BSI/200-4/10 Business-Continuity-Strategie: Unterschied zwischen den Versionen

BSI/200-4/10 Business-Continuity-Strategie

Entwicklung von BC-Strategien und -Lösungen

BC-Strategien

Die Institution muss geeignete BC-Strategien definieren, die den Handlungsbedarf aus der BCM-Risikoanalyse abdecken

• Üblicherweise übernimmt diese Tätigkeit der oder die BCB.

Ressourcenkategorien

Hierzu kann sich der oder die BCB zunächst an den in der BIA festgelegten Ressourcenkategorien orientieren

• Für jede Ressourcenkategorie ist es empfehlenswert, zu prüfen, welche grundsätzlichen BC-Strategien möglich wären, um die jeweilige Ressourcenkategorie abzusichern
• Eine BC-Strategie kann sowohl dazu geeignet sein, die Eintrittshäufigkeit eines Ressourcen- oder Geschäftsprozessausfalls durch Vorsorgemaßnahmen zu senken, als auch einen Notbetrieb durch BC-Lösungen sowie Notfallmaßnahmen zu ermöglichen
• Sie sollte geeignet sein, den Geschäftsbetrieb mindestens über den abzusichernden Zeitraum mit einem angemessenen Notbetrieb abzudecken.

Wiederherstellungsplanung

Liegt bereits eine Wiederherstellungsplanung vor, z. B. aus einem ITSCM oder einem früheren BCM-Zyklus, dann können aus dieser Planung Rückschlüsse gezogen werden, wie lange eine vollständige Wiederherstellung der Ressource voraussichtlich zeitlich in Anspruch nehmen wird

• Diese Information kann im BCM genutzt werden, um in der Auswahl von BC-Strategien und -Lösungen die maximal mögliche Notbetriebsdauer mit der voraussichtlich notwendigen Notbetriebsdauer vergleichen zu können
• Die Wiederherstellungsplanung unterstützt somit bei der Identifikation bedarfsgerechter und wirtschaftlicher BC-Strategien und -Lösungen.

Ressourcenkategorien unterteilen

Zusätzlich kann es zweckmäßig sein, einzelne Ressourcenkategorien weiter zu unterteilen

• Dies ist etwa dann sinnvoll, wenn für unterteilte Ressourcenkategorien durch unterschiedliche BC-Strategien ein besseres Gesamtergebnis der BC-Strategien möglich wird.

Die Ressourcenkategorie Gebäude und Infrastruktur kann etwa einen gesamten Standort, ein einzelnes Gebäude oder gar einzelne Gebäudeteile umfassen

• Bei einem gesamten Standortausfall könnte die BC-Strategie lauten, sämtliche Tätigkeiten oder eine vorhandene Produktion an einen Ausweichstandort zu verlagern
• Fallen hingegen nur einzelne Gebäudeteile aus, dann kann eine BC-Strategie dazu lauten, die Arbeitsplätze oder die Produktion innerhalb des Gebäudes oder Standortes zu verlagern.

Korrekturbedarfen und Verbesserungsmöglichkeiten

Die BC-Strategien sollten die noch nicht adressierten Korrekturbedarfe und Verbesserungsmöglichkeiten aus vorangegangenen BCMS-Zyklen angemessen berücksichtigen.

Zu den identifizierten Korrekturbedarfen und Verbesserungsmöglichkeiten vorangegangener BCMS-Zyklen zählen etwa Lücken, die mit den bestehenden personellen, finanziellen oder zeitlichen Ressourcen bislang nicht behandelt werden konnten oder bewusst nicht behandelt wurden

• Dies gilt insbesondere für initiale Entwicklungsstufen.

Cyberangriffe

Obwohl Cyberangriffe nicht in der BC-Planung des BCM oder ITSCM vollumfänglich abgedeckt werden können, kann es sinnvoll sein, diese themenübergreifenden Aspekte in der Identifikation von BC-Strategien mit zu berücksichtigen und dazu das ISMS mit einzubinden

• Sofern ein ISMS besteht, können hierbei die Anforderungen an die jeweiligen BC-Strategien sowie mögliche Vorsorgemaßnahmen, die mitunter im ISMS bereits bestehen, gemeinsam abgestimmt und in eine BC-Strategie überführt werden
• Jedoch können RTO und RPO bei einem Cyberangriff meist nicht eingehalten werden.

