80

Unvorhergesehene betriebskritische Ereignisse

können für Unternehmen das Risiko eines Da­

tenverlustes erhöhen oder das Versagen von

Diensten und im Extremfall den Ausfall von Kun­

dendienstleistungen bedeuten. Insbesondere

können sich zeitweilig nicht verfügbare Produkte

oder Dienstleistungen schädigend auf die Repu­

tation eines Unternehmens auswirken. Busi-ness Continuity Management (BCM), oder

betriebliches Kontinuitätsmanagement, stattet Unternehmen mit den notwendigen Fähig-keiten aus, um selbst bei geschäftsbedro-henden Störungen die kritischen Geschäfts-aktivitäten aufrechtzuerhalten und so die Existenz des Unternehmens sicherzustellen.

Mit der Veröffentlichung der internationalen

Norm ISO 22301 im vergangenen Jahr hat sich

das BCM von der britischen Norm BS 25999 und

anderen regionalen Normen weiterentwickelt,

was zu einer Konvergenz in den Methoden ge­

führt hat. Für Unternehmen bringen die Ausrich­

tung und der Erhalt einer Zertifizierung nach ISO

22301 durch das strukturierte Vorgehen bei der

Vorbereitung auf unvorhergesehene Zwischen­

fälle einen geschäftlichen Mehrwert. Entscheider

zahlreicher Unternehmen erkennen den günsti­

gen Zeitpunkt für die Einführung eines standard­

basierten Business Continuity Managements.

Steigende Bedeutung von Business Continuity Management (BCM)

Getrieben vom technischen Fortschritt, der

stärkeren Vernetzung und dem höheren Globa­

lisierungsgrad nimmt auch die Anzahl mögli­

cher Bedrohungsszenarien für Unternehmen

zu. Diese reichen von strafbaren Handlungen,

wie beispielsweise Betrug, Diebstahl oder Spio­

nage, über Softwarefehler und menschliches

Versagen bis hin zu Naturgewalten wie Überflu­

tungen, Erdbeben oder Pandemien. Ohne ent-sprechende Vorkehrungen sind Unterneh-men diesen Szenarien und den damit oft einhergehenden Existenzbedrohungen schutzlos ausgeliefert.

Das Ziel des Business Continuity Managements

(BCM) liegt darin, bestehende Bedrohungen für

die Kontinuität von Geschäftsprozessen des

Unternehmens frühzeitig zu erkennen und die

Dauer und Auswirkung von Ausfällen kritischer

Geschäftsprozesse auf ein akzeptables Maß zu

reduzieren. BCM stellt sicher, dass das Unter­

nehmen über eine ausreichende Ausfallsicher­

heit und die erforderlichen Fähigkeiten verfügt,

wirksam auf Zwischenfälle zu reagieren. Ins­

besondere unterstützt BCM das Unternehmen

dabei, nach einem Störvorfall Produkte oder

Dienstleistungen auf einem vordefinierten

Niveau bereitzustellen:

· Die Bedeutung eines standardbasierten

BCM hat sich durch die heute fast selbstver­

ständlich gewordene internationale Präsenz

und Verflechtung von Unternehmen deutlich

erhöht.

· Die steigende Komplexität der Informations­

technologie, zum Bespiel bei firmenübergrei­

fender Vernetzung von Informationssyste­

men oder dem Einsatz weltweit verteilter

Web­Services, führt zu einer Zunahme po­

tentieller Schwachstellen und steigert somit

das Risiko eines Zwischenfalls erheblich.

· Die Zunahme gesetzlicher Vorschriften und

regulatorischer Anforderungen erhöht insbe­

sondere für Geschäftsführer, Vorstandsmit­

glieder und Aufsichtsräte das persönliche

Haftungsrisiko.

· Steigende Anforderungen seitens der Kunden

an neue Produkte, Dienstleistungen und de­

ren Verfügbarkeit und Lieferzeiten erlauben

keinen längeren Ausfall kritischer Prozesse

und der für ihren Betrieb erforderlichen Lie­

ferketten, Informations­ und Kommunika­

tionssysteme und personellen Ressourcen.

