BSI/200-4 - BSI-Standard zum Business Continuity Management

Business Continuity Management System

Business Continuity Management System in Institutionen aufbauen und etablieren

• Praxisnahe Anleitung
• Leichter Einstieg
• Normativer Anforderungskatalog für erfahrene AnwenderInnen

Resilienz

Leistungen erbringen

• immer effizienter
• möglichst zu jeder Zeit

Entwicklungen und Trends

Steigende Anforderungen

• Globalen Wettbewerb
• Fortschreitende Digitalisierung
• Interessengruppen (Aufsichtsbehörden, Kunden, Öffentlichkeit, ...)

Abhängigkeiten

Steigende Abhängigkeiten

• Informationstechnik (IT)
• Lieferketten
• Drittanbietenden
  • Dienstleistungs-
  • Zulieferungs-
  • Versorgungsunternehmen

Die Verfügbarkeit der Geschäftsprozesse oder Fachaufgaben ist eine Existenzfrage für Institution

Existenzbedrohenden Schäden

Gleichzeitig nehmen Risiken zu

• die den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution in hohem Maße beeinträchtigen und sogar zu einem existenzbedrohenden Schaden führen können
• gegen die sich Institutionen nicht komplett schützen können
• Cyber-Angriffe
• Naturereignisse

Ausfall kritischer Geschäftsprozesse

Obwohl

• Institutionen sich mit Informationssicherheit bzw. Cybersicherheit
• sowie mit IT-Service Continuity Management (ITSCM)
• zu schützen versuchen
• führten Cyber-Angriffe immer wieder zu Ausfällen kritischer Geschäftsprozesse
• Insbesondere Ransomware-Angriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt

Effizienzsteigerung von Geschäftsprozessen

Zudem sorgt die fortschreitende Effizienzsteigerung von Geschäftsprozessen dafür

• dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert werden
• Darüber hinaus werden auch in der Logistik und der Produktion benötigte Ressourcen auf ein Mindestmaß reduziert, um Lagerflächen einzusparen

Zeitfenster

Dadurch verkleinern sich in der Praxis die Zeitfenster innerhalb derer auf Ausfälle der Geschäftsprozesse angemessen reagiert und unmittelbare Folgewirkungen eingedämmt werden können

Notwendigkeit der Vorsorge

• Entsprechend steigt die Notwendigkeit, gegen Ausfälle des Geschäftsbetriebs umfassend vorzusorgen sowie für den Schadensfall angemessene Möglichkeiten zur Geschäftsfortführung vorzubereiten (engl. Business Continuity oder BC)

Angemessenes Business-Continuity-Management

Mit Hilfe eines angemessenen Business-Continuity-Managements ([BCM]) können sich Institutionen vor den Auswirkungen solcher Schadensereignisse schützen, die den Geschäftsbetrieb in nicht akzeptablem bis hin zu existenzbedrohendem Maße beeinträchtigen können

• Ziel des BCM ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einer Unterbrechung in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann
• Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen

Synergien

• Institutionen können dabei teilweise auf vorhandene Sicherheitsmaßnahmen weiterer Managementsysteme zurückgreifen und diese gegebenenfalls erweitern
• Synergien ergeben sich z. B. mit dem Managementsystem für Informationssicherheit (ISMS)

Erleichtert den Einstieg in ein BCM

• indem ein Stufenmodell mit Einstiegsstufen angeboten wird

Anleitung, um ein vollständiges, zur Norm ISO 22301:2019 konformes BCM

• einzuführen
• aufrechtzuerhalten
• zu verbessern

Anforderungskatalog

Für erfahrene Anwendende

• bereits existierendes BCM
• schnell und effektiv nach BSI-Standard 200-4 auszurichten

BCM ist kein einmaliges Projekt

• sondern bedarf eines zielgerichteten Business-Continuity-Management-Systems (BCMS)
• das sich fortlaufend weiterentwickelt

Aufbau und Verbesserung

Ein BCMS muss kontinuierlich verbessert und an die sich stetig verändernden Rahmenbedingungen der Institution angepasst werden

• So wird ein dauerhafter Prozess geschaffen, um organisatorische Resilienz (Widerstandsfähigkeit) aufzubauen

Fähigkeit, auf Veränderungen zu reagieren und sich diesen Veränderungen anzupassen

• Je „resilienter“ eine Institution ist, umso besser kann sie Risiken und Chancen durch Veränderungen erkennen und flexibel darauf reagieren
• Dies gilt sowohl für plötzliche als auch für allmähliche, sowohl für interne als auch für externe Veränderungen

Organisatorische Resilienz

• wird nicht durch ein einzelnes Managementsystem aufgebaut
• sondern entsteht erst durch das Zusammenspiel verschiedener Management-Disziplinen

Eckpfeiler, die gemeinsam Resilienz schaffen können

• Informationssicherheit
• Business Continuity Management
• Krisenbewältigung
• IT-Service Continuity

BSI/200-4/02 Einführung

Betriebskontinuitätsmanagement (BKM)

Sicherstellung des Fortbestands von Einrichtungen

• Bei Risiken mit hohem Schadensausmaß

Zeitkritischen Geschäftsprozesse

Im Fokus des BCM liegen die zeitkritischen Geschäftsprozesse der Institution, die gegen Ausfälle abgesichert werden sollen.

Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen:

Geschäftsprozess

Ein Geschäftsprozess (Fachaufgaben) im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten (OEs) ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen.

• Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger.

Für die im BCM betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend.

• Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das BCM nicht notwendig.

Zeitkritisch

Als zeitkritisch gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann.

• So kann z. B. ein Ausfall, der gegen entsprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen führen.
• Falls andere Geschäftsprozesse, wie beispielsweise Unterstützungsprozesse, oder Ressourcen, wie beispielsweise Personal, IT-Systeme oder Dienstleistungsunternehmen, benötigt werden, um die zeitkritischen Geschäftsprozesse aufrecht zu erhalten, müssen auch diese als zeitkritisch angesehen werden.
• Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind.

Allgemeine Aufbauorganisation (AAO)

Üblicherweise werden Schadensereignisse durch die Allgemeine Aufbauorganisation (AAO) im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt.

• Die AAO ist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs.
• Für die AAO sind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt.

Besondere Aufbauorganisation (BAO)

Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch die AAO und deren Strukturen zu bewältigen sind.

• In diesem Fall wird in der Regel eine Besondere Aufbauorganisation (BAO) eingesetzt.

Die BAO ist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situationen angemessen und schnell reagieren kann.

• Innerhalb der BAO gelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können.

Störung, Notfall und Krise

Um zu verdeutlichen, welche Schadensereignisse durch das BCM behandelt werden, werden im Folgenden die Begriffe Störung, Notfall und Krise voneinander abgegrenzt.

Störung

Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen

• Störungen werden in der Regel innerhalb des Normalbetriebs durch die AAO der Institution behoben
• Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen.
• Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards

Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können

Notfall

Ein Notfall im Sinne dieses Standards ist eine Unterbrechung des Geschäftsbetriebs, die mindestens einen zeitkritischen Geschäftsprozess betrifft, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann

• Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine BAO benötigt
• Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden
• Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt, um schnell reagieren zu können
• Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird

Hinweis

Der Begriff Notfall wird hier im Kontext BCM definiert

• In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben
• Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint

Krise

Als Krise im Sinne dieses Standards wird ein Schadensereignis bezeichnet, das sich in erheblicher Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können

• Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor
• Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht
• Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen der BAO bewältigt

Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren

• Das BCM trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe der BAO operativ zu bewältigen (siehe Glossar, Definition Krisenmanagement)
• Zudem können mithilfe der BAO auch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen

Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken

• In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichtsbehörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr
• Krisen, wie z. B. Großschadenslagen oder Ereignisse im Spannungs- und Verteidigungsfall, werden in diesem Standard explizit nicht beschrieben
• Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eigenen Betroffenheit aufgefasst und nicht näher erläutert

Katastrophe

In diesem Standard wird der Begriff Katastrophe nicht definiert, weil es hierzu bereits Legaldefinitionen der Länder (z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg ) und des Bundes gibt (z. B. Definition gemäß BBK-Glossar)

• BCM behandelt die Auswirkung von Schadensereignissen auf die eigene Institution
• Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden

Weitere wesentliche Begriffe, die zusätzlich relevant zum Verständnis dieses Standards sind, werden innerhalb des Glossars definiert

Strategien, Plänen und Handlungen

BCMS etablieren	Rahmenbedingungen, Aufbau- und Ablauforganisation
Kritische Prozesse ermitteln	Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung
Kritische Prozesse absichern	Schützen und alternative Abläufe ermöglichen

PDCA-Zyklus eines Managementsystems

Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM

Ablauf der Bewältigung mit BCM

• Strukturanalyse
• Feststellung des Schutzbedarfs nach IT-Grundschutz und Business-Impact-Analyse
• Risikoanalyse und -behandlung
• Maßnahmen
• Notfallbewältigung
• Unterschiede zwischen dem BCM und der Informationssicherheit

Übersicht über BCM-Standards sowie korrespondierende Sicherheitsthemen

Security and resilience – Business continuity management systems – Requirements

Erster internationaler Standard zum BCM, der eine Zertifizierung ermöglicht

• Unterstützt Institutionen, Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren

Beschreibt Anforderungen an ein BCMS

• planen
• einrichten
• betreiben
• überwachen
• überprüfen
• kontinuierlich verbessern

Die internationale Norm erschien erstmalig im Jahr 2012 und ersetzte die Reihe des British Standard BS 25999

• Die ISO 22301 wurde 2019 überarbeitet (ISO 22301:2019)
• BSI-Standard 200-4 ist kompatibel zu dieser Version

Im Gegensatz zu diesem BSI-Standard stellt die ISO-Norm 22301 Anforderungen auf abstrakterer Ebene.

Ergänzende ISO-Standards der ISO-Reihe 22300 konkretisieren einzelne Aspekte oder Schnittstellen zum BCM

Norm	Titel
ISO 22313:2020	Societal security and resilience – Business continuity management systems –Guidance on the use of ISO 22301
ISO 22317:2015	Societal security – Business continuity management systems – Guidelines for business impact analysis
ISO 22318:2015	Societal security – Business continuity management systems – Guidelines for supply chain continuity
ISO 22398:2013	Societal security — Guidelines for exercises

BCM und Informationssicherheit haben zahlreiche Schnittstellen

• BSI-Standard 200-4 ergänzt die BSI-Standards der 200-x-Reihe

Standard	Titel	Beschreibung
200-1	Managementsysteme für Informationssicherheit (ISMS)	Allgemeinen Anforderungen an ein ISMS Methoden mit welchen Informationssicherheit in einer Institution generell initiiert wird
200-2	IT-Grundschutz-Methodik	Aufbau und den Betrieb eines Managementsystems für Informationssicherheit Schritte der IT-Grundschutz-Vorgehensweise zur Erstellung einer Sicherheitskonzeption
200-3	Risikoanalyse auf der Basis von IT-Grundschutz	Aufbauend auf der IT-Grundschutz-Vorgehensweise eine vereinfachte Analyse von Risiken für die Informationsverarbeitung Basiert auf den elementaren Gefährdungen, die im IT-Grundschutz-Kompendium beschrieben sind, und auf deren Basis auch die IT-Grundschutz-Bausteine erstellt werden Kann auch im Rahmen der BCM-Risikoanalyse des BSI-Standards 200-4 angewendet werden

Umsetzungshilfen

Good Practice Guidelines (GPG)

• Herausgegeben vom Business Continuity Institute
• Erstmal im Jahre 2002
• Regelmäßig aktualisiert und optimiert
• In mehrere Sprachen übersetzt

Ziele

• Hohen Standard des BCM setzen
• Kompetenz aufzubauen

Leitfaden Krisenkommunikation des Bundesministeriums des Innern

Interne und externe Krisenkommunikation

• planen
• aufzubauen
• optimieren

Krisenkommunikation analysieren und Krisenkommunikationsplan erarbeiten

ITIL (Information Technology Infrastructure Library)

Von AXELOS herausgegeben, gepflegt und weiterentwickelt

• Erläutert, wie Institutionen anhand von Technologien und Werkzeugen das Servicemanagement digital transformieren können
• Berücksichtigt aktuelle Trends wie Agile Softwareentwicklung, DevOps und Lean IT-Management

Wenn ein IT-Betrieb an ITIL ausgerichtet ist, kann auf diese Strukturen zurückgegriffen werden

• Incident Management
• IT-Service Continuity Management

Verschiedene Bundesländer veröffentlichen länderspezifische Leitfäden zum Krisenmanagement

Bundesland	Dokument
Nordrhein-Westfalen	Leitfaden Krisenmanagement durch Krisenstäbe im Land Nordrhein-Westfalen bei Großeinsatzlagen, Krisen und Katastrophen
Baden-Württemberg	Verwaltungsvorschrift der Landesregierung und der Ministerien zur Bildung von Stäben bei außergewöhnlichen Ereignissen und Katastrophen des Landes Baden-Württemberg