Nachdem der oder die BCB die grundsätzlich möglichen BC-Strategien identifiziert hat, muss er oder sie bewerten, ob diese für die Institution wirksam und angemessen sind.

Eine BC-Strategie ist dann wirksam, wenn durch die umgesetzte BC-Strategie die Eintrittshäufigkeit eines Ausfalls auf ein akzeptables Maß gesenkt werden kann oder die zeitkritischen Geschäftsprozesse innerhalb der RTO auf dem Notbetriebsniveau fortgeführt werden können

• Angemessen ist eine BC-Strategie dann, wenn sie den allgemeinen Zielen der Institution entspricht, die geltenden rechtlichen und regulatorischen Anforderungen einhält und wenn der Nutzen die Kosten überwiegt
• Um die BC-Strategien bewerten zu können, ist es empfehlenswert, dass der oder die BCB verschiedene Bewertungskriterien festlegt
• Anhand der Bewertungskriterien können die BC-Strategien qualitativ und quantitativ bewertet und gegeneinander abgewogen werden
• Falls sich frühzeitig herausstellt, dass eine BC-Strategie nicht wirksam oder angemessen ist, ist es nicht notwendig, diese weiter zu bewerten

Bewertungskriterien

Im Folgenden werden einige Bewertungskriterien benannt, die bei der Bewertung mindestens berücksichtigt werden müssen: Einhalten der RTO: Für die betrachteten BC-Strategien muss geprüft werden, ob nach deren Umsetzung der Notbetrieb der entsprechenden Ressourcen innerhalb der RTO hergestellt werden kann.

Erreichbares Notbetriebsniveau

Es muss geprüft werden, ob die betrachteten BC-Strategien in der Lage sind, das Notbetriebsniveau sicherzustellen

• Wird durch eine Maßnahme zwar die RTO erreicht, jedoch nicht das Notbetriebsniveau, dann ist die betrachtete BC-Strategie je nach Risikobereitschaft der Institution nicht hinreichend geeignet oder muss um weitere Maßnahmen ergänzt werden.

Restrisiken

Es muss geprüft werden, welches Restrisiko eines Ressourcenausfalls trotz umgesetzter BC-Strategie bestehen bleibt

• Wird etwa ein Ausweichstandort geplant, der gleichen regionalen Bedrohungen ausgesetzt ist wie der primäre Standort, dann verbleibt ein mögliches Restrisiko, dass beide Standorte durch dasselbe Ereignis betroffen sind
• Dies kann z. B. der Fall sein durch eine Bombenentschärfung bei Standorten in derselben Region oder durch Hochwasser eines Flusses bei Standorten im gleichen Hochwassergebiet oder durch ein Erdbeben im selben Erdbebengebiet etc
• Hierzu zählt unter anderem auch das Restrisiko bei der BC-Strategie „Redundante Zuliefernde“, falls z. B. in beiden Lieferketten der gleiche Zuliefernde auftaucht oder die Lieferketten durch gleiche Bedrohungen gefährdet sind
• Ziel der BC-Strategien ist es, die Bedrohungen nach Möglichkeit auszuschließen und daher im Vorhinein die Tätigkeiten auf unterschiedliche Standorte und Services zu verteilen, die ausreichend voneinander getrennt sind
• So würde der Ausfall eines Standortes mitunter gar nicht erst zum Ausfall des Geschäftsprozesses führen
• Dies wäre dann der Fall, wenn die Leistung der verbliebenen Standorte ausreicht, den Geschäftsprozess auf dem Notbetriebsniveau fortsetzen zu können.

Finanzielle Aufwände

Es muss geprüft werden, welche finanziellen Aufwände mit den identifizierten BC-Strategien einhergehen und ob diese in einem angemessenen Verhältnis zu den erwarteten Schäden der ausgefallenen Geschäftsprozesse stehen

• Entsprechende Aussagen kann beispielsweise das (Risiko-)Controlling treffen
• Finanzielle Aufwände beinhalten die Anschaffungskosten, die notwendigen Kosten während und nach einem Notfall sowie die erforderlichen Kosten, um die BC-Strategien aufrechtzuerhalten, z. B. die laufenden Kosten eines Ausweichstandortes oder zusätzliche Kontroll-und Steuerungsaufwände.

