Ceramitec, München
Internationale Leitmesse für die Keramikindustrie
9. bis 12. April
www.ceramitec.com
Bild: Archiv
Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welche Massnahmen zur Reduktion der Folgen ergriffen werden müssen.
Das Krisenmanagement ist unabhängig von Unternehmensprozessen und das Ziel besteht darin, Menschen zu retten (zum Beispiel Gebäude-Evakuation in der Schadensbegrenzung (Umwelt/Sachwerte) sowie eine Krisensituation generell zu bearbeiten. Auch die Betreuung von Mitarbeitern und gegebenenfalls Angehörigen sowie der richtige Umgang mit den Medien sind klassische Aufgaben des Krisenmanagements. Gemäss ISO 22301 (Sicherheit und Ausfallsicherheit – Business Continuity Management-Systeme) sieht das Vorgehen bei der Einführung und beim Betrieb eines BCM wie folgt aus:
Im nachfolgenden wird der erste Punkt, die Business Impact Analyse (BIA), im Detail angeschaut. Diese dient dazu, kritische Prozesse zu identifizieren und zu bewerten. Dabei werden Prozesse mit hohem Einfluss auf andere Prozesse und auch Abhängigkeiten von Prozessen untereinander erfasst.
Sind Prozesse von anderen Prozessen abhängig?
In einem ersten Schritt werden die Prozesse in einem Unternehmen angeschaut. Dabei ist wichtig, diese zuerst ohne Bewertung oder grosse Diskussionen anzuschauen. Auch eher triviale Prozesse, wie den Briefkasten leeren, gehören da dazu. Gleichzeitig wird erfasst, ob Prozesse von anderen Prozessen abhängig sind.
Erst wenn alle erfasst sind, werden in den Prozessen auch die beiden Werte RPO und RTO bestimmt (Bild 1).
Im zweiten Schritt werden die verarbeiteten Daten angeschaut. Dies können Kundendaten, technische Dokumente und Anleitungen, Strategien, interne Dokumente von Mitarbeitenden, Prozesslisten und vieles weitere sein. Diese Daten werden nach der Kritikalität bewertet (Bild 2). Dazu gehören die Vertraulichkeit, die Integrität und die Verfügbarkeit.
Im dritten Schritt werden die genutzten Anwendungen, Gebäude, involvierten Mitarbeitenden, Lieferanten und weitere Abhängigkeiten erfasst und mit den Prozessen verknüpft. Diese Elemente erben damit die vorher definierte Kritikalität (Bild 3).
Virtuell oder physisch
Bei elektronischer Verarbeitung wird im vierten Schritt erfasst, auf welchen Systemen die Anwendungen laufen. Dabei wird nicht unterschieden, ob diese Systeme virtuell oder physisch sind. Jedoch muss bei virtuellen Systemen angegeben werden, auf welcher Hardware diese laufen. Je nachdem können nun auch die Netzwerke und die genutzten Räume (zum Beispiel Serverräume, Switch-Schränke usw.) in einen Zusammenhang gebracht werden.
Bei der Vererbung werden drei Arten unterschieden:
Risiko-Analyse
Mit dieser Vererbung, und allenfalls Anpassung der Kritikalität, können Massnahmen geplant werden. Braucht es mehr Redundanzen? Müssen weitere Mitarbeitende oder externe Lieferanten involviert werden?
Dazu wird idealerweise eine Risiko-Analyse durchgeführt (Bild 4). Schauen wir uns den Fall eines Systemausfalls an. Die Eintrittswahrscheinlichkeit ist eher gering, aber die Auswirkung kann schnell kritisch werden. Als (Gegen-)Massnahme kann das System redundant aufgebaut, eine Offline-Sicherung mit kurzen Abständen oder eine Anpassung des Prozesses, zum Beispiel auf Papier, geprüft werden.
Kontrollen und KPIs
Aus der vorherigen Massnahme «Offline-Sicherung» sollte anschliessend eine Kontrolle abgeleitet werden. So sollte das Backup wöchentlich überprüft werden, um festzustellen, ob alle notwendigen Daten korrekt gesichert wurden. Eine weitere Kontrolle könnte ein Wiederherstellungstest alle drei Monate, das heisst quartalsweise, sein. Damit wird überprüft und geübt, dass in einem Notfall die Daten auch schnell und vollständig wiederhergestellt werden können. Zudem werden allfällige Stolpersteine identifiziert und können frühzeitig behoben werden. Aus Kontrollen können KPIs (Key Performance Indicator) definiert und gemessen werden. In Bezug auf das Backup könnten dies «Anzahl nicht überprüfter Backup-Jobs» oder «Anzahl nicht erfolgreicher Wiederherstellungstests» sein. Zu jedem KPI sollten auch die Messgrössen definiert werden. So bedeutet 0: «Alles in Ordnung», 1: «Tolerierbar», 2: «Nicht tolerierbar». Diese KPIs dienen als Information für Management-Bewertungen und allfällig notwendiger Korrekturen.
Fazit
Wird die Business Impact Analyse mit genügend Zeit und mit der entsprechenden Tiefe durchgeführt sowie regelmässig den sich ändernden Anforderungen angepasst, kann ein möglicher Notfall zwar nicht verhindert, aber die Folgen davon stark verringert werden. Durch das konsequente Weiterführen werden Massnahmen, Kontrollen und Messgrössen definiert und damit eine Rückmeldung zur Qualität der getroffenen Schritte ermöglicht. Die Business Impact Analyse kann damit ein Unternehmen ideal vorbereiten und vor einem grossen Schaden schützen.
ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch
Internationale Leitmesse für die Keramikindustrie
9. bis 12. April
www.ceramitec.com
Internationale Fachmesse für Draht und Kabel
15. bis 19. April
www.wire.de
Internationale Rohr-Fachmesse
15. bis 19. April
www.tube.de
Der Treffpunkt der Mikrotechniken. Fachmesse für Automation, Werkzeugmaschinen und Zulieferung
16. bis 19. April
www.siams.ch
Weltleitmesse der Industrie mit dem Leitthema «Energizing a Sustainable Industry»
22. bis 26. April
www.hannovermesse.de