Eigenschaft	Reaktiv-BCMS	Aufbau-BCMS	Standard-BCMS
Vorteile	Schnelle Fähigkeit zur Notfallbewältigung	Schrittweiser, ressourcenschonender Aufbau	Vollständige Absicherung, gesteigerte Resilienz
Nachteile	Lücken in der Absicherung (Bereiche die nicht/teilweise betrachtet werden)	Bereiche, die in der Absicherung der Institution nicht betrachtet werden	Größerer Ressourcenbedarf

Reaktiv-BCMS

• Vereinfachte Methodik
• Detaillierteren Analysen zeitlich zurückstellen
• Rahmenbedingungen und Notfallvorsorge

Aufbau- und Standard-BCMS

• Detaillierte Analysen
• Vollständigen Methodik
• Berücksichtigen Notfallvorsorge und Notfallbewältigung

Die jeweiligen Methoden der einzelnen BCMS-Prozessschritte sind im Aufbau- und Standard-BCMS erweitert, um detailliertere Ergebnisse zu ermöglichen

• In diesen Stufen kann das BCMS deutlich effektiver und zielgerichteter aufgebaut werden
• Die BAO kann konkreter und bedarfsorientierter definiert werden

Umfang der Geschäftsprozesse (GP)

• Im Rahmen der Initiierung des BCMS wird dessen Geltungsbereich festgelegt

Reaktiv- und Aufbau-BCMS

• Innerhalb des Geltungsbereichs des BCMS kann der Aufwand durch einen eingeschränkten GP-Umfang zunächst reduziert werden

Ziel: Standard-BCMS

• Anschließend kann der GP-Umfang mit jedem weiteren Zyklus schrittweise gesteigert werden, bis alle Geschäftsprozesse im Geltungsbereich des BCMS betrachtet werden

BSI/200-4/03 Initiierung - Initiierung eines BCMS

Initiierung eines BCMS durch die Institutionsleitung

Fragen

• Warum wird in der Institution ein BCM benötigt?
  (Motivation für den Aufbau eines BCMS)
• Welche konkreten Ziele werden mit dem BCM verfolgt?
• Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)

Motivation für den Aufbau eines BCMS

Gründe für ein BCM identifizieren, dokumentieren

Interne Gründe für ein BCMS

• Eigeninteresse einer Institution
• Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen

Externe Gründe für BCMS

• Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
• Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
• Verträge mit Kunden und Kundinnen oder Ge­schäftspartnern und -partnerinnen oder deren Erwartungshaltungen

Gesetze, Verordnungen und Richtlinien (regulatorische Anfor­derungen)

Bereich	Regelungen
Anforderungen an Aktiengesellschaften	EU-Richtlinie 2157/2001 Aktiengesetz (AktG), ...
Anforderungen an die Kommunikation	Richtlinie (EU) 2018/1972 über den eu­ropäischen Kodex für die elektronische Kommunikation Post- und Telekommunika­tionssicherstellungsgesetz (PTSG), ...
Börsengesetz	BörsG
Arbeitsschutzgesetz	ArbSchG
Störfallverordnung	12. BImSchV – StörfallV
Gefahrstoffverordnung	GefStoffV
Betriebssicherheitsverordnung	BetrSichV
Risikovorsorge im Elektrizitätssektor	Verordnung (EU) Nr. 2019/941
Gewährleistung der sicheren Gasversor­gung	Verordnung (EU) Nr. 2017/1938
Kritische Infrastrukturen	EU-Richtlinie 2008/114/EG BSI-Kritisverordnung (BSI-KritisV)) IT-Sicherheitsgesetz, ...
Versicherungsbranche	Solvency II-Richtlinie (Richtlinie 2009/138/EG), das Versicherungsaufsichtsgesetz (VAG) Mindestanforderungen an die Geschäftsorganisation von Versiche­rungsunternehmen (MaGo) in der Versicherungsbranche
Banken	Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsaus­gleich (BIZ) zur Regulierung von Banken (genannt Basel III) Europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU) CRR (Verordnung (EU) Nr. 575/2013)
Risikomanagement im Bankenbereich	MaRisk
Bankenbereich	EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ...

Entwicklung der Ziele des BCMS

• welche Geschäftsziele geschützt werden sollen
• welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
• welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
• in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
• was das primäre Ziel der Bewältigung ist.

Abzusichernder Zeitraum

Muss für die Institution festgelegt werden

Hängt stark von unterschiedlichen Gegebenheiten ab

• Risikobereitschaft der Institution
  (Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.)
• Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
• Reifegrad des BCMS
• vorhandenen oder avisierten Ressourcen des BCMS
• Art und Komplexität des Geschäftszwecks der Institution
• Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
• Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
• Umfang und der Detailtiefe der Anforderungen an die Institution sowie
• branchenspezifischen Vorgaben

In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.

Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll

Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS

Dieser Bereich, auch Geltungsbereich des BCMS genannt, kann

• gesamte Institution
• einzelne Standorte
• Teilbereiche
• Produkte oder Services

Eingeschränkten Geltungsbereiche

Organisatorische oder technische Strukturen

• gemeinsame Gebäude
• Produktionsstraßen
• Geschäftsprozesse, ...

Geltungsbereich

Umfasst die Gesamtheit aller Komponenten die der Aufgabenerfüllung dienen

• infrastrukturell
• organisatorisch
• personell
• technisch

Der Geltungsbereich muss zur Zielsetzung des BCMS und den Anforderungen passen

• Betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein

Mehrere BCMS

Es kann sinnvoll sein, mehrere BCMS für Geltungsbereiche zu entwickeln

• Bereiche mit zeitkritischen oder regulierten Geschäftsprozessen ein Standard-BCMS
• Andere Bereichen ein Reaktiv-BCMS

Nicht nur technische Aspekte

Auch organisatorische Aspekte bei der Abgrenzung des Geltungsbereichs berücksichtigen

• So können Verantwortung und Zuständigkeiten eindeutig festgelegt werden
• Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden

Entscheidung für Vorgehensweise

Reaktiv- und anschließendes Aufbau-BCMS

Anstelle eines groß angelegten BCM-Einführungsprojekts

• das keinen schrittweisen Aufbau vorsieht
• kann es zu Beginn effizienter sein, ein BCMS in der Linie einführen
• in mehreren kleineren Schritten ohne hohe Investitionskosten

Standard-BCMS

• Es ist auch legitim, ein BCMS im Rahmen eines Projekts zu etablieren und gleich ein Standard-BCMS anzustreben
• Grundsätzlich muss BCM immer in einen langfristigen, sich kontinuierlich verbessernden Prozess übergehen.

Durchlaufzeit eines PDCA-Zyklus

Sollte sich an der Veränderungsgeschwindigkeit der Institution orientieren

• wobei die Institution parallel in mehreren Phasen eines PDCA-Zyklus agieren kann

Durchlaufzeit des PDCA-Zyklus auf ein Geschäftsjahr ausrichten

• jährliche Berichtswesen
• jährliche Überprüfung der Ziele
• In diesem Zeitrahmen kann sichergestellt werden, dass die erreichten Ergebnisse immer aktuell sind
• Die Ressourcen sollten darauf ausgerichtet sein, dass die geplanten Ziele in dem aktuellen Zyklus erreicht werden können
• Insofern spielt auch die Verfügbarkeit von Ressourcen bei der Festlegung der Durchlaufzeit des PDCA-Zyklus eine Rolle

Die Institutionsleitung muss entscheiden

• wie die weiteren Schritte zum Aufbau eines BCMS aussehen sollen, sodass die kurzfristigen und langfristigen Ziele erreicht werden
• Entscheidungen müssen auf der Zielsetzung, den Rahmenbedingungen des BCMS und dem Geltungsbereich basieren

BCM-Beauftragte unterstützen

• Erarbeitung von geeigneten Vorschlägen
• Geeignete Stufe auswählen: Reaktiv-, Aufbau- oder Standard-BCMS
• Zeitplan

Entscheidung begründen und dokumentieren

Entscheidung muss nachvollziehbar begründet und dokumentiert werden (Leitlinie)

• Wesentlichen Einflussfaktoren , die zur Auswahl der Stufe geführt haben
• Vor- und Nachteile
• Zu berücksichtigenden Risiken
• langfristig angestrebten Entwicklungspfad für das BCMS aufzeigen.

Ziel sollte immer ein Standard-BCMS zu erreichen.

Vor- und Nachteile der BCMS-Stufen

Stufe	Pro	Contra
Reaktiv-BCMS	verhältnismäßig geringer Aufwand schnellstmöglicher Einstieg, sodass eine rudimentäre Reaktion möglich ist „Überlebensfähigkeit“ der Institution wird rudimentär gesichert.	ausschließlich für den Einstieg geeignet Es werden erhebliche Lücken nicht identifiziert oder identifiziert und nicht abgesichert.
Aufbau-BCMS	Im GP-Umfang betrachtete Pro­zesse werden angemessen abgesichert. ermöglicht sehr gute, schrittweise Erweiterung des GP-Umfangs bis hin zum Standard-BCMS. sehr gute Balance aus Aufwand und Nutzen	Im nicht betrachteten GP-Umfang können weitere relevante, zeitkritische Geschäftsprozesse verbleiben, sodass weiterhin Lücken in der Absicherung verbleiben.
Standard-BCMS	angemessene und vollständige Absicherung aller zeitkritischen Geschäftsprozesse ohne Lücken oder Defizite Ermöglicht ganzheitliche, perfekt abgestimmte BC-Planung von Beginn an	höchster Ressourcenaufwand zu Beginn finanziell personell zeitlich

BC-Beauftragte (BCB) unterstützen die Institutionsleitung

• Muss benannt werden
• Hauptanlaufstelle für alle BCM-Fragen
• koordinieren sämtliche mit BCM-Aufgaben
• treiben das BCM innerhalb der Institution voran

Zusätzlich sollte für den oder die BCB eine qualifizierte Vertretung benannt werden

Bezeichnung für die Rolle

• BCB
• Notfallbeauftragte
• Business Continuity Manager
• Notfall-Manager oder -Managerin

Aus diesen Titeln folgt aber auch manchmal ein anderes Rollenverständnis

• Titel wie Notfall-Manager oder -Managerin führen oft dazu, dass fälschlicherweise angenommen wird, die Rolleninhabenden steuerten die Notfallbewältigung, obwohl die Rolle in der Regel innerhalb der Notfallvorsorge tätig ist
• Im Standard wird daher diese Rolle durchgehend als BCB bezeichnet

Stabsstelle

Es ist empfehlenswert, die Position der Rolle BCB organisatorisch als Stabsstelle in der AAO einzurichten

• also als eine direkt der Leitungsebene zugeordnete Position
• die von keinen anderen Stellen Weisungen bekommt
• direkte und jederzeitige Vorspracherecht bei der Institutionsleitung

Es wird davon abgeraten, die Rolle BCB in einer Organisationseinheit in der Linienorganisation zu verorten

• IT-Abteilung oder Verwaltung
• da hierbei leicht Interessenkonflikte entstehen können

Information des BCB

• BCB muss über das Geschehen in der Institution, soweit es einen Bezug zur BCM-Tätigkeit hat, umfassend und frühzeitig unterrichtet werden

Keine allgemeingültigen Vorgaben

• Was angemessen ist, muss für jede Institution individuell entschieden werden

Sofern sich das BCMS noch im Aufbau befindet, besteht die Herausforderung, dass die Methoden, die Vorgaben und die Organisationsstruktur noch nicht definiert und etabliert sind

• Zeitliche Aufwand während des Aufbaus des BCMS meist höher als im späteren Betrieb

Initiale Konzeption ist zeitaufwendig

• Business-Impact-Analyse (BIA)
• Geschäftsfortführungspläne (GPs)

Nach Etablierung sinkt der Aufwand

• Angaben überprüfen
• GPs aktualisieren

Schätzung der Aufwände durch die Institutionsleitung

„Wie oft bzw. wie viel Stunden soll sich der oder die BCB mit dem BCMS auseinandersetzen?“

• z. B. drei Tag pro Woche oder kontinuierlich

BCB müssen über ausreichend zeitliche Ressourcen verfügen, um ihre Aufgaben erfüllen zu können

• Für kleine Institutionen kann es nach erfolgreichem Aufbau des BCMS ausreichend sein, eine 50 %-BCB-Stelle für die Aufrechterhaltung und Weiterentwicklung des BCMS einzuplanen
• Demgegenüber kann es in großen oder komplexen Institutionen auch erforderlich sein, mehrere Vollzeitstellen zur Unterstützung des oder der BCB, d. h. ein mehrköpfiges BCB-Team, einzusetzen, um das BCMS einzuführen und aufrechtzuerhalten

Frühzeitig mit der Ressourcenplanung auseinandersetzen

• Rahmenbedingungen, Anforderungen, organisatorische und finanziellen Möglichkeiten berücksichtigen
• Aus dem laufenden Betrieb des BCMS können zeitlichen Ressourcen sukzessiv konkretisiert und angepasst werden

Um den vielfältigen Aufgaben und Anforderungen im BCM gerecht zu werden, müssen BCB angemessene fachliche und persönliche Eigenschaften inklusive entsprechendem Fachwissen sowie Erfahrungen besitzen

• Fehlende fachliche Eigenschaften sollten durch gezielte Maßnahmen aufgebaut werden.

Die Definition der BC-Aufbauorganisation decken die in der Praxis üblichen Aufgaben und Zuständigkeiten ab.

