Betriebsunterbrechungen sind kostspielig. Neben den Umsatzeinbußen kann ein Ausfall auch den Ruf eines Unternehmens langfristig schädigen. Aus diesen Gründen erstellen kluge Unternehmensleiter Pläne für eine schnelle, reibungslose Wiederherstellung nach Störungen. Dies ist die Geschäftskontinuitätsplanung (Business Continuity Planning, BCP). In diesem Artikel wird erörtert, wie die BCP funktioniert und wie Unternehmen wie das Ihre einen solchen Plan einrichten können.
Einführung in die Geschäftskontinuität
Was ist Geschäftskontinuität? Die Geschäftskontinuität (Business Continuity) wird auch als Business Continuity and Disaster Recovery (BCDR) bezeichnet und umfasst eine dynamische Mischung aus Planung, Prozessen und Menschen, die zusammenarbeiten, um sicherzustellen, dass ein Unternehmen schnell auf eine Betriebsunterbrechung reagieren und seinen Geschäftsbetrieb aufrechterhalten kann. Aus verschiedenen Gründen neigen wir dazu, Geschäftskontinuität als eine technologische Angelegenheit zu betrachten. Und das ist sie auch, zum Teil. Aber es steckt noch viel mehr dahinter.
Bei der BCP geht es darum, alle Risiken zu antizipieren, die die Funktionsfähigkeit eines Unternehmens beeinträchtigen könnten, und Wege zu finden, diese Risiken zu mindern. Zu den Risikofaktoren gehören Naturkatastrophen, geopolitische Ereignisse, Probleme in der Lieferkette, arbeitsrechtliche Probleme und vieles mehr.
Geschäftskontinuität ist wichtiger denn je. Angesichts von Cyber-Bedrohungen wie Ransomware, die große und kleine Unternehmen bedrohen, sind diese gut beraten, sich auf ernsthafte Störungen vorzubereiten. Selbst Ereignisse, die nicht spezifisch mit dem Internet verbunden sind (wie z. B. die COVID-Pandemie), können eine Organisation ins Chaos stürzen, wenn sie nicht mit einem Business-Continuity-Plan vorbereitet ist.
Vor allem für kleinere Unternehmen kann viel auf dem Spiel stehen. Nach Angaben der amerikanischen Agentur für Katastrophenschutz FEMA schließen zwischen 40 % und 60 % der kleinen Unternehmen nach einer Katastrophe dauerhaft. Die FEMA stellte außerdem fest, dass 90 % der kleinen Unternehmen, die mindestens fünf Tage lang geschlossen sind, innerhalb eines Jahres in Konkurs gehen.
Die Kernelemente der Geschäftskontinuität
Die Besonderheiten der Geschäftskontinuität hängen von der Größe und Komplexität eines Unternehmens sowie von seinem Risikoprofil ab. Die Kernelemente der Geschäftskontinuität sind jedoch überall dieselben. Sie umfassen eine Risikobewertung, eine Analyse der Auswirkungen auf das Geschäft und eine oder mehrere Wiederherstellungsstrategien.
Risikobewertung
Die Gewährleistung der Geschäftskontinuität beginnt mit der Identifizierung und Bewertung von Bedrohungen für den Betrieb. Das mag offensichtlich klingen, aber wenn man ermittelt, wie etwas schief gehen kann, kommen oft Risiken zum Vorschein, an die vorher niemand gedacht hat. Eine Vielzahl von Bedrohungen kann den täglichen Betrieb eines Unternehmens stören, darunter:.
Externe Störung wie ein Cyber-Angriff oder Wirtschaftsspionage
Naturkatastrophen wie Orkane, Epidemien, Überschwemmungen oder Brände
Politische Störungen wie Krieg, Terrorismus und instabile Regierungen
Materielle Probleme wie Rohstoffmangel oder Unterbrechungen in der Lieferkette
Mechanische Störungen wie Ausfall von Produktionsmaschinen, Wartung des Fuhrparks oder Ausfall von IT-Hardware
Organisatorische Störungen wie der Tod oder das Ausscheiden einer wichtigen Führungskraft, Fusionen und Übernahmen sowie internationale Expansion
Eine Risikobewertung sollte wahrscheinliche und schwerwiegende Risiken auflisten. Sie sollte auch detailliert sein. Es reicht nicht aus, „Ransomware“ zu schreiben und die Sache damit abzuschließen. Im Rahmen einer Risikobewertung sollte ermittelt werden, welche Datenbestände für das Unternehmen am wichtigsten sind:
Zentrale Finanzdaten, wie das Hauptbuch und die Historie der Verkaufstransaktionen
Kundendatensätze mit persönlich identifizierbaren Informationen
Datensätze von Mitarbeitern mit persönlich identifizierbaren Informationen
Produktauflistung für Produktion und Bestand
Informationen im Zusammenhang mit laufender Forschung und Entwicklung
Jedes Unternehmen ist anders, und so wird auch das Verzeichnis der kritischen Datensätze für jedes Unternehmen anders aussehen. Wenn Sie jedoch keine vollständige Bewertung Ihrer Unternehmensdaten vornehmen, können Sie keine guten Entscheidungen darüber treffen, welche Daten Sie am meisten schützen müssen.
