Business Continuity Management (BCM)

Business Continuity. Die zwei Worte, die wir anstreben, um jede Krise aufrechtzuerhalten, zu managen (verwalten) und zu überstehen. Aber überraschenderweise hat nicht jedes Unternehmen einen Business Continuity Plan (BCP) oder sogar ein Business Continuity Management (BCM) System. Risiken sind für sie obsolet geworden - wie ein Moskito gehen sie einfach damit um, wenn sie auftauchen, anstatt Maßnahmen zu ergreifen, um einem Stich zu entgehen, bevor sie überhaupt Zeit zum Schlüpfen haben!

Eine Unterbrechung der Geschäftsproduktion kann jedes Unternehmen treffen. Ungeachtet der Größe, des Standorts, der Branche oder des Umsatzes sind Störungen wie Gorilla-Kleber: Sie sickern in die kleinste Ritze und breiten sich um das Zehnfache aus (und können in allen möglichen Formen und Größen auftreten). Von Naturkatastrophen bis hin zu Pandemien, von Menschen verursachten Angriffen bis hin zu Serviceausfällen, Systemausfällen bis hin zu Cyberangriffen - das Risiko einer Bedrohung ist endlos und immer präsent.

Tatsächlich hat der technologische Fortschritt das Risiko um das Zehnfache erhöht und stellt Unternehmen vor Herausforderungen wie nie zuvor. In nur 7 Monaten des letzten Jahres gab es weltweit 5,90 Milliarden Datenverletzungen (ein monatlicher Durchschnitt von 1,46 Milliarden) und über 2.359.114.047 verletzte Datensätze.  Und dank COVID-19 gab es allein im März 832.486.418 verletzte Datensätze.

Da die Zahl der vernetzten Geräte weiterhin explosionsartig ansteigt - von 18 Milliarden im Jahr 2016 auf geschätzte 75 Milliarden im Jahr 2025 - und der Markt für künstliche Intelligenz (KI) voraussichtlich um 50 bis 60 Prozent pro Jahr wachsen wird, steigt auch das Risiko einer Störung.  Derzeit wird prognostiziert, dass Unternehmen alle 14 Sekunden von Ransomware angegriffen werden und bis 2021 alle 11 Sekunden.  

COVID-19 hat eine neue Welle von Ransomware Angriffen ausgelöst, die Unternehmen an ihrer verwundbarsten Stelle trifft und die Pandemie als Aufhänger für Opfer nutzt. Während sich die Unternehmen bemühen, sich an die neue Arbeitsweise anzupassen, steigt die Zahl der Mitarbeiter, die mit persönlichen, nicht verwalteten Geräten auf vertrauliche Ressourcen zugreifen, wodurch Sicherheitsmaßnahmen umgangen werden und Unternehmen dem Risiko von Datenverlusten und -verletzungen ausgesetzt sind.

Im März glaubte Tesco, dass eine Datenbank mit gestohlenen Benutzernamen und Passwörtern von anderen Plattformen auf seinen Websites ausprobiert worden war, was dazu führte, dass über 600.000 Clubcard-Kontoinhabern neue Karten ausgestellt wurden. Zwei Tage später setzte Boots nach einem Cyberangriff auf seine Kundendatenbank ebenfalls Zahlungen mit Kundenkarten aus. Beide Unternehmen rieten ihren Kunden, eine Zwei-Faktor-Authentifizierung für ihre Konten zu verwenden, um dem Angreifer den Zugang zu den Passwörtern zu erschweren.

Hammersmith Medicines Research (HMR) wurde im selben Monat ebenfalls von der Maze Ransomware Group angegriffen, die damit drohte, persönliche Daten tausender ehemaliger Patienten zu veröffentlichen, wenn sie kein Lösegeld zahlen würden. Das Unternehmen, das Tests zur Entwicklung von Ebola Impfstoffen und Alzheimer Medikamenten durchführt, lehnte es ab, das Lösegeld zu zahlen. Obwohl es sich um einen schweren Angriff handelte (und das an einem Samstag), konnten die IT-Mitarbeiter von HMR ihre Computersysteme noch am selben Tag und ohne Ausfallzeiten anhalten und wiederherstellen.  