Fachlichen und persönlichen Fähigkeiten und Kenntnisse

• Führung von Mitarbeitenden
• Kommunikationsfähigkeiten
• Themen zielgruppengerecht für die aufzubereiten
• strategischen Entscheidungen vorbereiten und vorzutreiben
• Kenntnisse allgemeiner und branchenspezifischer Vorgehensweisen und Methoden
  • BCM-Standards
  • in der Branche übliche Best Practices
  • spezifische BCM-Anforderungen einer Aufsichtsbehörde
• Kenntnisse von anzuwendenden
  • Gesetzen
  • Vorschriften
  • Standards
  • weiteren Leitlinien
• Kenntnisse zur Bewältigung von Notfällen und Krisen
  • allgemeines Vorgehen in Notfällen
  • Erfahrungen in der Stabsarbeit
• Kenntnisse von den weiteren Sicherheits- und Risikomanagementaufgaben innerhalb der Institution
• Selbstständig Richtlinien, Anweisungen, Handbücher und Verfahrensdokumentationen erstellen
• gute Kenntnisse der Institution
  • Prozesse
  • Produkte
  • Services
  • Ziele der Institution
• Kenntnisse zu Risiken über
  • den Geschäftsbetrieb der Institution
  • die spezifischen betrieblichen Auswirkungen von Notfällen
• Wissen und Erfahrungen hinsichtlich möglicher Maßnahmen zum BCM

BSI/200-4/04 Konzeption und Planung

Überschneidungen und Berührungspunkte mit anderen Managementsystemen

• ISMS
• ITSCM
• Krisenmanagement
• Risikomanagement

Existierende Prozesse identifizieren

Prävention, Detektion und Bewältigung von Sicherheits- und Schadensereignissen

• Werkschutz
• Brandschutz
• Arbeitsschutz
• Wachschutz
• Haustechnik
• IT Incident Management
• IT Service Continuity Management
• Safety
• Health
• Environment

Prüfen, inwiefern vorhandene Managementsysteme Aspekte des BCM behandeln

Begriffe definieren und abstimmen

• Störung
• Notfall
• Krise

Zuständigkeiten klären

Kriterien festlegen, wie bei Eskalation die Zuständigkeit von einer Management-Disziplin an eine andere übertragen werden

Analyse der erweiterten Rahmenbedingungen (AS)

Identifizierung von Anforderungen und Einflussfaktoren an das BCMS (AS)

Festlegung der Kommunikation mit Interessengruppen (AS)

Beispiele interner Interessengruppen

Beispiele externer Interessengruppen

Identifizierung von Schnittstellen (AS)

Mögliche Schnittstellen eines BCMS

Risikomanagement

Definition der BC-Aufbauorganisation

Festlegung von Dokumentinformationen (AS)

• Eindeutiger Titel
• Eindeutige Versionsnummer
• Dokumentenart
• Autor, Autorin
• Freigabedatum und -person
• Datum der nächsten geplanten Überarbeitung
• Geltungsbereich des Dokuments
• Klassifizierung
• Zielgruppe
• Ablage
• Aufbewahrungszeitraum
• Änderungshistorie

Überprüfung und Aktualisierung von Dokumenten (AS)

Dokumentenmatrix

Faktoren

• Geltungsbereich und Ziele des BCMS
• Zeitliche Vorgaben, z. B. Meilensteine oder Fristen zur Erreichung eines definierten Zustands des BCMS
• Ausgewählte Stufe des BCMS
• Größe und Komplexität der Institution
• Gewählte BC-Aufbauorganisation sowie die Aufgaben und Zuständigkeiten der Rollen

Posten

• Schulungen und Maßnahmen zur Sensibilisierung
• Technische Lösungen (BCM-Tool, Alarmierungssoftware, )
• Begleitung und Entwicklung besonderer BCM-Prozesse
• Beratung, Coaching oder Zertifizierung
• Umsetzung und Betrieb von BC-Strategien und -Lösungen

Wesentlicher Erfolgsfaktor

Auf- und Ausbau angemessener Fähigkeiten und Kenntnisse der BCM-Rolleninhabenden

Sicherstellen

Rolleninhabende müssen die benötigten Fähigkeiten und Kenntnisse besitzen/erlangen

• Schulungsmaßnahmen
• Praktika, ...

Schulungsbedarf

• Je nach vorhandenem Wissen und Vorerfahrungen
• Durch Schulungen gezielt vorbereiten/qualifizieren

Art der Wissensvermittlung richtet sich nach

• der Anzahl der Rolleninhabenden
• deren spezifischem Bedarf sowie
• den finanziellen Ressourcen

Prüfen, ob Schulungsziele erreicht wurden

• Wissensabfragen
• Befragung der Teilnehmenden nach Schulungsveranstaltungen

Falls die Ziele nicht erreicht wurden

• im Maßnahmenplan dokumentieren
• über korrektive Maßnahme behandeln

Erstellung der Leitlinie BCMS

1. Absichtserklärung der Institutionsleitung für ein BCMS
   • aufbauen
   • betreiben
   • kontinuierlich verbessern
2. Nachweis, dass die Institutionsleitung die Verantwortung für das BCM übernommen hat
3. Wesentlichen Rahmenbedingungen festzulegen, unter denen ein BCMS etabliert und betrieben werden soll
4. Verbindlicher Auftrag an alle Mitarbeitenden, daran mitzuwirken

• Motivation für den Aufbau des BCMS
• Rechtliche und regulatorische Anforderungen
• Ziele für den Aufbau des BCMS und dessen Bedeutung für die Institution
• Abzusichernder Zeitraum durch ein BCM
• Geltungsbereich des BCMS
• Übernahme der Gesamtverantwortung der Institutionsleitung
• Selbstverpflichtung zur Etablierung, Aufrechterhaltung und kontinuierlichen Verbesserung
• Institutionsspezifische Definitionen
  • BCM, Störung, Notfall und Krise
• Erläuterung der zentralen Rollen der BC-Vorsorgeorganisation
  • ohne deren Besetzung
• Selbstverpflichtung der Institutionsleitung zur Bereitstellung angemessener Ressourcen für das BCMS

Institutionsleitung muss die Leitlinie

• inhaltlich prüfen
• freigeben
• allen Mitarbeitenden bekannt geben

Weitere Interessierte Gruppen

• Kunden
• Dienstleistern
• Geschäftspartner

Leitlinie

• Klassifizieren
• Überprüfungszyklus festgelegt (in der Leitlinie dokumentieren)
• Anlassbezogen aktualisieren

BSI/200-4/05 Besondere Aufbauorganisation

Beispiel verschiedener Rollen in einer BAO

Strategische Ebene

• legt die Ziele und Prioritäten in der Bewältigung fest

Taktische Ebene

• analysiert die Lage, beschließt dahingehend Maßnahmen und überwacht, ob diese umgesetzt wurden und wirksam sind

Operative Ebene

• setzt die beschlossenen Maßnahmen um und meldet den Erfolg oder die Wirkung der umgesetzten Maßnahmen an die taktische Ebene

Die Institution sollte in der BAO einen Stab als zentrales Führungsgremium der Bewältigung definieren

• Der Stab lenkt, koordiniert und unterstützt die Bewältigung
• Ferner sollte er an die relevanten Parteien den Fortschritt der Notfallbewältigung kommunizieren.

Verantwortung und Zuständigkeit für strategische Entscheidungen in Notfällen bleibt bei der Institutionsleitung

• Der Stab unterstützt die Institutionsleitung, indem er
  • Lösungen entwickelt
  • alle Tätigkeiten hierzu koordiniert

Zielsetzungen des Stabes

• zeitkritische Geschäftstätigkeiten schnellstmöglich wiederaufgenommen werden,
• weitere Auswirkungen des Schadensereignisses von der Institution abgewendet werden sowie
• eine effektive und effiziente Zusammenarbeit sowie Kommunikation zwischen allen betroffenen Organisationseinheiten, der Institutionsleitung sowie Einsatzkräften, Behörden, Medien und anderen Parteien möglich ist.

Die Institutionsleitung sollte dem Stab angemessene Befugnisse übertragen

damit er seine Ziele erreichen kann

• Entscheidungsbefugnisse
• Finanzbefugnisse

Abhängig von seinen Befugnissen kann der Stab auf der strategisch-taktischen oder nur auf der taktischen Ebene agieren.

BCB erarbeiten einen Vorschlag für die allgemeinen Aufgaben des Stabes

Der Vorschlag kann sich an folgender Liste orientieren:

• Lage feststellen, beurteilen und fortschreiben
• einzuleitende Maßnahmen abstimmen und darüber entscheiden
• Arbeitsaufträge an unterstützende Einheiten, z. B. Bewältigungsteams, erteilen (Aufgabenmanagement)
• umgesetzte Maßnahmen auf deren Wirksamkeit überprüfen und, falls erforderlich, korrigierende Maßnahmen einleiten
• interne und externe NuK-Kommunikation sowie Öffentlichkeitsarbeit (z. B. Pressestelle) steuern
• an die Institutionsleitung oder andere Zuständige eskalieren, falls die Situation die Grenzen der eigenen Zuständigkeit übersteigt

Rollen in einem Stab

Zur operativen Bewältigung eines Notfalls sollten Notfallbewältigungsteams aufgebaut werden

• Da auf diese auch im Krisenfall zurückgegriffen werden kann, werden sie in diesem Standard als Bewältigungsteams bezeichnet.

Bewältigungsteams

Erhalten Arbeitsaufträge vom Stab

• setzen die Maßnahmen zur Notfallbewältigung um
  • technisch
  • baulich
  • organisatorisch

Im Vorfeld festgelegte Bewältigungsteams haben gegenüber ad hoc zusammengestellten Teams drei Vorteile:

• Sie können anhand von Trainings und Übungen auf verschiedene Notfallszenarien vorbereitet werden
• Sie können im Notfall aufgrund des Trainingseffekts in der Regel schneller und zielgerichteter agieren
• Die Kommunikationswege zwischen Stab und Bewältigungsteams können im Vorfeld festgelegt und erprobt werden

Leitenden der Bewältigungsteams

• Berichten während der Notfallbewältigung dem Stab in regelmäßigen Abständen
• Dazu sammeln sie Informationen vor Ort und leiten diese an den Stab weiter
• Darüber hinaus koordinieren und kontrollieren sie, ob die vom Stab angeordneten Maßnahmen vor Ort umgesetzt werden und wirksam sind

In der Praxis haben sich die folgenden Bewältigungsteams bewährt

• IT
• Personal
• Gebäudeverwaltung
• NuK-Kommunikation

Es ist empfehlenswert, diese institutionsspezifisch durch weitere Bewältigungsteams zu ergänzen

• Es können Bewältigungsteams in den zeitkritischsten Organisationseinheiten etabliert werden, die das Kerngeschäft repräsentieren
• Genaue Zusammenstellung der Bewältigungsteams nochmals an die konkrete Wiederanlauf- und Geschäftsfortführungsplanung anpassen

Der festgelegte Aufbau der BAO sowie die Rollenbesetzung müssen von der Institutionsleitung freigegeben werden

• Um der Institutionsleitung einen Gesamtüberblick über die BAO zu ermöglichen, ist es hilfreich, diese schematisch zu beschreiben
• Hierzu kann ein Schaubild, wie oben dargestellt, erstellt werden
• Anhand von Rollenkarten können zusätzlich die jeweiligen Aufgaben und Zuständigkeiten jeder Rolle im Detail vorgestellt werden.

Schulungen

Unter anderem durch Schulungen kann sichergestellt werden, dass die Rolleninhabenden fachlich geeignet sind

• Gleichzeitig sollte geklärt werden, ob die Personen mental in der Lage sind, in besonderen Stresssituationen zu arbeiten

Bewältigungsteams sollten mit geeignetem Personal besetzt werden

• In der Praxis hat es sich bewährt, dazu auf die fachlich qualifizierten Mitarbeitenden aus den entsprechenden Ressourcenkategorien zurückzugreifen und die Teams mit hinreichenden Vertretungen zu versehen

Verpflichtungen

• Auf jeden Fall ist es empfehlenswert, die Mitarbeitenden im Einzelnen und die Personalvertretung im Allgemeinen zu beteiligen
• da die Mitgliedschaft in einem Bewältigungsteam meistens mit entsprechenden Verpflichtungen (Bereitschaftszeiten, Arbeit an freien Tagen etc.) einhergeht

Mindestens folgende Angaben sollten aufgenommen werden:

• Zeitpunkt und Ort des Ereignisses
• meldende Person oder Stelle
• eventuell betroffene Personen, Bereiche oder Prozesse
• mögliche Ursache oder Auslöser
• bereits ergriffene Sofortmaßnahmen
• die aktuellen Auswirkungen

Ersteinschätzung eines Schadensereignisses am bzw. im Ge­bäude

Ersteinschätzung eines Schadensereignisses in der IT

Ersteinschätzung eines Schadensereignisses beim Personal

Ersteinschätzung eines Schadensereignisses bei Dienstleis­tungsunternehmen

Zentrale Entscheidungsinstanz

Die Einstufung und Entscheidung, ob es sich bei dem Schadensereignis um eine Störung, einen Notfall oder eine Krise handelt, muss durch eine zentrale Entscheidungsinstanz getroffen werden

• Verhindert zeitaufwändige Abstimmungen oder unklare Entscheidungsbefugnisse und ermöglicht so eine schnelle Entscheidungsfindung

Dies ist von hoher Bedeutung

• da die Entscheidung über das Ereignis weitreichende Auswirkungen auf das weitere Geschehen der Bewältigung hat
• Stellt sich heraus, dass ein Schadensereignis als Störung bewertet wurde, es sich aber um einen Notfall handelt, ist wahrscheinlich wertvolle Zeit verloren gegangen

Entscheidungsinstanz muss

• geschult
• erfahren
• und befugt sein

Geschult bedeutet

• Sachkenntnis, um entscheiden zu können, was eine Störung, was ein Notfall und was eine Krise ist
• Alarmierungsprozess kennen
• Überblick über die Institution

In den meisten Fällen liegen zu einem Schadensereignis nur eingeschränkte Informationen vor

• Auch dann sollte diese Entscheidungsinstanz entscheidungsfreudig sein.