Analyse der geschäftlichen Auswirkungen (BIA)
Mit einer Risikobewertung in der Hand können Sie nun die potenziellen Auswirkungen dieser Bedrohungen auf den Geschäftsbetrieb bewerten. Die Wahrscheinlichkeit ist hier wichtig. Nicht jede Bedrohung verdient das gleiche Maß an Aufmerksamkeit. Der Mond könnte auf die Erde stürzen, aber da dies nicht sehr wahrscheinlich ist, sollte es nicht in Ihre Analyse der Auswirkungen auf das Geschäft (Business Impact Analysis, BIA) aufgenommen werden.
Der Zweck der BIA besteht darin, zu verstehen, wie sehr eine bestimmte Bedrohung der Fähigkeit Ihrer Organisation, das Geschäft weiterzuführen, beeinträchtigen könnte. Zunächst müssen Sie Ihre kritischen Geschäftsfunktionen ermitteln. Dies sind die Prozesse und Assets, ohne die Ihr Unternehmen nicht weitergeführt werden kann. Wie die meisten Unternehmen brauchen Sie Ihr ERP-System (Enterprise Resource Planning), das Transaktionen und Daten für Finanzen, Personalwesen, Beschaffung, Fertigung und mehr verarbeitet. Ihr ERP-System unterstützt einen Großteil Ihres Unternehmens; wenn es ausfällt, steckt Ihr Unternehmen in großen Schwierigkeiten.
Nachdem die kritischen Funktionen identifiziert wurden, ist der nächste Schritt die Anwendung einer quantitativen Methode, die die Wahrscheinlichkeit mit dem Maß der Auswirkung verbindet. So könnten Sie beispielsweise die Auswirkungen auf einer Skala von 1 bis 10 messen, wobei ein eintägiger ERP-Ausfall mit 5 und ein katastrophaler Brand, der Ihr gesamtes Inventar vernichtet, mit 10 bewertet wird. Wenn jedoch der ERP-Ausfall doppelt so wahrscheinlich ist wie ein Brand, würde eine BIA beide als gleich schwerwiegend einstufen.
In einigen Fällen enthält die BIA auch eine Schätzung der finanziellen Verluste. Wenn Ihr Unternehmen pro Tag eine Million Dollar Umsatz macht, kostet ein eintägiger ERP-Ausfall etwa eine Million USD, plus mögliche Reputationsschäden. Der Brand einer Lagerhalle könnte dagegen einen Milliardenschaden bedeuten. Wenn jedoch die Wahrscheinlichkeit eines ERP-Ausfalls bei 1 % und die eines Brandes bei 0,001 % liegt, haben beide Ereignisse nach der BIA-Methodik die gleichen finanziellen Auswirkungen.
Strategien zur Wiederherstellung
Was ist, wenn eines dieser Risiken zur Realität wird? Wenn Sie eine Rolle bei der Aufrechterhaltung der Geschäftskontinuität spielen, müssen Sie sich überlegen, wie Sie den Geschäftsbetrieb schnell wiederherstellen können. Im Kontext der Datensicherung fallen diese Überlegungen unter Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Ein ERP-System kann zum Beispiel eine RTO von einer Minute haben. Das bedeutet, dass eine Backup-ERP-Instanz die ERP-Funktionalität für die Benutzer innerhalb einer Minute wiederherstellt, wenn das System beispielsweise durch einen Cyber-Angriff lahmgelegt wird.
Beim RPO geht es darum, wie weit die Wiederherstellung in die Vergangenheit zurückreicht. Nehmen wir an, das ERP hat ein fünfminütiges RPO. Wenn das ERP-System ausfällt, soll die Backup-Instanz die Daten nutzen können, die bis vor fünf Minuten gespeichert wurden.
