BCM: Vorbereitung auf den Ernstfall
Im März 2021 wütete ein Brand im französischen Straßburg, der international Schlagzeilen machte. Er zerstörte ein Rechenzentrum von Europas größtem Cloud-Anbieter OVHcloud vollkommen und ein anderes teilweise, zwei weitere mussten vorübergehend vom Netz genommen werden. Dieses Ereignis erwies sich nicht nur für OHVcloud als Katastrophe, sondern auch für viele Kunden des Anbieters. Besonders traf es Unternehmen, die keine Sicherheitskopien ihrer Daten angelegt hatten und keine Strategie für einen Notfall besaßen.
Leider lassen sich Ereignisse wie dieses nicht ausschließen. Aber mit einem Business Continuity Management (BCM) können Unternehmen dafür sorgen, dass sie im Notfall vorbereitet sind und beispielsweise ein Brand nicht zu einer existenziellen Bedrohung wird.
Was ist ein Business Continuity Management und warum ist es so wichtig?
Das zentrale Ziel eines Business Continuity Managements (kurz BCM, Geschäftskontinuitäts-Management) besteht darin, dass Unternehmen in einem Notfall schnell und zielgerichtet reagieren können, um Schäden zu minimieren und dafür zu sorgen, dass wichtige Geschäftsprozesse weiterlaufen oder möglichst schnell wieder aufgenommen werden können. Ein wichtiger Aspekt ist dabei heute die IT.
Eine wesentliche Rolle spielt in diesem Zusammenhang die Erstellung von Notfallvorsorgekonzepten, die auf grundlegende Fragen eingehen. „Was können wir tun, um im Ernstfall gut aufgestellt zu sein? Wie sieht der Notfall- bzw. Krisenstab aus, wer ist ein Teil davon und wer tut was?“ Solche Fragen zu beantworten, sei für Unternehmen schon immer wichtig gewesen, betont Christoph Thiel, Dozent und Experte für Informationssicherheit und Business Continuity Management. Allerdings hätten Medienberichte in der jüngsten Vergangenheit speziell die Risiken nicht nur für die Informationsverarbeitung, sondern auch für die Geschäftsfortführung ins Bewusstsein gerufen, sodass das Thema aktuell prominenter sei als noch vor einiger Zeit.
Trotzdem, so Christoph Thiel, würden sich viele Geschäftsführerinnen und Geschäftsführer immer noch zu wenig damit befassen. Dabei gibt es seit Kurzem einen neuen Standard, der Einsteigerinnen und Einsteigern entgegenkommt.
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
Die Anzahl der Cyberangriffe auf Unternehmen wächst in den letzten Jahren stetig an. Sie treten in den vielfältigsten Varianten in der Praxis auf. In jedem Fall müssen die betroffenen Unternehmen fähig sein, sich von diesen Angriffen wieder zu befreien. Nicht zuletzt durch die NIS-2-Richtlinie gewinnt Incident Management an Bedeutung. Zuständig sind Security Incident Manager und Managerinnen, auch genannt Incident Response Manager und Managerinnen. Diese erhalten in unserem dreitägigen Seminar zum Security Incident Manager (TÜV) Grundlagen an die Hand, um Schäden durch Cyberangriffe abzuwenden.
In dieser Schulung lernen Sie die wesentlichen Aufgaben eines BCM-Praktikers (auch Business Continuity Manager, Business Continuity Management Beauftragter oder auch IT-Notfallbeauftragter genannt) kennen. In der Schulung zum BCM-Praktiker (TÜV) halten wir uns an das Curriculum des BSI (Bundesamt für Sicherheit in der Informationstechnik). Sie erfahren, welches die entscheidenden Faktoren für den Erfolg eines Business Continuity Management Systems (BCMS) sind und wie Sie häufig auftretende Fallstricke vermeiden können. Durch Belegung unserer Schulung sind Sie als BCM-Praktiker bzw. BCM Manager in der Lage, ein BCMS in Ihrer Institution zu initiieren, zu implementieren sowie aufrechtzuerhalten und zu verbessern. Dazu können Sie den BSI-Standard BSI 200-4 des IT-Grundschutz sowie den Standard ISO 22301 anwenden.
Der modernisierte BSI-Standard 200-4 erleichtert den Einstieg ins BCM
Die zweite Vorversion – Community Draft 2.0 – stand seit Ende September 2022 nach Einfließen von Änderungen zur Verfügung. Am 14. Juni 2023 ging schließlich der finale BSI-Standard 200-4 Business Continuity Management nach seiner Veröffentlichung an den Start.