Einhaltung interner und externer Anforderungen: Es sollte geprüft werden, ob die betrachteten BC-Strategien den Rahmenbedingungen der Institution entsprechen

• So sollten die BC-Strategien etwa dahingehend geprüft werden, ob sie mögliche rechtliche und regulatorische Anforderungen einhalten, die Interessen interner und externer Interessengruppen einbeziehen sowie die allgemeine Risikobereitschaft der Institutionsleitung berücksichtigen
• Mögliche interne und externe Anforderungen wurden bereits mit den erweiterten Rahmenbedingungen zum BCMS erfasst (siehe 4.2 Analyse der erweiterten Rahmenbedingungen).

Maximal mögliche Notbetriebsdauer

Es sollte geprüft werden, wie lange die eingesetzten BC-Strategien einen Notbetrieb ermöglichen können, bis alternative Lösungen gefunden sind oder der Normalbetrieb wiederhergestellt ist

• Die maximal mögliche Notbetriebsdauer sollte mindestens den abzusichernden Zeitraum abdecken (siehe 3.2.3 Abzusichernder Zeitraum durch ein BCMS (R+AS)).

Die maximal mögliche Notbetriebsdauer ist darüber hinaus von Bedeutung, weil bei einem langfristigen Ressourcenausfall weitere Schäden entstehen könnten

• So könnten etwa verdrängte, im Betrachtungszeitraum der BIA nicht zeitkritische Arbeitsplätze langfristig auch zeitkritisch werden und ebenfalls Ausweicharbeitsplätze benötigen
• Auch können die Kosten der aktivierten Notfallmaßnahmen ab einem bestimmten Zeitpunkt die erwarteten Schäden der ausgefallenen Ressourcen und Geschäftsprozesse übertreffen
• Dies kann etwa der Fall sein, wenn zusätzliche Büroflächen über einen sehr langen Zeitraum angemietet werden müssen.

Optionale Bewertungskriterien

Neben den mindestens zu betrachtenden Bewertungskriterien können weitere optionale Bewertungskriterien betrachtet werden, wie etwa die folgenden:

Organisatorische Aufwände

Es wird empfohlen, zu prüfen, welche organisatorischen Aufwände mit den identifizierten BC-Strategien einhergehen und ob diese im Verhältnis zu den erwarteten Schäden der ausgefallenen Ressourcen stehen.

Entstehende Risiken

Es wird empfohlen, zu prüfen, ob die betrachteten BC-Strategien zu neuen Risiken führen können

• Werden etwa gleiche Tätigkeiten auf mehrere Standorte verteilt, so könnte dies in der Folge zu Effizienzverlusten oder einem mangelnden Wissensaustausch der beteiligten Mitarbeitenden führen, Aber es können auch neue Risiken entstehen, die unabhängig von einem zweiten Standort sind, beispielsweise Abweichungen zu Vorgaben an den Arbeitsschutz oder Verletzungen der Schutzziele der Informationssicherheit
• Solche Risiken werden empfehlenswerter Weise mittels einer übergreifenden Risikoanalyse gegeneinander abgewogen.

Entstehender Zusatznutzen: Es wird empfohlen, zu prüfen, ob die betrachteten BC-Strategien auch im Normalbetrieb zu Verbesserungen führen oder positive Seiteneffekte auf Schnittstellen und andere Aspekte haben, z. B. Einkaufsvorteile

• So kann der oder die BCB auch prüfen, ob Synergien zwischen den BC-Strategien oder zu anderen Tätigkeiten in der Institution bestehen oder geschaffen werden können.

Einschätzung Verhältnis Kosten-Nutzen-Risiko

Die Entscheidung für oder gegen eine BC-Strategie ergibt sich aus der Abwägung der entstehenden Kosten im Verhältnis dazu, wie sehr die Eintrittshäufigkeit oder das Schadenspotenzial des Risikos einer Geschäftsunterbrechung reduziert werden können

• Eine BC-Strategie kann dann als sinnvoll betrachtet werden, wenn die Kosten für ihre Umsetzung und ihren Betrieb gerechtfertigt sind, um das Risiko zu minimieren

Zusätzlichen Nutzen

Ferner ist es empfehlenswert, einen möglichen zusätzlichen Nutzen in der Kosten-Nutzen-Risiko Abwägung zu berücksichtigen.

