Business Continuity Management, oder kurz BCM, ist nicht weniger als das Schaffen von Handlungsgrundlagen für den unternehmerischen Super-GAU. Pläne und Präventivmaßnahmen, die schwerste Verheerungen nicht nur unwahrscheinlicher machen sollen, sondern ebenso funktionierende Werkzeuge bereitstellen, falls die Prävention scheitern sollte.
Digitale Technik kann im Rahmen von BCM sowohl Grund als auch Hilfsmittel sein. Allerdings ist ein rein digitales Continuity Management keinesfalls frei von Fehlern. Die wahre Kunst einer umfassenden Absicherung besteht darin, digitale Module geschickt mit analogen zu unterfüttern und zu ergänzen. Was Firmen hierzu tun können, haben wir auf den folgenden Zeilen skizziert.
Jeder unternehmerisch tätige Leser kann sich an dieser Stelle kurz eine Frage stellen:
Was wären die in meinem Unternehmen möglichen worst Cases, die
den Betrieb herb beeinträchtigen oder sogar völlig verunmöglichen würden?
Höchstwahrscheinlich wird bei der Beantwortung häufig das Thema Cybercrime weit oben stehen. Dazu Fälle wie Datenlecks, der Ausfall des Cloud-Anbieters (egal aus welchen Gründen) oder Crashs der Inhouse-IT.
Ja, das sind in der Tat Ausnahmesituationen, die durch ein sauberes Business Continuity Management angesprochen werden müssen. Schlicht, weil der unternehmerische Digitalisierungsgrad heutzutage extrem hoch ist. Selbst Betriebe, bei denen die grundlegenden Arbeitsweisen eher analog sind, weisen heutzutage eine unverzichtbare digitale Komponente auf. Denken wir an Buchführung, Personaldaten oder Steuern.
Allerdings wäre es gefährlich einseitig, BCM ausschließlich auf das Thema Digitalisierung zu fokussieren. Denn der Kern eines guten Business Continuity Managements ist es
Es geht also darum, das Überleben eines Unternehmens zu sichern, selbst wenn Vorfälle geschehen, die ein herkömmliches Operieren völlig verunmöglichen. Darunter fallen tatsächlich diverse digitale Gefahren. Etwa DDoS-Angriffe auf die betrieblichen Webdienste oder das Blockieren der gesamten IT durch eine Ransomware-Attacke. Ebenso spricht BCM jedoch andere Risiken an:
Dabei sei unterstrichen, dass diese Liste längst nicht abschließend ist. Sie soll lediglich zeigen, wie vielfältig die unternehmerischen Gefahren sind, die durch ein Business Continuity Management angesprochen werden.
Dahinter steht ein Grundgedanke:
Wenn ein solcher Ernstfall eintrifft, dann muss es schnell gehen.
Gleichsam wird jedoch der Schock ein koordiniertes Handeln stark
erschweren oder gar verunmöglichen. BCM ist der Versuch, in
diesen Fällen ein faktenbasiertes, sorgsam vorgeplantes Vorgehen
zu ermöglichen, damit zum Schaden nicht noch weitere Gefahren
durch Kopflosigkeit und vorschnelles Handeln hinzukommen.
Digitale Techniken können hierbei vielfach ein Schlüssel sein. Allerdings gibt es betriebliche Super-GAU, die es schlichtweg verunmöglichen, Digitales als Gegenmittel zu nutzen. Nehmen wir einen größeren, länger andauernden Stromausfall. Selbst, wenn wichtige Teile der unternehmerischen IT mit Akkus versehen wären, so sind diese doch spätestens nach einigen Stunden leer – ebenso wie es mit Rechenzentren und Mobilfunkmasten und somit der Connectivity geschehen wird.