Entstehung des standardbasierten BCM

Bis in die 1970er Jahre verließ sich die Mehr­

heit der Unternehmen hauptsächlich auf Versi­

cherungen, um sich vor Schaden als Folge von

unerwarteten Ereignissen zu schützen. Daher

verfügten die meisten Unternehmen nicht über

eine detaillierte Notfall­ und Krisenplanung.

Als Folge der gestiegenen Abhängigkeit von

komplexen Informations­ und Kommunikati­

onssystemen, unternehmensübergreifender

Lieferketten und der restriktiveren Bedingungen

von IT­Versicherungen wurde für Unternehmen

ein methodisches Vorgehen zur Sicherstellung

der Kontinuität kritischer Geschäftsprozesse

Business Continuity Management nach ISO 22301Neuerungen und Vorteile eines standard basierten BCM

von Alexandre Horvath, Jakob Keller und Leo Niedermann

Business Continuity Management nach ISO 22301

81

immer wichtiger. In den folgenden Jahrzehn­

ten etablierte sich das Credo der Notfall­

planung in Unternehmen als Maßnahme zum

Umgang mit Risiken und entwickelte sich

schrittweise weiter.1

Zur Jahrtausendwende standen zahlreiche Unternehmen vor der Herausforderung, die erwarteten Auswirkungen des Jahr-2000-Problems (Y2K, Millennium Bug) auf

ihre Geschäftsaktivitäten zu beurteilen sowie er­

forderliche Maßnahmen vorzubereiten und um­

zusetzen. In vielen Fällen wurden Unternehmen

von ihren Kunden dazu verpflichtet, ihre „Y2K­

Compliance“ nachzuweisen oder extern zertifi­

zieren zu lassen. Dies wird heute allgemein als die Geburtsstunde des BCM-Ansatzes angesehen. Rasch stellte sich heraus, dass Un­

ternehmen zwar problemlos unterschiedliche

Qualitäts­Management­Systeme verwenden

können, diese Wahlfreiheit jedoch nicht auf Busi­

ness­Continuity­Management­Systeme, kurz

BCM­Systeme, übertragbar ist. Unterschied-liche BCM-Ansätze führten unweigerlich zu Inkonsistenzen bei der Analyse von Risiken

und der Planung der entsprechenden Maß-nahmen. Gerade im Fall von Betriebsunterbre­

chungen kommt es auf ein einheitliches und ab­

gestimmtes Vorgehen der beteiligten Personen

und Organisationseinheiten an.

So wurde 2007 in Großbritannien von der

British Standards Institution (BSI) der BS

25999 Standard ins Leben gerufen, welcher

neben den Unternehmensanforderungen an ein BCM-System auch die Bedürfnisse von Kunden, des Regulators sowie weiterer in-volvierter Parteien umfasst. Dieser nationale

Standard fand weltweit Anerkennung und bilde­

te die Basis für diverse weitere BCM­Standards.

Auf dieser bewährten Grundlage wurden 2012

die Standards ISO 22301:2012, „Unterneh­

menssicherheit – Systeme für betriebliches

Kontinuitätsmanagement – Anforderungen“2

und ISO 22313:2012, „Unternehmenssicherheit

– Systeme für betriebliches Kontinuitätsma­

nagement – Anleitung“3 veröffentlicht, die als

international gültige Nachfolger der nationalen

Standards BS 25999­1:2006 und BS 25999­

2:2007 gesehen werden können.

Business Continuity Management nach der neuen Norm ISO 22301

Die internationale Norm ISO 22301 spezifiziert

die neusten Anforderungen an die Einführung

und den Betrieb eines effektiven BCM­Sys­

tems. Eines der Merkmale, das die internatio­

nale Norm von anderen Frameworks oder

Standards für betriebliches Kontinuitätsma­

nagement unterscheidet, besteht in der Möglichkeit der Zertifizierung eines Unter-nehmens von einer akkreditierten Zertifi-zierungsstelle. Das Unternehmen kann so

gegenüber seinen Kunden, Partnern, Investo­

ren und anderen Betroffenen seine Konformität

und damit die Sicherstellung der betrieblichen

Kontinuität nach Störung von kritischen Ge­

schäftsaktivitäten nachweisen.