Um die notwendigen Informationen zu erheben, kann der oder die BCB beispielsweise auf die Ressourcen- und Prozesszuständigen zugehen, in deren Zuständigkeitsbereich die BC-Strategien umgesetzt werden

• Auch kann er oder sie mit Anbietern entsprechender Lösungen in Kontakt treten.

Die Bewertung der BC-Strategien kann in der Dokumentvorlage Bewertungstabelle BC-Strategien aus den Hilfsmitteln dokumentiert werden

Beispiel für die Bewertung der BC-Strategie „Mobiles Arbeiten“

Übersicht sinnvoller BC-Strategien

Als Ergebnis erhält der oder die BCB eine Übersicht prinzipiell sinnvoller BC-Strategien und kann ersehen, inwieweit diese sowohl wirksam als auch angemessen sind

• Es ist empfehlenswert, dass die Rolle BCB die aus ihrer Sicht passendsten BC-Strategien vorauswählt
• Dies erleichtert es der Institutionsleitung, die bestmöglich geeignete BC-Strategie festzulegen
• Dazu ist es hilfreich, dass der oder die BCB prüft, welche der BC-Strategien die Anforderungen an die BC-Planung sowie die Rahmenbedingungen der Institution bestmöglich vereinen.

Nachdem der oder die BCB die BC-Strategien geprüft hat, kann er oder sie je Ressourcenkategorie eine oder mehrere BC-Strategien vorauswählen

• Insbesondere wenn die BC-Strategien nicht von allen Organisationseinheiten gleichermaßen genutzt werden können, kann es sinnvoll sein, mehrere prinzipiell mögliche BC-Strategien vorzuschlagen.

Als Ergebnis dieser Phase verfügt der oder die BCB für jede Ressourcenkategorie über mindestens eine mögliche BC-Strategie, die der Institutionsleitung im folgenden Schritt vorgestellt werden muss.

Nachdem der oder die BCB mögliche BC-Strategien vorausgewählt hat, muss die Institutionsleitung in ihrer Rolle als Gesamtverantwortliche für das BCM sowie aufgrund der Reichweite der BC-Strategien über die letztlich umzusetzenden BC-Strategien entscheiden

• Die Institutionsleitung muss hierzu die Wirksamkeit beziehungsweise den Nutzen der BC-Strategien sowie die erwarteten Kosten und die eigene Risikobereitschaft gegeneinander abwägen.

Es ist empfehlenswert, die BC-Strategien im Rahmen einer Entscheidungspräsentation vorzustellen und abzustimmen

• Die Entscheidungspräsentation ermöglicht es dem oder der BCB, die BC-Strategien, die relevanten Inhalte sowie Vor- und Nachteile strukturiert und visuell gegenüberzustellen sowie seine jeweiligen Favoriten zu empfehlen
• Es ist empfehlenswert, folgende Inhalte in der Entscheidungspräsentation zu berücksichtigen:

Die allgemeinen Ziele von BC-Strategien vorstellen: Da die Institutionsleitung erfahrungsgemäß nur an bestimmten Stellen zum Thema BC-Strategien mit einbezogen wird, ist es empfehlenswert, dass der oder die BCB zu Beginn der Entscheidungspräsentation auf die Ziele der BC-Strategien eingeht

• Er oder sie kann hierzu erläutern, was unter BC-Strategien zu verstehen ist, welche Aufgabe die Institutionsleitung hierbei hat und welche Schritte auf die Entscheidung der Institutionsleitung folgen.

Betrachtungsgrundlage der BC-Strategien vorstellen: Um der Institutionsleitung zu verdeutlichen, was in der BC-Planung durch die BC-Strategien abgesichert werden muss, kann der oder die BCB die betrachteten Ressourcenkategorien und Teilkategorien vorstellen

• Er oder sie kann hierbei auch auf identifizierte Single-Points-of-Failure und Verbesserungsbedarfe vorangegangener BCMS-Tätigkeiten eingehen, die durch die BC-Strategien berücksichtigt werden sollten.