Übungen und Tests

• realitätsnahe, praktische Erfahrungen sammeln
• Entscheidungskriterien verbessern
• Fehleinschätzungen vermeiden

Befugnisse

Die zentrale Entscheidungsinstanz muss befugt sein

• eigenständig die Ereignismeldung einzustufen
• eine Entscheidung zu fällen

Dies verkürzt die Zeitspanne, die bis zum Beginn der Bewältigung verstreicht.

Sicherstellen, dass die BAO unverzüglich alarmiert werden kann

Organisatorischen und technischen Voraussetzungen chaffen und dokumentieren

• Erreichbarkeit der BAO innerhalb und außerhalb der üblichen Geschäftszeiten
• Rufbereitschaften der BAO eingerichtet werden
• Für Zeiten, in denen eine Erreichbarkeit der BAO nicht garantiert ist, sollten Risikoübernahmen durch die Institutionsleitung herbeigeführt werden

Benachrichtigung der Rolleninhabenden solltenkurz und präzise sein

Diskussionen und längere Ausführungen sollten bei der Alarmierung vermieden werden

• Zu viele Informationen verwirren und verzögern die Alarmierung

Detaillierte Informationen

• werden in der ersten Lagebesprechung für alle Anwesenden gemeinsam vorgestellt und besprochen

Alarmierungs- und Eskalationsprozess sollte regeln

• wie die BAO innerhalb und außerhalb der üblichen Geschäftszeiten erreicht wird,
• welche Personen durch die zentrale Entscheidungsinstanz alarmiert werden,
• welche weiteren Personen durch die zuerst alarmierten Personen alarmiert werden,
• welche Kommunikationskanäle hierzu eingesetzt werden sowie
• welche Informationen vermittelt werden.

In der Nachricht sollte klar erkennbar sein

Welche nächsten Schritte die alarmierte Person unternehmen muss

• beispielsweise sich im Stabsraum oder in einer virtuellen Arbeitsumgebung, z. B. Telefonkonferenz, einzufinden

Die alarmierte Person muss dem Aufruf zeitnah folgen

Falls weitere Personen die Alarmierung entgegennehmen könnten, z. B. Haushaltsmitglieder, die den Anruf auf dem privaten Telefon entgegennehmen können, so sollten diese für den Umgang mit empfangenen Alarmmeldungen sensibilisiert werden.

Alarm-Apps

Je nach Größe der BAO kann es zeitaufwändig sein, alle Rolleninhabenden einzeln persönlich zu benachrichtigen, z. B. mittels eines manuellen Telefonanrufs

• Zur Unterstützung der Alarmierung kann es sinnvoll sein, eine Alarmierungssoftware oder eine Alarm-App einzusetzen
• Diese IT-Anwendungen ermöglichen es, auf Knopfdruck die zur Bewältigung erforderlichen Personen zu benachrichtigen
• Sofern eine Alarmierungssoftware eingesetzt wird, muss diese auch im Notfall oder in der Krise verfügbar sein

Zusatzfunktionen

• Alarmnachverfolgung
• automatische Benachrichtigung der Stellvertretenden bei Nicht-Erreichbarkeit
• Möglichkeit, dass die alarmierten Personen der Stabsleitung den erwarteten Zeitpunkt des Eintreffens im Stabsraum mitteilen können

Dokumentation

Der definierte Eskalations- und Alarmierungsprozess sollte visualisiert und im Notfallhandbuch dokumentiert werden

• Dafür kann obige Abbildung angepasst werden
• Diese ist auch in den Hilfsmitteln zum BSI-Standard 200-4 hinterlegt

Dokumentierte Vorgaben und begleitende Maßnahmen stellen sicher, dass die definierten Meldewege wie vorgesehen eingehalten werden

• Als begleitende Maßnahme müssen Meldestellen und Kommunikationswege organisationsweit bekannt gegeben werden
• Dazu können z. B. Aushänge oder andere Informationsmaterialen genutzt werden

Innerhalb des Notfallhandbuchs MÜSSEN

• Sofortmaßnahmen dokumentiert werden
• Die im Notfallhandbuch definierten Sofort­maßnahmen MÜSSEN Regelungen zum Schutz von Leib und Leben beinhalten

Beispiel für Sofortmaßnahmen bei einem Gebäudeausfall

• Hellgrau hinterlegte Zeilen stellen übliche Sofortmaßnahmen der AAO dar
• weiß hinterlegte Zeilen Sofortmaßnahmen des BCM

Der Stab richtet seine Arbeitsweise anhand der vorliegenden Notfallpläne aus (Geschäftsfortführungspläne GFP)

1. Der Stab hat Arbeits- und Besprechungsphasen (Lagebesprechungen). Diese müssen eindeutig festgelegt und allen Stabsmitgliedern kommuniziert werden.
2. Lagebesprechungen
   • dauern nie länger als 30 Minuten
   • brauchen immer eine moderierende Person
   • dürfen ihren Fokus nicht durch Einzeldiskussionen zu Spezialthemen verlieren
     Diese Diskussionen können im Nachgang geklärt werden
   • müssen immer eindeutig beendet werden
   • müssen immer zeitlich klar terminiert und angesagt werden
3. Es muss immer ein Protokoll geführt werden, in welchem die Meldungen, Ereignisse und Beschlüsse des Stabs mit den notwendigen Angaben zu Ort, Zeit und Status nachvollziehbar dokumentiert werden. Im Protokoll muss zudem erfasst werden, wer wann anwesend war.
4. Fakten müssen von Gerüchten getrennt und Informationen immer verifiziert werden. In komplexen Lagen sollte dazu ein Informationsmanagement aufgebaut werden.
5. Die Visualisierung sollte regelmäßig genutzt und aktualisiert werden.
6. Aufgaben müssen klar benannt, terminiert und delegiert und im Aufgabenmanagement festgehalten werden (Zielstellung, Aufgabenstellung, Zuständigkeiten, Umsetzungsfrist bzw. Wiedervorlage).
7. Damit allen anwesenden Personen bewusst ist, wer welche Rolle oder Funktion in der BAO einnimmt, muss sich jeder und jede in der ersten Lagebesprechung mit Namen und Rolle oder Funktion vorstellen.

Zusätzlich sollten BCB klären und schriftlich regeln

• Arbeitsbedingungen
• Protokollierung

Konstituierung und Auflösung der BAO (R)

Checkliste zum Konstituieren des Stabes

• Wie werden die Stabsmitglieder alarmiert?
• Wie werden die Anfahrt und der Zugang zum Stabsraum sichergestellt?
• Wie wird der Ablageort der Ausstattung des Stabsraums dokumentiert, eventuell inklusive Hinweisen zum Zugang?
• Wo und wie wird der Aufbau der Ausstattung des Stabsraums dokumentiert?
• Welche Rollen sind für den Aufbau der Ausstattung des Stabsraums zuständig?
• Wie erfolgt die erste Lagebesprechung durch den Stab?

Checkliste zum Auflösen der BAO

• Wodurch entscheidet es sich, wann die letzte Lagebesprechung durchgeführt wird?
• Wann beendet jede Rolle offiziell ihre Mitarbeit in der BAO?
• Wurden alle notwendigen Beschlüsse für die Nacharbeiten getroffen?
• Ist die Maßnahmenverfolgung inklusive der Aufgaben bei den Nacharbeiten vollständig dokumentiert? Durch wen wird diese Maßnahmenverfolgung in der AAO fortgeführt?
• Ist das Protokoll der Stabsarbeit vollständig, vertraulich und wiederauffindbar abgelegt?
• Wann und durch wen erfolgt der Rückbau des Stabsraums?

• Konstituierung und Auflösung der BAO (AS)
• Festlegung eines Zusammenarbeitsmodells (AS)
• Festlegung der Arbeitsbedingungen (AS)
• Protokollierung (AS)
• Festlegung besonderer Befugnisse (AS)
• Erstellung eines Verhaltenskodexes (AS)

Schulung der BAO

Lagebeobachtung und -visualisierung

Festlegung eines Stabsraums

Ausstattung des Stabsraums

Freigabe durch die Institutionsleitung

Allgemeine Regelungen zur Kommunikation

Für die Rolle NuK-Kommunikation sollten im Vorhinein verbindliche Regeln für folgende Aufgaben definiert und dokumentiert werden:

• interne Kommunikation (Was dürfen oder müssen die Mitarbeitenden wann erfahren?)
• externe Kommunikation durch Mitarbeitende (Was dürfen die Mitarbeitenden wann und wie gegenüber der Presse und in sozialen Medien äußern und was nicht?)
• externe Kommunikation durch Rolle Kommunikation (Was soll die Rolle Kommunikation wann und wie gegenüber der Presse und in sozialen Medien bekannt geben?)
• Regelungen für den Kontakt mit Polizei und anderen Behörden sowie Hilfsorganisationen
• Meldepflichten der Institution, die sich aus einem Notfall ergeben
• Regelungen zum Medienmonitoring

Anforderungen an die Kommunikation

• Ausfallsicherheit der Kommunikationsmittel (z. B. Notstrom)
• Redundanz der Kommunikationsmittel (z. B. Ersatz-TK-Anlage)
• Schutz der vertraulichen Kommunikation
• Eingrenzung und Aktualität der Nutzungsberechtigungen

Externe Kommunikation mit Interessengruppen

Kanäle an, sofern verfügbar

• E-Mail
• Telefon
• Notfall-Hotline
• Webseite der Institution mit Informationen über den Notfall und FAQs
• alternative Notfall-Webseite („Dark Site“)
• Public-Relations-Agentur
• Soziale Medien
• persönliches Interview
• Fernseh- oder Radio-Interview
• Pressemitteilung
• Pressekonferenz

Checkliste zur Rückführung in den Normalbetrieb

• Wie und wann wird die BAO aufgelöst und in die normale AAO überführt?
• Welche Arbeitsrückstände sind institutionsweit entstanden und wie können diese am besten abgearbeitet werden?
• Durch wen erfolgt die interne und externe Kommunikation für die Dauer der Nacharbeiten?
• Wie, durch wen und in welchen zeitlichen Intervallen werden die Mitarbeitenden über den Fortschritt der Rückführung in den Normalbetrieb informiert?
• An wen sollen die Organisationseinheiten in dieser Zeit ihre Erkenntnisse und Fortschritte melden? Gemeldet werden sollten z. B.
  • Schäden oder Verluste durch den Notbetrieb,
  • der aktuelle Stand der Arbeitsrückstände sowie
  • die erwartete Dauer bis zur Rückkehr in den Normalbetrieb.

Kriterien für die Deeskalation

• Sind sämtliche Ereignisse bewältigt, die eine BAO benötigen?
• Können die restlichen Probleme vollständig durch die AAO gelöst werden?
• Kann eine erneute Verschärfung der Lage bei einer schrittweisen Überführung in den Normalbetrieb ausgeschlossen werden?
• Können die interne und externe Kommunikation wieder vollständig durch die AAO erfolgen?

