Definition

Business-Continuity-Plan (BCP)

Ein Plan zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity Plan, BCP) ist ein Dokument, das die wichtigen Informationen enthält, die ein Unternehmen benötigt, um den Betrieb während eines ungeplanten Ereignisses aufrechtzuerhalten.

Der BCP legt die wesentlichen Funktionen des Unternehmens fest, gibt an, welche Systeme und Prozesse aufrechterhalten werden müssen, und beschreibt, wie diese aufrechterhalten werden sollen. Sie sollte alle möglichen Geschäftsunterbrechungen berücksichtigen.

Ein BCP deckt Risiken wie Cyberangriffe, Pandemien, Naturkatastrophen und menschliches Versagen ab. Angesichts der Vielzahl möglicher Risiken ist ein Plan zur Aufrechterhaltung des Geschäftsbetriebs für ein Unternehmen unerlässlich, um seine Konstitution und seinen Ruf zu wahren. Ein angemessener BCP verringert das Risiko eines kostspieligen Stromausfalls oder eines IT-Ausfalls.

Häufig wird der Plan von IT-Administratoren erstellt. Aber auch die Führungskräfte sind an diesem Prozess beteiligt, denn sie kennen das Unternehmen und haben den Überblick. Sie sorgen auch dafür, dass der BCP regelmäßig aktualisiert wird.

Die Bedeutung der Geschäftskontinuitätsplanung

Die Planung der Geschäftskontinuität ist ein proaktiver Geschäftsprozess, der es einem Unternehmen ermöglicht, potenzielle Bedrohungen, Schwachstellen und Schwachpunkte seiner Organisation in Krisenzeiten zu erkennen. Die Erstellung eines Business-Continuity-Programms stellt sicher, dass die Unternehmensleitung schnell und effizient auf Betriebsunterbrechungen reagieren kann.

Ein BCP ermöglicht es der Firma, seine Kunden während einer Krise weiterhin zu bedienen und die Wahrscheinlichkeit zu minimieren, dass Kunden zur Konkurrenz abwandern. Diese Pläne verringern die Ausfallzeiten des Unternehmens und beschreiben die Schritte, die vor, während und nach einem Notfall unternommen werden müssen, um die finanzielle Leistungsfähigkeit des Unternehmens zu erhalten.

Elemente eines Business-Continuity-Plans

Laut dem Business-Continuity-Berater Paul Kirvan sollte ein BCP die folgenden Elemente enthalten:

  • Einstiegsdaten zu Beginn des Plans, einschließlich wichtiger Kontaktinformationen
  • einen Revisionsmanagementprozess, der Verfahren für das Änderungsmanagement (Change Management) beschreibt
  • den Zweck und den Umfang
  • wie der Plan zu verwenden ist, einschließlich Richtlinien, wann der Plan initiiert wird
  • Informationen zu Richtlinien
  • Notfallmaßnahmen und Managementverfahren
  • Schritt-für-Schritt-Verfahren
  • Checklisten und Flussdiagramme
  • ein Glossar der im Plan verwendeten Begriffe
  • einen Zeitplan für die Überprüfung, Tests und Aktualisierung des Plans

In dem Buch Business Continuity and Disaster Recovery Planning for IT Professionals empfiehlt Susan Snedaker, sich folgende Fragen zu stellen:

  • Wie würde die Organisation funktionieren, wenn Desktops, Laptops, Server, E-Mail und Internetzugang nicht mehr verfügbar wären?
  • Welche einzelnen Fehlerquellen gibt es?
  • Welche Risikokontrollen und Risikomanagementsysteme sind vorhanden?
  • Welche kritischen ausgelagerten Beziehungen und Abhängigkeiten bestehen?
  • Welche Umgehungsmöglichkeiten gibt es während einer Störung für wichtige Geschäftsprozesse und interne Funktionen, wie zum Beispiel die Personalabteilung?
  • Wie viele Mitarbeiter sind mindestens erforderlich, um das Rechenzentrum und andere Abläufe zu betreiben, und welche Funktionen müssten sie ausführen?
  • Welches sind die wichtigsten Fähigkeiten, Kenntnisse und Erfahrungen, die für die Wiederherstellung benötigt werden?
  • Welche kritischen Sicherheits- oder Betriebskontrollen sind erforderlich, wenn die Computersysteme ausfallen?

