Läuft, …dank BCM

In Zeiten von Cyber-Attacken, Lieferengpässen und zunehmendem Verlust von Wissen durch den Weggang von Mitarbeitern entlang der Wertschöpfungskette eines Unternehmens wird das Thema Business Continuity Management, kurz BCM, zu einem immer grösser werdenden Erfolgsfaktor in der Geschäftswelt. In diesen Tagen fehlen Computerteile von zuliefernden Unternehmen genauso wie notwendiges Know-how, um den Status Quo im Wettbewerb zumindest zu halten. Der Ausbau ist ein anderes Thema. Einer meiner grössten Management-Vorbilder sagte einmal “Alles Projektmanagement ist Risikomanagement”. Das ist in diesen unruhigen Zeiten wahrer den je. Das Entgegenwirken von Risiken beschränkt sich nicht mehr nur auf die Bereitstellung eines neuen Servers oder PCs, wenn diese ausfallen. Vielmehr wird die gesamte IT-Organisation und ihre Prozesse, sofern sie mittel- oder unmittelbar an der Wertschöpfung des Unternehmens beteiligt ist, hinsichtlich ihrer Ausfallsicherheit kritisch betrachtet. Das es nicht erst eine Pandemie braucht, um Unternehmen auf dieses Thema zu sensibilisieren, sollte klar sein. Auch ohne Pandemie müssen Unternehmen regelmässig Risikoanalysen und -bewertungen durchführen, um nicht durch eventuell vorhersehbare Krisen überrascht zu werden und dann im schlimmsten Fall den Geschäftsbetrieb einstellen zu müssen oder sogar in Regress genommen zu werden. Wie eingangs erwähnt sind auch Cyber-Attacken und Ransomware nur eines von vielen Risiken, die nach geeigneten Angriffspunkten Ausschau halten.

Die ISO 22301 gibt eine geeignete Hilfestellung in Form eines Frameworks entlang der Wertschöpfungskette eine Ausfallsicherheit zu planen, geeignete Massnahmen zu etablieren, regelmässig zu validieren, zu überwachen und kontinuierlich zu verbessern. Wurden diese Massnahmen definiert und sind integraler Bestandteil des unternehmensweiten Risiko-Managements spricht man von einem Business Continuity Management System, oder kurz BCMS. Nimmt man zum Beispiel die IT-Organisation, so ist der erste Gedanke die Ausfallsicherheit der Systeme. Was auch legitim und sinnvoll ist. Ein zweites Data Center was gespiegelt wird ist hier eine sinnvolle Lösung. Was aber wenn Daten mit krimineller Energie manipuliert oder sogar gelöscht wurden? Dann ist das Konzept der permanenten Spiegelung zu hinterfragen. Das sind aber dann Details die individuell geklärt werden sollten. Die ISO 22301 betrachtet die Themen Planung, Unterstützung, operative Umsetzung, Performance-Messungen und -Verbesserungen. Unterstützt wird diese Norm durch diverse assoziierte Normen, die beim Aufbau eines BCMS unterstützen. Die ISO 22313 gibt eine Hilfestellung wie die ISO 22301 anzusetzen ist. Die ISO 22317 liefert ein Muster wie eine Impact-Analyse durchzuführen ist. Wichtig wäre an dieser Stelle auch noch die ISO 22318 zu erwähnen, die sich mit der Ausfallsicherheit von Lieferketten und deren Zulieferer beschäftigt.

Bei allen Normen und Frameworks, die man hier einsetzen kann, steht und fällt es mit der Akzeptanz der involvierten und damit verantwortlichen Mitarbeitern. Die Prozesse zu definieren und später auch regelmässig anhand von simulierten Ausfällen zu validieren steht auf einem anderen Blatt. Deshalb ist unsere Empfehlung anhand langjähriger Erfahrung in diesem Bereich, dass sämtliche Prozesse und Arbeitsanweisungen für den Notfall zu den Dokumenten des BCM-Owners gemacht werden sollten. Der Fachverantwortliche, der für ein System oder eine Lieferverpflichtung zusammen mit seinem Ansprechpartner auf der Supplier-Seite verantwortlich ist, muss sich in diesen Dokumenten wiederfinden. Er muss sogar das Gefühl haben, dass er das geschrieben hat. Nur so wird im Notfall ein maximales Engagement erzielt und die Wahrscheinlichkeit, dass es einen Unterbruch in der Wertschöpfungskette gibt maximal minimiert. Denn auch in Bereich BCM gilt: Diejenigen, die die Notfallpläne definieren, sind selten diejenigen die sie später ausführen müssen. Gegenseitige Akzeptanz und Unterstützung ist somit erfolgsentscheidend.