BSI/200-4/07 Business Impact Analyse

BSI/200-4/07 Business Impact Analyse

In der BIA wird untersucht

• welche Geschäftsprozesse zeitkritisch sind
• ab wann deren Ausfälle nicht tolerierbare Auswirkungen haben

Daraus werden die Wiederanlaufanforderungen abgeleitet

• ob und ab wann für diese Geschäftsprozesse ein Notbetrieb zur Verfügung stehen sollte
• welche Ressourcen dafür benötigt werden

Falls die BAO schon aufgebaut wurde, helfen diese Informationen der BAO zu­dem

• die zeitkritischen Geschäftsprozesse und Ressourcen in einem Notfall zu priorisieren
• früh zu erkennen, ob ein Schadensereignis eskaliert werden muss sowie
• den Geschäftsbetrieb aufrechtzuerhalten

Prozessschritte der Business-Impact-Analyse

Kenngröße	Beschreibung
Maximum Tolerable Period of Disruption ( MTPD ) Maximal Tolerierbare Ausfallzeit, MTA	legt fest, wie lange ein Geschäftsprozess maximal ausfallen darf, bevor nicht tolerierbare Auswirkungen für die Institution auftreten Die MTPD wird anhand einer Bewertung des Schadenspotenzials je Geschäftsprozess ermittelt.
Recovery Time Objective (RTO) Geforderte Wiederanlaufzeit (WAZ)	wird aus der MTPD abgeleitet und sowohl den zeitkritischen Geschäftsprozessen als auch den Ressourcen zugeordnet, die relevant sind für die Aufrechterhaltung der zeitkritischen Geschäftsprozesse Die RTO umfasst den Zeitraum vom Ausrufen des Notfalls bis zum Zeitpunkt der geforderten Inbetriebnahme der BC-Lösung Im Falle von IT-Ressourcen wäre das z. B. der Schwenk auf eine Ausweich- oder Ersatzressource oder das Zurücksetzen eines IT-Systems auf den letzten gesicherten Zustand Die RTO muss zwingend kürzer sein als die MTPD des relevanten Geschäftsprozesses, denn die Reaktionszeit wird von der MTPD abgezogen, um mit der RTO die MTPD noch erreichen zu können Zusätzlich ist es empfehlenswert, einen weiteren zeitlichen Puffer einzuplanen, da insbesondere die Detektion mit Unsicherheiten hinsichtlich des genauen zeitlichen Ablaufs einhergeht.
Recovery Point Objective (RPO) Maximal zulässiger Datenverlust	legt fest, welcher Datenverlust akzeptiert wird, d. h. wie alt verfügbare Daten maximal sein dürfen, um im Notbetrieb sinnvoll damit arbeiten zu können Diese Kenngröße dient auch dazu, um den notwendigen Datensicherungszyklus daraus abzuleiten. Theoretisch kann die RPO auch für analoge Informationen erhoben werden Da diese analogen Informationen in der Praxis aber nicht in sinnvoller Art und Weise versioniert werden können, ist es in der Regel zielführender, benötigte analoge Informationen allein über die Ressourcenkategorie Informationen zu erheben, ohne RPO zu erheben und immer vom aktuellen Stand auszugehen.
Minimum Business Continuity Objective (MBCO) Notbetriebsniveau	definiert, wie leistungsfähig der Notbetrieb sein soll, um einen sinnvollen Geschäftsbetrieb gewährleisten zu können Das Notbetriebsniveau wird je Geschäftsprozess individuell festgelegt Hierzu kann die Leistungsfähigkeit des Notbetriebs z. B. prozentual angegeben werden oder alternativ können Aktivitäten priorisiert werden In obiger Abbildung wird das Notbetriebsniveau nur schematisch dargestellt

Beispiele hierarchisch angeordneter Geschäftsprozesse

Beispiel einer Bewertung des Schadenspotenzials je Zeithorizont

Definition von Zeithorizonten

Die Wahl der Zeithorizonte wird unter anderem beeinflusst durch

• die Zyklen, in denen Produkte hergestellt, Prozesse durchgeführt oder Services bereitgestellt werden,
• die Erwartungshaltung an Ausfallzeiten (unter anderem von Interessengruppen)
• interne Vorgaben und Geschäftsziele
• branchenübliche Standards
• gesetzliche Vorgaben
• Risikobereitschaft der Institution

