CAS IT Management & Agile Transformation

Nutzen von Geschäftskontinuität & Resilienz-Management

von Beni Hurschler
Überwachung der IT Continuity im SIX Operation Center
Überwachung der IT im Operation Monitoring Center (Bildquelle: SIX Branding Identity Portal)

Die Fähigkeit, Geschäftsprozesse und Services ohne Unterbrechung fortführen zu können, ist im vernetzten Wettbewerbsumfeld von herausragender Bedeutung. Jedes Unternehmen kann durch die Steigerung seiner innerbetrieblichen Resilienz Schäden und Verluste vor und während einem Not- und Krisenfall abwenden und zugleich damit seine eigene Wettbewerbsfähigkeit erhöhen.

Die zur Informationssicherheit gehörenden Disziplinen Business Continuity Management (BCM) sowie IT Service Continuity Management (ITSCM) können in einem Unternehmen einen wichtigen Beitrag zur betrieblichen Fortführung der Geschäftstätigkeiten sowie zur eigenen Resilienz leisten. Mittels Resilienz soll die Widerstandsfähigkeit eines Unternehmens gegenüber noch unbekannten, meist negativen Ereignissen erhöht werden. Beim Resilienz-Management (Definition siehe: The Risk Management Network) geht es also nicht nur um die Identifikation, das Vorbereiten und das Bewältigen von Notfall- oder Krisenszenarien, sondern auch darum, unter neuen herausfordernden Bedingungen weiterzubestehen und sich an das veränderte Umfeld anzupassen. So beispielsweise während der Corona-Pandemie: Wo liegen die Risiken des Homeoffice bzw. Work from Home? Für welche Prozesse können wir im Unternehmen die Möglichkeiten des Homeoffice/Work from Home auch nach der Pandemie nutzen, um unsere Resilienz zu stärken? Zu diesen Fragestellungen können nicht zuletzt durch BCM und ITSCM gerade in der aktuellen Zeit Antworten für die Widerstandsfähigkeit und Robustheit der künftigen Prozesse und Services neu diskutiert und formuliert werden.

Durch ein implementiertes Managementsystem zur Aufrechterhaltung der Geschäftskontinuität ist es für jede Firma mit moderatem zeitlichen und finanziellem Aufwand möglich, besser mit den unternehmensrelevanten Bedrohungen und deren Auswirkungen auf die betriebliche Wertschöpfung umzugehen. Dazu müssen die kritische Ressourcen beurteilt werden:

  • Verlust von Gebäuden (z.B. Rechenzentren, Produktionsanlagen, Verwaltungs- und Bürogebäude);
  • Verlust von Personal (z.B. einzelne Personen, alle Mitarbeiter);
  • Ausfall von Systemen (z.B. IT, Telefonie, Gebäudetechnik/Dienstleistungen);
  • Verlust des Dienstleistungsanbieters / Lieferanten (z.B. IT-Anbieter, Telekommunikationsanbieter, Versorgungsunternehmen, Outsourcing-Partner).
Auch beim Eintritt eines oder der Verkettung mehrerer der vier BCM-Hauptszenarien soll auf einem vordefinierten Notbetriebslevel weitergearbeitet werden können (Bildquelle: SIX Branding Identity Portal)

Zur Vorbereitung auf potenzielle Unterbrechungen von Geschäftsprozessen und (IT)Services werden – basierend auf Business Impact Analysen (BIA) – gezielt Kontinuitätsstrategien entwickelt. Nach deren Genehmigung durch das Management, werden anschliessend sogenannte Business Continuity und IT Service Continuity Pläne erstellt. Um die Aktualität dieser Pläne sicherzustellen, müssen sie regelmässig überprüft und wenn möglich End-to-End getestet werden.

Das ITSCM stellt die IT Service Continuity sicher, indem die für den Notbetrieb der zeitkritischen Prozesse benötigten Applikationen auch bei einem Totalausfall, einer logischen Zerstörung, einer Nicht-Zugänglichkeit oder beim Ausfall von Datenleitungen wieder in Betrieb genommen werden können. Dazu werden Rechenzentren (RZ) ganz oder teilweise vom primären RZ auf die Ausweich-RZ umgeschaltet (Bildquelle: SIX Branding Identity Portal)

Kontinuierliche Verbesserungen – auch bei BCM und ITSCM

Um die Effektivität der Kontinuitätsstrategien und die Effizienz der BC- und ITSC-Pläne sicherzustellen, braucht es kontinuierliche Verbesserungen. Neben unabhängigen internen und externen Audits geht es insbesondere darum, durch regelmässige Self-Assessments, Tests und Übungen, erkannte Schwachstellen zu identifizieren und diese rasch zu beheben. Dabei gilt es, die Komplexität der Übungen stets zu steigern und vermehrt Szenario-basierte Übungen durchzuführen, welche den aktuellen Status Quo herausfordern. Ansatzpunkte dazu können zum Beispiel nationale, regionale, unternehmensinterne oder branchenbezogene Risikoanalysen liefern.

Für die Sicherstellung der IT Service Continuity werden dafür z.B. die Umschalt- und Ablaufpläne für die Rechenzentren aktualisiert und präzisiert. Evakuationsübungen werden für das Verlassen eines Gebäudes im Brandfall (Loss of Building) oder bei einem Amokvorfall (Loss of Staff) durchgeführt. Dabei sollten die unternehmensinternen und externen Verbindungen zu den Blaulichtorganisationen und zum Sammelplatz überprüft werden.

Moderater Aufwand mit mehrdimensionaler Wirkung

Ein effektives und effizientes BCM und ITSCM kann auch zu generellen Kosteneinsparungen führen. Einerseits können im Falle eines Ereignisses durch einen gut vorbereiteten Notbetrieb, Schäden und Verluste wie zum Beispiel Umsatzeinbussen, regulatorische Verstösse oder gar der Abgang von Kunden, reduziert oder ganz verhindert werden. Andererseits können die getätigten Analysen und Planungen für den Notbetrieb dem Unternehmen auch Potenziale für Effizienzsteigerungen im Normalbetrieb aufzeigen.

Quellen und weiterführende Links zum Thema

  • BCM Academy: IT Service Continuity Management (Link)
  • BSI Group: ISO 22301 / Norm & Zertifizierung für ein effektives betriebliches Kontinuitätsmanagement (Link)
  • Deloitte: Business Continuity & IT Service Continuity Management (Link)
  • Protiviti: Understanding the Relationship Between Business Continuity Management and Operational Resilience (Link)
  • PwC: Business Continuity & Resilience Management (Link)

Veröffentlicht am 13.06.2021

Beitrag teilen

Beni Hurschler

Beni Hurschler ist zuständig für die Geschäftskontinuität und die Physische Sicherheit bei SIX und bloggt aus dem Unterricht des CAS IT-Management und Agile Transformation.

Alle Beiträge ansehen von Beni Hurschler →

Schreibe einen Kommentar