Vorteile durch die Einführung eines BCM-Systems nach ISO 22301

Die unternehmensweite Umsetzung eines

BCM­Systems trägt dazu bei, das Risiko be­

triebsunterbrechender Vorfälle zu minimieren.

Sollte ein solcher Vorfall dennoch eintreten, so

stellt BCM sicher, dass Unternehmen in der

Lage sind, angemessen zu reagieren und die

Ausfallzeit auf ein Minimum zu reduzieren. Dies

bietet eine Reihe von Vorteilen:

· Zentrales Werkzeug für die Sicherstellung

der betrieblichen Kontinuität und Reduzie­

rung der Auswirkungen im Schadensfall

durch schnelle und konsequente Reaktion.

· Schaffung von Transparenz über die kriti­

schen Geschäftsaktivitäten und ­prozesse,

deren interne und externe Abhängigkeiten

sowie den Business Impact im Fall von Un­

terbrechungen.

· Nachweis der Widerstandsfähigkeit des

Unternehmens beim Eintreten unerwarteter

Ereignisse gegenüber Kunden und weiterer

interessierter Parteien durch Zertifizierung.

Abb. 1: PDCA-Zyklus4

CM November / Dezember 2013

82

· Unternehmensweit einheitliche Methodik

und nachvollziehbare, belastbare Ergebnisse

durch international anerkannte ISO­Norm.

Für Unternehmen, die keine Zertifizierung ihres

Business Continuity Managements anstreben,

genügt es, sich der neuen ISO­22301­Norm

bewusst zu sein. Die Berücksichtigung von

Best­Practice­Ansätzen aus den Anforderun­

gen der ISO­Norm kann als guter Startpunkt

dienen, um ein effektives BCM­System im Un­

ternehmen aufzubauen oder zu verbessern.

BCM nach ISO 22301 stützt sich analog zum

BS 25999 Standard auf den „Plan­Do­Check­

Act“ (PDCA)­Zyklus, der sich bereits vielfach als

Vorgehensmodell zum Betrieb von Manage­

mentsystemen bewährt hat. Die vier Phasen mit

den zugehörigen Aktivitäten und Kapiteln des

Standards werden in Abbildung 1 dargestellt.

Die ISO­22301­Norm besteht insgesamt aus

zehn Bestimmungen (im Original „clauses“).

Nach den drei einleitenden Abschnitten definie­

ren die Kapitel 4 bis 10 die Anforderungen an

einen BCM­Prozess:5

4. Verständnis der Organisation: Das Ver­

ständnis der Funktionsweise des Unterneh­

mens und dessen Umfelds ist ein wesentlicher

Aspekt, um ein abgestimmtes BCM­System zu

etablieren. Diese Anforderung macht es not­

wendig, die Risikobereitschaft sowie die recht­

lichen und regulatorischen Anforderungen, die

für das Unternehmen gelten, zu bestimmen und

klar zu definieren.

5. Management: Es werden Anforderungen

bezüglich des BCM­Systems an die Geschäfts­

leitung hinsichtlich der Kommunikation der

Ziele des BCM im Unternehmen gestellt. Ins­

besondere muss sichergestellt sein, dass das

BCM mit der strategischen Ausrichtung des

Unternehmens abgestimmt und in die Ge­

schäftsprozesse integriert wird.

6. Planung: Als Neuerung zum BS 25999

Standard werden die strategischen Ziele des

BCM betont. Das Unternehmen verpflichtet

sich, Risiken, die von einem unzulänglichen

Business Continuity Management ausgehen,

aktiv anzugehen. Im Zentrum steht das Ver­

ständnis der internen Unternehmenskultur und

des unmittelbaren Umfelds, in welchem das

Unternehmen tätig ist.

7. Unterstützung: Die für den Aufbau, Unter­

halt sowie die Aufrechterhaltung eines effekti­

ven BCM notwendigen Ressourcen werden

beschrieben. Dies umfasst die erforderlichen

Mitarbeiter und deren Kompetenzen sowie

Anforderungen an ein einheitliches Dokumen­

ten­Managementsystem. Es ist essenziell,

dass im Unternehmen alle Elemente des BCM

vollständig dokumentiert werden und dass

diese Dokumente in regelmäßigen Abständen

geprüft und weiterentwickelt werden. Dies ist

vor allem vor dem Hintergrund einer geplanten

ISO­22301­Zertifizierung oder Auditierung

erforderlich.

