BSI/200-4/10 Business-Continuity-Strategie

BSI/200-4/10 Business-Continuity-Strategie

Entwicklung von BC-Strategien und -Lösungen

Die Institution muss geeignete BC-Strategien definieren, die den Handlungsbedarf aus der BCM-Risikoanalyse abdecken

• Üblicherweise übernimmt diese Tätigkeit der oder die BCB.

Hierzu kann sich der oder die BCB zunächst an den in der BIA festgelegten Ressourcenkategorien orientieren

• Für jede Ressourcenkategorie ist es empfehlenswert, zu prüfen, welche grundsätzlichen BC-Strategien möglich wären, um die jeweilige Ressourcenkategorie abzusichern
• Eine BC-Strategie kann sowohl dazu geeignet sein, die Eintrittshäufigkeit eines Ressourcen- oder Geschäftsprozessausfalls durch Vorsorgemaßnahmen zu senken, als auch einen Notbetrieb durch BC-Lösungen sowie Notfallmaßnahmen zu ermöglichen
• Sie sollte geeignet sein, den Geschäftsbetrieb mindestens über den abzusichernden Zeitraum mit einem angemessenen Notbetrieb abzudecken.

Liegt bereits eine Wiederherstellungsplanung vor, z. B. aus einem ITSCM oder einem früheren BCM-Zyklus, dann können aus dieser Planung Rückschlüsse gezogen werden, wie lange eine vollständige Wiederherstellung der Ressource voraussichtlich zeitlich in Anspruch nehmen wird

• Diese Information kann im BCM genutzt werden, um in der Auswahl von BC-Strategien und -Lösungen die maximal mögliche Notbetriebsdauer mit der voraussichtlich notwendigen Notbetriebsdauer vergleichen zu können
• Die Wiederherstellungsplanung unterstützt somit bei der Identifikation bedarfsgerechter und wirtschaftlicher BC-Strategien und -Lösungen.

Zusätzlich kann es zweckmäßig sein, einzelne Ressourcenkategorien weiter zu unterteilen

• Dies ist etwa dann sinnvoll, wenn für unterteilte Ressourcenkategorien durch unterschiedliche BC-Strategien ein besseres Gesamtergebnis der BC-Strategien möglich wird.

Die Ressourcenkategorie Gebäude und Infrastruktur kann etwa einen gesamten Standort, ein einzelnes Gebäude oder gar einzelne Gebäudeteile umfassen

• Bei einem gesamten Standortausfall könnte die BC-Strategie lauten, sämtliche Tätigkeiten oder eine vorhandene Produktion an einen Ausweichstandort zu verlagern
• Fallen hingegen nur einzelne Gebäudeteile aus, dann kann eine BC-Strategie dazu lauten, die Arbeitsplätze oder die Produktion innerhalb des Gebäudes oder Standortes zu verlagern.

Die BC-Strategien sollten die noch nicht adressierten Korrekturbedarfe und Verbesserungsmöglichkeiten aus vorangegangenen BCMS-Zyklen angemessen berücksichtigen.

Zu den identifizierten Korrekturbedarfen und Verbesserungsmöglichkeiten vorangegangener BCMS-Zyklen zählen etwa Lücken, die mit den bestehenden personellen, finanziellen oder zeitlichen Ressourcen bislang nicht behandelt werden konnten oder bewusst nicht behandelt wurden

• Dies gilt insbesondere für initiale Entwicklungsstufen.

Obwohl Cyberangriffe nicht in der BC-Planung des BCM oder ITSCM vollumfänglich abgedeckt werden können, kann es sinnvoll sein, diese themenübergreifenden Aspekte in der Identifikation von BC-Strategien mit zu berücksichtigen und dazu das ISMS mit einzubinden

• Sofern ein ISMS besteht, können hierbei die Anforderungen an die jeweiligen BC-Strategien sowie mögliche Vorsorgemaßnahmen, die mitunter im ISMS bereits bestehen, gemeinsam abgestimmt und in eine BC-Strategie überführt werden
• Jedoch können RTO und RPO bei einem Cyberangriff meist nicht eingehalten werden.

Nachdem der oder die BCB die grundsätzlich möglichen BC-Strategien identifiziert hat, muss er oder sie bewerten, ob diese für die Institution wirksam und angemessen sind.