Nun könnte man vielleicht argumentieren, in einer solchen „Großlage“ wäre es generell vergebens, den Betrieb aufrecht zu erhalten. Wer jedoch so denkt, der irrt – und sei es nur, weil es notwendig sein könnte, das Unternehmen kontrolliert herunterzufahren und zu schützen und wichtige Kunden/Partner zu informieren.
Das bedeutet: Wer ein wirklich stringentes und vor allem möglichst viele Szenarien gleichermaßen ansprechendes BCM betreiben möchte, sollte sich von der Vorstellung verabschieden, Digitaltechnik wäre die Lösung für alles. Einige analoge Helfer sollte es deshalb stets geben, selbst wenn sie „nur“ unmittelbar mit dem Digitalen verflochten sind.
Analoge Helfer können in verschiedenen Szenarien für sich allein das BCM sicherstellen. In anderen Fällen können sie dabei helfen, digitale Lösungen besser oder überhaupt funktionsfähig zu machen. Folgende Liste stellt diesbezüglich eine sinnvolle, absichtlich breit aufgestellte Basis dar.
Sie kann in jedem Unternehmen ungeachtet seiner Ausrichtung angewendet werden. Dabei sollten jedoch Entscheider die folgenden Punkte nicht als abschließend betrachten. Je nach Firma und Größe kann es durchaus sinnvoll sein, die hier genannten Elemente entweder abzuwandeln oder noch weitere Dinge zu ergänzen.
Checklisten und Wenn-Dann-Pläne
Wie bereits weiter oben erwähnt: Wenn etwas geschieht, das die Nutzung von BCM-Bestandteilen erforderlich macht, dann wird es auf sämtlichen Hierarchieebenen des Unternehmens bereits erhebliche Konfusion geben – schließlich ist man weit entfernt vom üblichen Normalzustand.
Natürlich ist es zur Verminderung dieser Konfusion äußerst wichtig, immer wieder mit der gesamten Belegschaft verschiedene BCM-Szenarien in der Praxis zu üben. Die Erfahrung lehrt jedoch: Selbst ein noch so gut vorbereitetes Team kann und wird in der Praxis nicht so präzise agieren wie in Übungen. Schlicht, weil es jetzt die chaotische Realität ist, die zudem höchstwahrscheinlich an einigen Punkten von den geübten Szenarien abweicht.
Angesichts dessen empfiehlt es sich dringend, sich weder (ausschließlich) auf Erfahrungen zu verlassen noch flexibles ad-hoc Handeln. Selbst Piloten mit tausenden Flugstunden greifen in Standard- und Ausnahmesituationen in der Luft zu entsprechenden Listen und arbeiten sie konsequent ab.
Unternehmen sollten es nicht anders handhaben. Das heißt, basierend auf den erarbeiteten Szenarien für das Business Continuity Management werden Pläne erstellt – die zudem immer wieder an Erfahrungen oder Neuerungen angepasst werden müssen.
Hierfür bieten sich zwei Arten der Strukturierung an:
Naturgemäß müssen beide Varianten mit viel Weitsicht und Sorgfalt erstellt werden. Sie sind nichts, was sich im Alltagsbetrieb „nebenher“ aufbauen lässt. Und: Niemals sollten diese Checklisten nur digital verfügbar sein. Sie gehören vielmehr
Wer hundertprozentige Sicherheit möchte, würde Duplikate sogar auf Orte außerhalb des Unternehmens verteilen. Etwa zuhause beim CEO, den jeweiligen Abteilungsleitern et cetera.
Naturgemäß muss jedem bekannt sein, a) dass derartige Listen existieren, b) wo sie sich befinden, c) wie sie erreichbar sind (Stichwort Tresorkombinationen) und d) wie man sie benutzt. Daher ist es wichtig, sie immer wieder bei Übungen zu verwenden und zumindest im Umfeld des Onboardings von Führungskräften zu thematisieren.