Beispiele für Zeithorizonte

Schadensszenarien

Innerhalb der BIA sollten mindestens die folgenden Schadensszenarien berücksichtigt werden

• Beeinträchtigung der persönlichen Unversehrtheit
• Beeinträchtigung der Aufgabenerfüllung
• Verstoß gegen Gesetze, Vorschriften und Verträge
• negative Innen- und Außenwirkung (Imageschaden)
• finanzielle Auswirkungen

Untragbarkeitsniveau

Das Untragbarkeitsniveau definiert

• ab welcher Schadenskategorie die Auswirkungen eines Ausfalls durch die Institution nicht länger toleriert werden (siehe Abbildung). Die Entscheidung darüber
• ab welcher Höhe Schäden nicht länger toleriert werden
• sollte aufgrund der Tragweite für die weitere BC-Planung die Institutionsleitung treffen. Anhand des festgelegten Untragbarkeitsniveaus kann in der BIA identifiziert werden
• zu welchem Zeitpunkt die erwarteten Schäden so hoch werden
• dass diese nicht länger akzeptiert werden. Dies ist dann die MTPD des Geschäftsprozesses.

Schadenskategorien

Schadenskategorien und Erläuterung je Schadensszenario

Ressourcenkategorien

Beispiele verschiedener Ressourcenkategorien

Ressourcencluster

Innerhalb bestimmter Ressourcenkategorien, z. B.  der IT, können mitunter sehr viele einzelne Ressourcen vorhanden sein, die für die BIA relevant sind

• Wenn alle Ressourcen einzeln erfasst werden, besteht jedoch die Gefahr, dass diese aufgrund der Menge und der Komplexität nicht handhabbar sind
• Es ist daher sinnvoll, Ressourcen sinnvoll zu Clustern zusammenzufassen

Das gängigste Beispiel für ein Cluster ist der Arbeitsplatz

• Ein Arbeitsplatz fasst alle Arbeitsmittel und Geräte zusammen, die für eine spezifische Aufgabenstellung innerhalb eines Geschäftsprozesses benötigt werden
• Hierbei kann allgemein zwischen einem Standardarbeitsplatz und Spezialarbeitsplätzen unterschieden werden
• Ein Arbeitsplatz kann Teil einer größeren Infrastruktur sein und wiederum aus einer Menge an Maschinen, Geräten, Anlagen oder Betriebsmitteln zusammengesetzt sein.

Vor Beginn der BIA sollte festgelegt werden, wie die Informationen zur BIA erhoben werden sollen.

Formate

• Selbstauskunft durch den Prozesseigentümer oder die -eigentümerin anhand eines papierbasierten, elektronischen oder toolgestützten Fragebogens,
• Einzelinterviews mit verschiedenen Personen (z. B. Leitenden der Organisationseinheiten, Prozesszuständigen oder sonstigen Prozessfachleuten, die Auskunft geben können)
• Workshops, mit mehreren Personen

• Präsentation zur Erläuterung der BIA
• Liste der Geschäftsprozesse
• Hilfsmittel zur Erhebung und Auswertung der BIA

Bewertung des Schadenspotenzials von Geschäftsprozessen

Worst-Case-Bewertung des Schadenspotenzials des Geschäftsprozesses „Kundschaftsanfragen bearbeiten“

Korrekte und fehlerhafte Bewertung des Schadenspo­tenzials

Leitfrage

„Wenn der Geschäftsprozess ausfällt, mit welchem Schadenspotenzial [1 (gering), 2 (mittel), 3 (hoch), 4 (sehr hoch)] ist bei einem Ausfall bis zu … zu rech­nen?“

Begründung zur Bewertung des Schadenspotenzials

Die Bewertung des Schadenspotenzials muss je Geschäftsprozess begründet und dokumentiert werden.

Gründe

• Wenn die BIA in einem neuen BCMS-Zyklus aktualisiert wird, kann auf die bestehenden Informationen zurückgegriffen werden. Damit die Bewertung des Schadenspotenzials auch zu einem späteren Zeitpunkt nachvollziehbar ist, sollte diese begründet werden.
• Regulatoren setzen eine Begründung voraus, um auch als außenstehende Dritte die Schadensanalyse dahingehend überprüfen zu können, ob diese plausibel ist.