Je niedriger die RTO und RPO, desto besser. Bei bestimmten hochkritischen Finanzsystemen können die RTO und RPO in Sekunden gemessen werden. Manchmal ist der Failover so schnell und der RPO so gering, dass die Benutzer kaum merken, dass überhaupt etwas schief gelaufen ist.
Die Geschäftskontinuität sollte eine Wiederherstellungsstrategie für jede Bedrohung umfassen, die ernst genug ist, um in die BIA aufgenommen zu werden. Die Strategie muss auf die Bedrohung abgestimmt und detailliert genug sein, um die erwarteten RTO- und RPO-Werte zu erreichen. Wenn die Kundendatenbank beispielsweise in einem lokalen Speicher-Array gespeichert ist und die größte Bedrohung von Ransomware ausgeht, sollte die Kontinuitätsstrategie die Sicherung der Datenbank auf einem System beinhalten, das resistent gegen Ransomware ist.
Dies könnte bedeuten, dass Sie einige „unveränderliche“ AWS-Backups zur Verfügung haben. Oder es sollte eine allgemeine Strategie wie die 3-2-1-Backup-Richtlinie für alle kritischen Datenbestände vorgeschrieben werden. Mit 3-2-1 behalten Sie drei Kopien Ihrer Daten, von denen eine immer extern aufbewahrt wird. Dies könnte Teil des Datensicherungsplans Ihres Unternehmens sein.
Wenn die größte Bedrohung für die Datenbank von einer Naturkatastrophe ausgeht, sollte sich die Backup-Instanz in einer geografischen Region befinden, die nicht von der gleichen Katastrophe betroffen sein wird. Ein Rechenzentrum in Florida würde also zum Beispiel durch einen Standort in Arizona gesichert werden. Tatsächlich sind alternative Geschäftsstandorte Teil vieler Wiederherstellungsstrategien.
Die gleiche Denkweise sollte auch für die Beziehungen zu den Lieferanten gelten. Wenn man zum Beispiel Autos herstellt, dürfen einem die Zündkerzen nicht ausgehen. Wenn Ihr Zündkerzenlieferant von einem Ransomware-Angriff betroffen ist und Ihnen einen Monat lang nichts liefern kann, brauchen Sie einen Ersatzlieferanten, der in der Lage ist, Ihnen innerhalb eines vordefinierten Zeitraums Zündkerzen zu liefern – ein RTO für Zündkerzen, sozusagen.
Das Ergebnis all dieser Überlegungen ist ein BIA-Diagramm wie das unten gezeigte vereinfachte Beispiel. Für jedes Risiko gibt es eine Wahrscheinlichkeit, eine Schätzung der finanziellen Auswirkungen und eine Kontinuitätsstrategie. Ein RTO und ein RPO können ebenfalls enthalten sein.
| Risiko | Wahrscheinlichkeit | Finanzielle Auswirkungen | Kontinuitätsstrategie | RTO | RPO |
Ransomware-Angriff auf ERP | Niedrig | Hoch | Cloud-Datensicherung | 1 Minute | 5 Minuten |
Katastrophaler Lagerhausbrand | Sehr niedrig | Extrem hoch | Verteilen Sie Ihre Bestände auf mehrere Lagerhäuser. Feuerlöschanlage. | 1 Tag | Nicht zutreffend |
Geschäftskontinuitätsplanung (BCP)
Die Geschäftskontinuitätsplanung operationalisiert die Kontinuitätsstrategien und die BIA. Ohne einen BCP gibt es keine Geschäftskontinuität. Diese Weisheit ist nicht so weit verbreitet, wie Sie vielleicht denken. Nach Angaben des weltweit tätigen Beratungsunternehmens Mercer verfügte im Jahr 2020 mehr als die Hälfte der Unternehmen weltweit nicht über einen Business-Continuity-Plan. Hoffen wir, dass ihnen eine größere Katastrophe erspart bleibt.
Definition und Bedeutung eines Business-Continuity-Plan
Ein BCP lässt sich am besten als systematischer Plan verstehen, der Ihre Business-Continuity-Strategien um Menschen, Prozesse und organisatorische Strukturen ergänzt und diese in Aktionen umsetzt. Sie integriert menschengeführte Pläne und Schritte und verschiedene Informationssysteme. BCPs sind wichtig, weil sie die Idee der Geschäftskontinuität in kohärente, ergebnisorientierte Maßnahmen umsetzen. BCPs sind notwendig, weil es nicht ausreicht, über die Kontinuität des Geschäftsbetriebs nachzudenken, ohne einen konkreten Plan zu haben, wie man ihn umsetzen kann.