Schritte der Betriebskontinuitätsplanung

Der Lebenszyklus der Betriebskontinuitätsplanung umfasst diese fünf Schritte:

Ein Business-Continuity-Plan wird in fünf grundlegenden Schritten erstellt: von der Initialisierung bis hin zur Wartung und Aktualisierung.
Ein Business-Continuity-Plan wird in fünf grundlegenden Schritten erstellt: von der Initialisierung bis hin zur Wartung und Aktualisierung.

BCP-Implementierung

Sobald das Unternehmen mit dem Planungsprozess begonnen hat, leitet es die BIA- und RA-Prozesse (Business Impact Analysis und Risk Assessment) ein, um wichtige Daten zu sammeln. In der BIA werden die kritischen Funktionen definiert, die während einer Krise aufrechterhalten werden müssen, sowie die zur Aufrechterhaltung dieser Vorgänge erforderlichen Ressourcen. In der RA werden die potenziellen internen und externen Risiken und Bedrohungen, die Wahrscheinlichkeit ihres Eintretens und der mögliche Schaden, den sie verursachen könnten, detailliert beschrieben.

Im nächsten Schritt wird festgelegt, wie mit den in der BIA und RA beschriebenen Risiken und Bedrohungen am besten umzugehen ist und wie der Schaden durch ein Ereignis begrenzt werden kann. Ein erfolgreicher Business-Continuity-Plan definiert Schritt-für-Schritt-Verfahren für die Reaktion.

Der BCP sollte nicht übermäßig komplex sein und muss nicht Hunderte von Seiten umfassen; er sollte genau die richtige Menge an Informationen enthalten, um das Unternehmen am Laufen zu halten. Kleine Unternehmen können einen kurzen Plan (zum Beispiel auf nur einer Seite) mit allen notwendigen Details verwenden. Das kann hilfreicher sein als ein langer Plan, der schwer zu handhaben oder zu verstehen ist. Diese Details sollten Folgendes umfassen:

  • Mindestressourcen, die für die Geschäftskontinuität benötigt werden
  • Orte, an denen dies stattfinden kann
  • für die Durchführung erforderliches Personal
  • mögliche Kosten

Wichtige Implementierungsschritte

Die vier Schritte bei der Implementierung eines BCP sind die folgenden:

  1. Entscheiden Sie, wer den Plan beaufsichtigen soll. Im Idealfall besteht ein BCP-Ausschuss aus Geschäfts-, Sicherheits- und IT-Leitern.
  2. Führen Sie die Business Impact Analysis durch.
  3. Beantworten Sie Fragen zur Geschäftskontinuität, wie zum Beispiel die folgenden:
  • Wer wird von einer Geschäftsunterbrechung betroffen sein?
  • Wer hat die Kontaktinformationen der wichtigsten Kunden und Klienten in Papierform?
  • Wie und wann werden Kunden, Mitarbeiter und Management benachrichtigt?
  • Welche alternativen Kommunikationsmittel gibt es, wenn das Telefon ausfällt?
  • Welche Mitarbeiter werden für die Wiederherstellung kritischer Geschäftsfunktionen benötigt, und wie werden sie erreicht oder umgesiedelt?
  • Auf welche kritischen Produkte und Dienstleistungen sollte sich das Unternehmen zuerst konzentrieren, um sie wiederherzustellen?
  • Welche Probleme müssen innerhalb der ersten 24 bis 48 Stunden angegangen werden?
  • Verfügen jedes Team und jede Abteilung über einen eigenen BCP? Wer ist für die einzelnen Bereiche zuständig?
  • Wie sieht der Notfall-Nachfolgeplan für leitende Mitarbeiter, einschließlich des CEO, aus?
  • Welche Mitarbeiter werden im Notfall Aufgaben übernehmen?
  • Wo finden die Krisensitzungen außerhalb des Unternehmens statt?
  • Wer wird mit den örtlichen Notfallhelfern, wie Feuerwehr und Polizei, zusammenarbeiten?
  • Wer sind die wichtigsten Lieferanten, einschließlich der Anbieter von Datensicherungen?
  1. Maßnahmen. Erstellen Sie einen BCP, der spezifische Maßnahmen und zugewiesene Rollen für jede Phase des Notfalls enthält, einschließlich der folgenden:
  • Erste Reaktion. Hier wird festgelegt, wie das Unternehmen in den ersten Stunden auf die Betriebsunterbrechung reagieren wird. Dies ist der Zeitraum, in dem die Teammitglieder kontaktiert werden und die BCP aktiviert wird.
  • In dieser Phase werden Ausweichquartiere aktiviert und Richtlinien für die Arbeit zu Hause eingeführt.
  • Sobald das Personal und die Ausrüstung verlegt worden sind, beginnt die Bewertung des Schadens und die Überwachung der Wiederherstellung des Betriebs. Die Wiederherstellungsstrategie muss das Wiederherstellungszeitziel (RTO) des Unternehmens berücksichtigen, das heißt die Zeit, die IT-Systeme nach einem Ausfall maximal ausfallen können, sowie das Wiederherstellungspunktziel (RPO), das heißt den maximalen Datenverlust, den das Unternehmen tolerieren kann.
  • Das Personal kehrt an den ursprünglichen Arbeitsplatz oder einen alternativen Standort zurück. Das Unternehmen führt eine Überprüfung der Infrastruktur durch, dokumentiert den Vorfall und prüft die gewonnenen Erkenntnisse.