Fragenkatalog – Analyse der Bewältigung

• Wie kam es zu dem Ereignis?
• Welche Auswirkungen hatte das Ereignis?
• Wie schnell und wie effektiv erfolgte die Reaktion auf das Ereignis
  (insbesondere BAO-Reaktionszeit)?
• Welche Elemente der Aufbau- und Ablauforganisation der BAO haben gut funktioniert und welche weniger gut?
• Gab es Unterschiede zur geplanten Notfallbewältigung?
• Waren alle zeitkritischen Geschäftsprozesse und Ressourcen bekannt?
• Welche der vorbereiteten Notfallmaßnahmen wurden ergriffen?
• Welche Notfallmaßnahmen wurden neu eingeführt?
• Wie gut haben die vorbereiteten Notfallpläne funktioniert?
• Wurden Notfallpläne neu erstellt oder angepasst?
• Wie gut hat die interne NuK-Kommunikation funktioniert?
  (z. B. Kooperationsbereitschaft der Mitarbeitenden, Einhaltung der Schweigepflichten)
• Wie gut hat die externe NuK-Kommunikation funktioniert?
  (z. B. Effektivität des Medienmonitorings, Einflussmöglichkeiten auf die externe Wahrnehmung)

BSI/200-4/06 BIA-Vorfilter

BIA beinhaltet umfangreiche Analysen

• Eine hohe Anzahl zu berücksichtigender Geschäftsprozesse kann den Fortschritt im BCM deutlich verlangsamen
• Dies widerspricht dem Ziel schnellstmöglich eine Reaktionsfähigkeit zu erlangen
• Bei zu hoher Anzahl der zeitkritischen Geschäftsprozesse im Rahmen der BIA, reichen die festgelegten Ressourcen unter Umständen nicht aus
• In der Folge können nicht alle zeitkritischen Geschäftsprozesse adäquat abgesichert werden

Ziel des BIA-Vorfilters

• mit vereinfachten Mitteln vor Beginn der BIA eine Vorauswahl treffen
• die potenziell zeitkritischsten Geschäftsprozesse eingrenzen

Möglichkeiten, eine Vorauswahl zu treffen

• Vorauswahl von Geschäftsprozessen
  • hierarchisch anhand einer Prozesslandkarte
  • anhand einer groben Vorauswahl durch die Institutionsleitung
• Vorauswahl von Organisationseinheiten anhand eines Organigramms
• Vorauswahl von Produkten oder Services

Leitfrage für einen BIA-Vorfilter anhand von Organisationseinheiten

Untersuchungszeitraum

Der Untersuchungszeitraum legt fest, für welche mögliche Ausfalldauer ein Schaden für die Institution bewertet werden soll

• Den Untersuchungszeitraum repräsentiert die Wortgruppe innerhalb von 7 Tagen in der eingangs genannten Leitfrage
• Er sollte kleiner als der abzusichernde Zeitraum des BCMS von z. B. 14-30 Tage sein
  • einen relativ kurzen Zeitraum umfassen, z. B. 7 Tage oder kürzer
  • um die Vorauswahl auf die zeitkritischsten Einheiten einzuschränken und so den Aufwand in der BIA deutlich zu reduzieren.

Grenze für das Schadenspotenzial

Um die Bewertung in dem BIA-Vorfilter einheitlich durchzuführen, ist es wichtig

• mit der Institutionsleitung konkret festzulegen
• was im Beispiel ein zu hoher Schaden wäre

Die so identifizierten Einheiten werden in der BIA näher untersucht, sodass für diese eine angemessene BC-Planung im weiteren PDCA-Zyklus des BCMS entwickelt wird

Bewertungsaspekte

1. Beeinträchtigung der persönlichen Unversehrtheit
2. Beeinträchtigung der Aufgabenerfüllung
3. Verstoß gegen Gesetze, Vorschriften und Verträge
4. Negative Innen- und Außenwirkung (Imageschaden)
5. Finanzielle Auswirkungen

Simpler und schneller Ansatz

Welche 3-5 Geschäftsprozesse bereiten am schnellsten Probleme, falls die­se ausfallen?

Ergebnis des BIA-Vorfilters anhand von Geschäftsprozessen

BSI/200-4/07 Business Impact Analyse

In der BIA wird untersucht

• welche Geschäftsprozesse zeitkritisch sind
• ab wann deren Ausfälle nicht tolerierbare Auswirkungen haben

Daraus werden die Wiederanlaufanforderungen abgeleitet

• ob und ab wann für diese Geschäftsprozesse ein Notbetrieb zur Verfügung stehen sollte
• welche Ressourcen dafür benötigt werden

Falls die BAO schon aufgebaut wurde, helfen diese Informationen der BAO zu­dem

• die zeitkritischen Geschäftsprozesse und Ressourcen in einem Notfall zu priorisieren
• früh zu erkennen, ob ein Schadensereignis eskaliert werden muss sowie
• den Geschäftsbetrieb aufrechtzuerhalten

Prozessschritte der Business-Impact-Analyse

Kenngröße	Beschreibung
Maximum Tolerable Period of Disruption (MTPD) Maximal Tolerierbare Ausfallzeit, MTA	legt fest, wie lange ein Geschäftsprozess maximal ausfallen darf, bevor nicht tolerierbare Auswirkungen für die Institution auftreten Die MTPD wird anhand einer Bewertung des Schadenspotenzials je Geschäftsprozess ermittelt.
Recovery Time Objective (RTO) Geforderte Wiederanlaufzeit (WAZ)	wird aus der MTPD abgeleitet und sowohl den zeitkritischen Geschäftsprozessen als auch den Ressourcen zugeordnet, die relevant sind für die Aufrechterhaltung der zeitkritischen Geschäftsprozesse Die RTO umfasst den Zeitraum vom Ausrufen des Notfalls bis zum Zeitpunkt der geforderten Inbetriebnahme der BC-Lösung Im Falle von IT-Ressourcen wäre das z. B. der Schwenk auf eine Ausweich- oder Ersatzressource oder das Zurücksetzen eines IT-Systems auf den letzten gesicherten Zustand Die RTO muss zwingend kürzer sein als die MTPD des relevanten Geschäftsprozesses, denn die Reaktionszeit wird von der MTPD abgezogen, um mit der RTO die MTPD noch erreichen zu können Zusätzlich ist es empfehlenswert, einen weiteren zeitlichen Puffer einzuplanen, da insbesondere die Detektion mit Unsicherheiten hinsichtlich des genauen zeitlichen Ablaufs einhergeht.
Recovery Point Objective (RPO) Maximal zulässiger Datenverlust	legt fest, welcher Datenverlust akzeptiert wird, d. h. wie alt verfügbare Daten maximal sein dürfen, um im Notbetrieb sinnvoll damit arbeiten zu können Diese Kenngröße dient auch dazu, um den notwendigen Datensicherungszyklus daraus abzuleiten. Theoretisch kann die RPO auch für analoge Informationen erhoben werden Da diese analogen Informationen in der Praxis aber nicht in sinnvoller Art und Weise versioniert werden können, ist es in der Regel zielführender, benötigte analoge Informationen allein über die Ressourcenkategorie Informationen zu erheben, ohne RPO zu erheben und immer vom aktuellen Stand auszugehen.
Minimum Business Continuity Objective (MBCO) Notbetriebsniveau	definiert, wie leistungsfähig der Notbetrieb sein soll, um einen sinnvollen Geschäftsbetrieb gewährleisten zu können Das Notbetriebsniveau wird je Geschäftsprozess individuell festgelegt Hierzu kann die Leistungsfähigkeit des Notbetriebs z. B. prozentual angegeben werden oder alternativ können Aktivitäten priorisiert werden In obiger Abbildung wird das Notbetriebsniveau nur schematisch dargestellt

Beispiele hierarchisch angeordneter Geschäftsprozesse

Beispiel einer Bewertung des Schadenspotenzials je Zeithorizont

Definition von Zeithorizonten

Die Wahl der Zeithorizonte wird unter anderem beeinflusst durch

• die Zyklen, in denen Produkte hergestellt, Prozesse durchgeführt oder Services bereitgestellt werden,
• die Erwartungshaltung an Ausfallzeiten (unter anderem von Interessengruppen)
• interne Vorgaben und Geschäftsziele
• branchenübliche Standards
• gesetzliche Vorgaben
• Risikobereitschaft der Institution

Beispiele für Zeithorizonte

Schadensszenarien

Innerhalb der BIA sollten mindestens die folgenden Schadensszenarien berücksichtigt werden

• Beeinträchtigung der persönlichen Unversehrtheit
• Beeinträchtigung der Aufgabenerfüllung
• Verstoß gegen Gesetze, Vorschriften und Verträge
• negative Innen- und Außenwirkung (Imageschaden)
• finanzielle Auswirkungen

Untragbarkeitsniveau

Das Untragbarkeitsniveau definiert

• ab welcher Schadenskategorie die Auswirkungen eines Ausfalls durch die Institution nicht länger toleriert werden (siehe Abbildung). Die Entscheidung darüber
• ab welcher Höhe Schäden nicht länger toleriert werden
• sollte aufgrund der Tragweite für die weitere BC-Planung die Institutionsleitung treffen. Anhand des festgelegten Untragbarkeitsniveaus kann in der BIA identifiziert werden
• zu welchem Zeitpunkt die erwarteten Schäden so hoch werden
• dass diese nicht länger akzeptiert werden. Dies ist dann die MTPD des Geschäftsprozesses.

Schadenskategorien

Schadenskategorien und Erläuterung je Schadensszenario

Ressourcenkategorien

Beispiele verschiedener Ressourcenkategorien

Ressourcencluster

Innerhalb bestimmter Ressourcenkategorien, z. B.  der IT, können mitunter sehr viele einzelne Ressourcen vorhanden sein, die für die BIA relevant sind

• Wenn alle Ressourcen einzeln erfasst werden, besteht jedoch die Gefahr, dass diese aufgrund der Menge und der Komplexität nicht handhabbar sind
• Es ist daher sinnvoll, Ressourcen sinnvoll zu Clustern zusammenzufassen

Das gängigste Beispiel für ein Cluster ist der Arbeitsplatz

• Ein Arbeitsplatz fasst alle Arbeitsmittel und Geräte zusammen, die für eine spezifische Aufgabenstellung innerhalb eines Geschäftsprozesses benötigt werden
• Hierbei kann allgemein zwischen einem Standardarbeitsplatz und Spezialarbeitsplätzen unterschieden werden
• Ein Arbeitsplatz kann Teil einer größeren Infrastruktur sein und wiederum aus einer Menge an Maschinen, Geräten, Anlagen oder Betriebsmitteln zusammengesetzt sein.

Vor Beginn der BIA sollte festgelegt werden, wie die Informationen zur BIA erhoben werden sollen.

Formate

• Selbstauskunft durch den Prozesseigentümer oder die -eigentümerin anhand eines papierbasierten, elektronischen oder toolgestützten Fragebogens,
• Einzelinterviews mit verschiedenen Personen (z. B. Leitenden der Organisationseinheiten, Prozesszuständigen oder sonstigen Prozessfachleuten, die Auskunft geben können)
• Workshops, mit mehreren Personen

• Präsentation zur Erläuterung der BIA
• Liste der Geschäftsprozesse
• Hilfsmittel zur Erhebung und Auswertung der BIA

Bewertung des Schadenspotenzials von Geschäftsprozessen

Worst-Case-Bewertung des Schadenspotenzials des Geschäftsprozesses „Kundschaftsanfragen bearbeiten“

Korrekte und fehlerhafte Bewertung des Schadenspo­tenzials

Leitfrage

„Wenn der Geschäftsprozess ausfällt, mit welchem Schadenspotenzial [1 (gering), 2 (mittel), 3 (hoch), 4 (sehr hoch)] ist bei einem Ausfall bis zu … zu rech­nen?“

Begründung zur Bewertung des Schadenspotenzials

Die Bewertung des Schadenspotenzials muss je Geschäftsprozess begründet und dokumentiert werden.

Gründe

• Wenn die BIA in einem neuen BCMS-Zyklus aktualisiert wird, kann auf die bestehenden Informationen zurückgegriffen werden. Damit die Bewertung des Schadenspotenzials auch zu einem späteren Zeitpunkt nachvollziehbar ist, sollte diese begründet werden.
• Regulatoren setzen eine Begründung voraus, um auch als außenstehende Dritte die Schadensanalyse dahingehend überprüfen zu können, ob diese plausibel ist.

Die Begründung dient als Entscheidungshilfe, um geeignete Maßnahmen für die Geschäftsfortführung auszuwählen.

• Wenn die einzusetzenden finanziellen oder personellen Ressourcen für diese Maßnahmen zu hoch erscheinen, dann hilft eine Begründung aus der BIA mehr als die reine Angabe einer zu erreichenden MTPD.

Beispielhafte Begründung eines Schadenspotenzials

Für die zeitkritischen Geschäftsprozesse muss zusätzlich die geforderte Wiederanlaufzeit RTO festgelegt werden

• Sie beschreibt, wie lange der reine Wiederanlauf dauern darf, bevor es zu nicht tolerablen Schäden kommt
• Daher wird von der MTPD die BAO-Reak-tionszeit abgezogen
• Die BAO-Reaktionszeit verstreicht in der Regel unabhängig von einzelnen Geschäftsprozessen, bis der Notfall ausgerufen und die relevanten BC-Pläne gestartet werden.

Die RTO nimmt eine zentrale Rolle in der Notfallplanung und -behandlung ein

• Sie wird in Übungen verifiziert, sodass ein realistischeres Bild für die Notfallbehandlung entsteht.

Für die BAO ist dann sichtbar, wie lange der Wiederanlauf vermutlich dauern wird, sodass dort bei dem Auftrag zum Wiederanlauf gut abgeschätzt werden kann, ob die MTPD noch eingehalten werden kann

• Auch für die Notfallteams ist die RTO eine klare Zielvorgabe.

Zwischen der Bestimmung der RTO und der BAO-Reaktionszeit besteht eine Wechselwirkung

Einerseits bietet es sich an, diese Reaktionszeit einfach von der MTPD abzuziehen, um an die RTO zu gelangen

• Hierbei kann ein zusätzlicher Puffer berücksichtigt werden, z. B. für den Fall, dass beim Wiederanlauf Schwierigkeiten auftreten.

