Business Continuity Management System (BCMS)

Organisationen wie Unternehmen, Konzerne, Behörden, Handelsgesellschaften, NGOs etc. sind verschiedenen Risiken ausgesetzt. Unterbrechungen im Betriebsablauf oder in der Produktion gehören dabei sicherlich zu den Szenarien, die den größten Schaden anrichten, insbesondere, wenn der Ausfall länger andauert. Das Business Continuity Management (BCM) oder Betriebliche Kontinuitätsmanagement (BKM) soll in diesem Fall schützen und durch einen Notfallplan alternative Abläufe ermöglichen.

Gemeinsam mit anderen Managementsystemen und Sicherheitsthemen trägt das BCM maßgeblich dazu bei, die Widerstandfähigkeit gegenüber den unterschiedlichsten Arten von Risiken und Schadensszenarien zu erhöhen. Wir unterstützen Sie bei der Entwicklung eines Business Continuity Management System (BCMS) oder optimieren Ihr bestehendes System, damit Sie auf alle Eventualitäten bestens vorbereitet sind.

Was ist ein Business Continuity Management System (BCMS)?

Ein Business Continuity Management System (BCMS) greift bei einem Zwischenfall und soll die Organisation schnell wieder in einen handlungsfähigen Zustand versetzen. Das Ziel des BCM ist es, sicherzustellen, dass zeitkritische Geschäftsprozesse (GP) selbst in solchen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt.

Das BCMS wird genau auf die jeweilige Situation der Organisation zugeschritten – entsprechend der Größe, der Branche, den zu erwartenden Risiken etc. Eine Unterbrechung im Ablauf birgt immer die Gefahr, dass es zu einer Kettenreaktion kommt, bei der am Ende mehrere Abteilungen oder Bereiche bis hin zu einer ganzen Lieferkette betroffen ist. Der Zeitraum, der durch das BCM abgesichert werden soll, liegt meist zwischen 14 und 30 Tagen, in bestimmten Branchen (z. B. dem produzierenden Gewerbe) kann auch ein Zeitraum von mehreren Monaten im BCM betrachtet werden.

Vor welchen kritischen Ereignissen sollte sich eine Organisation schützen?

Neben böswilligen Attacken (bspw. durch Hackerangriffe, Diebstähle, Sabotage) können Ausfälle in der Energieversorgung, Naturkatastrophen (Überschwemmungen, Stürme, Brände) oder andere unerwartete Bedingungen dazu führen, kurzfristig in einen Notfall- oder gar Krisenmodus wechseln zu müssen. Zum BCMS gehört daher mehr als nur ein IT-Notfallhandbuch zu haben! Auf die folgenden Arten von kritischen Ereignissen sollten sich Organisationen zielgerichtet vorbereiten: IT/System-Ausfall, Gebäudeausfall, Ausfall von Personal und Ausfall von Lieferanten/Partnern.

Durch die Berichterstattung über vermehrte Cyberattacken steht ein Ausfall der IT für Organisationen oft im Fokus. Die anderen drei Szenarien sind jedoch nicht minder wichtig und gehören zu einem ganzheitlichen BCMS. Denn um die Kontinuität der Organisation sicherzustellen, ist bei einem IT-Systemausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal (wie z. B. durch die Pandemie).

Standards und Regelwerke für das BCM bzw. BCMS

Im Regelwerk der ISO gibt die ISO 22301 „Security and resilience — Business continuity management systems — Requirements“ die Struktur und Anforderungen für die Einführung und Aufrechterhaltung eines BCMS vor. Es besteht auch die Möglichkeit, ein BCMS nach ISO 22301 zertifizieren zu lassen.

