dem Laufenden gehalten werden kann, Verantwortlichkeiten für die Bewertung der Risiken klar definiert sind – und das Business Continuity Management kein zahnloser Tiger ist.