Eine BC-Strategie ist dann wirksam, wenn durch die umgesetzte BC-Strategie die Eintrittshäufigkeit eines Ausfalls auf ein akzeptables Maß gesenkt werden kann oder die zeitkritischen Geschäftsprozesse innerhalb der RTO auf dem Notbetriebsniveau fortgeführt werden können

• Angemessen ist eine BC-Strategie dann, wenn sie den allgemeinen Zielen der Institution entspricht, die geltenden rechtlichen und regulatorischen Anforderungen einhält und wenn der Nutzen die Kosten überwiegt
• Um die BC-Strategien bewerten zu können, ist es empfehlenswert, dass der oder die BCB verschiedene Bewertungskriterien festlegt
• Anhand der Bewertungskriterien können die BC-Strategien qualitativ und quantitativ bewertet und gegeneinander abgewogen werden
• Falls sich frühzeitig herausstellt, dass eine BC-Strategie nicht wirksam oder angemessen ist, ist es nicht notwendig, diese weiter zu bewerten

Im Folgenden werden einige Bewertungskriterien benannt, die bei der Bewertung mindestens berücksichtigt werden müssen: Einhalten der RTO: Für die betrachteten BC-Strategien muss geprüft werden, ob nach deren Umsetzung der Notbetrieb der entsprechenden Ressourcen innerhalb der RTO hergestellt werden kann.

Erreichbares Notbetriebsniveau

Es muss geprüft werden, ob die betrachteten BC-Strategien in der Lage sind, das Notbetriebsniveau sicherzustellen

• Wird durch eine Maßnahme zwar die RTO erreicht, jedoch nicht das Notbetriebsniveau, dann ist die betrachtete BC-Strategie je nach Risikobereitschaft der Institution nicht hinreichend geeignet oder muss um weitere Maßnahmen ergänzt werden.

Restrisiken: Es muss geprüft werden, welches Restrisiko eines Ressourcenausfalls trotz umgesetzter BC-Strategie bestehen bleibt

• Wird etwa ein Ausweichstandort geplant, der gleichen regionalen Bedrohungen ausgesetzt ist wie der primäre Standort, dann verbleibt ein mögliches Restrisiko, dass beide Standorte durch dasselbe Ereignis betroffen sind
• Dies kann z. B. der Fall sein durch eine Bombenentschärfung bei Standorten in derselben Region oder durch Hochwasser eines Flusses bei Standorten im gleichen Hochwassergebiet oder durch ein Erdbeben im selben Erdbebengebiet etc
• Hierzu zählt unter anderem auch das Restrisiko bei der BC-Strategie „Redundante Zuliefernde“, falls z. B. in beiden Lieferketten der gleiche Zuliefernde auftaucht oder die Lieferketten durch gleiche Bedrohungen gefährdet sind
• Ziel der BC-Strategien ist es, die Bedrohungen nach Möglichkeit auszuschließen und daher im Vorhinein die Tätigkeiten auf unterschiedliche Standorte und Services zu verteilen, die ausreichend voneinander getrennt sind
• So würde der Ausfall eines Standortes mitunter gar nicht erst zum Ausfall des Geschäftsprozesses führen
• Dies wäre dann der Fall, wenn die Leistung der verbliebenen Standorte ausreicht, den Geschäftsprozess auf dem Notbetriebsniveau fortsetzen zu können.

Finanzielle Aufwände

Es muss geprüft werden, welche finanziellen Aufwände mit den identifizierten BC-Strategien einhergehen und ob diese in einem angemessenen Verhältnis zu den erwarteten Schäden der ausgefallenen Geschäftsprozesse stehen

• Entsprechende Aussagen kann beispielsweise das (Risiko-)Controlling treffen
• Finanzielle Aufwände beinhalten die Anschaffungskosten, die notwendigen Kosten während und nach einem Notfall sowie die erforderlichen Kosten, um die BC-Strategien aufrechtzuerhalten, z. B. die laufenden Kosten eines Ausweichstandortes oder zusätzliche Kontroll-und Steuerungsaufwände.

Einhaltung interner und externer Anforderungen: Es sollte geprüft werden, ob die betrachteten BC-Strategien den Rahmenbedingungen der Institution entsprechen

• So sollten die BC-Strategien etwa dahingehend geprüft werden, ob sie mögliche rechtliche und regulatorische Anforderungen einhalten, die Interessen interner und externer Interessengruppen einbeziehen sowie die allgemeine Risikobereitschaft der Institutionsleitung berücksichtigen
• Mögliche interne und externe Anforderungen wurden bereits mit den erweiterten Rahmenbedingungen zum BCMS erfasst (siehe 4.2 Analyse der erweiterten Rahmenbedingungen).

