Business Continuity Plan (Geschäftskontinuitätsplan)

Cyber Protect Cloud

Ein Business Continuity Plan (Geschäftskontinuitätsplan, BCP) ist ein von der Geschäftsleitung gefördertes und genehmigtes Dokument, das einen Fahrplan für die Wiederaufnahme des Betriebs im Falle einer unvorhergesehenen, natürlichen oder von Menschen verursachten Katastrophe, wie z. B. einem Hurrikan, einem Brand oder einer Datenverletzung, enthält. Wenn eine Katastrophe eintritt, kann Ihr Unternehmen ohne einen Business Continuity Plan scheitern.

Was ist ein Business Continuity Plan (Geschäftskontinuitätsplan)?

Jedes Unternehmen, ob groß oder klein, sollte über einen getesteten BCP verfügen. Sollte eine Katastrophe eintreten, verursacht das Fehlen eines Plans Chaos und kann zu Verletzungen und Tod von Mitarbeitern, Rufschädigung, Geldstrafen wegen Nichteinhaltung, unproduktiven Mitarbeitern, Umsatzverlusten und finanziellen Verlusten führen. Einen Plan zu haben oder nicht, bedeutet den Unterschied zwischen dem Wiedereinstieg ins Geschäft oder dem Ausstieg aus dem Geschäft. Tatsächlich scheitern 75 Prozent der Unternehmen ohne einen BCP innerhalb von drei Jahren nach einer Katastrophe. Laut dem IBHS (Institute for Business and Home Safety) öffnen schätzungsweise 25 Prozent der Unternehmen nach einer größeren Katastrophe überhaupt nicht wieder.

Was passiert ohne einen Business Continuity Plan (Geschäftskontinuitätsplan)?

Als Geschäftsinhaber oder Geschäftsführer sollten Sie wissen, wie viel es Ihr Unternehmen kosten kann, wenn der Betrieb eingestellt wird. Die International Data Corporation (IDC) gibt zum Beispiel diese typischen Kosten für ein Fortune 1000-Unternehmen an:

  • Die durchschnittlichen Gesamtkosten ungeplanter Anwendungsausfälle betragen 1,25 bis 2,5 Milliarden US-Dollar pro Jahr
  • Die durchschnittlichen Kosten eines Infrastrukturausfalls betragen 100.000 US-Dollar pro Stunde
  • Die durchschnittlichen Kosten eines kritischen Anwendungsausfalls pro Stunde betragen 500.000 bis 1 Million US-Dollar

Für kleine und mittlere Unternehmen (SMBs) reichen die geschätzten Kosten für Ausfallzeiten von einigen hundert bis zu vielen tausend Dollar pro Minute. Wie viel das Ihr Unternehmen kosten kann, hängt von der Art und Größe Ihres Unternehmens ab. Sie müssen alle folgenden Faktoren berücksichtigen, um zu berechnen, wie viel es Sie kosten wird, wenn Ihr Unternehmen den Betrieb einstellt:

  • Verlorene Einnahmen
  • Geringere Mitarbeiterproduktivität
  • Gestresste Mitarbeiter, insbesondere IT-Mitarbeiter
  • Unzufriedene Kunden
  • Markenschaden
  • Potenzielle rechtliche Strafen bei Nichteinhaltung von Vorschriften
  • Geschwächte Service-Levels (sowohl intern als auch extern)

Wer sollte an der Business Continuity (Geschäftskontinuitäts-) Planung beteiligt sein?

Zunächst wird ein Business Continuity Manager (Betriebskontinuitätsmanagement, BCM) bestimmt, der das Team zusammenstellt und die Entwicklung des Plans leitet. Diese Person muss die Unterstützung auf den höchsten Ebenen einer Organisation haben, um erfolgreich zu sein. Das bedeutet, dass das Programm einen Executive Sponsor und die Beteiligung der obersten Führungsebene über ein Steering Committee haben muss. Die Erfahrung zeigt, dass BCP-Programme, die von einer Führungskraft gesponsert werden, mit größerer Wahrscheinlichkeit ihre Wiederherstellungszeitziele (RTOs) erreichen als solche, die nicht von einer Führungskraft gesponsert werden.

Das BCM wählt Personen aus dem gesamten Unternehmen aus, um dem Team beizutreten. Die Auswahl basiert auf einer Analyse, welche Arten von unvorhergesehenen Ereignissen eintreten können, seien es Naturkatastrophen oder wetterbedingte Ereignisse, Brände, Bedrohungen für Mitarbeiter oder die Umgebung der Einrichtungen, Sabotage, Mitarbeiterstreiks, IT-Ereignisse, Geräteausfälle, bösartige Softwareangriffe, Datenschutzverletzungen, Sicherheitsprobleme der Mitarbeiter, Unterbrechungen der Lieferkette, Stromausfälle, Sachschäden, Diebstahl von Eigentum, Produktsicherheitsprobleme, soziale Unruhen oder Terroranschläge, Skandale im Zusammenhang mit dem Management oder dem Ruf des Unternehmens, Tod oder unerwartetes Ausscheiden einer Führungskraft.  

Zu den Mitgliedern des BCP-Teams gehören typischerweise:

  1. Executive Sponsor
  2. Business Continuity Manager (Betriebskontinuitätsmanager)
  3. Sicherheitsbeauftragter
  4. Hauptinformationsbeauftragter
  5. Wichtige Anbieter und Partner
  6. Abteilungsspezifische Leiter, zu denen gehören: Finanzen Risikomanagement/Compliance Kundenservice Einrichtungsmanagement Öffentlichkeitsarbeit und Mitarbeiterkommunikation Human Recources Fertigung/Vertrieb  Informationstechnologie  Betrieb Logistik

Was ist der Unterschied zwischen Business Continuity (Geschäftskontinuität) und IT Disaster Recovery (IT Notfallwiederherstellung)?