Im Bereich der Informationssicherheit ist das BCM als Notfallmanagement seit vielen Jahren fester Bestandteil des IT-Grundschutzes des BSI. Der BSI Standard 100-4 bietet eine Hilfestellung und praxisnahe Anleitung zur Entwicklung eines BCM und wird fortlaufend den neuen Entwicklungen angepasst. Seit 2021 liegt der BSI Standard 200-4 als Entwurfsfassung vor. Der Standard 200-4 des BSI ist kompatibel zum ISO-Standard. Weitere Umsetzungshilfen bieten auch die Good Practise Guidelines (GPG) des Business Continuity Institute.

Synergien nutzen: BCMS, IT-Service Continuity Management und Krisenmanagement

Ein Notfallmanagement sollte stets im Rahmen einer Gesamtsicherheitsstrategie in der Organisation umgesetzt werden. Ein Informationssicherheits-Managementsystem (ISMS) oder ein IT-Service Continuity Management (ITSCM) sind zwar nicht Voraussetzung für den Aufbau und Betrieb eines BCMS, jedoch lassen sich durch eine zielgerichtete und möglichst frühzeitige Zusammenarbeit Synergieeffekte nutzen und finanzielle, personelle und zeitliche Ressourcen einsparen.

Grafik zum organisatorischen Zusammenspiel zwischen Notfallbewälltigung bzw. dem Notfallhandbuch, GFPs und WAPs/WHPs.

Aufgrund der Vielzahl an möglichen Krisenszenarien ist eine enge Zusammenarbeit zwischen dem BCM und dem Krisenmanagement erforderlich. Für die optimale Vorbereitung auf eine Krise sollten die Verfahren und Strukturen in diesen Bereichen der Organisation aufeinander abgestimmt sein.

Zwischen dem BCMS, dem ISMS und dem Krisenmanagement gibt es eine Reihe von Überschneidungen (siehe Abbildung) und durch die Berücksichtigung all dieser Themen und Prozesse lässt sich die Resilienz der Organisation deutlich erhöhen. Resilienz bedeutet Widerstandsfähigkeit durch die Fähigkeit, sich Situationen anpassen bzw. flexibel auf (plötzlich) auftretende interne und externe Veränderungen reagieren zu können. Eine umfassende und abgestimmte Sicherheitsstrategie leistet einen wichtigen Beitrag zur Verbesserung der organisatorischen Resilienz.

Abbildung aus dem BSI Standard 200-4: Grafik zur Resilienz von Organisationen.

So können wir Sie bei der Einführung eines BCMS unterstützen

Ein BCMS hat mehrere Bestandteile und folgt sowohl im Ansatz des BSI (Standard 200-4) als auch in der ISO-Norm in seinem Aufbau dem Zyklus Plan-Do-Check-Act (PDCA): Nach der Planung und Umsetzung folgt die Überwachung bzw. Überprüfung und schließlich die Phase des Handelns (Aufrechterhaltung und Verbesserung des Systems). Durch diesen PDCA-Zyklus wird sichergestellt, dass das System nicht nur aufrechterhalten, sondern auch kontinuierlich verbessert wird.

Grafik über die fünf BCM-Kategorien: Organisation, Methoden, Prozesse, Ressourcen und Dokumentation.

Die Bestandteile des BCMS können in die folgenden Kategorien unterteilt werden:

BCM-Organisation (Rollen, Aufgaben, Zuständigkeiten etc. auf strategischer, taktischer und operativer Ebene)
BCM-Methoden (insbesondere Business Impact Analyse (BIA) und BCM-Risikoanalyse)
BCM-Prozess (Anwendung des PDCA-Zyklus; der Reifegrad des Managementsystems steigt mit jedem weiteren Zyklus)
BCM-Ressourcen (erforderliche finanzielle, personelle und zeitliche Ressourcen, die durch die Leitungsebene zur Verfügung gestellt werden müssen)
BCM-Dokumentation (u. a. Leitlinie des BCMS, Notfallvorsorgekonzept, Notfallhandbuch)

Wir begleiten Sie bei der Einführung eines BCMS nach ISO 22301 und/oder BSI Standard 200-4 oder unterstützen Sie auch nur in Teilbereichen, z. B. bei der Durchführung einer Business Impact Analyse (BIA) oder einer BCM-Risikoanalyse, der Entwicklung von Business-Continuity-Strategien, der Erstellung von Geschäftsfortführungsplänen, der Dokumentation oder der Schulung und Sensibilisierung der Mitarbeitenden.