Die Begründung dient als Entscheidungshilfe, um geeignete Maßnahmen für die Geschäftsfortführung auszuwählen.

• Wenn die einzusetzenden finanziellen oder personellen Ressourcen für diese Maßnahmen zu hoch erscheinen, dann hilft eine Begründung aus der BIA mehr als die reine Angabe einer zu erreichenden MTPD .

Beispielhafte Begründung eines Schadenspotenzials

Für die zeitkritischen Geschäftsprozesse muss zusätzlich die geforderte Wiederanlaufzeit RTO festgelegt werden

• Sie beschreibt, wie lange der reine Wiederanlauf dauern darf, bevor es zu nicht tolerablen Schäden kommt
• Daher wird von der MTPD die BAO-Reak-tionszeit abgezogen
• Die BAO-Reaktionszeit verstreicht in der Regel unabhängig von einzelnen Geschäftsprozessen, bis der Notfall ausgerufen und die relevanten BC-Pläne gestartet werden.

Die RTO nimmt eine zentrale Rolle in der Notfallplanung und -behandlung ein

• Sie wird in Übungen verifiziert, sodass ein realistischeres Bild für die Notfallbehandlung entsteht.

Für die BAO ist dann sichtbar, wie lange der Wiederanlauf vermutlich dauern wird, sodass dort bei dem Auftrag zum Wiederanlauf gut abgeschätzt werden kann, ob die MTPD noch eingehalten werden kann

• Auch für die Notfallteams ist die RTO eine klare Zielvorgabe.

Zwischen der Bestimmung der RTO und der BAO-Reaktionszeit besteht eine Wechselwirkung

Einerseits bietet es sich an, diese Reaktionszeit einfach von der MTPD abzuziehen, um an die RTO zu gelangen

• Hierbei kann ein zusätzlicher Puffer berücksichtigt werden, z. B. für den Fall, dass beim Wiederanlauf Schwierigkeiten auftreten.

Andererseits wird hier sehr deutlich, dass längere Reaktionszeiten z. B. bei der Detektion oder Alarmierung alle Zeiträume für RTOs verkürzen

• Dadurch können sich auch die Kosten erhöhen, um diese RTOs einzuhalten
• Letzten Endes ist auch die BAO-Reaktionszeit eine Sollvorgabe, die sich aus den Anforderungen der Institution an die MTPD s ergibt.

Zudem ist es bei der Festlegung der RTO hilfreich, schon Teile der BC-Planung, z. B. das angestrebte Notbetriebsniveau, konzeptionell vorzubereiten, sodass die RTO konkretisiert werden kann.

Für nicht zeitkritische Geschäftsprozesse entfallen die nachfolgenden Schritte, da diese im Rahmen des BCM nicht weiter betrachtet werden.

Beispiel eines dokumentierten Notbetriebsniveaus

Dieser Prozessschritt der BIA ist abgeschlossen, wenn

• die Geschäftsprozesse im GP-Umfang hinsichtlich ihres Schadenspotenzials bewertet wurden
• die Geschäftsprozesse im GP-Umfang anhand der Kriterien mit einer MTPD versehen sind
• die MTPD je zeitkritischem Geschäftsprozess begründet wurde
• für zeitkritische Geschäftsprozesse die jeweilige RTO definiert ist sowie
• für zeitkritische Geschäftsprozesse das erforderliche Notbetriebsniveau definiert wurde

Beispiel Antragsbearbeitung

Der Geschäftsprozess „Antragsbearbeitung“, mit einer RTO von 3 Tagen, ist vom Geschäftsprozess „Antragsprüfung“ abhängig

• Die Antragsprüfung hat eine geringere Prozessausführungszeit
• Zudem sind erfahrungsgemäß immer mehr Anträge bereits geprüft als in Bearbeitung (Arbeitsvorrat von einigen Tagen)
• Obwohl eine zeitkritische Abhängigkeit zwischen beiden Geschäftsprozessen besteht, kann der abhängige Geschäftsprozess „Antragsbearbeitung“ wiederaufgenommen werden, ohne dass der benötigte Geschäftsprozess „Antragsprüfung“ bereits läuft
• Daher wird zwischen den Prozesszuständigen vereinbart, dass die RTO des benötigten Geschäftsprozesses „Antragsprüfung“ mit 7 Tagen deutlich größer sein kann als die RTO des abhängigen Geschäftsprozesses „Antragsbearbeitung“

