Business Impact Analysis: Was die Risiko-Analyse vom BIA-Prozess unterscheidet

Um Gefahren für den reibungslosen Ablauf der Geschäftsprozesse auszuschließen, müssen die Verantwortlichen sorgsam sämtliche Faktoren abschätzen.

Anwendern stellt sich oft die Frage, inwieweit sich die Durchführung eines BIA-Prozesses von einer Risiko-Analyse unterscheidet. Hier muss sehr genau differenziert werden.

Die Business Impact Analysis (BIA) und eine Risiko-Analyse sind gewöhnlich unterschiedliche Geschäftsprozesse. Sie müssen aber immer parallel und in Abstimmung miteinander ausgeführt werden, wenn man zuverlässige Resultate erreichen will. Der Grund dafür liegt auf der Hand: Die Auswirkungen von Beeinträchtigungen auf Unternehmensaktivitäten durch Ausfälle der IT können nur dann vollständig bewertet werden, wenn die Risikobewertung mit berücksichtigt wird.

Man kann sich den Business Impact als eine Konstante vorstellen: Hat der Ausfall eines geschäftskritischen Systems eine hohe Auswirkung (finanziell oder sonst wie) auf die Geschäftsprozesse, wird diese Wirkung hoch bleiben, egal was man dagegen tut. Die Katastrophe ist eingetreten, man kann sie nicht mehr ändern – auch ihre Auswirkungen nicht. Das einzige Wirkungsvolle, was man tun kann, ist den Ausfall zu verhindern.

Risiko-Analyse

Beim Prozess der Risiko-Analyse geht es um die Bewertung von Bedrohungen und die Verwundbarkeit der Infrastruktur sowie der Wahrscheinlichkeit ihres Eintretens. Ein Beispiel: Eine zukünftige Bedrohung der Infrastruktur kann dann bestehen, wenn sich ein Unternehmen in einer Umgebung mit unzuverlässiger Stromversorgung befindet. Im Durchschnitt müssen Sie in Deutschland pro Jahr mit einem Stromausfall für rund 15 Minuten rechnen. In Österreich sind es beispielsweise rund 40 Minuten. Die Verwundbarkeit besteht dann konkret, wenn kein Stromgenerator eingesetzt wird oder sonstige Vorkehrungen gegen den Ausfall bestehen – es gibt also keine ununterbrochene Stromversorgung.

Die daraus entstehende Auswirkung auf den Geschäftsprozess resultiert aus dem wahrscheinlichen Ausfall eines IT-Systems, so wie er während der Business Impact Analysis identifiziert wurde. Das Risiko kann in diesem Zusammenhang ebenfalls als Konstante begriffen werden – die Bedrohung eines längeren Stromausfalls und ihr wahrscheinliches Eintreten während des Jahresverlaufs bleiben bestehen. Die einzige Variable ist die Verwundbarkeit, die durch den Einsatz eines Generators geändert werden kann. Bedrohung und Wahrscheinlichkeit haben sich allein dadurch nicht geändert, und der Ausfall der kritischen Komponente wird auf jeden Fall die gleiche Auswirkung haben wie immer – aber das Risiko wurde abgemildert durch die Beseitigung der Verwundbarkeit.

Erfahren Sie mehr über IT-Sicherheits-Management