Als Business Continuity Management (BCM), auf Deutsch Kontinuitätsmanagement, bezeichnet man die Entwicklung von Strategien, Plänen, Handlungen, Tätigkeiten und Prozessen für einen Krisenfall. Diese Strategien beziehen sich auf solche Prozesse, deren Unterbrechung der Organisation ernsthafte Schäden oder gravierende (mitunter vernichtende) Verluste zufügen würde. Beispielsweise beschäftigt sich BCM mit Katastrophen wie Feuer, Überflutung, Einbruch, Vandalismus, Hackerangriffen und Personalausfall.

Ereignisse mit hohem Schadenspotenzial

Somit befasst sich Business Continuity Management mit Ereignissen, deren Eintrittswahrscheinlichkeit gering ist, die aber einen hohen Schaden verursachen würden, falls sie eintreten. Das Ausmaß der Schäden für das Unternehmen in einem solchen Fall wird demzufolge durch Business Continuity Management minimiert.

Zielsetzung der BCM-Maßnahmen

Ziel der BCM-Maßnahmen ist es, alle kritischen Geschäftsprozesse abzusichern. Damit wird die Produktivität erhalten, die Wettbewerbsfähigkeit des Unternehmens und damit der Fortbestand gesichert. Dabei können auch alternative Abläufe definiert werden, die im Krisenfall greifen sollen.

BCM-Maßnahmen zur Sicherung des IT-Betriebs

Ursprünglich aus der Betriebswirtschaftslehre stammend, wurde das Business Continuity Management im Laufe der Zeit auf die IT-Technologie ausgeweitet. Denn viele IT-Anwendungen zählen zu den kritischen Geschäftsaktivitäten. So können plötzliche Ausfälle von Rechnern, Stromausfälle, sonstige technische Störungen, Bedienungsfehler oder Attacken auf Computersysteme zu gravierenden Betriebsstörungen führen. Die Strategien, Pläne und Maßnahmen im Rahmen des Business Continuity Management sollen dazu beitragen, den Betrieb der IT-Infrastruktur im Krisenfall möglichst aufrechtzuerhalten oder problemlos zum Wiederanlauf zu bringen.

Ganzheitliches Konzept

Business Continuity Management ist damit ein ganzheitliches Konzept, das sich auf Prozesse, auf Organisation, IT und Personal bezieht. Die Maßnahmen können proaktiv, reaktiv oder strategisch angelegt sein. Das BCM überschneidet sich mit dem Risikomanagement. Ein wirksames Business Continuity Management System muss kontinuierlich an die Unternehmensstrategie angepasst werden.

Geschäftskritische Prozesse identifizieren

Zu den Schritten des Business Continuity Management gehören die Identifizierung der geschäftskritischen Prozesse und das Aufstellen von Notfallplänen. Für den Krisenfall sind Verantwortlichkeiten festzulegen, damit ein effizientes und abgestimmtes Handeln in der Krise möglich ist. Im Rahmen von Notfallübungen und Testläufen kann überprüft werden, ob die BCM-Maßnahmen wirksam sind und an welchen Stellen nachgebessert werden muss.

IT-Notfallplan

Im Rahmen des Business Continuity Management sind Maßnahmen zu beschreiben, die den IT-Betrieb in einem Krisenfall aufrecht erhalten oder den schnellen Wiederanlauf nach einem Ausfall sicherstellen sollen. Bei einem Datenverlust ist es oft nicht einfach, die Daten ad hoc wiederherzustellen. Daher gehört zum BCM ein IT-Notfallplan. Dies ist ein Handbuch, in dem Notfallmaßnahmen und Handlungsanweisungen festgehalten sind. Bei einem Störfall kann das Unternehmen mit Hilfe dieses Notfallplans schnell reagieren. Zu den typischen Inhalten gehören Anweisungen, Zuständigkeiten, Kommunikationsregeln und Aktionen zur schnellen Beschaffung von Ersatzteilen. Zur besseren Übersicht sind diese Inhalte oft in Form von Checklisten und Skizzen dargestellt.

Ransomware

Im Jahr 2017 hat sich die Ransomware WannaCry (WanaDecrypt0r 2.0) weltweit auf Computern und Servern verbreitet. Dies ist ein Krypto-Trojaner, der auf den infizierten Rechnern Daten (Dateien, Bilder, Programme) so verschlüsselt, dass diese unbrauchbar werden. Der Anwender wird genötigt, ein Lösegeld zu zahlen, um den Code für die Entschlüsselung zu erhalten. Es wird gedroht, dass anderenfalls die Daten gelöscht werden. Wie bereits bei vorherigen Ransomware-Attacken wurden die Nutzer aufgefordert, in der Währung Bitcoin zu zahlen.

Virenscanner

Schadsoftware sowie Angriffe von Hackern sind nicht leicht zu erkennen. Sie gefährden die Funktionsfähigkeit des Computers und den Schutz sensibler Daten. Daher werden Virenscanner als manuelle Scanner, als Echtzeitscanner oder Onlineprogramme eingesetzt. Damit können Trojaner und Viren wirksam aufgespürt werden. Diese ungebetenen Gäste werden dann unschädlich gemacht, indem sie in das Quarantäne-Verzeichnis verschoben oder gelöscht werden. Ein Antivirus-Programm bewirkt, dass Hacker ausgesperrt werden. Mittlerweile arbeiten Virenscanner mit hoher Geschwindigkeite und können den Rechner kontinuierlich schützen.

Business Continuity Management während der Corona-Krise

Durch die Corona-Krise erfahren wir im Moment, dass es zum BCM auch gehören kann, die Geschäftsräume von heute auf morgen zu schließen und die Mitarbeiter ins Home-Office zu schicken. Auf eine solche Situation muss ein Unternehmen sowohl technisch als auch organisatorisch vorbereitet sein.

Anforderungen im Home Office

Mitarbeiter im Home Office sollten über eine Internetanbindung mit mindestens 2 Mbit/s Bandbreite verfügen (bei größeren Datenmengen 6 Mbit/s). Die Beschäftigten sollten die Möglichkeit haben, sich in die zentrale Telefonanlage des Unternehmens einzuwählen. Auf dem Rechner muss eine Antiviren-Software installiert sein, damit dieser vor Viren und Trojanern geschützt ist. Business Continuity Management darf das Home Office nicht aussparen. Die Anforderungen an den Datenschutz und an die Datensicherheit müssen auch dort erfüllt werden. Papierdokumente und Sticks mit sensiblen Daten sind daher so aufzubewahren, dass sie vor dem Zugriff durch Dritte geschützt sind. Idealerweise ist das Home Office ein abschließbarer Raum. Der Rechner muss in jedem Fall durch ein Passwort abgesichert sein.

• Über den Autor
• Aktuelle Beiträge

Daniel Faust

Daniel Faust ist Redakteur im Content-Team der Biteno und betreut den Blog der Biteno GmbH.

• Was ist Business Continuity und die Bedeutung für Unternehmen
• Was ist Open-Source-Software?
• Wie funktioniert die Blockchain-Technologie?