Wirtschaftskrisen, kriminelle Angriffe, Brände, Naturkatastrophen, Pandemien: Unerwartete Ereignisse treffen jedes Unternehmen. In solchen Situationen sind wirksame Notfallpläne erforderlich, um sich schnell zu erholen, den Betrieb wieder in Gang zu bringen und die Verluste zu minimieren. Der größte Fehler besteht darin, die Wahrscheinlichkeit und die Auswirkungen solcher Vorfälle zu unterschätzen, was zeigt, wie wichtig die Geschäftskontinuität für Firmen ist. Vor allem KMU, deren Fortbestand durch eine Krise jeglicher Art bedroht sein kann, stehen unter erhöhtem Druck, Maßnahmen zum Management der Geschäftskontinuität und Wiederherstellungsprozesse einzuführen und aufrechtzuerhalten.
Eine Einführung in die Geschäftskontinuität und die Bedeutung des IT-Kontinuitätsmanagements
Die COVID-19-Pandemie ist das jüngste und beste Beispiel für eine Beeinträchtigung, bei der Unternehmen Business-Continuity-Pläne benötigten, um schnell auf Fernarbeit umzustellen, Lieferketten anzupassen oder eine Wiederherstellung zu planen. Gemäß der Norm ISO 22301:2019 (eine Norm der Internationalen Organisation für Normung (ISO)) beschreibt Business Continuity die “Fähigkeit einer Organisation, die Lieferung von Produkten und Dienstleistungen innerhalb akzeptabler Zeiträume mit vordefinierter Kapazität während einer Systemkrise fortzusetzen”. Die ISO-Norm empfiehlt außerdem einen systemischen Ansatz für das Business Continuity Management durch die Einrichtung und Pflege eines Business Continuity Management Systems (BCMS).
Das IT-Krisen- oder IT-Service-Continuity-Management (ITCM) zielt auf die Sicherung der IT-Infrastruktur im Störungsfall ab und ist ein wichtiger Teil des Business-Continuity-Managements (BCM), da es die Infrastruktur für das gesamte Unternehmen bereitstellt. Grundlegend für BCM ist eine kritische Bewertung und Klassifizierung der Geschäftsbereiche und Dienstleistungen des Unternehmens. Für jeden Dienst, einschließlich der wesentlichen Infrastruktur, der IT-Systeme, der Kundenanwendungen, der Kommunikationssysteme sowie des Personals und der Standorte, die diese Dienste betreiben, muss die Toleranzschwelle für die Reduzierung oder den Ausfall (im Falle einer Notfallsituation) festgelegt werden. Diese Dienste müssen nach Prioritäten geordnet, akzeptable Ausfallzeiten festgelegt und Budgets für vorbeugende Maßnahmen entsprechend zugewiesen werden. BCM gibt die Parameter für ITCM vor, aber ITCM plant die Verfügbarkeit und Wiederherstellung im Falle eines Vorfalls. Unternehmen müssen also mehrere Pläne für alle möglichen Ausfallszenarien hinsichtlich Reaktion, Koordination, Wiederherstellung und Wiederanlauf erstellen. Außerdem umfasst ITCM das Management der Risiken für die IT-Systeme und -Infrastruktur im Voraus. Wirksame Notfallpläne können die Kosten von Ausfallzeiten immens senken, die Widerstandsfähigkeit des Unternehmens verbessern und den Ruf des Unternehmens wahren.
Ein Beispiel aus Straßburg verdeutlicht die Bedeutung von BCM und ITCM: Am 3. März 2021 geriet eines der vier Rechenzentren des französischen Cloud-Anbieters OVH in Brand, wobei umfangreiche Datenmengen zerstört wurden. OVH musste alle Zentren abschalten, was zu einem vorübergehenden Ausfall von 3,6 Millionen Websites in verschiedenen Ländern führte – sogar staatliche Domains und 1,9 % aller “.fr”-Domains. Da viele Unternehmen nicht den zusätzlichen Backup-Service in einem anderen, weit entfernten Rechenzentrum erworben hatten, waren ihre Daten unwiederbringlich verloren.