Andererseits wird hier sehr deutlich, dass längere Reaktionszeiten z. B. bei der Detektion oder Alarmierung alle Zeiträume für RTOs verkürzen

• Dadurch können sich auch die Kosten erhöhen, um diese RTOs einzuhalten
• Letzten Endes ist auch die BAO-Reaktionszeit eine Sollvorgabe, die sich aus den Anforderungen der Institution an die MTPDs ergibt.

Zudem ist es bei der Festlegung der RTO hilfreich, schon Teile der BC-Planung, z. B. das angestrebte Notbetriebsniveau, konzeptionell vorzubereiten, sodass die RTO konkretisiert werden kann.

Für nicht zeitkritische Geschäftsprozesse entfallen die nachfolgenden Schritte, da diese im Rahmen des BCM nicht weiter betrachtet werden.

Beispiel eines dokumentierten Notbetriebsniveaus

Dieser Prozessschritt der BIA ist abgeschlossen, wenn

• die Geschäftsprozesse im GP-Umfang hinsichtlich ihres Schadenspotenzials bewertet wurden
• die Geschäftsprozesse im GP-Umfang anhand der Kriterien mit einer MTPD versehen sind
• die MTPD je zeitkritischem Geschäftsprozess begründet wurde
• für zeitkritische Geschäftsprozesse die jeweilige RTO definiert ist sowie
• für zeitkritische Geschäftsprozesse das erforderliche Notbetriebsniveau definiert wurde

Beispiel Antragsbearbeitung

Der Geschäftsprozess „Antragsbearbeitung“, mit einer RTO von 3 Tagen, ist vom Geschäftsprozess „Antragsprüfung“ abhängig

• Die Antragsprüfung hat eine geringere Prozessausführungszeit
• Zudem sind erfahrungsgemäß immer mehr Anträge bereits geprüft als in Bearbeitung (Arbeitsvorrat von einigen Tagen)
• Obwohl eine zeitkritische Abhängigkeit zwischen beiden Geschäftsprozessen besteht, kann der abhängige Geschäftsprozess „Antragsbearbeitung“ wiederaufgenommen werden, ohne dass der benötigte Geschäftsprozess „Antragsprüfung“ bereits läuft
• Daher wird zwischen den Prozesszuständigen vereinbart, dass die RTO des benötigten Geschäftsprozesses „Antragsprüfung“ mit 7 Tagen deutlich größer sein kann als die RTO des abhängigen Geschäftsprozesses „Antragsbearbeitung“

Beispiel Kundschaftsbetreuung

Der Geschäftsprozess „Kundschaftsbetreuung“ mit einer RTO von 3 Tagen ist von einem ausgelagerten Geschäftsprozess „Telefon-Hotline-Dienst“ abhängig

• Dieser stellt sicher, dass Anrufe angenommen, die Anfragen geprüft und an das richtige Team in der „Kundschaftsbetreuung“ weitergeleitet werden
• Da der benötigte Geschäftsprozess „Telefon-Hotline-Dienst“ parallel zum abhängigen Geschäftsprozess „Kundschaftsbetreuung“ ausgeführt werden muss, wird entschieden, dass die RTO des abhängigen Geschäftsprozesses übernommen wird.

Beispiel Produktion

Der Geschäftsprozess „Produktion“ in einer Milchfabrik, mit einer RTO von drei Tagen, ist vom nachgelagerten Geschäftsprozess „Distribution“ abhängig

• Da nur begrenzte Lagermöglichkeiten für die produzierten Güter bestehen, können diese maximal zwei weitere Tage aufbewahrt werden, bevor das Lagervolumen ausgeschöpft ist
• Um einen kontinuierlichen Produktionsfluss zu gewährleisten, wird beschlossen, die RTO des benötigten Geschäftsprozesses „Distribution“ auf fünf Tage festzulegen.

Relevant für die weiteren Schritte in der BC-Planung der Ressourcen sind die folgenden BIA-Kenngrößen für Ressourcen:

• Geforderte Wiederanlaufzeit (RTO)
• Ressourcenbedarf in Abhängigkeit zur Dauer des Notbetriebs
• Im Falle von Daten und IT-Ressourcen: maximal zulässiger Datenverlust (RPO)

Beispiele für Ressourcenabhängigkeiten verschiedener Geschäftsprozesse

Ressourcen, deren RTO aufgrund des Minimalprinzips ermittelt wurden, sind hervor­ gehoben.

Beispiel für Arbeitsplatz- und Personalabhängigkeiten

Benötigte Anzahl Arbeitsplätze oder Personal im Notbetrieb der OE Kun­denmanagement

Beispiele für informationsbasierte Ressourcenabhängigkeiten verschiede­ner Geschäftsprozesse

Wenn viele (sehr) zeitkritische Geschäftsprozesse eine einzelne Ressource benötigen, stellt diese ein erhöhtes Risiko für eine Geschäftsunterbrechung dar. Üblicherweise werden solche Ressourcen als Single Point of Failure bezeichnet.

Es gibt verschiedene Arten von Single Points of Failure:

SPoF	Beschreibung
Wissen (Single Point of Knowledge, SPoK)	Person, die als einzige über alle Fähigkeiten und spezifische Kenntnisse eines Prozesses oder Verfahrens verfügt
Technik oder Dienstleistung (Single Point of Failure, SPoF)	Anlage, eine Komponente, ein IT-System, ein Dienstleistungsunternehmen etc., durch deren Ausfall ein Gesamtsystem nicht mehr betriebsbereit ist Das trifft immer dann zu, wenn eine Komponente eine zentrale Funktion im Gesamtsystem übernimmt und beim Ausfall die Funktionen der anderen Komponenten beeinträchtigt
Kontakte (Single Point of Contact, SPoC)	Person, die die alleinige Kontaktperson ist, oder eine Schnittstelle, die die alleinige Kommunikationsstelle für einen bestimmten Sachverhalt ist
Kumulationseffekt	Ressourcen, welche von relativ vielen zeitkritischen Geschäftsprozessen benötigt werden

Die Gesamtübersicht sollte mindestens die folgenden Inhalte umfassen:

• Übersicht der zeitkritischen Geschäftsprozesse und zugehörigen Kontaktpersonen
• Übersicht der Prozessabhängigkeiten
• Übersicht der abhängigen Ressourcen und SpoFs sowie deren RTO bzw. RPO

BSI/200-4/08 Soll-Ist-Vergleich

BCM-Prozessschritte des Soll-Ist-Vergleichs

Beispiele für Ressourcenzuständige

Beispiel eines Soll-Ist-Vergleichs der RTO anhand der Ressourcenkategorie IT

Beispiel eines Soll-Ist-Vergleichs der RPO

Eine Übersicht aller zeitkritischen Ressourcen, insbesondere jedoch der unzureichend abgesicherten Ressourcen, muss erstellt und mit der Institutionsleitung abgestimmt werden.

Die Institutionsleitung sollte die folgenden Informationen zur Kenntnis nehmen und bestätigen:

• Übersicht der zeitkritischen Geschäftsprozesse gemäß BIA
• Übersicht der zeitkritischen Ressourcen gemäß BIA
• Übersicht der unzureichend abgesicherten Ressourcen gemäß Soll-Ist-Vergleich
• Einschätzung möglicher Risiken aus den identifizierten Lücken gemäß Soll-Ist-Vergleich

BSI/200-4/09 Risikoanalyse

BCM-Prozessschritte der BCM-Risikoanalyse

Die BCM-Risikoanalyse muss die folgenden Anforderungen erfüllen:

• Die Risikoanalyse sollte die Risikokriterien Eintrittshäufigkeit und Schadenshöhe berücksichtigen.
• Die Risikoeinschätzung sollte alle vorhandenen risikoreduzierenden Maßnahmen berücksichtigen. (Netto-Risikoeinschätzung)
• Der Detailgrad der betrachteten Ressourcen(cluster), der Gefährdungen und der resultierenden Risiken sollte so gewählt werden, dass geeignete BC-Strategien und -Lösungen dafür identifiziert werden können.
• Die Institution muss die identifizierten Risiken auf den weiteren Handlungsbedarf hin bewerten.
• Die Institution muss sicherstellen, dass vor der Risikoakzeptanz alle anderen Risikobehandlungsoptionen angemessen geprüft wurden.
• Die Ergebnisse der BCM-Risikoanalyse, insbesondere bestehende Restrisiken, sollten durch die Institutionsleitung zur Kenntnis genommen werden.
• Die bestehenden Restrisiken müssen durch die Institutionsleitung akzeptiert werden.

Durch die BIA liegt bereits die Liste der zeitkritischen Ressourcen und damit der relevanten Zielobjekte für die BCM-Risikoanalyse vor

• Die Vorbereitung zur Risikoanalyse gemäß BSI-Standard 200-3 beschränkt sich daher auf eine geeignete Gruppenbildung dieser relevanten Zielobjekte
• In der BCM-Risikoanalyse kann auch auf die bereits definierten Ressourcen(cluster) gemäß BIA zurückgegriffen werden
• Aufgrund ihrer hohen Bedeutung sollten zusätzlich die in der BIA identifizierten SPoFs als eigenständige Zielobjekte in der BCM-Risikoanalyse betrachtet werden.

Analog zur BIA und dem Soll-Ist-Vergleich bieten sich für die BCM-Risikoanalyse ebenfalls Workshops an, um die Informationen zielgerichtet zu erheben

• Das Vorgehen, um

die Workshops vorzubereiten, kann analog zur Vorbereitung der BIA-Workshops erfolgen (siehe 7.1.4 Planung der BIA-Erhebung (R+AS))

• Auch der Einsatz von vorgegeben

Hilfsmitteln bietet sich in der BCM-Risikoanalyse an

• Insbesondere kann es hilfreich sein, eine Workshop-Präsentation vorzubereiten, in der auf die spezifischen Eigenschaften der BCM-Risikoanalyse eingegangen wird.

Ausgewählte elementare Gefährdungen des BSI mit Bezug auf das Schutzziel Verfügbarkeit (Beispiel)

Die Relevanz der Gefährdungen kann über folgende Stufen beschrieben werden (siehe BSI-Standard 200-3, Kapitel 4.1 Elementare Gefährdungen):

Relevanz	Beschreibung
Direkt relevant	bedeutet hier, dass die jeweilige Gefährdung auf das betrachtete Zielobjekt einwirken kann und deshalb im Rahmen der Risikoanalyse behandelt werden muss.
Indirekt relevant	meint hier, dass die jeweilige Gefährdung zwar auf das betrachtete Zielobjekt einwirken kann, in ihrem Schadenspotenzial aber nicht über andere (allgemeinere) Gefährdungen hinausgeht. In diesem Fall muss die jeweilige Gefährdung für dieses Zielobjekt nicht gesondert im Rahmen der Risikoanalyse behandelt werden
Nicht relevant	heißt hier, dass die jeweilige Gefährdung nicht auf das betrachtete Zielobjekt einwirken kann und deshalb für dieses Zielobjekt im Rahmen der Risiko­ analyse nicht behandelt werden muss.

Zuordnung der Gefährdungen zu den Ressourcenkategorien (Beispiele)

Wie hoch das Risiko ist, wird im BSI-Standard 200-3 und in vielen weiteren Methoden von zwei Parametern bestimmt

Parameter	Beschreibung
Eintrittshäufigkeit	wie häufig sich eine Gefährdung auf eine zeitkritische Ressource schätzungsweise auswirkt.
Schadenshöhe	die zu erwartende Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht.

Netto-Risikoeinschätzung

Berück­sichtigt alle vorhandenen risikoreduzierenden Maßnahmen

Risikomatrix

Risikokategorien

Die Risikobehandlung im BCMS orientiert sich grundlegend an den vier Risikobehandlungsoptionen des BSI-Standard 200-3 (siehe BSI-Standard 200-3, Kapitel 6.1 Risikobehandlungsoptionen)

• Jedoch ist die Risikobehandlungsoption Transfer von Risiken im BCM nur bedingt geeignet
• Zum einen können aus dieser Option keine Maßnahmen zur Sicherstellung eines kontinuierlichen Geschäftsbetriebs abgeleitet werden
• Zum anderen bleibt die Erfüllung von gesetzlichen oder vertraglichen Vorgaben von dieser Risikobehandlungsoption unberührt
• Aus denselben Gründen muss auch genau geprüft werden, ob eine Risikoakzeptanz möglich ist
• Insbesondere Institutionen, die eine Versorgungssicherheit zu garantieren haben, z. B. im KRITIS-Umfeld, legen daher den Fokus darauf, Risiken, die die kritischen Dienstleistungen betreffen, zu vermeiden oder zu reduzieren, sofern Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind.

BSI/200-4/10 Business-Continuity-Strategie

Entwicklung von BC-Strategien und -Lösungen

BC-Strategien

Die Institution muss geeignete BC-Strategien definieren, die den Handlungsbedarf aus der BCM-Risikoanalyse abdecken

• Üblicherweise übernimmt diese Tätigkeit der oder die BCB.