Beispiel Kundschaftsbetreuung

Der Geschäftsprozess „Kundschaftsbetreuung“ mit einer RTO von 3 Tagen ist von einem ausgelagerten Geschäftsprozess „Telefon-Hotline-Dienst“ abhängig

• Dieser stellt sicher, dass Anrufe angenommen, die Anfragen geprüft und an das richtige Team in der „Kundschaftsbetreuung“ weitergeleitet werden
• Da der benötigte Geschäftsprozess „Telefon-Hotline-Dienst“ parallel zum abhängigen Geschäftsprozess „Kundschaftsbetreuung“ ausgeführt werden muss, wird entschieden, dass die RTO des abhängigen Geschäftsprozesses übernommen wird.

Beispiel Produktion

Der Geschäftsprozess „Produktion“ in einer Milchfabrik, mit einer RTO von drei Tagen, ist vom nachgelagerten Geschäftsprozess „Distribution“ abhängig

• Da nur begrenzte Lagermöglichkeiten für die produzierten Güter bestehen, können diese maximal zwei weitere Tage aufbewahrt werden, bevor das Lagervolumen ausgeschöpft ist
• Um einen kontinuierlichen Produktionsfluss zu gewährleisten, wird beschlossen, die RTO des benötigten Geschäftsprozesses „Distribution“ auf fünf Tage festzulegen.

Relevant für die weiteren Schritte in der BC-Planung der Ressourcen sind die folgenden BIA-Kenngrößen für Ressourcen:

• Geforderte Wiederanlaufzeit (RTO)
• Ressourcenbedarf in Abhängigkeit zur Dauer des Notbetriebs
• Im Falle von Daten und IT-Ressourcen: maximal zulässiger Datenverlust (RPO)

Beispiele für Ressourcenabhängigkeiten verschiedener Geschäftsprozesse

Ressourcen, deren RTO aufgrund des Minimalprinzips ermittelt wurden, sind hervor­ gehoben.

Beispiel für Arbeitsplatz- und Personalabhängigkeiten

Benötigte Anzahl Arbeitsplätze oder Personal im Notbetrieb der OE Kun­denmanagement

Beispiele für informationsbasierte Ressourcenabhängigkeiten verschiede­ner Geschäftsprozesse

Wenn viele (sehr) zeitkritische Geschäftsprozesse eine einzelne Ressource benötigen, stellt diese ein erhöhtes Risiko für eine Geschäftsunterbrechung dar. Üblicherweise werden solche Ressourcen als Single Point of Failure bezeichnet.

Es gibt verschiedene Arten von Single Points of Failure:

SPoF	Beschreibung
Wissen (Single Point of Knowledge, SPoK)	Person, die als einzige über alle Fähigkeiten und spezifische Kenntnisse eines Prozesses oder Verfahrens verfügt
Technik oder Dienstleistung (Single Point of Failure, SPoF)	Anlage, eine Komponente, ein IT-System, ein Dienstleistungsunternehmen etc., durch deren Ausfall ein Gesamtsystem nicht mehr betriebsbereit ist Das trifft immer dann zu, wenn eine Komponente eine zentrale Funktion im Gesamtsystem übernimmt und beim Ausfall die Funktionen der anderen Komponenten beeinträchtigt
Kontakte (Single Point of Contact, SPoC)	Person, die die alleinige Kontaktperson ist, oder eine Schnittstelle, die die alleinige Kommunikationsstelle für einen bestimmten Sachverhalt ist
Kumulationseffekt	Ressourcen, welche von relativ vielen zeitkritischen Geschäftsprozessen benötigt werden

Die Gesamtübersicht sollte mindestens die folgenden Inhalte umfassen:

• Übersicht der zeitkritischen Geschäftsprozesse und zugehörigen Kontaktpersonen
• Übersicht der Prozessabhängigkeiten
• Übersicht der abhängigen Ressourcen und SpoFs sowie deren RTO bzw. RPO

---

---

1. https://de.wikipedia.org/wiki/Business-Impact-Analyse
2. Vermeidung von operationellen Prozessausfällen mit Hilfe der Business Impact-Methodik (deutsch) (PDF; 493 kB)
3. Exemplarische Vorgehensweise für die Durchführung einer Business Impact Analyse (deutsch) (PDF-Datei; 439 kB)