Einführung eines BCMS – so gehen wir vor

Die Einführung des BCMS erfolgt in mehreren Schritten:

Initiierung des BCMS

Die Rahmenbedingungen und Ziele zur Initiierung des BCMS legen wir gemeinsam mit Ihnen in einem Workshop fest. Dazu werden Zielsetzung, Geltungsbereich, Vorgehensweise, Selbstverpflichtung der Geschäftsführung und die Benennung des BCM-Beauftragten mit den relevanten Ansprechpartnern über bereitgestellte Muster abgestimmt.

Konzeption und Planung

Anschließend werden die Konzeption und Planung des BCMS auf Basis der zuvor durch die Geschäftsführung festgelegten Rahmenbedingungen und Ziele in Workshops erarbeitet. Zusammen mit Ihrem BCM-Beauftragten stimmen wir dazu die folgenden Punkte ab:

Definition und Abgrenzung von Begriffen, Zuständigkeiten, Kriterien, Systemen etc.
BCM-Aufbauorganisation (Notfallorganisation und Notfallbewältigungsorganisation, Rollen innerhalb des BCMS festlegen)
Dokumentation (präventive und reaktive Dokumente)
Ressourcenplanung entsprechend den Zielsetzungen und Vorgaben, der Stufe des BCMS, der Größe der Organisation, der gewählten Aufbauorganisation etc.
Schulung und Sensibilisierung der BCM-Rolleninhaber

Die Ergebnisse der Workshops werden mit Empfehlungen zum Aufbau des BCMS dokumentiert.

Umsetzung

Umsetzung und weitere Unterstützung

Wir begleiten sowohl die Durchführung der BCM-Methoden und BCM-Prozesse als auch die Umsetzung durch den BCM-Beauftragten. Für die kontinuierliche Weiterentwicklung und Verbesserung von Methoden und Prozessen stehen wir Ihnen auf Wunsch ebenfalls gerne beratend zur Seite.

Gap-Analyse

Wenn Sie in Ihrer Organisation bereits ein BCMS haben, dann können Abweichungen zu den gesetzten Zielen und zugrunde liegenden Standards mithilfe einer Gap-Analyse aufgedeckt werden. Dazu erfassen wir die bestehenden Regelungen, umgesetzten Prozesse und Maßnahmen im Rahmen eines Workshops auf Interviewbasis. Anschließend wird die Konformität zur ISO 22301 und/oder dem BSI Standard 200-4 bewertet. Wir dokumentieren den Ist-Stand und bewerten den Konformitäts- und Umsetzungsgrad im Vergleich zum angestrebten Zustand. So werden systematisch die Stellen identifiziert, die noch zu verbessern sind und hierfür schlagen wir Ihnen geeignete Maßnahmen zur Umsetzung vor.

Ihre Ansprechpartner

Sie haben Fragen zur Entwicklung eines BCMS für Ihre Organisation oder möchten das bestehende Notfallmanagement einmal überprüfen? Nutzen Sie unsere Erfahrung und Branchenkenntnisse und kontaktieren Sie uns. Gerne erstellen wir für Sie ein unverbindliches Beratungsangebot.

Wolfgang Oesting

Senior Berater Informationssicherheit

E-Mail: woesting@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-361

datenschutz nord GmbH, Bremen

Falls sich Ihre Anfrage auf eine Organisation außerhalb Deutschlands bezieht, helfen Ihnen diese Kontakte weiter.

