Krisenmanagement, Wiederanlauf und strategische Neuausrichtung

Business Continuity Management

Unsere Welt und Wirtschaft wird nach den letzten Jahren nicht mehr dieselbe sein. Ein unsauber implementiertes Business Continuity Management, welches den heutigen Herausforderungen nicht gerecht wird, kann ein Risiko darstellen. Wir möchten gemeinsam mit Ihnen Maßnahmen entwickeln, mit denen Sie Ihr Unternehmen sicher(er) durch Krisen bringen. Wir möchten Ihre Risiken minimieren und den negativen Impact der Krise auf Ihre Organisation reduzieren.
Wir haben einen Leitfaden ausgearbeitet und bieten Ihnen als ersten Schritt einen Check zur Kontinuität der Betriebsfähigkeit an, der selbstverständlich auch Aspekte des Wiederanlaufs und der strategischen Neuausrichtung enthält.

Was ist Business Continuity Management?

Das Business Continuity Management ist eine Aufstellung von Verfahren und Prozessen innerhalb eines Unternehmens, die dazu dient, die Kritikalität der Geschäftsprozesse zu definieren und deren Kontinuität dauerhaft zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Die grundlegende Anforderung ist der Schutz der Wertschöpfung des Unternehmens.
Business Continuity Management hat das Ziel, die Funktionsfähigkeit unternehmenskritischer Geschäftsprozesse und Ressourcen sicherzustellen und diese im Notfall innerhalb einer definierten Wiederanlaufzeit wiederherzustellen.

Treiber - Vorfälle und Krisensituationen

Bombenentschärfung 2017

  • Größte Evakuierung der Nachkriegsgeschichte
  • 70.000 Menschen müssen in Frankfurt evakuiert werden
  • Räumung der naheliegenden Krankenhäuser

Stromausfälle

  • 24h Flughafen Hamburg, 2018
  • 3 Tage Münsterland, 2005
  • 120 Min. europaweiter Stromausfall, 2006

Cyberattacken

  • Cyberangriffe auf IT-Systeme
  • Schadsoftware (Malware)
  • Ransomware - Digitale Erpressung

Pandemie / Epidemie

  • Covid-19, 2020
  • EHEC, 2011
  • Schweinegrippe, 2009

Auswirkungen auf den Geschäftsbetrieb

  • Mögliche Beeinträchtigung der Sicherheit
  • Möglicher Bruch vertraglicher Vereinbarungen
  • Mögliche Verstöße gegen rechtliche und regulatorische Anforderungen
  • Mögliche Image- und Reputationsschäden
  • Möglicher Verlust von Wettbewerbsvorteilen

Die Vorteile eines Business Continuity Management Systems liegen auf der Hand

Ein BCM ...

... dient dem besseren Verständnis für Unternehmen und der eigenen Prozesse, die durch präventive und detektive Maßnahmen ermittelt werden können.
... legt die Priorisierung auf die kritischen Geschäftsprozesse fest, die in der Wertschöpfungskette des Unternehmens eine große Rolle spielen.
... minimiert Ausfallzeiten durch vorbereitete Maßnahmen, die im Falle eines Notfalls greifen. Beispielsweise durch Notfallpläne, Dokumentationen und szenario-basierten Übungen.
... schützt langfristig die Vermögenswerte des Unternehmens.
... schafft Wettbewerbsvorteile durch kontinuierliche Überwachung des BCMs und somit durch eine dauerhafte Leistungsverfügbarkeit.
... verbessert die IT-Sicherheit des Unternehmens (Aufdeckung von Schwachstellen).
... vermeidet eventuelle Haftungsrisiken im Falle von Katastrophen, wie z. B. durch Zahlungsverzug.

Gängige Standards und Umsetzungshilfen für die Etablierung eines Business Continuity Management Systems

ISO 22301

Die ISO 22301 (aktuellste Fassung 2. Edition von Oktober 2019) als internationale Norm legt Anforderungen an Business Continuity Management Systeme für Organisationen und für die Erstellung und den Umgang mit einem effektiven Business Continuity Management Systems (BCMS) fest.

Organisationen können gegenüber einem anerkannten Standardisierungsgremium eine ISO-Zertifizierung ihres Business Continuity Management Systems beantragen.

ISO 22301

Ein BCMS hebt folgende Aspekte hervor:

  • Verständnis für die Bedürfnisse der Organisation sowie der Notwendigkeit der Einführung von Leitlinien und Zielsetzungen für das Business Continuity Management.
  • Das Einführen und Betreiben von Kontrollmechanismen und Maßnahmen für das Management der Gesamtfähigkeit einer Organisation, mit Zwischenfällen und Betriebsunterbrechung umzugehen.
  • Das Überwachen und Überprüfen der Leistung und der Effektivität des BCMS.
  • Die ständige Verbesserung auf Grundlage objektiver Messungen.