BCP-Tests

Die Technologie, die Prozesse, das Personal und die Einrichtungen eines Unternehmens ändern sich ständig. Daher ist das regelmäßige Testen, Überprüfen und Aktualisieren eines BCP von entscheidender Bedeutung. Das Testen des Plans sollte durch Tabletop-Übungen, Besprechungen, praktische Krisenmanagementkommunikation und Notfallinszenierungen erfolgen, um die Tragfähigkeit des Plans zu testen und zu sehen, wie Mitarbeiter und Führungskräfte unter Stress reagieren.

Durch regelmäßige Tests und Pflege wird sichergestellt, dass der BCP aktuell und korrekt ist. Ein einfacher Test eines Geschäftskontinuitätsplans kann darin bestehen, ihn durchzusprechen. Bei einem komplexen Test muss vollständig durchgespielt werden, was im Falle einer Betriebsunterbrechung geschieht.

Der Test kann im Voraus geplant oder spontan durchgeführt werden, um ein ungeplantes Ereignis besser zu simulieren. Treten während des Tests Probleme auf, sollte der Plan in der Wartungsphase entsprechend korrigiert werden. Die Wartung umfasst auch eine Überprüfung der in der BIA beschriebenen kritischen Funktionen und der in der RA beschriebenen Risiken sowie gegebenenfalls eine Aktualisierung des Plans.

Ein Business-Continuity-Plan muss kontinuierlich verbessert werden; Aktualisierungen sollten nicht auf eine Krise warten. Die mit dem Plan befassten Mitarbeiter müssen regelmäßig auf den neuesten Stand gebracht und in Sachen Betriebskontinuität geschult werden. Ein interner oder externer Business-Continuity-Plan-Audit sollte genutzt werden, um die Wirksamkeit des BCP zu bewerten und verbesserungswürdige Bereiche aufzuzeigen.

Auch BCPs werden Audits unterzogen. Fünf Kriterien sind hier unbedingt zu beachten.
Auch BCPs werden Audits unterzogen. Fünf Kriterien sind hier unbedingt zu beachten.

Software und Tools für die Geschäftskontinuitätsplanung

Es gibt eine Reihe von Hilfsmitteln, die Unternehmen durch den Prozess der Geschäftskontinuitätsplanung führen, von Beratern über Tools bis hin zu vollständiger Software. Welchen Ansatz ein Unternehmen wählen sollte, hängt von der Komplexität der Business-Continuity-Planungsaufgabe, dem verfügbaren Zeit- und Personalaufwand und dem Budget ab. Vor dem Kauf ist es ratsam, sowohl Produkte als auch Anbieter zu recherchieren, Demos zu bewerten und mit anderen Benutzern zu sprechen.

