Geschäftsunterbrechungen minimieren – warum Business Continuity Management für alle Firmen Pflicht ist
Krisenereignisse wie Cyberangriffe, Naturkatastrophen und gestörte Lieferketten führen potenziell zu massiven Umsatzeinbußen – und bedrohen im äußersten Fall die Existenz von Unternehmen. Ein systematisches Business Continuity Management hilft dabei, kritische Teile des Geschäfts aufrechtzuerhalten und die Schäden zu minimieren.
Vor ein paar Jahren lag es vielleicht nicht für jedes Unternehmen auf der Hand, warum es vorteilhaft ist, auf Ausnahmesituationen gut vorbereitet zu sein. Mittlerweile ist das anders. Kaum ein Unternehmen war in letzter Zeit nicht auch selbst mit einer Krise konfrontiert und musste auf außergewöhnliche Umstände reagieren – sei es in Folge der Corona-Pandemie, durch Cyber-Vorfälle oder durch beeinträchtigte Lieferketten aufgrund der angespannten geopolitischen Lage.
In einer von Krisen gebeutelten Zeit ist es unabdingbar, den Geschäftsbetrieb auch in Ausnahmefällen weiterlaufen zu lassen. Genau das ist – wie der Name schon sagt – die zentrale Aufgabe des Business Continuity Managements (BCM). Die Management-Disziplin beschäftigt sich damit, wie Unternehmen schwierigen Situationen vorbeugen können und dadurch widerstandsfähiger werden.
Die grundlegende Idee dahinter ist einfach: Wer auf kritische Ereignisse vorbereitet ist, kann schlichtweg schneller und gezielter reagieren und dadurch Schäden abwenden. Im Ernstfall zählt jede Minute. Wer hingegen nicht vorbereitet ist, muss in einer stressigen und chaotischen Situation unter hohem Druck handeln, verliert wertvolle Zeit und macht Fehler.
Pläne für die Fortsetzung der Geschäftstätigkeit unter Krisenbedingungen
Ein Business Continuity Management System (BCMS) bzw. ein Betriebliches Kontinuitätsmanagement (BKM) definiert Pläne, wie der Betrieb nach einer Unterbrechung notfallmäßig weiterlaufen und schnell wieder in den Normalbetrieb übergehen kann. Wie die Pläne und Vorkehrungen konkret aussehen, ist von Fall zu Fall unterschiedlich.
Dabei hilft ein BCMS nicht nur bei kritischen Großereignissen, sondern gilt mittlerweile auch als wichtige Säule der Cybersicherheit. Da immer mehr Betriebsabläufe IT-gestützt stattfinden, können Cyberangriffe hohe Schäden anrichten. Das Business Continuity Management hilft dabei, sie abzufedern.
Einen übergeordneten Standard definiert die ISO-Norm 22301 mit dem Titel „Sicherheit und Resilienz – Business Continuity Management System – Anforderungen“. Sie fasst zusammen, was bei Planung, Aufbau, Implementierung und Verbesserung von Business Continuity Management Systemen zu berücksichtigen ist.
Benachbarte Disziplinen des Business Continuity Managements
Risikomanagement
Das Risikomanagement zielt darauf ab, Risiken zu identifizieren, zu beurteilen und Gefahrenpotenziale abzuschätzen. Es bildet eine wichtige Basis für BCM. Im Gegensatz zum reinen Risikomanagement betrachtet BCM explizit, wie die Geschäftstätigkeit unter erschwerten Bedingungen fortgeführt werden kann.
Incident Management
Das Incident Management bezeichnet Praktiken zur Bewältigung eingetretener Cyber-Vorfälle wie dem Einbruch in IT-Systeme und dem Diebstahl von Daten. Während die Behandlung solcher Vorfälle im Bereich der Informationssicherheit ein wichtiger Teil von BCM ist, geht BCM insgesamt darüber hinaus. Es adressiert auch anders geartete Szenarien, die zu Einschränkungen führen.
Nachholbedarf bei kleinen und mittelgroßen Unternehmen
Auch wenn aktuell das Bewusstsein für Krisen und ihre Auswirkungen geschärft ist, verfügt längst nicht jedes Unternehmen über ein ausgewachsenes BCMS. Gerade kleinere und mittelgroße Unternehmen (KMU) sind häufig nicht angemessen vorbereitet und gehen dadurch hohe Risiken ein.
Wie effektiv das Business Continuity Management ausgestaltet wird, hängt jedoch nicht nur mit der Implementierung eines Managementsystems zusammen. Entscheidend ist vor allem eine sinnvolle und praxisgerechte Umsetzung konkreter Maßnahmen. Im Zweifelsfall ist selbst eine rudimentäre Auseinandersetzung mit Business Continuity Management und die Vorbereitung von vereinzelten Checklisten und Notfallplänen besser, als völlig unvorbereitet zu sein.
Die fünf wichtigsten Schritte für ein vorbeugendes Krisenmanagement
Wie das BCM in einem Unternehmen im Detail ausgestaltet wird, ist sehr individuell. Die grundlegenden Schritte sind aber stets ähnlich:
1. Kritische Prozesse und Ressourcen analysieren
Zunächst geht es darum, wesentliche Geschäftsprozesse und Ressourcen unter die Lupe zu nehmen. Diesen Schritt nennt man auch Business Impact Analyse. Was benötigt das Unternehmen auf jeden Fall, um sein Geschäft aufrechtzuerhalten? Das können bestimmte IT-Systeme, Produktionsfähigkeiten, Rohstoffe, Dokumente oder auch Mitarbeiter mit bestimmtem Know-how sein.
2. Bedrohungen identifizieren
Im zweiten Schritt stehen die möglichen Bedrohungen im Rahmen einer Risikobewertung im Fokus. Welche Gefahrenpotenziale gibt es und wie wirken sie sich auf das Geschäft aus? Wie wahrscheinlich ist der Eintritt bestimmter Risiken?
Mögliche Ursachen für Unterbrechungen und Ausfälle sind zum Beispiel:
- Cyberangriffe wie Ransomware- und DDoS-Attacken
- Naturkatastrophen wie Überschwemmungen und Erdbeben
- Stromausfälle und Brände
- Ausfall wichtiger Mitarbeiter
- Epidemien und Pandemien
- Regulatorische Änderungen
- Gestörte Lieferketten
3. Notfallkonzept entwickeln
Auf Basis der vorherigen Schritte lässt sich nun ein Notfallkonzept entwickeln. Es enthält typischerweise sowohl eine Auflistung präventiver Maßnahmen als auch klare Handlungsanleitungen für Notfälle in Form eines Notfallhandbuchs bzw. Notfallplänen.
Letztere geben konkrete Anweisungen für bestimmte Situationen. Was ist zum Beispie