BCM & ITCM – eine Herausforderung für die Umsetzung für KMU
Was können wir aus dem oben erwähnten katastrophalen Vorfall lernen? Kontinuitätsmanagement und Resilienz sind extrem wichtig. Unternehmen, egal welcher Größe, müssen eine Strategie für den Umgang mit Risiken haben, z. B. wo und wie sie ihre Daten hosten. Kleine und mittelgroße Unternehmen stehen jedoch oft vor Hindernissen, die sie daran hindern, wirksame BCM- und ITCM-Prozesse zu installieren:
-
Der Grund dafür ist oft ein mangelndes Bewusstsein. Die Unternehmen unterschätzen die Bedeutung von Notfallplänen und die Auswirkungen, die ein Vorfall auf verschiedene Interessengruppen haben kann;
-
Dieses Thema kann Unternehmen auch aus ihrer Komfortzone bringen, da BCM sie mit ihren größten Befürchtungen konfrontiert;
-
Der Glaube, dass die Ressourcen von KMU zu begrenzt sind, ist in vielen Unternehmen immer noch vorhanden. Jedes neue Managementsystem und jeder neue Prozess erfordert einen finanziellen Investitionsaufwand;
-
Ein häufiger Fehler, der aus mangelndem Verständnis resultiert, ist die Berücksichtigung von zu wenigen, ungenauen und unrealistischen Szenarien. Dies kann entweder zu einer Überforderung oder einem Mangel an Maßnahmen führen;
-
Manchmal erscheint der Prozess der Installation von BCM- und ITCM-Plänen zu kompliziert. KMU benötigen eher schrittweise Ansätze, die leicht umzusetzen und zu pflegen sind.
BCM und ITCM sind für KMU unerlässlich
Das obige Beispiel und zahlreiche andere zeigen, wie wichtig ein gut funktionierendes und gepflegtes BCM auch für KMU ist. Aufgrund der meist einfacheren Strukturen von KMU ist die Risikokonzentration viel höher, und im Ernstfall haben die Verluste tendenziell breitere Auswirkungen auf das Unternehmen. Vor allem kleinere Firmen können sich die Kosten einer zu geringen Resilienz nicht leisten.
Auf der anderen Seite sind einfachere Strukturen auch der Grund dafür, dass der Aufbau und die Einführung von Notfallprozessen einfacher und damit kostengünstiger realisierbar ist. Zudem steigt der externe Druck zur Implementierung von BCM auf KMU. Insbesondere nach der weltweiten COVID19-Pandemie überdenken größere Unternehmen ihre Lieferketten und suchen nach sichereren Partnern in unmittelbarer Nähe. Neue staatliche Vorschriften und steigende globale Standards für BCM werden auch KMU dazu zwingen, angemessene Pläne und Maßnahmen zu installieren. Einem Bericht des Büros der Vereinten Nationen für Katastrophenvorsorge (UNDRR) aus dem Jahr 2018 zufolge steigt das Risiko klimabedingter Katastrophen, die direkte wirtschaftliche Verluste verursachen, so dass BCM-Themen auf der Prioritätenliste von Unternehmen für Strategie und Risikomanagement nach oben rücken müssen.
Daher ist ein größeres Bewusstsein für die Geschäftskontinuität, deren Bedeutung und die Rolle der IT dringend erforderlich, um KMU angemessen auf die nächste Krise vorzubereiten.
Bibliography
- Gadatsch, A. & Mangiapane, M. (2017): IT-Sicherheit, Wiesbaden 2017;
– in: Gadatsch & Mangiapane, 2017, p. 39 - Hensel, M. (2021): OVH-Großbrand hat gravierende Folgen;
– Storage Insider, Hensel, 2021: www.storage-insider.de | [Retrieved 29/06/2021] - Holland, M. (2021): Cloud-Dienstleister OVH: Feuer zerstört Rechenzentrum, ein weiteres beschädigt;
– heise online, Holland, 2021: www.heise.de | [Retrieved 29/06/2021] - International Organization for Standardization (ISO) (Ed.) (2019): ISO 22301:2019: Security and resilience
– Business continuity management systems – Requirements; – ISO, 2019, nr. 3.3.: www.iso.org | [Retrieved 29/06/2021 - Kasulke, S. & Bensch, J. (2017): Zero Outage, Cham 2017
– Kasulke & Bensch, 2017, pp. 122-124 - Kobeleff, J. (2020): Mit ITSCM für den Notfall gewappnet;
– Security Insider: www.security-insider.de | [Retrieved 29/06/2021] - Rezaei Soufi, H., Torabi, S. A., & Sahebjamnia, N. (2019): Developing a novel quantita-tive framework for business continuity planning;
– in: International Journal of Pro-duction Research 2019, Vol. 57, Issue 3, pp. 779-800 - United Nations Office for Disaster Risk Reduction (UNDRR) (Ed.) (2018): UN 20-year review: earthquakes and tsunamis kill more people while climate change is driving up economic losses;
– UNDRR, 2018: www.undrr.org | [Retrieved 29/06/2021]