Sinnvolle Hardware-Bevorratung
Wie bereits angesprochen ist jedes Unternehmen heute zu einem gewissen Grad digital aufgestellt. Doch ganz gleich, ob das ganze Thema IT inhouse gehandhabt wird oder es beispielsweise Verträge mit IT-Dienstleistern gibt, hier bestehen zwei signifikante Herausforderungen:
Hier darf man sich nun vorstellen, welche BCM-relevante Wirkmacht ein einzelner ausfallender Hardware-Baustein entfalten kann. Etwa die Festplatte eines Servers, das Netzteil eines Computers oder sogar nur der Westernstecker am Telefonhörer an der Anmeldung des Hauses. Im Prinzip können hier buchstäbliche Cent-Beträge ein ganzes Unternehmen ausbremsen.
Naturgemäß wäre es wirtschaftlich nicht zielführend, von jedem Hardware-Baustein ein Duplikat einzulagern. Wohl aber sollte in Zusammenarbeit mit den IT-Experten des Hauses eine Liste erstellt werden. Bausteine, die wirklich unverzichtbar sind. Etwa Netzteile, Festplatten, Akkus, aber ebenso solche trivial anmutenden Einzelteile wie Tastaturen, Mäuse und Kabel.
Nicht zuletzt sollte das Thema aus Sicht von Cyberattacken betrachtet werden. Sind beispielsweise im Lager „saubere“ Festplatten vorhanden, eventuell sogar schon vorinstalliert, können selbst Ransomware-Angriffe ins Leere laufen.
Doch erneut gilt: Die Anschaffung und Bevorratung solcher IT-Bausteine allein ist nur der erste Schritt, der erst durch mehrere weitere perfektioniert wird:
Übrigens: Es empfiehlt sich unbedingt, hier ein maximal simples Festnetztelefon ohne Display und somit notwendige Stromversorgung zu lagern. Ein Gerät, das direkt (also nicht über Router/Modems) mit dem Gebäudeanschluss verbunden werden kann. Selbst, wo heute die Festnetztelefonie über VoIP abgewickelt wird, bleibt damit der Kontakt zu den (notstromversorgten) Knotenpunkten möglich.
Wichtige Codes und Kontaktdaten
Verschiedene äußere Umstände wirken deshalb so schwerwiegend, weil sie uns aufzeigen, wie abhängig wir von Digitaltechnik geworden sind. Ein Beispiel dafür ist alles, was in einem typischen Unternehmen unter den Oberbegriff Kontakt- und Zugangsdaten fällt. Etwa
Derartige Informationen werden heutzutage in vielen Betrieben ausschließlich digital abgelegt und abgerufen. Für das alltägliche Geschäft in einem möglichst papierlosen Büro sicherlich die praktikabelste und sicherste Lösung. In verschiedenen Ausnahmefällen jedoch ein veritables Hindernis – explizit nicht nur bei Stromausfällen.
Es empfiehlt sich daher dringend, solche Daten in ausgedruckter und ebenfalls laminierter Form vorzuhalten. Natürlich müssen diese dann in die entsprechenden Update-Prozesse von Passwörtern mit einbezogen werden. Dann jedoch können sie eine unschätzbare Hilfe sein, wenn sämtliche anderen Daten unerreichbar auf Festplatten sind.
Planen und Klebebänder
Einige Bausteile, die der Business Continuity zuträglich sind, sind nicht nur äußerst günstig, sondern wirken in einer hochtechnisierten Welt geradezu abstrus simpel. So wahrscheinlich diese: Einige möglichst große „Baumarktplanen“ aus kunststoffbeschichtetem Gewebe. Dazu mehrere Rollen breites Faserklebeband, manchen besser bekannt als Panzer- oder Gaffa-Tape.
Doch wozu? Etwa, um nach einem schweren Unwetter die IT vor Regen zu schützen. Oder um zerbrochene Fensterscheiben wenigstens notdürftig zu schließen. Vielleicht, um Verlängerungskabel provisorisch an Wänden zu befestigen oder um vor einer Sturzflut die Türen ins Gebäude abzudecken.