An dieser Stelle kommen ein guter Business Continuity Plan (BCP) und ein Business Continuity Management (BCM) System ins Spiel. Sie sind die singenden und tanzenden Abwehrmittel gegen die Bedrohungen, denen Sie täglich ausgesetzt sind. Sie nennen das Risiko, ein großartiges BCM wird Sie höchstwahrscheinlich abdecken, und ein proaktiver BCP wird Ihnen zeigen, wie Sie auf dieses Risiko reagieren und sich davon erholen können.

Aber was sind sie und warum arbeiten sie Hand in Hand? Ein Business Continuity Management (BCM) ist eine Art von Risikomanagement, das auf die Bedrohung durch Unterbrechungen von Geschäftsaktivitäten oder -prozessen abzielt, und ja, Sie haben es erraten, ein Business Continuity Plan ist Ihr Aktionsplan, wie Sie auf diese potenziellen Bedrohungen so effektiv wie möglich reagieren und sich davon erholen werden.

Es ist Ihre Mückenschutzcreme und Fliegenklatsche in einem!

Sowohl das BCM als auch der BCP ermöglichen es Ihnen, sich auf die Geschäftskontinuität vorzubereiten, anstatt sich durch jeden Notfall zu kämpfen. Es gibt Ihnen die Möglichkeit, Vorkehrungen gegen kurz- und langfristige Risiken zu treffen, den potenziellen Schaden für das Unternehmen (und alle Zielgruppen einschließlich der Mitarbeiter) zu minimieren und Abwehrmaßnahmen gegen neue Bedrohungen zu entwickeln.  

Mit dem Wachstum intelligenter Plattformen, innovativer Software und multifunktionaler Komponenten wachsen auch die Fähigkeiten von Cyber-Angreifern. Unterbrechungen von Unternehmen sind nicht nur die Risiken, die sich aus der Umgebung ergeben, sondern berücksichtigen Risiken, die jeden Teil Ihres Unternehmens betreffen können, weshalb ein BCM-System von grundlegender Bedeutung für die Langlebigkeit eines Unternehmens ist. Ohne Business Continuity kann eine natürliche oder vom Menschen verursachte Störung zu Produktionsstillstand, Umsatzverlusten, Rufschädigung, rechtlichen und gesundheitlichen Verpflichtungen, Verletzungen von Vermögenswerten und so weiter führen - die Liste ist erschöpfend.

Ein Business Continuity Management ermöglicht es Ihnen, die Risiken zu skizzieren, vorzubereiten und zu definieren und dabei zu bewerten, wie viel Sie sich leisten können zu verlieren, wenn eine Störung zu einem Stillstand führt, welche Auswirkungen auf alle Beteiligten (Kunden, Lieferanten, Stakeholder etc.) zu erwarten sind und wie die Risiken gegeneinander abgewogen werden können.

Ein BCM kann so umfangreich oder so konsolidiert sein, wie Sie Zeit dafür haben, aber seien Sie gewarnt, je mehr Arbeit hinter der Planung steckt, desto besser sind Sie auf alle kommenden Bedrohungen für das Unternehmen vorbereitet.

Ein Standard-BCM umfasst die folgenden Komponenten:

Business Continuity Plan (BCP) - dies ist ein sich ständig weiterentwickelndes schriftliches Dokument, das die Risiko-, Reaktions- und Wiederherstellungsschritte bei einer potenziellen Bedrohung skizziert und das häufig überprüft und aktualisiert werden muss.

Business Impact Analyse (BIA) - Die BIA ist entscheidend für die Erstellung eines BCP. Sie prognostiziert die Auswirkungen, die eine Unterbrechung einer Geschäftsfunktion oder eines Prozesses auf ein Unternehmen haben kann, und sammelt Informationen zur Entwicklung von Wiederherstellungstaktiken.

Risikobewertung - Dies gibt Ihnen die Möglichkeit, wahrscheinliche Katastrophen zu identifizieren und den Schaden abzuschätzen, den sie im Unternehmen verursachen könnten.