Der organisatorische Aspekt eines BCP ist von großer Bedeutung. Es ist zwar verlockend, Geschäftskontinuität als eine technische Angelegenheit zu betrachten, doch in Wirklichkeit geht es bei der Cyber-Resilienz um die Verbindung von Menschen mit Prozessen und Systemen. Die Geschäftskontinuitätsplanung befasst sich mit der Frage: „Wer wird im Katastrophenfall tätig?“ Der BCP beantwortet diese Frage mit vielen Einzelheiten, z. B. wenn Risiko X eintritt, wird Person A beauftragt, Y Schritte zur Wiederherstellung zu unternehmen. Wenn das Risiko Z eintritt, wird Person B beauftragt, die Maßnahme C zu ergreifen, um die Wiederherstellung einzuleiten, und so weiter.
Schritte zur Entwicklung eines BCP
Wie entwickelt man einen Business-Continuity-Plan? Zunächst muss jemand beschließen, einen BCP zu erstellen. Dies mag offensichtlich klingen, ist aber ein Schritt, den manche Unternehmen versäumen. Oder sie übertragen die Aufgabe jemandem, der nicht die Befugnis hat, den Plan zu verwirklichen. Hier ist die Unterstützung durch eine Führungskraft sinnvoll. Jemand, der genügend Einfluss hat, um Budgets zuzuteilen und Mitarbeitern Aufgaben zuzuweisen, muss für das Projekt verantwortlich sein oder es zumindest beaufsichtigen.
Der nächste Schritt ist die Bildung eines BCP-Teams. Diese setzt sich aus Mitarbeitern verschiedener Abteilungen zusammen, z. B. physische Sicherheit, Cyber-Sicherheit, IT, Personalwesen und einzelne Geschäftsbereiche. Gemeinsam bringen die Teammitglieder ihr Wissen über kritische Geschäftsprozesse ein, wie diese für die Wiederherstellung zu priorisieren sind und wie die Wiederherstellung ablaufen soll.
Das Team entwickelt die BCP. Dies kann einige Zeit in Anspruch nehmen, und die Teammitglieder haben zwangsläufig andere Aufgaben zu erledigen. Daher müssen alle geduldig sein und den Prozess in einem angemessenen Tempo ablaufen lassen. Zu den Ergebnissen gehören die BIA und die Wiederherstellungsstrategien sowie die Zuweisung spezifischer Aktionsschritte an Personen, die ihre Aufgaben und Verantwortlichkeiten kennen.
Der BCP-Entwicklungsprozess umfasst drei weitere Schritte, die im Katastrophenfall über Erfolg oder Misserfolg entscheiden können: Schulung, Prüfung und Aktualisierung. Jeder, von dem erwartet wird, dass er zur Aufrechterhaltung des Geschäftsbetriebs beiträgt, muss dafür geschult werden. Der gesamte Plan muss regelmäßig getestet werden, vielleicht einmal im Jahr. Wenn der Plan Lücken aufweist, werden diese durch Tests aufgedeckt. Bei den Tests stellt sich häufig heraus, dass die Mitarbeiter ihre Aufgaben nicht verstehen, was eine bessere Schulung zur Folge hat. Und da Unternehmen und Systeme dynamisch sind, muss das Team den Plan regelmäßig aktualisieren.
Herausforderungen bei der Geschäftskontinuitätsplanung
Bei einem BCP kann eine Menge schief gehen. Einige Herausforderungen haben nichts mit dem BCP selbst zu tun, sind aber dennoch für seinen Erfolg von Bedeutung. Wenn zum Beispiel keine Gegenmaßnahmen und Kontrollen vorhanden sind, um eine Katastrophe zu erkennen, bevor sie eintritt, kann das katastrophale Folgen haben. Cyber-Sicherheitslösungen zur Erkennung von Anomalien, um nur ein Beispiel zu nennen, können den Unterschied zwischen einem kleinen und einem unternehmensweiten Ausfall bedeuten.
