Business Continuity (Geschäftskontinuität)
Business Continuity, zu Deutsch Geschäftskontinuität, beschreibt die Fähigkeit eines Unternehmens, wesentliche Funktionen während und nach einer Katastrophe beziehungsweise einem Störfall aufrechtzuerhalten. Die Planung der Geschäftskontinuität legt Risikomanagementprozesse und -verfahren fest, die darauf abzielen, Unterbrechungen der geschäftskritischen Dienste zu verhindern und die volle Funktionsfähigkeit der Organisation so schnell und reibungslos wie möglich wiederherzustellen.
Die grundlegendste Anforderung an die Business Continuity ist die Aufrechterhaltung der wesentlichen Funktionen während einer Katastrophe und die Wiederherstellung mit so wenig Ausfallzeiten wie möglich. Ein Business-Continuity-Plan (BCP) berücksichtigt verschiedene unvorhersehbare Ereignisse wie Naturkatastrophen, Brände, Krankheitsausbrüche, Cyberangriffe und andere externe Bedrohungen.
Geschäftskontinuität ist für Organisationen jeder Größe wichtig, aber nur für die größten Unternehmen ist es möglicherweise praktisch, alle Funktionen für die Dauer einer Katastrophe aufrechtzuerhalten. Nach Ansicht vieler Experten besteht der erste Schritt bei der Planung der Geschäftskontinuität darin, zu entscheiden, welche Funktionen wesentlich sind, und das verfügbare Budget entsprechend zuzuweisen. Sobald die wichtigsten Komponenten identifiziert sind, können die Administratoren Failover-Mechanismen einrichten.
Technologien wie die Spiegelung von Festplatten ermöglichen es einem Unternehmen, aktuelle Kopien von Daten an geografisch verstreuten Standorten und nicht nur im primären Rechenzentrum zu speichern. Auf diese Weise kann der Datenzugriff ohne Unterbrechung fortgesetzt werden, wenn ein Standort ausfällt, und es besteht Schutz vor Datenverlust.
Warum ist Geschäftskontinuität wichtig?
In einer Zeit, in der Ausfallzeiten inakzeptabel sind, ist Geschäftskontinuität von entscheidender Bedeutung. Ausfallzeiten können aus verschiedenen Quellen resultieren. Einige Bedrohungen, wie Cyberangriffe und extreme Wetterbedingungen, scheinen sich zu verschärfen. Es ist wichtig, einen Business Continuity Plan zu haben, der alle potenziellen Unterbrechungen des Betriebs berücksichtigt.
Der Plan sollte das Unternehmen in die Lage versetzen, den Betrieb während einer Krise zumindest auf einem minimalen Niveau aufrechtzuerhalten. BC hilft dem Unternehmen, seine Resilienz aufrechtzuerhalten, indem es schnell auf eine Unterbrechung reagiert. Eine starke Geschäftskontinuität spart Geld, Zeit und schützt vor Imageverlust des Unternehmens. Ein längerer Ausfall birgt das Risiko finanzieller, persönlicher und rufschädigender Verluste.
Die Geschäftskontinuität erfordert, dass ein Unternehmen sich selbst betrachtet, potenzielle Schwachstellen analysiert und wichtige Informationen wie Kontaktlisten und technische Diagramme von Systemen sammelt, die auch außerhalb von Katastrophensituationen nützlich sein können. Durch die Planung der Geschäftskontinuität kann eine Organisation ihre Kommunikation, Technologie und Widerstandsfähigkeit verbessern.
Die Business Continuity kann sogar aus rechtlichen oder Compliance-Gründen erforderlich sein. Vor allem in Zeiten zunehmender Regulierung ist es wichtig zu wissen, welche Vorschriften ein bestimmtes Unternehmen betreffen.
Was umfasst die Geschäftskontinuität?
Business Continuity ist ein proaktiver Weg, um sicherzustellen, dass geschäftskritische Vorgänge während einer Unterbrechung weiterlaufen. Ein umfassender Plan enthält Kontaktinformationen, Schritte für das Vorgehen bei verschiedenen Vorfällen und einen Leitfaden für die Verwendung des Dokuments.
Die Geschäftskontinuität enthält klare Richtlinien für die Maßnahmen, die ein Unternehmen zur Aufrechterhaltung des Betriebs ergreifen muss. Wenn es an der Zeit ist, zu reagieren, sollte es keine Fragen darüber geben, wie die Geschäftsprozesse weitergeführt werden sollen. Das Unternehmen, die Kunden und die Mitarbeiter sind alle potenziell gefährdet.