Empfohlene BC-Strategien sowie deren Vor- und Nachteile erläutern: Je vorgestellter Ressourcenkategorie kann der oder die BCB die empfohlenen BC-Strategien vorstellen sowie die jeweiligen Vor- und Nachteile erläutern

• Hierbei kann er oder sie auch auf mögliche Synergien, Abhängigkeiten und Konflikte eingehen, die mit den jeweiligen BC-Strategien einhergehen.

Umzusetzende BC-Strategien auswählen

Auf Basis der empfohlenen BC-Strategien ist die Institutionsleitung in der Lage, sich eine fachliche Übersicht über die möglichen BC-Strategien zu verschaffen und zu entscheiden, wie sie die BC-Planung ausrichten möchte

• Auch kann die Institutionsleitung über die BC-Strategien steuern, wie weit die Ressourcenkategorien mit entsprechenden Aufwänden abgesichert werden sollen, wie Vorteile genutzt werden können und welches Restrisiko sie zu übernehmen bereit ist.

Sofern zeitkritische Prozesse durch Dienstleistungsunternehmen oder in Lieferketten erbracht werden, müssen BC-Strategien ausgewählt werden, die eine angemessene Leistungserbringung im Notfall sicherstellen

• Hierzu ist es empfehlenswert, die weitreichenden Erläuterungen in dem Hilfsmittel Vorschläge zu BC-Strategien zu berücksichtigen.

Dort wird näher erläutert, welche Auswirkungen je nach gewählter BC-Strategie auf unterschiedliche Phasen des PDCA-Zyklus im BCMS bestehen.

Die Institutionsleitung kann sich entscheiden, je Ressourcenkategorie eine oder mehrere BC-Strategien auszuwählen, verschiedene BC-Strategien zu kombinieren oder eine eigene BC-Strategie auszuwählen.

Nachdem die BC-Strategien durch die Institutionsleitung ausgewählt und freigegeben wurden, sollte diese Entscheidung dokumentiert werden

• Die dokumentierte Entscheidung ist der Auftrag an den oder die BCB, einen Umsetzungsplan zu erstellen
• Sollte aus Sicht der Institutionsleitung keine der vorgeschlagenen BC-Strategien ausreichend wirksam oder angemessen erscheinen, kann sie den oder die BCB auch damit beauftragen, neue BC-Strategien zu entwickeln
• Sind auch die neu entwickelten BC-Strategien aus ihrer Sicht unwirksam oder unangemessen, kann sich die Institutionsleitung auch dazu entscheiden, keine BC-Strategie umzusetzen
• Dies kann etwa der Fall sein, wenn das Risiko oder der mögliche Schaden ausgefallener Ressourcen oder Geschäftsprozesse die Aufwände der BC-Strategien aus Sicht der Institutionsleitung nicht rechtfertigen würden.

In diesem Fall muss die Institutionsleitung das Restrisiko übernehmen, solange es keine regulatorischen oder gesetzlichen Verpflichtungen gibt, die dies verbieten

• Das jeweilige Risiko muss im Rahmen der Risikobeurteilung dokumentiert, regelmäßig neu bewertet und daraufhin geprüft werden, ob das Risiko durch neue BC-Strategien gesenkt werden kann (siehe Kapitel 9 BCM-Risikoanalyse (AS)).

Zuständigkeiten und Fachwissen

Nachdem die Institutionsleitung die BC-Strategien freigegeben hat, muss festgelegt werden, wer für die Umsetzung zuständig ist und wer das hierzu notwendige Fachwissen beisteuern kann.