Für kompliziertere Funktionen verwendet Business-Continuity-Planungssoftware Datenbanken und Module für spezifische Übungen. Anbieter von Business-Continuity-Software sind Castellan, das aus der Fusion von Assurance, Avalution und ClearView im Jahr 2020 hervorgegangen ist, CLDigital, ehemals Continuity Logic, Fusion Risk Management, Quantivate und Sungard Availability Services (Stand Mai 2022).

Kostenloser Download der BCP-Vorlage

Die Rolle des Business-Continuity-Experten hat sich verändert und entwickelt sich weiter. Da von IT-Administratoren zunehmend verlangt wird, mit weniger Mitteln mehr zu erreichen, ist es ratsam, dass Business-Continuity-Fachleute sich in den Bereichen Technologie, Sicherheit, Risikomanagement, Notfallmanagement und strategische Planung gut auskennen.

Bei der Planung der Geschäftskontinuität müssen auch neue und wachsende Technologien wie die Cloud und die Virtualisierung sowie neue Bedrohungen wie Cyberangriffe (beispielsweise Ransomware) berücksichtigt werden.

Eine Ressource, die all diese Elemente vereint, ist unsere kostenlose, herunterladbare Vorlage für einen Geschäftskontinuitätsplan (in Englisch). Sie bietet Anleitungen und Einblicke für die Erstellung eines erfolgreichen BCP.

Standards für die Geschäftskontinuitätsplanung

Standards für die Geschäftskontinuitätsplanung bieten einen Ausgangspunkt.

Die Norm der Internationalen Organisation für Normung (ISO) 22301:2019 gilt als weltweiter Standard für Business Continuity Management. Die ISO 22301 wird häufig durch andere Normen ergänzt, zum Beispiel durch die folgenden:

ISO 22313 Leitfaden für die Anwendung von ISO 22301

ISO 22317 Leitlinien für die Analyse der Auswirkungen auf den Geschäftsbetrieb

ISO 22318 Kontinuität von Lieferketten

ISO 22398 Übungsleitfaden

ISO 22399 Bereitschaft für Zwischenfälle und Betriebskontinuitätsmanagement

Notfallmanagement und Disaster-Recovery-Pläne

Ein Notfallmanagementplan ist ein Dokument, das dazu beiträgt, den Schaden eines gefährlichen Ereignisses zu mindern. Eine ordnungsgemäße Business-Continuity-Planung umfasst das Notfallmanagement als wichtigen Bestandteil. Das ernannte Notfallmanagementteam übernimmt bei einer Betriebsunterbrechung die Führung.

Ein Notfallmanagementplan sollte, wie ein BCP, regelmäßig überprüft, getestet und aktualisiert werden. Er sollte relativ einfach sein und die notwendigen Schritte zur Bewältigung eines Ereignisses enthalten. Der Plan sollte außerdem flexibel sein, da sich die Situationen oft ändern. Die an einem Katastrophenfall beteiligten Teams sollten während des Vorfalls häufig miteinander kommunizieren.

Disaster-Recovery-Pläne konzentrieren sich darauf, Daten nach einer Katastrophe wieder zugänglich zu machen. Die Geschäftskontinuität hat einen breiteren Fokus, der alles Notwendige bereithält, damit ein Unternehmen seinen Betrieb während einer Unterbrechung fortsetzen kann.
Disaster-Recovery-Pläne konzentrieren sich darauf, Daten nach einer Katastrophe wieder zugänglich zu machen. Die Geschäftskontinuität hat einen breiteren Fokus, der alles Notwendige bereithält, damit ein Unternehmen seinen Betrieb während einer Unterbrechung fortsetzen kann.

Disaster Recovery (DR) und Business-Continuity-Planung werden oft miteinander in Verbindung gebracht, aber sie sind unterschiedlich. Ein DR-Plan ist reaktiv, da er detailliert beschreibt, wie sich ein Unternehmen nach einer Betriebsunterbrechung erholt. Ein Geschäftskontinuitätsplan ist ein proaktiver Ansatz, der beschreibt, wie ein Unternehmen den Geschäftsbetrieb während eines Notfalls aufrechterhalten kann.

Diese Definition wurde zuletzt im Juli 2022 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management