Zu einer angemessenen Business Continuity gehören verschiedene Stufen der Reaktion. Nicht alles ist unternehmenskritisch, daher ist es wichtig, festzulegen, was unbedingt weiterlaufen muss und was zu einem späteren Zeitpunkt wieder in Betrieb genommen werden kann. Es ist wichtig, die Recovery Times Objective (RTO) und Recovery Point Objectives (RPO) ehrlich zu formulieren.
Der Prozess umfasst die gesamte Organisation, von der Geschäftsleitung bis hinunter zum letzten Mitarbeiter. Auch wenn die IT-Abteilung die Geschäftskontinuität vorantreibt, ist es wichtig, die Zustimmung der Geschäftsleitung einzuholen und wichtige Informationen an das gesamte Unternehmen weiterzugeben. Ein weiterer wichtiger Bereich ist die Zusammenarbeit mit dem Sicherheitsteam, obwohl die beiden Gruppen oft getrennt arbeiten, kann eine Organisation viel gewinnen, wenn sie Informationen zwischen diesen Abteilungen austauscht. Zumindest sollte jeder die grundlegenden Schritte kennen, wie das Unternehmen zu reagieren gedenkt.
Drei Schlüsselkomponenten eines Business-Continuity-Plans
Ein Plan zur Aufrechterhaltung des Geschäftsbetriebs besteht aus drei Schlüsselelementen: Resilienz, Recovery und Notfallplanung.
Eine Organisation kann ihre Widerstandsfähigkeit (Resilienz) erhöhen, indem sie kritische Funktionen und Infrastrukturen unter Berücksichtigung verschiedener Katastrophenmöglichkeiten konzipiert; dazu können Personalrotationen, Datenredundanz und die Aufrechterhaltung von Überkapazitäten gehören. Die Gewährleistung der Widerstandsfähigkeit gegenüber verschiedenen Szenarien kann Organisationen auch dabei helfen, wichtige Dienste am eigenen Standort und außerhalb des Standorts ohne Unterbrechung aufrechtzuerhalten.
Eine schnelle Wiederherstellung der Geschäftsfunktionen nach einer Katastrophe ist von entscheidender Bedeutung. Die Festlegung von RTOs für verschiedene Systeme, Netzwerke oder Anwendungen kann helfen, Prioritäten zu setzen, welche Elemente zuerst wiederhergestellt werden müssen. Andere Wiederherstellungsstrategien umfassen Ressourceninventare, Vereinbarungen mit Dritten zur Übernahme von Unternehmensaktivitäten und die Nutzung umgewandelter Räume für geschäftskritische Funktionen.
Ein Notfallplan verfügt über Verfahren für eine Vielzahl externer Szenarien und kann eine Befehlskette enthalten, die die Zuständigkeiten innerhalb des Unternehmens verteilt. Diese Zuständigkeiten können den Austausch von Hardware, die Anmietung von Notfall-Büroräumen, die Schadensbeurteilung und die Beauftragung von Drittanbietern zur Unterstützung umfassen.
Normen zur Geschäftskontinuität
In Abbildung 1 sind die Normen der Reihe ISO 223XX aufgeführt, die sich auf die Geschäftskontinuität und damit verbundene Aktivitäten beziehen. Die Normen ISO 22398 und 22399 sind ebenfalls einen Blick wert.
Business Continuity vs. Disaster Recovery
Wie ein Business-Continuity-Plan legt auch die Disaster-Recovery-Planung (DRP) die von einer Organisation geplanten Strategien für die Zeit nach einem Ausfall fest. Ein Disaster-Recovery-Plan ist jedoch nur ein Teilbereich der Business-Continuity-Planung.
Disaster-Recovery-Pläne sind hauptsächlich auf Daten ausgerichtet und konzentrieren sich darauf, Daten so zu speichern, dass sie nach einer Katastrophe leichter zugänglich sind. Die Geschäftskontinuität berücksichtigt dies, konzentriert sich aber auch auf das Risikomanagement, die Überwachung und die Planung, die ein Unternehmen benötigt, um während einer Störung betriebsbereit zu bleiben.
Die Geschäftskontinuität gestalten
Die Geschäftskontinuität beginnt mit der Initiierung des Planungsprojekts. Die Business Impact Analysis (BIA) und die Risikobewertung sind wichtige Schritte bei der Sammlung von Informationen für den Plan.
Die Durchführung einer BIA kann mögliche Schwachstellen sowie die Folgen einer Katastrophe für verschiedene Abteilungen aufdecken. Der BIA-Bericht informiert eine Organisation über die wichtigsten Funktionen und Systeme, die in einem Business-Continuity-Plan vorrangig zu behandeln sind.
