Aus Notfall wird BCM
„Ich liebe es, wenn ein Plan funktioniert“ – lautet der Spruch des wohl bekanntesten Dauerkrisenmanagers in der Fernsehgeschichte, Hannibal Smith, aus der Serie „A-Team“. Einen Plan zu haben ist auch für Unternehmen und Behörden von Vorteil, wenn sie mit einer Notfall- oder Krisensituation konfrontiert werden. Einen funktionierenden Plan zu haben ist aber noch wesentlich besser. Einen funktionierenden Plan zu haben, der erprobt, getestet und seine Wirksamkeit unter Beweis gestellt hat, bietet schließlich eine optimale
Vorbereitung auf etwaige Notfall- und Ausnahmesituationen. Zugegeben, im Realleben kommen Krisen- und Notfallsituationen seltener vor als es im Fall des A-Teams aus der gleichnamigen Serie ist. Dennoch kommen sie meist völlig unerwartet – das beste Beispiel dafür zeigt die Situation in der Coronapandemie. Einen erfahrenen Partner an seiner Seite zu wissen, mit dem sich Unternehmen gemeinsam auf Krisen und Notfälle systematisch vorbereiten können, kann für das „Sein-oder-nicht-Sein“ der Organisation entscheidend sein.
Neuer BSI-Standard für BCM
Genau an dieser Stelle setzt der neue BSI-Standard 200-4 Business Continuity Management (BCM), der seit dem 1. IT-Grundschutztag am 19. Januar 2021 als „Community Draft“ (CD) zum Download und Kommentierung auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verfügbar ist, an. Essenziell für das Notfallmanagement nach dem neuen Standard sei der Begriff „zeitkritisch“, betonte das BSI bei der Vorstellung des Standardentwurfes. Bei überlebenswichtigen zeitkritischen Prozessen handelt es sich um solche, die die Unternehmen innerhalb kürzester Zeit, oft binnen weniger Stunden bzw. sofort, wiederhergestellt haben werden müssen, um das Fortbestehen einer Organisation zu gewährleisten.
Die Hervorhebung „überlebensnotwendiger“ zeitkritischer Prozesse führte zu zahlreichen Modernisierungen des Standards. Diese manifestieren sich beispielsweise in dem neu eingeführten Stufenmodell für das Business Continuity Managementsystem (BCMS) oder der Einführung zusätzlicher Indikatoren, wie Recovery Time Achievable (RTA, deutsch: erreichbare Wiederanlaufzeit), die der RTO-Kennzahl als Vergleichswert gegenübergestellt wird, sowie einer Reihe weiterer Modernisierungen.
Stufenmodell zur Implementierung
Mithilfe der drei aufeinander aufbauenden Stufen „Reaktiv-BCMS“, „Aufbau-BCMS“ und „Standard-BCMS“ soll die Implementierung des BSI-Standards erleichtert werden. Das Stufenmodell ermöglicht stärkere Fokussierung auf die zeitkritische Geschäftsprozesse. Die Phase „Reaktiv BCMS“ zielt auf den initialen Aufbau einer Reaktionsstruktur ab: Neben dem Aufbau der Organisationsstruktur werden in dieser Phase ebenfalls Aspekte wie „Alarmierung“, „Eskalation“ und „Notfallkommunikation“ priorisiert betrachtet. In dieser Phase wird die Business Impact Analysis (BIA) der Risikoanalyse vorgezogen, die Methodik insgesamt vereinfacht und der Prozessumfang auf das Wesentliche eingeschränkt. Gleichwohl stellt der BSI-Standard 200-4 es den Organisationen frei, die Methoden der Risikoanalyse zu wählen – unter der Voraussetzung, dass sie den Anforderungen des neuen Standards genügen.
Modernisierungen umfassen auch zahlreiche Änderungen in den Begrifflichkeiten des Standards: Was früher „Notfallmanagement“ hieß, wird nun zu „Business Continuity Management“. Impliziert dies eine Beschränkung der Anwendbarkeit des BSI-Standards nur auf solche Unternehmen und Prozesse, bei denen „Business“ – also eine „Geschäftstätigkeit“ – im Fokus steht? Die Nomenklatur mag den typischen Anwender des BSI-Standards anfänglich verwirren, doch es bleibt der Anspruch des Standards, für alle Arten und Größen von Organisationen anwendbar zu sein. Anders, als der normative Standard ISO/IEC 22301, bietet der BSI-Standard 200-4 konkrete Umsetzungshilfe, ist aber mit der ISO-Norm kompatibel (Mapping wird vom BSI erstellt).
Die Krux, so das BSI, liegt darin, dass es sich beim BCMS nicht lediglich um einen Notfallplan oder -prozess handelt, sondern um ein „System“. Dementsprechend ist der BSI-Standard von ursprünglich ca. hundert auf beachtliche dreihundert Seiten (in der CD-Version) herangewachsen.
Fazit
Für Unternehmen oder Behörden, die ihre Notfall- und Krisenmanagementsysteme aufbauen, ausbauen oder aktualisieren wollen, gilt: Der inzwischen mehr als zehn Jahre alte BSI-Standard 100-4 Notfallmanagement bleibt weiterhin bestehen. Wenigstens solange, bis eine stabile Version des BSI-Standards 200-4 verfügbar und veröffentlicht ist. Jetzt in einer Wartestellung zu verharren wäre nicht ratsam. Eine sich wandelnde Gefährdungs- und Risikolage, aber auch die Erfahrungen aus der Coronakrise zeigen, dass man sich auf neue Situationen einstellen und die Reaktionen für den Fall eines Notfalls oder einer Krise testen und praktisch erproben sollte. Hier können Simulationen helfen, die sie auf den Ernstfall vorbereiten. Damit es, wenn es einmal ernst wird, nicht wie bei dem A-Team heißen muss: „Wir müssen improvisieren“.
Auch interessant
Follow us
Contact us
Dr. Alexander Köppen
Partner, Cyber Security & Privacy Strategy, Risk and Compliance, PwC Germany
Tel.: +49 1512 9608-114