Christoph Thiel zeigt sich sehr angetan von dem Neuling:
„Schon der Vorgänger 100-4 ist ein sehr guter Standard, der allerdings schon einige Jahre alt ist und sich auf andere alte BSI-Standards bezieht. Deshalb war es notwendig, ihn zu modernisieren. Dabei wurde einiges weiter verbessert.“
Mit diesen Eigenschaften kommt der BSI-Standard 200-4 laut Christoph Thiel auch kleinen Unternehmen und solchen, die zum ersten Mal ein Business Continuity Management angehen, entgegen: „Unternehmen können nun sagen: Wir haben angefangen und wir wissen, es ist nicht perfekt, aber wir haben im Rahmen unserer Möglichkeiten etwas getan und es ist sogar standardkonform.“
Wesentliche Inhalte sind die folgenden:
- Anders als sein Vorgänger ist der BSI-Standard 200-4 selbsterklärend. Er lässt sich, obwohl er teilweise auf andere Standards Bezug nimmt, alleine lesen.
- Außerdem kommt er den unterschiedlichen Bedürfnissen von Unternehmen entgegen, indem er drei verschiedene Abstufungen eines BCM definiert:
-
In der Einstiegsstufe, dem reaktiven Business Continuity Management, beschränken sich Unternehmen auf erste wesentliche Schritte.
-
In der zweiten Stufe konzentrieren sie sich auf die wichtigsten Geschäftsprozesse, wenden für diese aber ein „richtiges Business Continuity Management System (BCMS)“ an.
-
Am Ende steht ein vollumfängliches BCMS, das mit dem internationalen Standard ISO 22301 kompatibel ist.
- Schließlich enthält der Standard BSI 200-4 viele Details zu unterschiedlichen Rollen und Abläufen im Notfall. In der finalen Fassung wird es zusätzlich Beispielmaterial und sogar Schulungsvorlagen geben.
BCMS vs. ISMS – Unterschiede, Gemeinsamkeiten, Synergien
Business Continuity Management und Information Security Management beziehungsweise Informationssicherheitsmanagement werden oft in einem Atemzug genannt.
Allerdings unterscheiden sie sich zentral voneinander:
-
Das Business Continuity Management System konzentriert sich auf Notfälle.
-
Ein Informationssicherheitsmanagement hat zum Ziel, die wesentlichen Informationen eines Unternehmens im normalen Betrieb zu schützen.
Christoph Thiel vergleicht diesen Unterschied mit dem zwischen Arzt und Notarzt: „Sie gehen zum normalen Arzt wegen eines Schnupfens. Der Notarzt versucht, Sie zu stabilisieren und ins Krankenhaus zu bringen, damit Sie überleben.“
Idealerweise besitzen Unternehmen beides, ein ISMS und ein BCMS, um sowohl im laufenden Betrieb als auch im Katastrophenfall geschützt zu sein. Außerdem sollten sie beim Aufbau einige Dinge beachten.
Klare Vorgaben sind entscheidend für ein erfolgreiches BCM
Für Christoph Thiel entscheiden zwei grundsätzliche Dinge darüber, ob ein Business Continuity Management ein Erfolg wird:
-
Die Geschäftsführung beziehungsweise Institutionsleitung muss eine Strategie festlegen und ihre Ziele klar kommunizieren.
-
Wenn das BCM eine großflächige Absicherung möglich machen soll, brauchen Beauftragte die entsprechenden Ressourcen. Das fängt damit an, dass ein Business Continuity Management in diesem Fall ein „Vollzeitjob“ ist.
Leider beobachtet Christoph Thiel in der Realität häufig folgende Situation: „Die Institutionsleitung beschließt, ein Business Continuity Management in Angriff zu nehmen, und ernennt eine Beauftragte oder einen Beauftragten dafür, aber die Person weiß gar nicht, in welcher Tiefe das BCM gewünscht ist. Das führt oft zu Frustration und zu falschen Erwartungen.“
Die Häufigkeit von Business-Continuity-Management-Systemen nimmt zu
Allgemein lässt sich beobachten: Corona hat vielen Unternehmen die Wichtigkeit von Notfallvorsorgekonzepten vor Augen geführt. Entsprechend nimmt die Zahl derjenigen Firmen zu, die sich mit einem Business Continuity Management beschäftigen.
Christoph Thiel geht davon aus, dass in Zukunft auch mehr Unternehmen von der Möglichkeit Gebrauch machen, ein BCMS über Umwege zertifizieren lassen. Denn der BSI-Standard 200-4 wird vollständig kompatibel zur ISO 22301, und danach lässt sich – anders als früher – ein Business-Continuity-Management-System zertifizieren. So sind Unternehmen nicht nur für Notfälle besser aufgestellt, sie können dies auch anderen gegenüber nachweisen.
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-41
abartsch@tuev-nord.de