Business Continuity Management: Was BCM wirklich bedeutet
Business Continuity Management klingt erst einmal nach Krisenstab, Notfallhandbuch und Großkonzern. Das ist einer der Gründe, warum viele Unternehmen das Thema zu lange vor sich herschieben.
Dabei ist die Grundidee sehr einfach: Was passiert, wenn etwas Wichtiges plötzlich nicht mehr funktioniert? Und noch wichtiger: Wie stellen Sie sicher, dass Ihr Unternehmen trotzdem arbeitsfähig bleibt?
Genau darum geht es beim Business Continuity Management in der ISO 27001 und der ISO 22301, kurz BCM.
Was BCM eigentlich bedeutet
BCM sorgt dafür, dass kritische Geschäftsprozesse auch bei Störungen, Ausfällen oder Krisen weiterlaufen oder zumindest in vertretbarer Zeit wieder aufgenommen werden können.
Es geht also nicht nur um IT und nicht nur um Backups. Es geht um die Frage, welche Teile Ihres Unternehmens wirklich kritisch sind und was passieren würde, wenn genau diese Teile ausfallen.
Typische Beispiele sind:
- ein Ausfall Ihrer Microsoft-365-Umgebung;
- der längere Ausfall von Internet oder Telefonie;
- ein nicht erreichbares Ticketsystem;
- ein wichtiger Dienstleister fällt weg;
- ein Gebäude ist vorübergehend nicht nutzbar;
- eine Schlüsselperson ist plötzlich nicht mehr verfügbar.
Was die Kaffeemaschine damit zu tun hat
Die Kaffeemaschine ist als Beispiel gar nicht so schlecht. Nicht weil sie in den meisten Unternehmen wirklich zu den kritischsten Assets gehört, sondern weil sie einen wichtigen Gedanken sichtbar macht:
Auch kleine Ausfälle können größere Auswirkungen haben, als man zunächst denkt.
Wenn etwas scheinbar Nebensächliches wegfällt, zeigt sich oft erst dann, wie stark Arbeitsabläufe davon abhängen. Bei der Kaffeemaschine ist das überspitzt. Bei einem Identitätsdienst, einem ERP-System oder einem Internetanschluss ist es sehr real.
Der eigentliche Punkt lautet also nicht: "Eine defekte Kaffeemaschine ist schon BCM."
Der Punkt lautet:
BCM beginnt dort, wo Sie systematisch über Abhängigkeiten, Auswirkungen und Wiederanlauf nachdenken.
BCM ist mehr als Notfall-IT
Ein häufiger Denkfehler ist, BCM mit IT-Notfallmanagement gleichzusetzen.
IT ist ein wichtiger Teil davon. Aber BCM ist breiter. Es betrachtet nicht nur Systeme, sondern die Geschäftsprozesse, die für Ihr Unternehmen wichtig sind. Erst danach schaut man, welche Ressourcen dafür gebraucht werden, zum Beispiel:
- Software und IT-Systeme;
- Daten;
- Mitarbeiter;
- Dienstleister;
- Räume und Infrastruktur;
- Kommunikationswege;
- technische und organisatorische Schnittstellen.
Erst wenn diese Zusammenhänge klar sind, lassen sich sinnvolle Notfallmaßnahmen festlegen.
Der Kern von BCM: Was würde wie stark schaden?
Genau hier kommt die Business Impact Analyse, kurz BIA, ins Spiel.
Mit ihr klären Sie unter anderem:
- welche Prozesse für Ihr Unternehmen kritisch sind (dies können Sie bspw. im Risikomanagement analysieren);
- wie lange ein Ausfall maximal tragbar wäre;
- welche Folgen ein längerer Ausfall hätte;
- welche Ressourcen für den Betrieb unverzichtbar sind;
- in welcher Reihenfolge Prozesse wieder anlaufen müssen.
Das ist der eigentliche Kern von BCM. Nicht das Schreiben schöner Notfallordner, sondern die saubere Priorisierung.
Was aus einer guten BIA folgt
Wenn Sie wissen, welche Prozesse kritisch sind und wovon sie abhängen, können Sie gezielt Maßnahmen ableiten.
Zum Beispiel:
- Ausweichlösungen für kritische Systeme
- Redundanzen für besonders wichtige Infrastruktur
- alternative Dienstleister oder Lieferwege
- klare Kommunikationswege für Störungen
- manuelle Ersatzverfahren
- Wiederanlaufpläne für priorisierte Prozesse
- klare Zuständigkeiten für den Ernstfall
Erst dadurch wird BCM praktisch.
Woran Unternehmen beim BCM oft scheitern
Viele Unternehmen machen nicht zu wenig, sondern das Falsche.
Sie denken nur an IT
Dann wird zwar über Server, Backups und Firewalls gesprochen, aber nicht darüber, welche Geschäftsprozesse eigentlich geschützt werden sollen.
Sie schreiben Pläne, ohne vorher zu priorisieren
Dann gibt es viel Papier, aber leider für die falschen Situationen.
Sie betrachten nur große Katastrophen
Dann werden Stromausfall, Brand oder Hackerangriff diskutiert, aber nicht die viel häufigeren kleineren Störungen mit spürbaren Auswirkungen: Beispielsweise den Weggang des langjährigen IT-Administrators mit dem Herrschaftswissen.
Sie testen nie
Ein Plan, der nie geübt oder überprüft wurde, hilft im Ernstfall oft weniger als gedacht.
Für wen BCM besonders relevant ist
BCM ist nicht nur ein Thema für Konzerne oder Betreiber kritischer Infrastrukturen.
Relevant ist es immer dann, wenn Ihr Unternehmen von bestimmten Prozessen, Systemen, Personen oder Dienstleistern spürbar abhängt und ein Ausfall echte wirtschaftliche Folgen hätte.
Das trifft auf sehr viele IT-nahe Unternehmen, Agenturen, Softwarefirmen, Managed Service Provider und andere Dienstleister zu.
Was will der Auditor sehen?
In einem ISO 27001-Audit will der Auditor sehen, dass Sie sich über das Thema BCM Gedanken gemacht haben:
- dass Sie Kriterien haben, nach denen Sie bemessen, ob eine Situation für Sie kritisch ist;
- dass Sie Situationen gem. dieser Kriterien identifiziert haben, für die Sie Notfallpläne benötigen;
- dass Sie diese Notfallpläne haben;
- und dass Sie sie auch einmal erprobt haben.
FAQ
Unser Tipp
Business Continuity Management ist kein Theoriethema für Großkonzerne, sondern eine sehr praktische Frage: Was muss in Ihrem Unternehmen auch dann noch funktionieren, wenn etwas Wichtiges ausfällt?
Genau deshalb ist BCM so wertvoll. Es zwingt Unternehmen dazu, kritische Prozesse, Abhängigkeiten und Wiederanlauf realistisch zu betrachten, statt erst im Ernstfall überrascht zu werden. Die Kaffeemaschine ist dafür ein nettes Bild. Der eigentliche Nutzen von BCM liegt aber viel tiefer: in klaren Prioritäten, belastbaren Entscheidungen und echter Handlungsfähigkeit bei Störungen.
Interesse geweckt?
Wenn Sie herausfinden wollen, welche Prozesse in Ihrem Unternehmen wirklich kritisch sind und wie Sie ein praxistaugliches BCM aufbauen, vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!