Peter Suhren, Volljurist

Geschäftsführer

E-Mail: psuhren@re-move-this.first-privacy.com

Telefon: +49 421 69 66 32-822

FIRST PRIVACY GmbH, Bremen

Cihan Parlar, LL.M. (Tilburg)

Geschäftsführer

E-Mail: cparlar@re-move-this.first-privacy.com

Telefon: +31 20 211 7116

FIRST PRIVACY B.V., Amsterdam

Häufig gestellte Fragen (FAQ) zum BCMS

Störung, Notfall, Krise: Was sind die Unterschiede?

Beim BCM geht es darum, sich proaktiv mit den potenziellen Auswirkungen eines Ausfalls von Gebäuden, Personal, Informationstechnologie (IT) oder auch Dienstleistern in zeitkritischen Geschäftsprozessen zu befassen. Doch welche Formen von Ausfällen und Unterbrechungen werden beim BCMS eigentlich unterschieden?

Bei einer Störung stehen bestimmte Prozesse oder Ressourcen nicht mehr wie üblich zur Verfügung. Eine Störung zeichnet sich jedoch dadurch aus, dass diese innerhalb des Normalbetriebs zu beheben ist, d. h. ein Notfallplan ist nicht erforderlich und auch keine BAO (Besondere Aufbauorganisation). Stattdessen wird die Störung mit den Möglichkeiten der AAO (Allgemeine Aufbauorganisation) behoben.
Ein Notfall bedeutet dagegen eine erhebliche Unterbrechung in einem zeitkritischen Geschäftsprozess. Daher sollten für solche Ereignisse auch Notfallpläne vorliegen oder diese können der Situation entsprechend angepasst werden. Auch ist für diesen Fall eine BAO erforderlich.
Von einer Krise wird gesprochen, wenn eine massive Unterbrechung eines (zeit-)kritischen Geschäftsprozesses vorliegt. Anders als bei einem Notfall, liegen zur Bewältigung einer Krise keine spezifischen Notfallpläne vor, vorhandene Pläne für den Notfall können nicht angepasst werden, sind nur bedingt adaptierbar oder greifen nicht. Zur Bewältigung einer Krise werden Maßnahmen durch die BAO eingeleitet. Dazu sind auch erweiterte Befugnisse und ein größerer Aktionsradius für die BAO erforderlich.

Ein Ereignis kann sich ganz unterschiedlich auswirken und bis hin zu einer Krise eskalieren: Als Beispiel kann ein Stromausfall eine (kurzfristige) Störung sein, er kann aber auch zu einer Notfallsituation oder gar zu einer Krise führen, wenn der Ausfall länger anhält und/oder viele Bereiche betrifft und die vorhandenen Notfallmaßnahmen nicht ausreichen, sodass die BAO ad hoc über eignete Maßnahmen entscheiden muss.

Was sind zeitkritische Geschäftsprozesse?

Das BSI definiert in seinem Standard 200-4 (Community Draft) zum BCM einen Geschäftsprozess als „eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten (OEs) ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen.“ Bei Behörden und öffentlichen Stellen wird in diesem Zusammenhang meist der Begriff Fachaufgabe verwendet.

Geschäftsprozesse gelten laut dem BSI Standard als zeitkritisch, wenn „deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann.“ Entscheidet ist hier der Faktor zeitkritisch, so kann es auch in einer Organisation kritische Geschäftsprozesse geben, die aber nicht zeitkritisch sind. Das BCM betrachtet jedoch nur zeitkritisch Geschäftsprozesse und die dafür erforderlichen Ressourcen, um diese Prozesse aufrecht zu erhalten.

Was ist der Unterschied zwischen BCM und IT-Service Continuity Management (ITSCM)?

Das Business Continuity Management (BCM) befasst sich proaktiv mit den potenziellen Auswirkungen bei einem Ausfall von Gebäuden, Personal, IT und Dienstleistern/Partnern in zeitkritischen Geschäftsprozessen. Das IT-Service Continuity Management (ITSCM) stellt ein Teilgebiet des BCM mit Fokus auf der Verfügbarkeit der IT-Infrastruktur, IT-Systeme und Anwendungen bei kritischen IT-Vorfällen dar.