Ressourcenkategorien

Hierzu kann sich der oder die BCB zunächst an den in der BIA festgelegten Ressourcenkategorien orientieren

• Für jede Ressourcenkategorie ist es empfehlenswert, zu prüfen, welche grundsätzlichen BC-Strategien möglich wären, um die jeweilige Ressourcenkategorie abzusichern
• Eine BC-Strategie kann sowohl dazu geeignet sein, die Eintrittshäufigkeit eines Ressourcen- oder Geschäftsprozessausfalls durch Vorsorgemaßnahmen zu senken, als auch einen Notbetrieb durch BC-Lösungen sowie Notfallmaßnahmen zu ermöglichen
• Sie sollte geeignet sein, den Geschäftsbetrieb mindestens über den abzusichernden Zeitraum mit einem angemessenen Notbetrieb abzudecken.

Wiederherstellungsplanung

Liegt bereits eine Wiederherstellungsplanung vor, z. B. aus einem ITSCM oder einem früheren BCM-Zyklus, dann können aus dieser Planung Rückschlüsse gezogen werden, wie lange eine vollständige Wiederherstellung der Ressource voraussichtlich zeitlich in Anspruch nehmen wird

• Diese Information kann im BCM genutzt werden, um in der Auswahl von BC-Strategien und -Lösungen die maximal mögliche Notbetriebsdauer mit der voraussichtlich notwendigen Notbetriebsdauer vergleichen zu können
• Die Wiederherstellungsplanung unterstützt somit bei der Identifikation bedarfsgerechter und wirtschaftlicher BC-Strategien und -Lösungen.

Ressourcenkategorien unterteilen

Zusätzlich kann es zweckmäßig sein, einzelne Ressourcenkategorien weiter zu unterteilen

• Dies ist etwa dann sinnvoll, wenn für unterteilte Ressourcenkategorien durch unterschiedliche BC-Strategien ein besseres Gesamtergebnis der BC-Strategien möglich wird.

Die Ressourcenkategorie Gebäude und Infrastruktur kann etwa einen gesamten Standort, ein einzelnes Gebäude oder gar einzelne Gebäudeteile umfassen

• Bei einem gesamten Standortausfall könnte die BC-Strategie lauten, sämtliche Tätigkeiten oder eine vorhandene Produktion an einen Ausweichstandort zu verlagern
• Fallen hingegen nur einzelne Gebäudeteile aus, dann kann eine BC-Strategie dazu lauten, die Arbeitsplätze oder die Produktion innerhalb des Gebäudes oder Standortes zu verlagern.

Korrekturbedarfen und Verbesserungsmöglichkeiten

Die BC-Strategien sollten die noch nicht adressierten Korrekturbedarfe und Verbesserungsmöglichkeiten aus vorangegangenen BCMS-Zyklen angemessen berücksichtigen.

Zu den identifizierten Korrekturbedarfen und Verbesserungsmöglichkeiten vorangegangener BCMS-Zyklen zählen etwa Lücken, die mit den bestehenden personellen, finanziellen oder zeitlichen Ressourcen bislang nicht behandelt werden konnten oder bewusst nicht behandelt wurden

• Dies gilt insbesondere für initiale Entwicklungsstufen.

Cyberangriffe

Obwohl Cyberangriffe nicht in der BC-Planung des BCM oder ITSCM vollumfänglich abgedeckt werden können, kann es sinnvoll sein, diese themenübergreifenden Aspekte in der Identifikation von BC-Strategien mit zu berücksichtigen und dazu das ISMS mit einzubinden

• Sofern ein ISMS besteht, können hierbei die Anforderungen an die jeweiligen BC-Strategien sowie mögliche Vorsorgemaßnahmen, die mitunter im ISMS bereits bestehen, gemeinsam abgestimmt und in eine BC-Strategie überführt werden
• Jedoch können RTO und RPO bei einem Cyberangriff meist nicht eingehalten werden.

Nachdem der oder die BCB die grundsätzlich möglichen BC-Strategien identifiziert hat, muss er oder sie bewerten, ob diese für die Institution wirksam und angemessen sind.

Eine BC-Strategie ist dann wirksam, wenn durch die umgesetzte BC-Strategie die Eintrittshäufigkeit eines Ausfalls auf ein akzeptables Maß gesenkt werden kann oder die zeitkritischen Geschäftsprozesse innerhalb der RTO auf dem Notbetriebsniveau fortgeführt werden können

• Angemessen ist eine BC-Strategie dann, wenn sie den allgemeinen Zielen der Institution entspricht, die geltenden rechtlichen und regulatorischen Anforderungen einhält und wenn der Nutzen die Kosten überwiegt
• Um die BC-Strategien bewerten zu können, ist es empfehlenswert, dass der oder die BCB verschiedene Bewertungskriterien festlegt
• Anhand der Bewertungskriterien können die BC-Strategien qualitativ und quantitativ bewertet und gegeneinander abgewogen werden
• Falls sich frühzeitig herausstellt, dass eine BC-Strategie nicht wirksam oder angemessen ist, ist es nicht notwendig, diese weiter zu bewerten

Bewertungskriterien

Im Folgenden werden einige Bewertungskriterien benannt, die bei der Bewertung mindestens berücksichtigt werden müssen: Einhalten der RTO: Für die betrachteten BC-Strategien muss geprüft werden, ob nach deren Umsetzung der Notbetrieb der entsprechenden Ressourcen innerhalb der RTO hergestellt werden kann.

Erreichbares Notbetriebsniveau

Es muss geprüft werden, ob die betrachteten BC-Strategien in der Lage sind, das Notbetriebsniveau sicherzustellen

• Wird durch eine Maßnahme zwar die RTO erreicht, jedoch nicht das Notbetriebsniveau, dann ist die betrachtete BC-Strategie je nach Risikobereitschaft der Institution nicht hinreichend geeignet oder muss um weitere Maßnahmen ergänzt werden.

Restrisiken

Es muss geprüft werden, welches Restrisiko eines Ressourcenausfalls trotz umgesetzter BC-Strategie bestehen bleibt

• Wird etwa ein Ausweichstandort geplant, der gleichen regionalen Bedrohungen ausgesetzt ist wie der primäre Standort, dann verbleibt ein mögliches Restrisiko, dass beide Standorte durch dasselbe Ereignis betroffen sind
• Dies kann z. B. der Fall sein durch eine Bombenentschärfung bei Standorten in derselben Region oder durch Hochwasser eines Flusses bei Standorten im gleichen Hochwassergebiet oder durch ein Erdbeben im selben Erdbebengebiet etc
• Hierzu zählt unter anderem auch das Restrisiko bei der BC-Strategie „Redundante Zuliefernde“, falls z. B. in beiden Lieferketten der gleiche Zuliefernde auftaucht oder die Lieferketten durch gleiche Bedrohungen gefährdet sind
• Ziel der BC-Strategien ist es, die Bedrohungen nach Möglichkeit auszuschließen und daher im Vorhinein die Tätigkeiten auf unterschiedliche Standorte und Services zu verteilen, die ausreichend voneinander getrennt sind
• So würde der Ausfall eines Standortes mitunter gar nicht erst zum Ausfall des Geschäftsprozesses führen
• Dies wäre dann der Fall, wenn die Leistung der verbliebenen Standorte ausreicht, den Geschäftsprozess auf dem Notbetriebsniveau fortsetzen zu können.

Finanzielle Aufwände

Es muss geprüft werden, welche finanziellen Aufwände mit den identifizierten BC-Strategien einhergehen und ob diese in einem angemessenen Verhältnis zu den erwarteten Schäden der ausgefallenen Geschäftsprozesse stehen

• Entsprechende Aussagen kann beispielsweise das (Risiko-)Controlling treffen
• Finanzielle Aufwände beinhalten die Anschaffungskosten, die notwendigen Kosten während und nach einem Notfall sowie die erforderlichen Kosten, um die BC-Strategien aufrechtzuerhalten, z. B. die laufenden Kosten eines Ausweichstandortes oder zusätzliche Kontroll-und Steuerungsaufwände.

Einhaltung interner und externer Anforderungen: Es sollte geprüft werden, ob die betrachteten BC-Strategien den Rahmenbedingungen der Institution entsprechen

• So sollten die BC-Strategien etwa dahingehend geprüft werden, ob sie mögliche rechtliche und regulatorische Anforderungen einhalten, die Interessen interner und externer Interessengruppen einbeziehen sowie die allgemeine Risikobereitschaft der Institutionsleitung berücksichtigen
• Mögliche interne und externe Anforderungen wurden bereits mit den erweiterten Rahmenbedingungen zum BCMS erfasst (siehe 4.2 Analyse der erweiterten Rahmenbedingungen).

Maximal mögliche Notbetriebsdauer

Es sollte geprüft werden, wie lange die eingesetzten BC-Strategien einen Notbetrieb ermöglichen können, bis alternative Lösungen gefunden sind oder der Normalbetrieb wiederhergestellt ist

• Die maximal mögliche Notbetriebsdauer sollte mindestens den abzusichernden Zeitraum abdecken (siehe 3.2.3 Abzusichernder Zeitraum durch ein BCMS (R+AS)).

Die maximal mögliche Notbetriebsdauer ist darüber hinaus von Bedeutung, weil bei einem langfristigen Ressourcenausfall weitere Schäden entstehen könnten

• So könnten etwa verdrängte, im Betrachtungszeitraum der BIA nicht zeitkritische Arbeitsplätze langfristig auch zeitkritisch werden und ebenfalls Ausweicharbeitsplätze benötigen
• Auch können die Kosten der aktivierten Notfallmaßnahmen ab einem bestimmten Zeitpunkt die erwarteten Schäden der ausgefallenen Ressourcen und Geschäftsprozesse übertreffen
• Dies kann etwa der Fall sein, wenn zusätzliche Büroflächen über einen sehr langen Zeitraum angemietet werden müssen.

Optionale Bewertungskriterien

Neben den mindestens zu betrachtenden Bewertungskriterien können weitere optionale Bewertungskriterien betrachtet werden, wie etwa die folgenden:

Organisatorische Aufwände

Es wird empfohlen, zu prüfen, welche organisatorischen Aufwände mit den identifizierten BC-Strategien einhergehen und ob diese im Verhältnis zu den erwarteten Schäden der ausgefallenen Ressourcen stehen.

Entstehende Risiken

Es wird empfohlen, zu prüfen, ob die betrachteten BC-Strategien zu neuen Risiken führen können

• Werden etwa gleiche Tätigkeiten auf mehrere Standorte verteilt, so könnte dies in der Folge zu Effizienzverlusten oder einem mangelnden Wissensaustausch der beteiligten Mitarbeitenden führen, Aber es können auch neue Risiken entstehen, die unabhängig von einem zweiten Standort sind, beispielsweise Abweichungen zu Vorgaben an den Arbeitsschutz oder Verletzungen der Schutzziele der Informationssicherheit
• Solche Risiken werden empfehlenswerter Weise mittels einer übergreifenden Risikoanalyse gegeneinander abgewogen.

Entstehender Zusatznutzen: Es wird empfohlen, zu prüfen, ob die betrachteten BC-Strategien auch im Normalbetrieb zu Verbesserungen führen oder positive Seiteneffekte auf Schnittstellen und andere Aspekte haben, z. B. Einkaufsvorteile

• So kann der oder die BCB auch prüfen, ob Synergien zwischen den BC-Strategien oder zu anderen Tätigkeiten in der Institution bestehen oder geschaffen werden können.

Einschätzung Verhältnis Kosten-Nutzen-Risiko

Die Entscheidung für oder gegen eine BC-Strategie ergibt sich aus der Abwägung der entstehenden Kosten im Verhältnis dazu, wie sehr die Eintrittshäufigkeit oder das Schadenspotenzial des Risikos einer Geschäftsunterbrechung reduziert werden können

• Eine BC-Strategie kann dann als sinnvoll betrachtet werden, wenn die Kosten für ihre Umsetzung und ihren Betrieb gerechtfertigt sind, um das Risiko zu minimieren

Zusätzlichen Nutzen

Ferner ist es empfehlenswert, einen möglichen zusätzlichen Nutzen in der Kosten-Nutzen-Risiko Abwägung zu berücksichtigen.

Um die notwendigen Informationen zu erheben, kann der oder die BCB beispielsweise auf die Ressourcen- und Prozesszuständigen zugehen, in deren Zuständigkeitsbereich die BC-Strategien umgesetzt werden

• Auch kann er oder sie mit Anbietern entsprechender Lösungen in Kontakt treten.

Die Bewertung der BC-Strategien kann in der Dokumentvorlage Bewertungstabelle BC-Strategien aus den Hilfsmitteln dokumentiert werden

Beispiel für die Bewertung der BC-Strategie „Mobiles Arbeiten“

Übersicht sinnvoller BC-Strategien

Als Ergebnis erhält der oder die BCB eine Übersicht prinzipiell sinnvoller BC-Strategien und kann ersehen, inwieweit diese sowohl wirksam als auch angemessen sind

• Es ist empfehlenswert, dass die Rolle BCB die aus ihrer Sicht passendsten BC-Strategien vorauswählt
• Dies erleichtert es der Institutionsleitung, die bestmöglich geeignete BC-Strategie festzulegen
• Dazu ist es hilfreich, dass der oder die BCB prüft, welche der BC-Strategien die Anforderungen an die BC-Planung sowie die Rahmenbedingungen der Institution bestmöglich vereinen.