Ähnlich vielfältig wie die Anwendungsfälle von BCM sind, sind es die Einsatzszenarien für etwas so Simples wie Plane und Klebeband – vielleicht noch ergänzt um eine große Packung Kabelbinder und eine Rolle mit einigen Dutzend Metern Kunststoffschnur.
Stromerzeuger und -speicher
Elektrischer Strom entsteht bekanntlich stets dann, wenn sich Elektronen in einem geschlossenen Leitungssystem bewegen. Ähnlich, wie deshalb die reguläre Stromversorgung durch Kraftwerke unterschiedlichster Bauart sichergestellt wird, verhält es sich bei der Notstromversorgung von Betrieben.
Einfach ausgedrückt: Einmal abgesehen von Industrieunternehmen, die nicht nur hohe Spannungen, sondern enorme Strommengen benötigen, gibt es fast immer einen Weg, Strom in Notfällen lokal herzustellen – und so wenigstens einen absoluten Notbetrieb aufrechtzuerhalten.
Doch was ist dazu nötig? Hier empfehlen sich mehrere Bausteine. Beispielhaft sei hierzu eine Lösung für ein eher „bürolastiges“ Startup skizziert.
Natürlich, selbst ein kleines Startup wird nicht in Gänze durch ein herkömmliches Stromerzeugeraggregat aus dem Baumarkt betrieben werden können; vielleicht nicht einmal durch zwei oder drei Geräte.
Wohl aber wäre es absolut möglich, damit einen einzelnen Computer, einen mobilfunkfähigen Router, etwas Beleuchtung und eine Telefonanlage zu betreiben. Das wiederum kann durchaus den Unterschied machen, ob eine Firma vollkommen stillsteht oder ob sie wenigstens die wichtigsten Angelegenheiten noch regeln kann.
Zudem existieren bei den Stromerzeugern Lösungen, die deutlich mehr leisten. In diesem Fall sprechen wir von einigen Dutzend und mehr Kilowatt Leistung. Da solche Systeme jedoch entsprechende Summen kosten, seien sie hier nur der Vollständigkeit halber erwähnt.
Bargeld
Einmal angenommen, der worst Case, der das Business Continuity Management auf den Plan ruft, ist ein Cyberangriff, durch den der Zugang zu sämtlichen Firmenkonten verunmöglicht wird. In einem solchen Fall ist das Unternehmen akut zahlungsunfähig. Nicht, weil es das Geld nicht hat, sondern weil es diese Mittel bis auf Weiteres nicht nutzen kann. Mitunter spielt hier das Verhalten der jeweiligen Bank ebenfalls eine nicht gerade unterstützende Rolle.
Was kann ein solcher Betrieb in diesem Moment tun, wenn es beispielsweise für das Operieren nötig ist, Firmenfahrzeuge aufzutanken oder einen Kauf zu bezahlen, der nicht auf Rechnung beglichen werden kann?
Wer derartige Problemstellungen versteht, der dürfte ebenso verstehen, warum es sich kein Unternehmen buchstäblich „leisten kann“, nicht jederzeit eine gewisse Bargeldsumme zur Verfügung zu haben. Zumal es ebenso zu Situationen kommen kann, in denen niemand Zugriff auf irgendwelche Konten oder Bankautomaten hat. Abermals beispielsweise aufgrund eines Stromausfalles.
Das müssen aus Firmensicht keine gigantischen Summen sein, die in einem Tresor oder einem Bankschließfach gelagert sind (hier unbedingt auf den versicherten Wert achten). Bereits 10.- oder 15.000 Euro können bereits genügen. Natürlich ist das totes Kapital. Doch ähnlich, wie alle anderen in diesem Text geratenen Ausgaben, macht sich dieser Wert in entsprechenden Notfällen doppelt und dreifach bezahlt.