Bei einer Risikobewertung werden potenzielle Gefahren für ein Unternehmen ermittelt, zum Beispiel Naturkatastrophen, Cyberangriffe oder Technologieausfälle. Die Risiken können sich auf Mitarbeiter, Kunden, den Gebäudebetrieb und den Ruf des Unternehmens auswirken. In der Bewertung wird auch angegeben, was oder wer durch ein Risiko geschädigt werden könnte, und wie wahrscheinlich die Risiken sind.
Die BIA und die Risikobewertung arbeiten Hand in Hand. Die BIA liefert Einzelheiten zu den potenziellen Auswirkungen der in der Risikobewertung dargelegten möglichen Unterbrechungen.
Management der Geschäftskontinuität
Es ist wichtig zu bestimmen, wer für die Business Continuity zuständig ist. In einem kleinen Unternehmen kann dies eine Person, in einem größeren Unternehmen kann es ein ganzes Team sein. Software für das Management der Geschäftskontinuität ist ebenfalls eine Option. Software, entweder am eigenen Standort oder Cloud-basiert, hilft bei der Durchführung von BIAs, der Erstellung und Aktualisierung von Plänen und der Ermittlung von Risikobereichen.
Geschäftskontinuität ist ein sich entwickelnder Prozess. Daher sollte der Business-Continuity-Plan eines Unternehmens nicht einfach in einem Regal stehen bleiben. Das Unternehmen sollte seinen Inhalt so vielen Personen wie möglich vermitteln. Die Implementierung der Geschäftskontinuität ist nicht nur für Krisenzeiten gedacht; die Organisation sollte auch Übungen durchführen, damit die Mitarbeiter wissen, was sie im Falle einer tatsächlichen Störung zu tun haben.
Das Testen der Geschäftskontinuität ist entscheidend für den Erfolg. Es ist schwierig zu wissen, ob ein Plan funktionieren wird, wenn er nicht getestet wurde. Ein Business-Continuity-Test kann so einfach sein wie ein Tabletop-Training, bei dem die Mitarbeiter besprechen, was in einem Notfall geschehen wird. Ein strengerer Test umfasst eine vollständige Notfallsimulation. Eine Organisation kann den Test im Voraus planen oder ihn unangekündigt durchführen, um eine Krise besser zu simulieren.
Nach Abschluss eines Tests sollte die Organisation den Verlauf überprüfen und den Plan entsprechend aktualisieren. Es ist wahrscheinlich, dass einige Teile des Plans gut funktionieren, während andere Maßnahmen möglicherweise angepasst werden müssen. Ein regelmäßiger Zeitplan für die Tests ist hilfreich, insbesondere wenn das Unternehmen seine Betriebsabläufe und sein Personal häufig ändert. Ein umfassender Business-Continuity-Plan muss ständig getestet, überprüft und aktualisiert werden.
Business Continuity Institute
Das Business Continuity Institute (BCI) ist eine weltweit tätige Fachorganisation, die Bildung, Forschung, professionelle Akkreditierung, Zertifizierung, Networking-Möglichkeiten, Führung und Beratung im Bereich Business Continuity und organisatorische Resilienz bietet.
Das BCI, das seinen Sitz im Vereinigten Königreich hat, wurde 1994 gegründet und zählt rund 8.000 Mitglieder in mehr als 100 Ländern, sowohl im öffentlichen als auch im privaten Sektor. Fachleute für Business Continuity und alle, die sich für diesen Bereich interessieren, können die vom BCI angebotenen Produkte und Dienstleistungen nutzen.
Zu den Zielen und Aufgaben des BCI gehören die Anhebung der Standards im Bereich Business Continuity, der Austausch bewährter Verfahren, die Ausbildung und Zertifizierung von BC-Fachleuten, die Aufwertung des BC-Berufs und die Entwicklung des Business Case für Business Continuity.
Zu den zahlreichen veröffentlichten Ressourcen des Instituts gehören die Good Practice Guidelines, die eine Anleitung zur Identifizierung von Business Continuity-Aktivitäten bieten, die die strategische Planung unterstützen können.
Die professionelle Mitgliedschaft im BCI verleiht einen international anerkannten Status, die Zertifizierung weist die Kompetenz eines Mitglieds im Business Continuity Management nach.
So genannte BCI Chapter wurden in Ländern oder Regionen eingerichtet, in denen es eine große Gemeinschaft von Mitgliedern gibt. Die Chapter, zu denen die Vereinigten Staaten, Japan und Indien gehören, haben lokal gewählte Führungskräfte, die das BCI in ihrer Region vertreten.