• Gemeinsam mit dem oder der BCB können diese Personen abstimmen, wie die BC-Strategien umgesetzt werden.
• Hierzu ist es empfehlenswert, zunächst zu prüfen, aus welchen Vorsorgemaßnahmen, BC-Lösungen und Notfallmaßnahmen sich die ausgewählten BC-Strategien zusammensetzen.
• Vorsorgemaßnahmen und BC-Lösungen können im Rahmen von Projekten oder innerhalb der AAO umgesetzt werden, da diese in der Regel umfassender sind und oft verschiedene Organisationseinheiten, Stellen und Kontaktpersonen betreffen.
• Falls im Falle von Outsourcing die BC-Strategie Ausreichende BC-Fähigkeit des Dienstleistungsunternehmens gewählt wird, muss die Institution zusätzlich die erwarteten BC-Fähigkeiten der relevanten, zeitkritischen Dienstleistungsunternehmen anhand von BC-Anforderungen definieren und bewerten (siehe Hilfsmittel BC-Strategievorschläge).

Umsetzungsplan

Nachdem der oder die BCB die jeweiligen Ressourcenzuständigen ermittelt hat, muss ein Umsetzungsplan erstellt werden.

• Erfahrungsgemäß wird dieser von den Ressourcenzuständigen erstellt.
• Der Umsetzungsplan muss die konkret benötigten Ressourcen und Tätigkeiten dokumentieren, die benötigt werden, um die ausgewählten BC-Strategien umzusetzen.

Inhalte Umsetzungsplan

• Konkrete Handlungsschritte, die notwendig sind, um die jeweilige BC-Lösung umsetzen zu können
• Finanzielle, personelle und zeitliche Ressourcen, die benötigt werden, um die Handlungsschritte umsetzen zu können inklusive der benötigten Dienstleistungsunternehmen
• Personen, die die Handlungsschritte des Umsetzungsplans umsetzen sollen
• Zeiträume, in denen die Handlungsschritte umgesetzt werden sollen Während der Umsetzungsplan erstellt wird, können sich mitunter zusätzlich notwendige Ressourcen im Sinne von Mitteln oder Maßnahmen ergeben, die bisher noch nicht bedacht wurden.

Prüfung der Umsetzungspläne

Die erstellten Umsetzungspläne müssen folglich dahingehend überprüft werden, ob das erwartete Gesamtergebnis im Hinblick auf die ausgewählten BC-Strategien weiterhin wirksam und angemessen ist.

Freigabe der Umsetzungspläne

Nachdem die Umsetzungspläne und benötigten Ressourcen im Sinne von Mitteln von der Institutionsleitung freigegeben wurden, müssen die beschlossenen Maßnahmen durch die Zuständigen umgesetzt werden.

• Sie sollten im festgelegten Zeitraum umgesetzt werden.

Der oder die BCB sollte die Umsetzung dieser Maßnahmen steuern und kontrollieren.

• Hierzu ist der Maßnahmenplan ein sehr geeignetes Mittel.
• Die Notfallmaßnahmen werden im Rahmen der Geschäftsfortführungsplanung sowie Wiederanlaufplanung behandelt.

Geschäftsfortführungspläne

Innerhalb von Geschäftsfortführungsplänen (GFP) wird dokumentiert, wie eine Institution auf der Prozessebene auf eine Geschäftsunterbrechung nach einem Ressourcenausfall reagiert.

• Hierzu werden konkrete Notfallmaßnahmen und Verfahren aus den BC-Strategien und -Lösungen abgeleitet, wie zeitkritische Geschäftsprozesse bis zur Wiederherstellung der ausgefallenen Ressourcen im erforderlichen Umfang aufrechterhalten werden können.

Wiederanlaufpläne

Innerhalb von Wiederanlaufplänen (WAP) wird dokumentiert, wie die Institution ausgefallene Ressourcen auf einem abgestimmten Notbetriebsniveau wieder in Betrieb nimmt, beispielsweise durch umgesetzte BC-Lösungen oder Ersatzlösungen.

Wiederherstellungspläne

Innerhalb von Wiederherstellungsplänen (WHP) wird dokumentiert, wie bei Ressourcenausfall der Normalzustand auf Ressourcenebene wieder erreicht werden kann.

Notfallhandbuch

Die beschriebenen Dokumente bilden zusammen mit den Informationen aus dem Aufbau und der Befähigung der BAO die Inhalte des Notfallhandbuchs.

• Das Notfallhandbuch ist die zentrale Dokumentensammlung zur erfolgreichen Notfallbewältigung.

Aufbau und Einsatz des Notfallhandbuchs