Unverzichtbare Werkzeuge
Der Strom ist weg, das elektronische Türschloss ist tot. Wie käme der Firmenbesitzer nun in sein eigenes Unternehmen, wenn er keinen Schlüsseldienst rufen kann? Oder vielleicht solche Fälle: Nach einem klimawandelbedingten Extrem-Wolkenbruch drohen die Kellerräume überflutet zu werden. Diejenigen, in denen die Server des Unternehmens stehen. Und die Feuerwehren sind bereits völlig überlastet.
Es sind solche und viele ähnliche Fälle, die begreifbar machen, wie sinnvoll es sein kann, selbst in Nicht-Handwerksbetrieben stets verschiedene Werkzeuge vorrätig zu halten. Tatsächlich genügt dabei eine typische Grundausstattung, wie sie auch von Heimwerkern genutzt wird. Dazu noch
und im Zusammenspiel mit dem Generator lassen sich verschiedene Katastrophen abwenden, bevor sie sich wirklich verheerend auswirken. Erneut gilt: Im Alltag werden diese Dinge selten bis nie benötigt. Wenn jedoch der Zeitpunkt kommt, sind sie vielleicht ihr Gewicht in Gold wert.
Wenig technische Arbeitsmittel
Insbesondere im Office-Bereich funktioniert heute fast gar nichts mehr ohne Computer, Kopierer, Drucker und ähnliche hochtechnisierten Geräte. Damit ist die Arbeitsfähigkeit eines solchen Unternehmens direkt an diese Technik und deren Stromversorgung angebunden.
Doch was, wenn die Systeme gehackt wurden und kein einziger Computer benutzt werden kann, bis IT-Profis ihn überprüft, gesäubert und für sicher befunden haben? Was, wenn vandalisierende Einbrecher das papierlose Büro verwüstet haben und nicht einmal mehr ein Tablet heil ist, um eine Bestandsaufnahme zu machen? Was, wenn mitten in einer wichtigen Präsentation vor Kunden der Strom ausfällt und alles nur mit dem Beamer funktioniert?
All das ist ein starkes Argument dafür, einige wenig technische Arbeitsmittel vorzuhalten, damit stets ein gewisser Notbetrieb möglich ist, wo die Arbeitsweise ihn gestattet:
Damit kann ein Unternehmen selbst in der heutigen Zeit noch so manche Arbeit durchführen, die vielleicht den Unterschied machen kann. Natürlich, es kann hier nicht darum gehen, einen vollwertigen Ersatzbetrieb zu gewährleisten. Wohl aber darum, einen totalen Stillstand zu vermeiden – und wenn es nur dazu dient, irgendeine Form von Handlungsfähigkeit nach außen zu demonstrieren und den Teammitgliedern eine sinnvolle Beschäftigung zu geben.
Anders formuliert: Diese Werkzeuge ermöglichen es, aus der Not eine Tugend zu machen. Wenn beispielsweise die Computersysteme nicht genutzt werden können, lässt sich vielleicht mit Block und Stift eine funktionale Inventur aufziehen – oder eine Pressemeldung, ein Brief an die Kunden oder Ähnliches verfassen.
Zusammengefasst
Anders Business Continuity Management bedeutet nicht weniger, als sich und sein Unternehmen auf sämtliche nur denkbaren Realitäten vorzubereiten. Angesichts dessen wäre es vermessen, dabei lediglich an rein digitale Probleme zu denken und sich nur darauf vorzubereiten. Business-Continuity-Werkzeuge können schon dann nötig sein, wenn es einen plötzlichen Stromausfall gibt oder ein Extremwetter Fenster beschädigt. Ein sicherheitsbewusstes Unternehmen plant auch für solche Notfälle vor, indem es Werkzeuge bereitstellt, die nicht nur in einer vollständig funktionierenden digitalen Infrastruktur weiterhelfen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…