8. Betrieb: Die operative Planung und Steue­

rung dient der Umsetzung der Verpflichtung des

Unternehmens, die Risiken eines unzuläng­

lichen BCM zu identifizieren und zu beheben.

Unternehmen werden verpflichtet, entspre­

chende Prozesse zu entwickeln, welche die

korrekte Umsetzung des BCM­Systems ge­

währleisten, einschließlich der Berücksichti­

gung vertraglich ausgelagerter Prozesse.

9. Leistungsbewertung: Dem Unterhalt und

der Überprüfung des BCM­Systems kommt

eine zentrale Bedeutung zu. Insbesondere wird

das Management dazu aufgefordert, alle identi­

fizierten Korrekturmaßnahmen umzusetzen.

Mit Hilfe von regelmäßig durchgeführten „Ma­

nagement­Reviews“ und Steuerung durch Leis­

tungskennzahlen wird das Unternehmen dazu

befähigt, notwendige Änderungen zur Reduk­

tion von operativen Sicherheitsrisiken zeitnah

umzusetzen.

10. Kontinuierliche Verbesserung: Die

Norm enthält Forderungen zu Präventions­ und

Korrekturmaßnahmen. Unter kontinuierlicher

Verbesserung werden alle Maßnahmen ver­

standen, welche das Unternehmen trifft, um die

Wirksamkeit (Erreichung der Ziele) und Effizi­

enz (ein optimales Kosten/Nutzen Verhältnis)

von BCM­Prozessen und ­Maßnahmen zu er­

höhen.

Beim Vergleich des bisherigen BS 25999 Stan­

dards mit der neuen ISO­Norm unterscheiden

sich diese nur geringfügig in den Kernelemen­

ten wie Business Impact Analyse (BIA), Risk

Assessment (RA), Strategie und Planung. Die

größten Anpassungen und Erweiterungen sind

im Management­Teil zu finden: Die Norm setzt

den Fokus auf das Verständnis der Anforderun­

Autoren

Alexandre Horvath

ist in den Bereichen IT Security und IT Compliance im Compe-tence Team „Security Management“ der Detecon (Schweiz) AG tätig. Als Themenverantwortlicher für BCM konnte er seine Er-fahrung in diversen globalen Projekten einbringen und den ISO-Standard implementieren.

E-Mail: alexandre.horvath@detecon.com

Leo Niedermann

ist bei der Detecon (Schweiz) AG in den Bereichen IT Security und IT Compliance im Competence Team „Security Manage-ment“ tätig. Seine umfangreichen Erfahrungen sammelte er bisher vor allem in Projekten zu IT Security sowie Business Continuity Management.

E-Mail: leo.niedermann@detecon.com

Jakob Keller

ist als Berater im Competence Team „Security Management“ der Detecon (Schweiz) AG tätig. Im Rahmen zahlreicher Projekte hat er umfassende Erfahrungen in den Bereichen Business Continuity Management, IT Security, IT Risk Management und Compliance gesammelt.

E-Mail: jakob.keller@detecon.com

Business Continuity Management nach ISO 22301

83

gen, die Definition der Kontrollziele sowie die

Messbarkeit der Unternehmensleistung. Damit das Business Continuity Management im Rahmen der Geschäftssteuerung den Fort-bestand des Unternehmens sicherstellen kann, ist für die Umsetzung ein klares Be-kenntnis seitens der Geschäftsleitung not-wendig.

Günstiger Zeitpunkt zur Einführung eines Business Continuity Management Systems

Mit dem Ziel, die Kontinuität kritischer Ge­

schäftsprozesse sicherzustellen, liegt der Fo-kus des Business Continuity Managements

hauptsächlich auf dem optimalen Umgang mit Risiken für Unternehmensprozesse. Die

Weiterentwicklung des BCM in die internationa­

le ISO­22301­Norm hat zu einer Konvergenz in

den Methoden geführt. Entscheider in zahlrei­

chen Unternehmen erkennen den günstigen

Zeitpunkt zur Einführung eines standardbasier­

ten BCM. Die internationale ISO­22301­Norm

bietet dabei folgende Vorteile:

· Proaktiver Ansatz zum Unterhalt und zur

Verbesserung des BCM­Systems mit klarer

Anforderung an das Management. Durch

eine klare Definition und Kommunikation der

Ziele im Unternehmen wird Verbindlichkeit

geschaffen.