Katastrophenreaktion und -wiederherstellung - im Allgemeinen handelt es sich dabei um eine Reihe von Anweisungen zum Umgang mit den Risiken aus technischer Sicht - mit detaillierten Prozeduren, die im Falle einer Katastrophe ausgeführt werden müssen. Es handelt sich dabei um eine Art Gebrauchsanweisung für den Katastrophenfall.

Technologie - Dazu gehört jede Plattform, die vor, während oder nach einer Katastrophe eingesetzt wird. Es ermöglicht Ihnen, Lösungen für die Datensicherung und -wiederherstellung, die Speicherung, den Cyberschutz und die Benutzerberechtigungen zu identifizieren, zu überwachen und zu pflegen, um nur einige zu nennen - und so die besten technischen Lösungen für die Business Continuity zu finden.

Wiederherstellungsteams & Kommunikation - Ein großartiges BCM-System ist eines, das von einem effektiven, kooperativen und kommunikativen Team verwaltet wird. Ihr engagiertes Wiederherstellungsteam hat die Gesamtverantwortung für die Planung und Durchführung von Disaster-Recovery-Verfahren und ist in jeden Schritt des BCM-Prozesses eingebunden. Sie sind auch für die Kommunikation von Maßnahmen mit dem Team, die Aktivierung des BCP und die Identifizierung von laufenden oder neuen Risiken verantwortlich.

Testen und Messen - BCM-Systeme und BCPs sind nicht statisch. Sie müssen sich ständig mit dem Unternehmen weiterentwickeln, um sicherzustellen, dass neuen Bedrohungen entgegengewirkt wird, dass die Reaktionszeiten unmittelbar sind, dass die Systeme funktionieren, dass das Team sofort reagieren kann usw. Es ermöglicht Unternehmen, jeden Aspekt einer Katastrophensituation von Anfang bis Ende zu testen, Fehler oder Schritte, die geändert werden müssen zu identifizieren, und sich auf zukünftige Risiken, die beim ersten Mal vielleicht noch gar nicht berücksichtigt wurden vorzubereiten. Testen und Messen sind einer der wichtigsten Aspekte eines jeden Business Continuity Management-Systems.  

Business Continuity Management kann Ihnen dabei helfen, Ihre Risiken auszubalancieren - indem Sie die Gesamtauswirkungen auf Umsatz, Produktion, Reputation und alle Zielgruppen bewerten - und sich so auf das Worst Case Szenario vorbereiten können.

Es gibt viele Möglichkeiten, die Effektivität Ihres BCMs zu testen und zu messen, aber wir haben die drei wichtigsten der Einfachheit halber skizziert:

Papierbasierte Übungen - Bringen Sie in regelmäßigen Abständen Schlüsselmitarbeiter aus jeder Abteilung zusammen und lesen Sie den Plan gemeinsam durch, hinterfragen Sie jeden Aspekt des Prozesses, sammeln Sie Input aus allen Abteilungen und führen Sie dann "Was wäre wenn"-Szenarien durch, die den Plan in Aktion zeigen.

Kommunikationsspiralen - Testen Sie (mindestens) alle sechs Monate Ihre Kommunikationsstruktur mit einer Sofortnachricht, die an alle Führungskräfte innerhalb des Wiederherstellungsteams weitergeleitet wird, die sie dann an ihre Teams weitergeben müssen - dies wird helfen, Kommunikationsfehler zu erkennen, wer das Unternehmen verlassen hat, wer schneller sein muss usw. Schlechte Kommunikation bedeutet ein mangelhaftes BCM.

Ausfälle - Führen Sie eine vollständige Probe Ihres Worst Case Szenarios durch. Ein teurer Weg, um Ihr BCM zu testen, aber auch ein hocheffektiver Weg, um die Stärken und Schwächen jeder Maßnahme zu identifizieren, die Sie eingeführt haben.

Das A und O eines jeden neuen Prozesses oder Verfahrens ist: Testen, testen und nochmals testen. Es ist eine Investition, an der Sie nicht sparen sollten. Ihr Geschäft hängt davon ab!  

Obwohl sie sich in vielerlei Hinsicht ähneln, sind Business Continuity, Risikomanagement und Disaster Recovery drei unterschiedliche Disziplinen.