Obwohl die meisten Menschen über Business Continuity- und Disaster Recovery-Planung in einem Atemzug sprechen, handelt es sich um unterschiedliche Pläne.

Ein Business Continuity Plan gibt die Richtung vor, um sicherzustellen, dass das Unternehmen den Betrieb nach einer Katastrophe aufrechterhält oder wieder aufnimmt, und legt Recovery Point Objectives (Wiederherstellungspunktziele, RPOs) und RTOs zur Wiederaufnahme des Unternehmensbetriebs fest. Er legt Prozesse und Verfahren zur Aktivierung der Evakuierung im Notfall und des Plans selbst fest und identifiziert Rollen, Verantwortlichkeiten und Kontakte. Er stellt sicher, dass die Mitarbeiter einen sicheren, temporären Arbeitsplatz haben (falls erforderlich), mit Zugriff auf die Systeme, Anwendungen und Telefone, um ihre Arbeit zu erledigen. Er stellt sicher, dass die wichtigsten Geschäftsprozesse funktionieren, die interne und externe Kommunikation wieder aufgenommen wird, die Website funktioniert und andere wichtige Vorgänge ohne Unterbrechung weiterlaufen.

Ein IT-Disaster Recovery Plan ist eine Teilmenge des allgemeinen Business Continuity Plans. Dieser Plan dient der Wiederherstellung von Technologiediensten wie Systemen, Netzwerken und Daten auf den "Schreibtischen der Mitarbeiter". Der Business Continuity Plan übernimmt dann die Aufgabe, die Mitarbeiter wieder an ihren "Schreibtischen" arbeiten zu lassen, mit allen anderen Hilfsmitteln, die sie zur Wiederaufnahme des normalen Geschäftsbetriebs benötigen.

Wenn Sie Unterstützung bei der Entwicklung eines IT-Disaster Recovery Plans benötigen, laden Sie "How to Effectively Budget for IT Disaster Recovery"(„Wie man effektiv für IT-Disaster Recovery budgetiert) herunter. In diesem Dokument wird die Vorbereitung auf IT-Risiken erörtert und ein einfacher Budgetierungsansatz für die Schätzung der Kosten einer effektiven Disaster Recovery und IT-Continuity für Ihre individuelle Infrastruktur bereitgestellt.  

Wenn Sie keinen Business Continuity Plan haben (Geschäftskontinuitätsplan), beginnen Sie noch heute damit

Wenn Sie keine Führungskraft im Unternehmen sind, besteht Ihre erste Maßnahme darin, die Unterstützung der Geschäftsleitung für einen BCP einzuholen. Leiten Sie zunächst diesen Artikel an alle Ihre Führungskräfte weiter, um eine Diskussion zu initiieren. Sobald die Unterstützung durch die Geschäftsleitung vorhanden ist, können Sie einen Berater beauftragen, der Sie bei der Entwicklung Ihres Plans unterstützt, sofern Ihr Budget dies zulässt. Alternativ können Sie online nach einer herunterladbaren Planvorlage suchen, die Sie durch den Prozess führen kann.

Überlegen Sie, welche Art von Katastrophen in Ihrem Unternehmen am häufigsten vorkommen, und setzen Sie Prioritäten. Das Wichtigste ist, dass Sie den Plan regelmäßig testen, um sicherzustellen, dass Sie über funktionierende Prozesse verfügen, um potenzielle Katastrophen zu entschärfen.

Sobald Sie Ihren Business Continuity Plan erstellt haben, sollten Sie daran denken, dass sich Ihr Unternehmen ständig weiterentwickelt und, dass dies auch für Ihren Plan gilt. Weitere Informationen darüber, warum Ihr Plan stets aktualisiert werden muss, finden Sie unter "Sind Sie sicher, dass Ihr Business Continuity Plan noch funktioniert?".  

Zusammenfassung

Ein Business Continuity Plan ist unerlässlich, um Ihr Unternehmen im Katastrophenfall am Laufen zu halten. Und seien Sie gewarnt, eine Katastrophe wird eintreten. Wenn Sie noch keinen Plan haben und noch keine Katastrophe erlebt haben, können Sie sich glücklich schätzen. Kein Unternehmen ist immun gegen Naturkatastrophen, wie z. B. ein Feuer oder eine extreme Wetterkatastrophe. Was vielleicht noch wichtiger ist: Von Menschen verursachte Katastrophen - Ransomware, Malware und andere Hackerangriffe auf Unternehmensdaten - nehmen mit alarmierender Geschwindigkeit zu. Jedes Unternehmen muss proaktive Schritte unternehmen, um sich vor potenziellen Katastrophen zu schützen. Genauso wichtig ist es, dass jedes Unternehmen darauf vorbereitet ist, den Betrieb wieder aufzunehmen, wenn, nicht falls, eine Katastrophe eintritt. Dazu benötigen Sie einen getesteten und aktualisierten BCP, einschließlich einer effektiven und gut dokumentierten Backup Strategie.

Wenn Sie keinen BCP haben, sollten Sie noch heute damit beginnen, wenn nicht sogar früher, einen zu erstellen.

Mehr von Acronis