Nachdem der oder die BCB die BC-Strategien geprüft hat, kann er oder sie je Ressourcenkategorie eine oder mehrere BC-Strategien vorauswählen

• Insbesondere wenn die BC-Strategien nicht von allen Organisationseinheiten gleichermaßen genutzt werden können, kann es sinnvoll sein, mehrere prinzipiell mögliche BC-Strategien vorzuschlagen.

Als Ergebnis dieser Phase verfügt der oder die BCB für jede Ressourcenkategorie über mindestens eine mögliche BC-Strategie, die der Institutionsleitung im folgenden Schritt vorgestellt werden muss.

Auswahl und Entscheidung

Nachdem der oder die BCB mögliche BC-Strategien vorausgewählt hat, muss die Institutionsleitung in ihrer Rolle als Gesamtverantwortliche für das BCM sowie aufgrund der Reichweite der BC-Strategien über die letztlich umzusetzenden BC-Strategien entscheiden

• Die Institutionsleitung muss hierzu die Wirksamkeit beziehungsweise den Nutzen der BC-Strategien sowie die erwarteten Kosten und die eigene Risikobereitschaft gegeneinander abwägen.

Entscheidungspräsentation

Es ist empfehlenswert, die BC-Strategien im Rahmen einer Entscheidungspräsentation vorzustellen und abzustimmen

• Die Entscheidungspräsentation ermöglicht es dem oder der BCB, die BC-Strategien, die relevanten Inhalte sowie Vor- und Nachteile strukturiert und visuell gegenüberzustellen sowie seine jeweiligen Favoriten zu empfehlen

Inhalte der Entscheidungspräsentation

Allgemeinen Ziele von BC-Strategien

• Da die Institutionsleitung erfahrungsgemäß nur an bestimmten Stellen zum Thema BC-Strategien mit einbezogen wird, ist es empfehlenswert, dass der oder die BCB zu Beginn der Entscheidungspräsentation auf die Ziele der BC-Strategien eingeht
• Er oder sie kann hierzu erläutern, was unter BC-Strategien zu verstehen ist, welche Aufgabe die Institutionsleitung hierbei hat und welche Schritte auf die Entscheidung der Institutionsleitung folgen.

Betrachtungsgrundlage der BC-Strategien

• Um der Institutionsleitung zu verdeutlichen, was in der BC-Planung durch die BC-Strategien abgesichert werden muss, kann der oder die BCB die betrachteten Ressourcenkategorien und Teilkategorien vorstellen
• Er oder sie kann hierbei auch auf identifizierte Single-Points-of-Failure und Verbesserungsbedarfe vorangegangener BCMS-Tätigkeiten eingehen, die durch die BC-Strategien berücksichtigt werden sollten.

Vor- und Nachteile empfohlene BC-Strategien

• Je vorgestellter Ressourcenkategorie kann der oder die BCB die empfohlenen BC-Strategien vorstellen sowie die jeweiligen Vor- und Nachteile erläutern
• Hierbei kann er oder sie auch auf mögliche Synergien, Abhängigkeiten und Konflikte eingehen, die mit den jeweiligen BC-Strategien einhergehen.

Umzusetzende BC-Strategien auswählen

Auf Basis der empfohlenen BC-Strategien ist die Institutionsleitung in der Lage, sich eine fachliche Übersicht über die möglichen BC-Strategien zu verschaffen und zu entscheiden, wie sie die BC-Planung ausrichten möchte

• Auch kann die Institutionsleitung über die BC-Strategien steuern, wie weit die Ressourcenkategorien mit entsprechenden Aufwänden abgesichert werden sollen, wie Vorteile genutzt werden können und welches Restrisiko sie zu übernehmen bereit ist.

Dienstleistungsunternehmen und Lieferketten

Sofern zeitkritische Prozesse durch Dienstleistungsunternehmen oder in Lieferketten erbracht werden, müssen BC-Strategien ausgewählt werden, die eine angemessene Leistungserbringung im Notfall sicherstellen

• Hierzu ist es empfehlenswert, die weitreichenden Erläuterungen in dem Hilfsmittel Vorschläge zu BC-Strategien zu berücksichtigen.

Dort wird näher erläutert, welche Auswirkungen je nach gewählter BC-Strategie auf unterschiedliche Phasen des PDCA-Zyklus im BCMS bestehen.

Ressourcenkategorie und BC-Strategien

Die Institutionsleitung kann sich entscheiden, je Ressourcenkategorie eine oder mehrere BC-Strategien auszuwählen, verschiedene BC-Strategien zu kombinieren oder eine eigene BC-Strategie auszuwählen.

Entscheidung

Nachdem die BC-Strategien durch die Institutionsleitung ausgewählt und freigegeben wurden, sollte diese Entscheidung dokumentiert werden

• Die dokumentierte Entscheidung ist der Auftrag an den oder die BCB, einen Umsetzungsplan zu erstellen
• Sollte aus Sicht der Institutionsleitung keine der vorgeschlagenen BC-Strategien ausreichend wirksam oder angemessen erscheinen, kann sie den oder die BCB auch damit beauftragen, neue BC-Strategien zu entwickeln
• Sind auch die neu entwickelten BC-Strategien aus ihrer Sicht unwirksam oder unangemessen, kann sich die Institutionsleitung auch dazu entscheiden, keine BC-Strategie umzusetzen
• Dies kann etwa der Fall sein, wenn das Risiko oder der mögliche Schaden ausgefallener Ressourcen oder Geschäftsprozesse die Aufwände der BC-Strategien aus Sicht der Institutionsleitung nicht rechtfertigen würden.

Restrisiko

In diesem Fall muss die Institutionsleitung das Restrisiko übernehmen, solange es keine regulatorischen oder gesetzlichen Verpflichtungen gibt, die dies verbieten

• Das jeweilige Risiko muss im Rahmen der Risikobeurteilung dokumentiert, regelmäßig neu bewertet und daraufhin geprüft werden, ob das Risiko durch neue BC-Strategien gesenkt werden kann

Zuständigkeiten und Fachwissen

Nachdem die Institutionsleitung die BC-Strategien freigegeben hat, muss festgelegt werden, wer für die Umsetzung zuständig ist und wer das hierzu notwendige Fachwissen beisteuern kann.

• Gemeinsam mit dem oder der BCB können diese Personen abstimmen, wie die BC-Strategien umgesetzt werden.
• Hierzu ist es empfehlenswert, zunächst zu prüfen, aus welchen Vorsorgemaßnahmen, BC-Lösungen und Notfallmaßnahmen sich die ausgewählten BC-Strategien zusammensetzen.
• Vorsorgemaßnahmen und BC-Lösungen können im Rahmen von Projekten oder innerhalb der AAO umgesetzt werden, da diese in der Regel umfassender sind und oft verschiedene Organisationseinheiten, Stellen und Kontaktpersonen betreffen.
• Falls im Falle von Outsourcing die BC-Strategie Ausreichende BC-Fähigkeit des Dienstleistungsunternehmens gewählt wird, muss die Institution zusätzlich die erwarteten BC-Fähigkeiten der relevanten, zeitkritischen Dienstleistungsunternehmen anhand von BC-Anforderungen definieren und bewerten (siehe Hilfsmittel BC-Strategievorschläge).

Umsetzungsplan

Nachdem der oder die BCB die jeweiligen Ressourcenzuständigen ermittelt hat, muss ein Umsetzungsplan erstellt werden.

• Erfahrungsgemäß wird dieser von den Ressourcenzuständigen erstellt.
• Der Umsetzungsplan muss die konkret benötigten Ressourcen und Tätigkeiten dokumentieren, die benötigt werden, um die ausgewählten BC-Strategien umzusetzen.

Inhalte Umsetzungsplan

• Konkrete Handlungsschritte, die notwendig sind, um die jeweilige BC-Lösung umsetzen zu können
• Finanzielle, personelle und zeitliche Ressourcen, die benötigt werden, um die Handlungsschritte umsetzen zu können inklusive der benötigten Dienstleistungsunternehmen
• Personen, die die Handlungsschritte des Umsetzungsplans umsetzen sollen
• Zeiträume, in denen die Handlungsschritte umgesetzt werden sollen Während der Umsetzungsplan erstellt wird, können sich mitunter zusätzlich notwendige Ressourcen im Sinne von Mitteln oder Maßnahmen ergeben, die bisher noch nicht bedacht wurden.

Prüfung der Umsetzungspläne

Die erstellten Umsetzungspläne müssen folglich dahingehend überprüft werden, ob das erwartete Gesamtergebnis im Hinblick auf die ausgewählten BC-Strategien weiterhin wirksam und angemessen ist.

Freigabe der Umsetzungspläne

Nachdem die Umsetzungspläne und benötigten Ressourcen im Sinne von Mitteln von der Institutionsleitung freigegeben wurden, müssen die beschlossenen Maßnahmen durch die Zuständigen umgesetzt werden.

• Sie sollten im festgelegten Zeitraum umgesetzt werden.

Der oder die BCB sollte die Umsetzung dieser Maßnahmen steuern und kontrollieren.

• Hierzu ist der Maßnahmenplan ein sehr geeignetes Mittel.
• Die Notfallmaßnahmen werden im Rahmen der Geschäftsfortführungsplanung sowie Wiederanlaufplanung behandelt.

Geschäftsfortführungspläne

Innerhalb von Geschäftsfortführungsplänen (GFP) wird dokumentiert, wie eine Institution auf der Prozessebene auf eine Geschäftsunterbrechung nach einem Ressourcenausfall reagiert.

• Hierzu werden konkrete Notfallmaßnahmen und Verfahren aus den BC-Strategien und -Lösungen abgeleitet, wie zeitkritische Geschäftsprozesse bis zur Wiederherstellung der ausgefallenen Ressourcen im erforderlichen Umfang aufrechterhalten werden können.

Wiederanlaufpläne

Innerhalb von Wiederanlaufplänen (WAP) wird dokumentiert, wie die Institution ausgefallene Ressourcen auf einem abgestimmten Notbetriebsniveau wieder in Betrieb nimmt, beispielsweise durch umgesetzte BC-Lösungen oder Ersatzlösungen.

Wiederherstellungspläne

Innerhalb von Wiederherstellungsplänen (WHP) wird dokumentiert, wie bei Ressourcenausfall der Normalzustand auf Ressourcenebene wieder erreicht werden kann.

Notfallhandbuch

Die beschriebenen Dokumente bilden zusammen mit den Informationen aus dem Aufbau und der Befähigung der BAO die Inhalte des Notfallhandbuchs.

• Das Notfallhandbuch ist die zentrale Dokumentensammlung zur erfolgreichen Notfallbewältigung.

Aufbau und Einsatz des Notfallhandbuchs

BSI/200-4/11 Geschäftsfortführung - Planung

Geschäftstorfführungspläne (GFPs)

	Schritt	Beschreibung
1	Vorbereitung
2	Erstellung
3	Qualitätssicherung und Freigabe

BSI/200-4/12 Wiederanlauf - Wiederanlauf und die Wiederherstellung

Phasen für den Wiederanlauf und die Wiederherstellung

Prozessschritte zur Wiederanlauf- und Wiederherstellungsplanung

</noinclude>

BSI/200-4/13 Üben und Testen

Tests und Übungen sind im Business Continuity Management besonders wichtig

• Hohen Stellenwert in BSI-Standard 200-4

Planung von Übungen und Tests

Besondere Widrigkeiten im eigenen Geschäftsbetrieb

• Wichtiges Kriterium für die Planung von Übungen und Tests

ISB und Business Continuity Beauftragte

Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen

• Verfahren zu mindestens folgenden Übungsarten ausarbeiten

Übungsarten

Übung	Beschreibung
Planbesprechung	Besprechung von Maßnahmenplänen
Stabsübung	BCM-Prozess Beteiligte simulieren einen Notfall
Stabsrahmenübung	Auch externe Stellen werden an der Simulation beteiligt
Alarmierungsübung	Testen der vorgesehenen Alarmierungsketten
Funktionstest	Funktion von relevanten Funktionen testen (beispielsweise Restore oder Notstrom)

Festlegung der Rahmenbedingungen zum Üben (AS)

Übungshandbuch

• Welche Arten von Übungen werden in der Institution unterschieden?
  • Wie sind diese Übungen definiert?
• Welche übergreifenden, Übungsziele sollen mit welchen Übungsarten erreicht wer­den?
• Sind diese messbar?
• Welche regulatorischen, rechtlichen und vertraglichen Anforderungen bestehen an das Üben?
• Wie viele Übungen sollten in welchen Zeiträumen durchgeführt werden?

Rollen bei Übungen

BSI/200-4/14 Leistungsüberprüfung und Berichterstattung

Prozessschritte zur Leistungsüberprüfung

BSI/200-4/15 Aufrechterhaltung und Verbesserung

Aufrechterhaltung und Verbesserung des BCMS

Weiterentwicklung des Reaktiv-BCMS

BSI/200-4/Anhang

• Standard 200-4 BCM Anforderungskatalog

1. Hilfsmittel zum BSI-Standard 200-4
2. Weiterführende Aspekte zur Bewältigung
3. Dokumentvorlage für Wiederanlaufpläne
4. Verinice/Business Continuity Management

BSI/200-4/Hilfsmittel