Änderungen in der Version 2019:

  • Anforderungen an Management Systeme der ISO wurden angepasst.
  • Anforderungen an ein BCMS sind nun (fast) ausschließlich im Kapitel 8 „Operations“ enthalten.
  • Das Kapitel 8 „Operations“ wurde vereinfacht und strukturierter (jedoch gleichzeitig ausgedehnter).
  • Die Terminologie in Kapitel 3 wurde angepasst und verbessert (Verweis auf ISO 22300).
  • Die Version 2019 ist konziser, gestraffter und fokussierter auf den Bereich „Operations“.

BSI-Standard 200-4

Der aktualisierte BSI-Standard 200-4 bietet einen erprobten Rahmen, um ein Business Continuity Management System (BCMS) aufzubauen. Der Standard richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS.

BSI-Standard 200-4

200-4
Der aktualisierte BSI-Standard 200-4 bietet einen erprobten Rahmen, um ein Business Continuity Management System (BCMS) aufzubauen. Der Standard richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS.

Er führt die 200-x Reihe der BSI-Standards fort und richtet sich an alle relevanten Adressaten (BCM-Beauftragte, Krisenstabsmitglieder, Sicherheitsverantwortliche und -experten etc.). Der modernisierte BSI-Standard 200-4 bietet verschiedene Hilfsmittel und Dokumentvorlagen an, die darin unterstützen sollen, die beschriebenen Prozesse und Methoden im BCM effektiv umzusetzen. Die Hilfsmittel richten sich primär an die Institutionen, die ein BCMS nach BSI Standard 200-4 aufbauen oder aufgebaut haben, können jedoch teilweise losgelöst vom BSI-Standard 200-4 eingesetzt werden. Der neue Standard erfüllt alle Anforderungen des ISO 22301.

Good Practice Guidelines

Die BCI Good Practice Guidelines sind seit ihrer ersten Veröffentlichung im Jahr 2001 zum führenden globalen Leitfaden für Business Continuity Fachleute geworden. Der darin beschriebene Business Continuity Management Lifecycle bietet einen Rahmen zur Strukturierung der Business Continuity Methode. Die GPG beschreiben nicht nur, was Fachleute tun sollten, sondern enthalten auch Informationen zum Warum und Wie der Durchführung.

Good Practice Guidelines

Die BCI GPG basieren auf den ISO-Anforderungen, indem sie definieren, was Einzelpersonen im Zusammenhang mit Business Continuity Managementmethoden wissen müssen. Auch die wichtigsten Phasen bei der Entwicklung, der Implementierung und beim Management eines erfolgreichen Business Continuity Programms sind beschrieben.

Unsere Vorgehensweise für die Etablierung eines BCMS

Mit unserem einzigartigen Beratungskonzept bieten wir Ihnen maßgeschneiderte Lösungen an. Das systematische Vorgehen zur Etablierung eines funktionsfähigen Managementsystems basiert auf der ISO-22301:

Gemeinsam mit Ihnen werden zunächst alle Anforderungen an das BCMS analysiert, um es an den entsprechenden Bedürfnissen und Anforderungen relevanter Interessengruppen Ihrer Organisation auszurichten. Damit die verschiedenen Zielgruppen innerhalb der Organisation zum richtigen Zeitpunkt auf relevante Informationen zugreifen können, ist es wichtig, die Dokumentation genauer festzulegen. Daher werden in der Leitlinie von der Institutionsleitung die Selbstverpflichtung und die BCMS-Rahmenbedingungen (z. B. Ressourcenausstattung, Verantwortlichkeiten etc.) definiert.

Im Anschluss werden alle Kriterien zum Aufbau und zu der Befähigung einer BAO (Besondere Aufbauorganisation) implementiert, welche auch befähigt wird, in Not- und Krisenfällen zu agieren. Ziel ist es, auf Schadensprozesse und Schadensvorfälle zu reagieren, ungehindert dessen, ob bereits Notfallpläne für die Fortführung der Geschäftsprozesse vorhanden sind. Alle weiteren Prozessschritte dienen zur Wahrung bzw. Sicherung der kritischen Geschäftsprozesse.

Darüber hinaus werden mithilfe von Übungen und Tests die Praktikabilität der zuvor erstellten Notfallpläne und reaktiven Maßnahmen getestet. Außerdem werden in der Leistungsüberprüfung die festgelegten Anforderungen und Ziele geprüft.
Im Anschluss werden die identifizierten Korrektur- und Verbesserungsmöglichkeiten in sogenannte Maßnahmen formuliert. Diese werden umgesetzt und kontinuierlich überwacht.