Maximal mögliche Notbetriebsdauer

Es sollte geprüft werden, wie lange die eingesetzten BC-Strategien einen Notbetrieb ermöglichen können, bis alternative Lösungen gefunden sind oder der Normalbetrieb wiederhergestellt ist

• Die maximal mögliche Notbetriebsdauer sollte mindestens den abzusichernden Zeitraum abdecken (siehe 3.2.3 Abzusichernder Zeitraum durch ein BCMS (R+AS)).

Die maximal mögliche Notbetriebsdauer ist darüber hinaus von Bedeutung, weil bei einem langfristigen Ressourcenausfall weitere Schäden entstehen könnten

• So könnten etwa verdrängte, im Betrachtungszeitraum der BIA nicht zeitkritische Arbeitsplätze langfristig auch zeitkritisch werden und ebenfalls Ausweicharbeitsplätze benötigen
• Auch können die Kosten der aktivierten Notfallmaßnahmen ab einem bestimmten Zeitpunkt die erwarteten Schäden der ausgefallenen Ressourcen und Geschäftsprozesse übertreffen
• Dies kann etwa der Fall sein, wenn zusätzliche Büroflächen über einen sehr langen Zeitraum angemietet werden müssen.

Neben den mindestens zu betrachtenden Bewertungskriterien können weitere optionale Bewertungskriterien betrachtet werden, wie etwa die folgenden:

Organisatorische Aufwände

Es wird empfohlen, zu prüfen, welche organisatorischen Aufwände mit den identifizierten BC-Strategien einhergehen und ob diese im Verhältnis zu den erwarteten Schäden der ausgefallenen Ressourcen stehen.

Entstehende Risiken

Es wird empfohlen, zu prüfen, ob die betrachteten BC-Strategien zu neuen Risiken führen können

• Werden etwa gleiche Tätigkeiten auf mehrere Standorte verteilt, so könnte dies in der Folge zu Effizienzverlusten oder einem mangelnden Wissensaustausch der beteiligten Mitarbeitenden führen, Aber es können auch neue Risiken entstehen, die unabhängig von einem zweiten Standort sind, beispielsweise Abweichungen zu Vorgaben an den Arbeitsschutz oder Verletzungen der Schutzziele der Informationssicherheit
• Solche Risiken werden empfehlenswerter Weise mittels einer übergreifenden Risikoanalyse gegeneinander abgewogen.

Entstehender Zusatznutzen: Es wird empfohlen, zu prüfen, ob die betrachteten BC-Strategien auch im Normalbetrieb zu Verbesserungen führen oder positive Seiteneffekte auf Schnittstellen und andere Aspekte haben, z. B. Einkaufsvorteile

• So kann der oder die BCB auch prüfen, ob Synergien zwischen den BC-Strategien oder zu anderen Tätigkeiten in der Institution bestehen oder geschaffen werden können.

Einschätzung Verhältnis Kosten-Nutzen-Risiko

Die Entscheidung für oder gegen eine BC-Strategie ergibt sich aus der Abwägung der entstehenden Kosten im Verhältnis dazu, wie sehr die Eintrittshäufigkeit oder das Schadenspotenzial des Risikos einer Geschäftsunterbrechung reduziert werden können

• Eine BC-Strategie kann dann als sinnvoll betrachtet werden, wenn die Kosten für ihre Umsetzung und ihren Betrieb gerechtfertigt sind, um das Risiko zu minimieren
• Ferner ist es empfehlenswert, einen möglichen zusätzlichen Nutzen in der Kosten-Nutzen-Risiko Abwägung zu berücksichtigen.

Um die notwendigen Informationen zu erheben, kann der oder die BCB beispielsweise auf die Ressourcen- und Prozesszuständigen zugehen, in deren Zuständigkeitsbereich die BC-Strategien umgesetzt werden

• Auch kann er oder sie mit Anbietern entsprechender Lösungen in Kontakt treten.