Es hat die Aufgabe, die Risiken für den Ausfall des IT-Betriebs rechtzeitig zu erkennen und wirkungsvolle Gegenmaßnahmen zu etablieren, um auf diese Weise zeitkritische IT-Services und die damit zusammenhängenden Systeme auch im Notfall aufrechtzuerhalten oder diese wiederherzustellen. Das ITSCM unterstützt das BCM, indem es gemäß den Anforderungen des BCM präventive und reaktive IT-Notfallmaßnahmen plant, implementiert und überprüft und somit auch sicherstellt, dass die erforderlichen IT-Ressourcen die Wiederanlaufanforderungen einhalten. Des Weiteren soll das ITSCM durch ein Datensicherungskonzept den Datenverlust im Falle eines Notfalls auf ein verkraftbares Maß reduzieren.

Welche Aufgaben hat ein BCM-Beauftragter (BCMB)?

In der BCM-Organisation gibt es verschiedene Rollen: Die Institutionsleitung, die den BCM-Prozess verantwortet und einen BCM-Beauftragten (BCMB), der das BCM operativ aufbaut, sämtliche damit zusammenhängenden Aufgaben koordiniert und vorantreibt und als Hauptansprechpartner fungiert. Bei der Vergabe der Rolle des BCMB (und eines qualifizierten Stellvertreters) ist darauf zu achten, dass keine Interessenkonflikte durch die sonstige Aufgabe oder Verortung innerhalb der Organisation entstehen. Des Weiteren rät das BSI davon ab, die Position mit weniger als einer 50 %-Stelle zu besetzen.

Ein detailliertes Fachwissen (baulich, technisch) über Notfallvorsorgemaßnahmen ist für einen BCMB nicht erforderlich, entscheidend sind mehr gute Kommunikationsfähigkeiten, Kenntnisse zu allgemeinen und branchenspezifischen Vorgehensweisen und Methoden, Kenntnisse über relevante Gesetze, Leitlinien, Vorschriften, Standards, Kenntnisse über Risiken für den Geschäftsbetrieb / die Institution, Kenntnisse zur Notfall-Reaktion sowie die Fähigkeit zur Führung von Mitarbeitenden. Für die Aufgabe erforderliches Wissen kann auch durch gezielte Schulungen aufgebaut werden.

Organisatorisch bietet es sich an, die Stelle des BCMB als Stabstelle der Institutionsleitung im Rahmen der Allgemeinen Aufbauorganisation (AAO) einzurichten. Daher eignen sich auch Personen als BCMB, die bereits Erfahrung mit Stabsarbeit haben.

Optional kann ein BCM-Koordinator (BCMK) ernannt und ein BCM-Gremium zur Unterstützung eingesetzt werden. Ob diese weiteren Rollen zur Umsetzung des BCMS erforderlich sind, ist im spezifischen Fall der Organisation zu entscheiden.

Was sind eine Business Impact Analyse (BIA) und eine BCM-Risikoanalyse?

Im Rahmen des BCM gibt es bestimmte Methoden bzw. Werkzeuge, um das BCM umzusetzen. Dazu zählen insbesondere die Business Impact Analyse (BIA) und die BCM-Risikoanalyse. Bei der BIA werden Informationen über die (relevanten zeitkritischen) Geschäftsprozesse gesammelt und ausgewertet, um die für einen Notbetrieb benötigten Ressourcen festzulegen. Oft geht der BIA eine Voranalyse zur Festlegung der Organisationseinheiten und zeitkritischen Geschäftsprozesse voraus. Mithilfe der BIA können konkrete Aussagen darüber getroffen werden, welche (möglichen) Schäden bei Ausfall der Geschäftsprozesse zu erwarten sind. Neben der Schadensbewertung geht es bei der BIA auch um die Identifizierung von Ressourcenabhängigkeiten. Die Ergebnisse der BIA dienen dann als Grundlage für die weiteren Strategien und Konzepte.