· Mit der Definition von klaren Zielen für die

BCM­Aktivitäten im Unternehmen sowie die

Entwicklung von Leistungskennzahlen wird

das BCM messbar und die Überwachung der

Prozesse vereinfacht.

· Eine stärkere Gewichtung der Planung und

Bereitstellung von Ressourcen stellt sicher,

dass die für den Aufbau, Unterhalt sowie die

Aufrechterhaltung eines effektiven BCM not­

wendigen Ressourcen verfügbar sind.

Seit November 2012 können sich Unterneh­

men, die eine Zertifizierung ihres BCM­Sys­

tems anstreben, nach der neuen ISO­22301­

Norm zertifizieren lassen. Eine Zertifizierung

nach BC 25999 wird nicht mehr angeboten.

Für Unternehmen, welche bereits nach BS

25999 zertifiziert sind, besteht die Möglichkeit,

nach einer Übergangsphase eine Aktualisie­

rung auf ISO 22301 durchzuführen. Die ISO­

22301­Norm kann sowohl für eine Zertifizie­

rung durch Dritte als auch zur Selbstbewertung

eingesetzt werden. Sie enthält kurz und präg­

nant formulierte Anforderungen und eine Be­

schreibung der Grundelemente des Business

Continuity Managements.

Die Bedeutung von Business Continuity Ma­

nagement wird angesichts des steigenden Risi­

kos von Betriebsunterbrechungen infolge kom­

plexer Informationssysteme und Lieferketten

sowie der externen Abhängigkeiten weiter zu­

nehmen. Die internationale Norm ISO 22301

bereitet den geeigneten Rahmen für die Einfüh­

rung eines BCM­Systems in Unternehmen je­

der Größe und unabhängig von deren Branche.

Zur Erfüllung der wachsenden regulatorischen

Vorgaben sowie der Kundenanforderungen

muss ein Unternehmen über das klassische

Risikomanagement hinaus die Fähigkeit erwer­

ben, nach einem kritischen Vorfall zunächst

den Fortbestand zu sichern und anschließend

schnellstmöglich den Normalzustand wieder­

herzustellen.

Referenzen

­ International Organization for Standardizati­

on (2012): ISO 22301:2012 (Societal secu­

rity – Business continuity management sys­

tems – Requirements), 2012.

­ Martin Wieczorek, Uwe Naujoks, Bob Bartlett

(2013). Business Continuity: Notfallplanung

für Geschäftsprozesse, Berlin: Springer.

­ Moving from BS 25999­2 to ISO 22301 ­

The new international standard for business

continuity management systems (online un­

ter: http://www.bsigroup.com/Documents/

iso­22301/resources/BSI­BS25999­to­

ISO22301­Transition­UK­EN.pdf) (Stand:

25.6.2013)

­ ISO 22301 Business Continuity Manage­

ment (online unter: http://www.bsigroup.

com/en­GB/iso­22301­business­continuity/)

(Stand: 25.6.2013)

­ Moving from BS 25999­2 to ISO 22301 (on­

line unter ht tp: //www.bsigroup.co.id /

bs25999­transition­iso22301/ ) (Stand:

25.6.2013)

Fußnoten

1 Wieczorek, Naujoks, Bartlett (2013)2 engl. ISO 22301:2012 Societal security –

Business continuity management systems –

Requirements3 engl. ISO 22313:2012 Societal security –

Business continuity management systems –

Guidance4 www.hisolutions.com (Stand: 13.07.2012)5 www.bsigroup.com/en­GB/iso­22301­busi­

ness­continuity/ (Stand: 25.06.2013)6 http://www.bsigroup.co.id/bs25999­transi­

tion­iso22301/ (Stand: 25.6.2013)

CM November / Dezember 2013

Abb. 2: Übergangsperiode6