Die Bewertung der BC-Strategien kann in der Dokumentvorlage Bewertungstabelle BC-Strategien aus den Hilfsmitteln dokumentiert werden

Tabelle 33 zeigt beispielhaft die bewertete BC-Strategie für „Mobiles Arbeiten“: Als Ergebnis erhält der oder die BCB eine Übersicht prinzipiell sinnvoller BC-Strategien und kann ersehen, inwieweit diese sowohl wirksam als auch angemessen sind

• Es ist empfehlenswert, dass die Rolle BCB die aus ihrer Sicht passendsten BC-Strategien vorauswählt
• Dies erleichtert es der Institutionsleitung, die bestmöglich geeignete BC-Strategie festzulegen
• Dazu ist es hilfreich, dass der oder die BCB prüft, welche der BC-Strategien die Anforderungen an die BC-Planung sowie die Rahmenbedingungen der Institution bestmöglich vereinen.

Nachdem der oder die BCB die BC-Strategien geprüft hat, kann er oder sie je Ressourcenkategorie eine oder mehrere BC-Strategien vorauswählen

• Insbesondere wenn die BC-Strategien nicht von allen Organisationseinheiten gleichermaßen genutzt werden können, kann es sinnvoll sein, mehrere prinzipiell mögliche BC-Strategien vorzuschlagen.

Als Ergebnis dieser Phase verfügt der oder die BCB für jede Ressourcenkategorie über mindestens eine mögliche BC-Strategie, die der Institutionsleitung im folgenden Schritt vorgestellt werden muss.

Nachdem der oder die BCB mögliche BC-Strategien vorausgewählt hat, muss die Institutionsleitung in ihrer Rolle als Gesamtverantwortliche für das BCM sowie aufgrund der Reichweite der BC-Strategien über die letztlich umzusetzenden BC-Strategien entscheiden

• Die Institutionsleitung muss hierzu die Wirksamkeit beziehungsweise den Nutzen der BC-Strategien sowie die erwarteten Kosten und die eigene Risikobereitschaft gegeneinander abwägen.

Es ist empfehlenswert, die BC-Strategien im Rahmen einer Entscheidungspräsentation vorzustellen und abzustimmen

• Die Entscheidungspräsentation ermöglicht es dem oder der BCB, die BC-Strategien, die relevanten Inhalte sowie Vor- und Nachteile strukturiert und visuell gegenüberzustellen sowie seine jeweiligen Favoriten zu empfehlen
• Es ist empfehlenswert, folgende Inhalte in der Entscheidungspräsentation zu berücksichtigen:

Die allgemeinen Ziele von BC-Strategien vorstellen: Da die Institutionsleitung erfahrungsgemäß nur an bestimmten Stellen zum Thema BC-Strategien mit einbezogen wird, ist es empfehlenswert, dass der oder die BCB zu Beginn der Entscheidungspräsentation auf die Ziele der BC-Strategien eingeht

• Er oder sie kann hierzu erläutern, was unter BC-Strategien zu verstehen ist, welche Aufgabe die Institutionsleitung hierbei hat und welche Schritte auf die Entscheidung der Institutionsleitung folgen.

Betrachtungsgrundlage der BC-Strategien vorstellen: Um der Institutionsleitung zu verdeutlichen, was in der BC-Planung durch die BC-Strategien abgesichert werden muss, kann der oder die BCB die betrachteten Ressourcenkategorien und Teilkategorien vorstellen

• Er oder sie kann hierbei auch auf identifizierte Single-Points-of-Failure und Verbesserungsbedarfe vorangegangener BCMS-Tätigkeiten eingehen, die durch die BC-

Strategien berücksichtigt werden sollten. Empfohlene BC-Strategien sowie deren Vor- und Nachteile erläutern: Je vorgestellter Ressourcenkategorie kann der oder die BCB die empfohlenen BC-Strategien vorstellen sowie die jeweiligen Vor- und Nachteile erläutern

• Hierbei kann er oder sie auch auf mögliche Synergien, Abhängigkeiten und Konflikte eingehen, die mit den jeweiligen BC-Strategien einhergehen.

Umzusetzende BC-Strategien auswählen

Auf Basis der empfohlenen BC-Strategien ist die Institutionsleitung in der Lage, sich eine fachliche Übersicht über die möglichen BC-Strategien zu verschaffen und zu entscheiden, wie sie die BC-Planung ausrichten möchte

• Auch kann die Institutionsleitung über die BC-Strategien steuern, wie weit die Ressourcenkategorien mit entsprechenden Aufwänden abgesichert werden sollen, wie Vorteile genutzt werden können und welches Restrisiko sie zu übernehmen bereit ist.