Risikomanagement identifiziert potenzielle Risiken, analysiert die Auswirkungen dieses Risikos und ergreift Vorsichtsmaßnahmen, um das Risiko zu reduzieren.

Bei der Business Continuity geht es darum, wie man bei einer Unterbrechung in allen Bereichen des Unternehmens weiterarbeiten kann; es werden die Mindestanforderungen für die Fortsetzung des Betriebs festgelegt und die Schritte für den Fall einer Katastrophe skizziert.

Bei der Disaster Recovery geht es darum, die Störung zu beheben, wobei der Fokus auf der technischen Seite des Prozesses liegt, um kritische Systeme, die benötigt werden zu identifizieren und um Datenverluste, die sich das Unternehmen leisten kann zu vermeiden.

Alle drei Methoden arbeiten nebeneinander und ergänzen jeden Aspekt der Katastrophenvorbeugung, -vorbereitung und -wiederherstellung - die optimale Lösung gegen eine Gesamtunterbrechung.  

Notfallplanung und Disaster Recovery wurden in den 80er- und 90er-Jahren durch technologiegestützte Reaktionen auf Naturkatastrophen und Terrorismus akkreditiert. Als sich dies zu einem eher geschäftsorientierten Prozess entwickelte, der auf jede Form von Störung vorbereitet, wurde ein Maßstab für gute Praxis im BCM geschaffen.

ISO 22301 ist die internationale Managementsystemnorm für BCM. Sie bietet einen Rahmen, der die Anforderungen an ein Managementsystem zum Schutz, zur Reduzierung und zur Sicherstellung der Wiederherstellung eines Unternehmens nach Störfällen festlegt.

Die Erfüllung des BCM-Standards ermöglicht es Unternehmen jeder Größe und Art, gegenüber Gesetzgebern, Aufsichtsbehörden, Kunden und Interessenten zu demonstrieren, dass sie sich an eine gute BCM-Praxis halten - es sagt Ihrem Publikum, dass Sie alle Aspekte des Unternehmens effektiv schützen!  

Die Einhaltung von Industriestandards ist nicht nur gut für das Vertrauen und die Transparenz gegenüber allen Zielgruppen, sondern stellt auch sicher, dass sich Best Practice durch alle Aspekte Ihres Unternehmens zieht.

Es werden verschiedene Programme* angeboten, aber grundsätzlich werden die Anforderungen und Berechtigungsstandards von Zertifizierungsprogrammen fair, unparteiisch und einheitlich auf alle Unternehmen angewendet.

Die meisten Programme beginnen damit, Ihr aktuelles BCM mit den Best Practice Standards der ISO 22301 zu vergleichen und die Bereiche zu identifizieren, die Sie beheben/verbessern müssen. Sobald Sie Ihr BCM so verbessert haben, dass es den ISO 22301-Standards entspricht, erhalten Sie ein Zertifikat, das drei Jahre lang gültig ist.

*Die Kosten für diese Kurse variieren, bitte prüfen Sie daher die Bedingungen und Konditionen der einzelnen Programme.  

Business Continuity ist quasi die Lebensader Ihres Unternehmens. Es hilft Ihnen, sich auf das Unbekannte vorzubereiten, auf die lauernden Mücken, die Sie jucken, auf die Kobolde in der digitalen Welt und auf alle Geschäftskatastrophen, die Sie sich vorstellen können (na ja, die meisten jedenfalls).

Kein Unternehmen ist immun gegen einen Angriff irgendeiner Art, aber Sie können vorbereitet sein!

Mit über 15 Jahren Erfahrung in der Branche, 200.000 verhinderten Angriffen und der Verwaltung von über 5000 Petabytes weltweit wäre es eine Untertreibung zu sagen, dass Acronis sich leidenschaftlich für Katastrophenschutz einsetzt.

Von Disaster Recovery über Cyber-Backup, Cloud-Speicher bis hin zum Schutz physischer und virtueller Workloads - Acronis kann alles. Kein Schnickschnack, keine versteckten Kosten, keine endlosen Add-Ons - einfach zu implementierender Schutz, der neben Ihren BCM-Systemen funktioniert.

Seien Sie Ihrem Desaster mit Acronis noch heute einen Schritt voraus!