Eine weitere Herausforderung für die BCP ist die Unterbesetzung des BCP-Teams oder ein Mangel an Ressourcen: Sie brauchen die Zeit und den Handlungsraum, um es richtig zu machen. Bei der Arbeit könnte das Team die geschäftlichen Auswirkungen und Wahrscheinlichkeiten einzelner Risiken falsch einschätzen. Oder sie könnten sich in der Festlegung der Wiederherstellungsstrategien irren. Aus diesem Grund sind Tests und Schulungen so wichtig, und ein Mangel an Tests kann gefährlich sein.
Erfolgreiche Umsetzung des Business-Continuity-Plans
Gute BCPs sind in einer Reihe von öffentlich bekannten Erfolgsgeschichten zur Geschäftskontinuität zu finden. So war die New York University beispielsweise auf die Auswirkungen der Anschläge vom 11. September 2001 vorbereitet, die nur zweieinhalb Meilen entfernt stattfanden. Die NYU hatte in weiser Voraussicht ein BCP und eine Kommandozentrale eingerichtet, die es der Universität ermöglichten, ihre Notfallmaßnahmen und Evakuierung mit den Rettungsdiensten und der Polizei zu koordinieren. Ihr BCP umfasste auch ihre elektronischen Systeme.
Lehren aus gescheiterten Kontinuitätsplänen
Wenn ein BCP fehlschlägt, besteht die beste Vorgehensweise darin, zu untersuchen, was schief gelaufen ist, und sich für das nächste Mal mit wirksameren Maßnahmen zu wappnen. So kam es beispielsweise bei Delta Airlines im Jahr 2016 zu einem schwerwiegenden IT-Ausfall. Eine lange Verzögerung bei der Inbetriebnahme von Backup-Systemen verursachte Verluste in Höhe von 100 Millionen USD und schadete dem guten Ruf der Fluggesellschaft. Die Geschäftsleitung stellte fest, dass die Fluggesellschaft von einem kohärenteren und aktuelleren Datenwiederherstellungsplan und den dazugehörigen Backup-Systemen als Teil ihres BCP hätte profitieren können.
Die kalifornische Kraftfahrzeugbehörde (DMV) hatte 2016 ein ähnliches Problem. Als die IT-Systeme ausfielen, waren beide Backup-Lösungen des DMV gleichzeitig offline. Dieses Ereignis führte dazu, dass das DMV für einige Tage nicht betriebsfähig war. Die Lektion, die wir hier gelernt haben, ist, dass Backup-Systeme nicht dieselbe Stromquelle nutzen sollten.
Die Zukunft von Business Continuity und BCP
Die Geschäftskontinuitätsplanung entwickelt sich ständig weiter. Technologieunternehmen und innovative Denker in der Geschäftswelt entwickeln neue Wege, um BCP besser, schneller und kostengünstiger durchzuführen. Zu den Fortschritten gehören die Automatisierung von Business-Continuity-Prozessen und die Anwendung von künstlicher Intelligenz (KI) auf Wiederherstellungsstrategien. Datensicherheitslösungen wie Rubrik, die die Auswirkungen von Ransomware-Angriffen verringern, stärken auch die Widerstandsfähigkeit, indem sie ernsthafte Cyber-Bedrohungen für die Geschäftskontinuität abmildern. Wie auch immer sich der BCP verändert, der Schlüssel zum Erfolg sind Anpassungsfähigkeit und Agilität in einer sich verändernden Unternehmenslandschaft.
FAQ
F: Was sind die drei Säulen der Geschäftskontinuität?
A: Die Geschäftskontinuität umfasst eine Risikobewertung, eine Analyse der Auswirkungen auf das Geschäft (BIA) und Wiederherstellungsstrategien.
F: Wie oft sollte ein Geschäftskontinuitätsplan (BCP) aktualisiert werden?
A: Ein BCP sollte regelmäßig aktualisiert werden, vielleicht einmal im Jahr, wobei in einer großen Organisation häufigere Aktualisierungen ratsam sein können. Wenn eine größere organisatorische Umstrukturierung stattfindet, sollte dies ebenfalls eine sofortige Aktualisierung der BCP nach sich ziehen.
F: Was ist ein Beispiel für Geschäftskontinuität?
A: Die Wiederherstellung von Daten aus einem Backup-System ist ein Beispiel für Geschäftskontinuität. Für den Fall, dass ein kritisches System, wie z. B. ERP, ausfällt, sollte ein Business-Continuity-Plan eine schnelle Wiederherstellung seiner Daten und Funktionen vorsehen.