Wir begleiten Sie dauerhaft und zuverlässig sowohl während der Implementierungsphase als auch in Krisensituationen, indem wir durch ein integratives Business Continuity Management die Funktionalität des Betriebs sicherstellen und eine agile und schnelle Reaktionsfähigkeit auf sich verändernde Herausforderungen und Situationen herstellen.

Unsere Business Continuity Management- und Krisenmanagement-Schwerpunkte sowie Beratungsleistungen

Reifegrad-Analyse BCM (GAP-Analyse)

  • Erhebung gemäß BSI 200-4 / ISO 22301 GAP Analyse
  • Dokumentensichtung
  • Durchführung Experten-Interviews
  • Konsolidierung & Ergebnisbericht

Business Impact Analyse

  • Voranalyse
  • Konzeption der Methodik
  • Schadensbewertung
  • Bestimmung RTO & Wiederanlaufparameter
  • Identifizierung der Vererbung von Abhängigkeiten
  • Erstellung BIA Bericht

Soll-Ist-Vergleich

  • Erhebung gemäß BSI 200-4 auf Basis der BIA
  • Identifizierung der Ressourcen-
    verantwortlichen
  • Abgleich der RTA (IST-Zustand) mit RTO (SOLL-Zustand)

BCM-Risikoanalyse

  • Konzeption der Methodik
  • Festlegung der Rahmenparameter
  • Definition eines Gefährdungskatalogs
  • Risikobewertung
  • Ableitung der Notfallszenarien

BC-Strategien & -Lösungen

  • Ermittlung möglicher Handlungsoptionen (HO) im Notfall
  • Bestimmung der Ressourcen pro HO
  • Durchführung Kosten-Nutzen-Analyse pro HO
  • Erstellung Maßnahmenpläne zur Prävention und Risikominderung

Outsourcing & Lieferketten BCM

  • Klassifizierung kritischer Dienstleister
  • Erstellung Anforderungskatalog an Dienstleister-BCM
  • Vertragsprüfung & BCM-Audit auf Dienstleisterebene

Migration BSI 100-4 auf 200-4

  • Analyse des Ist-Standes / Dokumentensichtung
  • Konzeption des 200-4 Soll-Zustands und Anforderungsfeststellung (Dokumentenlandkarte, Prozesse, etc.)
  • Ableitung/Planung der umzusetzenden Maßnahmen
  • Umsetzung der Maßnahmen

Notfallbewältigung/-planung

  • Erstellung der Geschäftsfortführungspläne
  • Definition Wiederanlauf- & Wiederherstellungspläne
  • Dokumentation des Notfallhandbuchs

Aufbau & Befähigung BAO

  • Festlegung Rahmenbedingungen für Alarmierung inkl. Meldewege
  • Aufbau der BAO (Rollen und Verantwortlichkeiten)
  • Regeln zur Notfallkommunikation
  • Schulung & Sensibilisierung

Üben & Testen

  • Befähigung der mitwirkenden Personen auf Rollen durch Übungsdurchführungen (Alarmierungsübung, Stabsübung, etc.)
  • Konzeption des Übungshandbuchs und der mitgeltenden Dokumente
  • Unterstützung bei der Jahresübungsplanung

Zivile Alarmplanung

  • Vorsorge zur Aufrechterhaltung von Regierungsfunktionen
  • Erarbeitung Alarmkalender
  • Unterstützung bei Abstimmungsbedarfen zwischen Behörden
  • Identifikation kritische Kernfunktionen und Schlüsselpersonal
  • Durchführung Alarmierungsübung

Audit Unterstützung

  • Begleitung, Konzeption und Entwicklung der Vorbereitung von Audits
  • Anforderungscheck gegenüber ISO 22301 Anforderungskatalog
  • Katalogisierung der Anforderungen (Definition des Soll-Zustandes)
  • Erstellung Auditcheckliste und -programm

Krisenmanagement

  • Absicherung gegen den Ausfall von Ressourcen und Infrastrukturen
  • Entwicklung eines Radarsystems zur Analyse sowie Monitoring von Angriffen
  • Bildung einer internen und externen Kommunikationsstrategie für Notfälle
  • Definition und Alarmierung der besonderen Aufbauorganisation

Ihre Ansprechpartner zum Thema Business Continuity

Schreiben Sie uns gerne oder rufen Sie uns an!

Sonja-Maria Klauß, Cassini Consulting
Sonja-Maria Klauß

Management Consultant

sonja-maria.klauss@cassini.de
+49 89 - 89674819