Business Continuity Management

Unter Business Continuity Management (auf Deutsch Betriebliches Kontinuitätsmanagement) versteht man Methoden und Maßnahmen, die die Sicherstellung des Fortbestands des Unternehmens in Angesicht von Risiken mit hohen Schadensausmaß sicherstellen. Es geht also zum einen um den Schutz vor Unterbrechungen von Geschäftsprozessen und bei Eintreten eines Schadensfalls um die rechtzeitige Wiederaufnahme.

Notfallmanagement nach BSI 100-4

Initiierung

Die Initiierung ist die erste Phase des Notfallmanagements und bedeutet die Verantwortungsübernahme durch das Top-Management. Das bedeutet insbesondere, dass personelle und finanzielle Mittel bereitgestellt werden. Neben der Erstellung einer Leitlinie werden in dieser Phase auch die Rollen und Verantwortlichkeiten geklärt.

Konzeption eines Notfallvorsorgekonzepts

Neben einer (falls noch nicht geschehenen) Risikoanalyse und der Erstellung eines Notfallhandbuchs, fällt in diese Phase auch die Business Impact Analyse (BIA). Letztere soll für die Priorisierung von Geschäftsprozessen für den Krisenfall herangezogen werden. Die BIA setzt sich in Anlehnung nach BSI 100-4 aus folgenden Schritten zusammen:

• Auswahl der einzubeziehenden Organisationseinheiten und Prozesse
• Schadensanalyse
• Festlegung der Wiederanlaufparameter
• Priorisierung der Geschäftsprozesse
• Abschätzung des Ressourcenbedarfs
• Priorisierung der Ressourcen

Das Notfallhandbuch hingegen setzt sich unter anderem aus folgenden Teilen zusammen:

• Sofortmaßnahmen
• Krisenstableitfaden
• Krisenkommunikationsplan
• Geschäftsfortführungsplan
• Wiederanlaufplan

Umsetzung des Notfallvorsorgekonzepts

Diese Phase umfasst zum einen die Kosten- und Aufwandschätzung der in der vorherigen Phase ausgewählten Maßnahmen. Darüber hinaus werden die Maßnahmen natürlich durchgeführt und die Mitarbeiter werden sensibilisiert und geschult.

Notfallbewältigung

Ist ein Notfall aufgetreten, muss dieser natürlich bewältigt werden. Dazu gehört unter anderem auch die Meldung des Notfalls, die Eskalation, die Einleitung der Sofortmaßnahmen und die eigentliche Bewältigung. Letztere setzt sich aus den folgenden vier Phasen zusammen:

• Lage feststellen
• Lage beurteilen
• Maßnahmen festlegen
• Durchführen und Kontrollieren

Tests und Übungen

Wie der Name schon sagt, werden in dieser Phase die Bestandteile des Notfallmanagements auf Herz und Nieren geprüft. Dazu gehört beispielsweise das Testen der technischen Maßnahmen, die Übung des Krisenstabs oder die Simulation von möglichen Szenarien.

Aufrechterhaltung und Verbesserung

In die letzte Phase fallen regelmäßige Bewertungen des Notfallmanagements.

Quellen und Verweise

• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/standard_1004_pdf.pdf?__blob=publicationFile
• Vorlesung IT-Sicherheitsmanagement am KIT von Prof. Dr. H. Hartenstein