Während bei der BIA die möglichen Auswirkungen von Ausfällen auf den Geschäftsbetrieb untersucht werden, liegt der Fokus bei der BCM-Risikoanalyse auf den Ursachen für den Ausfall. Dazu wird untersucht, gegen welche Gefährdungen der Geschäftsbetrieb abgesichert sein sollte. Das Zielobjekt sind hier die zeitkritischen Ressourcen, die zuvor im Rahmen der BIA identifiziert wurden. Diese Ressourcen können wiederum in die Kategorien IT, Personal, Gebäude und Dienstleister eingeteilt werden. Dann wird eine Gefährdungsübersicht erstellt (Ist die Gefährdung X in der Ressourcenkategorie relevant?), anschließend erfolgt die Risikoeinschätzung je Zielobjekt (Eintrittshäufigkeit und Schadenshöhe) sowie die Risikobewertung (z. B. anhand einer Risiko-Matrix). Im letzten Schritt werden dann Business-Continuity-Strategien und -Lösungen zur Risikobehandlung entwickelt.

Welche Vorteile hat ein BCMS?

Die Einführung eines BCM bzw. BCMS hat mehrere Vorteile, dazu gehören insbesondere: die Verbesserung der Belastbarkeit der Organisation, die Verringerung von rechtlichen und finanziellen Gefahren, die Reduzierung von Kosten durch Störungen im Ablauf sowie die Sicherung von Wettbewerbsvorteilen.

Einen Plan für den Notfall zu haben ist wichtig, um schnell reagieren zu können und die Prozesse und Systeme abzusichern – insbesondere, wenn eine große Anzahl von Mitarbeitenden involviert ist. Sind die Notfallabläufe bekannt, bleiben die Mitarbeitenden ruhig und besonnen und verlieren keine Zeit bei der Einleitung entsprechender Maßnahmen. Dies stärkt nicht nur intern die Wahrnehmung eines krisensicheren Managements, sondern sorgt auch gegenüber Kunden, Lieferanten und anderen Anspruchsgruppen für eine hohe Glaubwürdigkeit und Verlässlichkeit.

Was bringt die Zertifizierung nach ISO 22301?

Die ISO 22301 legt Anforderungen fest, um ein krisentaugliches BCMS „zu verwirklichen, aufrechtzuerhalten und zu verbessern, um sich gegen Störungen zu schützen, die Wahrscheinlichkeit ihres Auftretens zu vermindern, sich auf diese vorzubereiten, auf diese zu reagieren und sich von diesen zu erholen, wann immer sie auftreten.“ Eine Zertifizierung nach ISO 22301 kann für Organisationen nachfolgende Wettbewerbsvorteile sichern:

Qualitätskriterium für Kunden, Unternehmenspartner und die Öffentlichkeit
Qualitätssicherung und Stabilität der Geschäftsprozesse
höhere Wirtschaftlichkeit durch geringere Ausfallzeiten
verbesserte Wiederherstellung von Geschäftsprozessen
Einhaltung internationaler Normen

Was kostet die Einführung eines BCMS?

Die Kosten für die Einführung eines BCMS sind abhängig von verschiedenen Faktoren, insbesondere natürlich vom Projektumfang, der Größe der Organisation, der Anzahl der zeitkritischen Geschäftsprozesse etc. Auch spielt es eine Rolle, ob z. B. bereits ein ISMS oder ein ITSCM vorhanden sind. Wir versuchen bei allen Projekten so effizient wie möglich vorzugehen und die bereits vorliegenden Daten, Analysen und Konzepte zu integrieren, um Synergien im Sinne unserer Kunden zu nutzen und Kosten einzusparen. Gerne erläutern wir Ihnen unser Vorgehen und geben Ihnen Beispiele, damit Sie sich ein Bild von unserer Arbeitsweise machen können.

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: