TSecurity Insights

Verschlossene Akten

BSI-Standard 200-4: Die richtige Vorgehensweise

Einleitung

Bevor ein Business Continuity Beauftragter (BC-Beauftragter) mit dem Aufbau des Business Continuity Managements beginnen kann, muss er zunächst eine geeignete Vorgehensweise auswählen. Der BSI-Standard 200-4 bietet hierfür ein dreistufiges Modell1, das unterschiedliche Ressourcenanforderungen stellt – Diese Vielfältigkeit ist einer der Hauptvorteile gegenüber dem alten BSI-Standard 100-4. Der Artikel beleuchtet alle drei Stufen und bietet praktische Tipps für die Auswahl der am besten geeigneten Vorgehensweise. Darüber hinaus wird der PDCA-Zyklus vorgestellt, der als Fundament für das Stufenmodell des Business Continuity Managements dient. In diesem Artikel wird der Zyklus allerdings in einer abgekürzten Version präsentiert, um den Fokus hauptsächlich auf das Business Continuity Management zu legen. Eine detaillierte Erörterung der Grundlagen kontinuierlicher Managementsysteme fällt somit nicht in den Rahmen dieses Artikels.

Übersicht der verschiedenen Vorgehensmodelle

PDCA-Zyklus

Der Plan-Do-Check-Act-Zyklus, auch als Deming-Kreis bekannt, bildet die Grundlage für zahlreiche Managementsysteme. Der Aufbau eines solchen Systems ist ein fortlaufender Prozess, der kontinuierliche Optimierung erfordert. Ein einmaliger Durchlauf des Plan-Do-Check-Act-Zyklus ist nicht ausreichend, um eine hohe Resilienz in der Organisation zu erreichen. Es handelt sich vielmehr um einen Prozess der kontinuierlichen Verbesserung, statt ein einmaliges Projekt.2

In der Plan-Phase werden die theoretischen Grundlagen des Business Continuity Managements (BCMs) erarbeitet. Dies umfasst die Initiierung des Prozesses, die Planung von Rahmenbedingungen und Ressourcen, die Entwicklung einer Leitlinie sowie die Ausarbeitung weiterer erforderlicher Details.

Die Do-Phase fokussiert sich auf den operativen Aufbau des Managementsystems. Hier stehen die Aufbau- und Ablauforganisation im Mittelpunkt. Die Aufbauorganisation beschreibt den präventiven und die Ablauforganisation den reaktiven Teil des Business Continuity Managements.

In der Check-Phase wird die Leistungsfähigkeit des BCMS durch verschiedene Übungen und Tests evaluiert. Die dabei gewonnenen Messwerte dienen als Basis für die anschließende Act-Phase, welche die Grundlage für nachfolgende Zyklen bildet.

Die Act-Phase schließt den Zyklus mit der Definition von Verbesserungsmaßnahmen ab. Festgestellte Abweichungen vom Soll-Zustand werden im Managementbericht als Defizite dokumentiert, die im nächsten Zyklusdurchlauf durch gezielte Korrekturmaßnahmen adressiert werden können.

Darstellung des kontinuierlichen Plan-Do-Check-Act-Zyklus

Reaktiv-BCMS

Das Reaktiv-BCMS stellt die ressourceneffizienteste der drei Varianten dar und dient als Einstiegsmodell, das zunächst nur einen Durchlauf des PDCA-Zyklus umfasst. Nach Abschluss dieses Zyklus muss die Organisation entscheiden, ob sie auf das Aufbau- oder Standard-BCMS umsteigen möchte.

Der Vorteil des Reaktiv-BCMS besteht in seiner zielgerichteten Konzentration auf die zeitkritischsten Geschäftsprozesse der Organisation und der Verwendung eines vereinfachten Managementprozesses. Das Hauptziel ist nicht die Erstellung umfangreicher Dokumentationen, sondern die praktische Absicherung essentieller Geschäftsprozesse. Daher wurden die Anforderungen an die Dokumentation bewusst reduziert und der Fokus auf die praktische Verbesserung der Kontinuität gelegt.3

Die Plan-Phase unterscheidet sich nicht wesentlich von den anderen Vorgehensmodellen, allerdings gibt es einige Vereinfachungen. Eine Leitlinie muss ausgearbeitet, Schlüsselparameter definiert, die BC-Aufbauorganisation festgelegt und relevante Details dokumentiert werden. Im Gegensatz zu anderen Modellen entfällt die Analyse erweiterter Rahmenbedingungen und die Anforderungen an die Dokumentation ist deutlich kompakter.4

In der Do-Phase wird ein vereinfachter Ansatz für die Ablauforganisation verfolgt. Der Prozess beginnt mit dem Einsatz eines BIA-Vorfilters, der die Anzahl der zu betrachtenden Prozesse reduziert. Anschließend folgen die Business-Impact-Analyse und der Soll-Ist-Vergleich. Im Gegensatz zu komplexeren Modellen, werden Schritte wie die BCM-Risikoanalyse, die Festlegung von BC-Strategien und die Ausarbeitung von Wiederanlauf- sowie Wiederherstellungsplänen ausgelassen. Der Schwerpunkt liegt ausschließlich auf der Geschäftsfortführung, wobei alternative Vorgehensweisen für den Ausfall kritischer Ressourcen entwickelt werden. Wiederanlauf und Wiederherstellung der Ressourcenabhängigkeiten sind nicht das Hauptziel dieses Ansatzes. Die entsprechenden Planungen werden in Geschäftsfortführungsplänen festgelegt. Die Aufbauorganisation weicht nicht signifikant von den anderen Modellen ab. Der Hauptunterschied liegt in der Festlegung vereinfachter Grundsätze für die Stabsarbeit, anstelle der Ausarbeitung einer detaillierten Geschäftsordnung.5

Die Check- und Act-Phasen ähneln weitgehend den anderen Vorgehensmodellen. Der signifikante Unterschied liegt in der Implementierung einer vereinfachten Berichterstattung, um den Ressourcenaufwand zu minimieren. Abschließend muss sich die Organisation vor dem Start der nächsten Iteration des PDCA-Zyklus für eine eine der anderen beiden Vorgehensweisen entscheiden.6

BCM-Prozess des Reaktiv-BCMS

Aufbau-BCMS

Das Aufbau-BCMS ähnelt in vielen Aspekten dem Standard-BCMS. Der Hauptunterschied besteht primär im schrittweisen Aufbau des Managementprozesses. Anstatt alle zeitkritischen Geschäftsprozesse von Anfang an zu berücksichtigen, wird ein BIA-Vorfilter eingesetzt, um die Anzahl der zu berücksichtigenden Prozesse zu reduzieren.7 Der Fokus des Aufbau-BCMS liegt auf den essenziellen Geschäftsprozessen der Organisation. Diese können beispielsweise aus bestehenden Prozess- oder Risikomanagementsystemen abgeleitet werden. Falls keine solche Prozessübersichten vorhanden sind, ist eine manuelle Erfassung der Geschäftsprozesse durch die jeweiligen Fachabteilungen erforderlich.8

Es ist wichtig zu berücksichtigen, dass die Übernahme von Bewertungen aus anderen Managementsystemen, wie beispielsweise dem Risikomanagement, nicht immer zu optimalen Ergebnissen führt. Die Bedeutung eines Prozesses im Normalbetrieb und Notbetrieb kann variieren. Zum Beispiel könnte das Customer-Relationship-Management, das im normalen Geschäftsbetrieb als kritisch angesehen wird, in einer Krisensituation eine weniger wichtige Rolle einnehmen.

Die restlichen Phasen des Aufbau-BCMS folgen der Standard-Vorgehensweise. Dies liegt daran, dass das Hauptziel des Aufbau-BCMS darin besteht, nach mehreren Iterationen alle zeitkritischen Geschäftsprozesse abzudecken, was wiederum den Zielen des Standard-BCMS entspricht. Daher führt die wiederholte Anwendung des Zyklus im Aufbau-BCMS schließlich zu einem nahtlosen Übergang zum Standard-BCMS.9

BCM-Prozess des Aufbau-BCMS

Standard-BCMS

Das Standard-BCMS stellt den Zielzustand dar, den jedes Business Continuity Management System (BCMS) im Verlauf seiner Entwicklung anstreben sollte. Dies impliziert jedoch nicht, dass damit ein dauerhaft sicherer Zustand erreicht ist. Vielmehr sind fortlaufende Zyklen notwendig, um das erzielte Niveau nicht nur zu halten, sondern auch kontinuierlich zu verbessern. Das Standard-BCMS, das dem BSI-Standard 200-4 entspricht, ist zudem mit der ISO 22301 kompatibel und erlaubt somit eine Zertifizierung durch einen qualifizierten Auditor.10

Im Rahmen des Business Continuity Managements (BCM) durchläuft die Organisation verschiedene Phasen, die jeweils spezifische Aufgaben und Ziele haben. Die Plan-Phase dient als Grundlage für das gesamte Managementsystem. In dieser Phase werden die BCM-Leitlinien formuliert, der Anwendungsbereich des Systems festgelegt, eine organisatorische Struktur definiert und die notwendigen Dokumente erstellt.11

Nach der Planung folgt die Do-Phase, in der die organisatorische Struktur, auch Aufbauorganisation(präventiv) genannt, sowie die Prozessabläufe oder Ablauforganisation (reaktiv) detailliert geplant werden. Ein besonderes Merkmal dieser Phase ist, dass alle zeitkritischen Geschäftsprozesse berücksichtigt werden. Im Gegensatz zu einfacheren Ansätzen gibt es hier keinen BIA-Vorfilter, der die Anzahl der zu betrachtenden Prozesse eingrenzt. Das Ziel dieser Phase ist die Entwicklung von Plänen für die Geschäftsfortführung sowie für den Wiederanlauf und die Wiederherstellung der Prozesse.12

Nach der detaillierten Planung und Umsetzung folgt die Check-Phase. In dieser Phase werden die zuvor erstellten Pläne mittels verschiedener Test-Szenarien auf ihre Wirksamkeit überprüft. Die Ergebnisse dieser Tests dienen als wertvolle Messwerte für die Act-Phase.13

In der Act-Phase werden die Ergebnisse der Check-Phase analysiert, um Verbesserungspotenziale zu identifizieren. Diese Erkenntnisse bilden die Grundlage für den nächsten Zyklus des BCM-Prozesses und ermöglichen eine kontinuierliche Verbesserung des Managementsystems.14

Das Standard-BCMS kann entweder direkt implementiert werden oder als Weiterentwicklung aus dem Reaktiv- oder Aufbau-BCMS hervorgehen. In den folgenden Praxis-Tipps werden weitere Einblicke gegeben, um Organisationen dabei zu helfen, die am besten geeignete Vorgehensweise auszuwählen.15

BCM-Prozess des Standard-BCMS

Praxis-Tipps

In der Praxis stellt die Einführung eines neuen Managementsystems innerhalb einer Organisation meist eine große Herausforderung dar. Besonders umfangreiche Managementsysteme wie Business Continuity Management (BCM), die sehr ressourcenintensiv sind, erfordert eine sorgfältige Planung. Daher ist es entscheidend, sich realistische Ziele zu setzen, um das Risiko eines Scheiterns des gesamten Managementprozesses zu minimieren.

Für einen Einstieg in das BCM ist es ratsam, zunächst mit dem Reaktiv- oder Aufbau-BCMS zu beginnen. In der ersten Iteration können so die grundlegenden organisatorischen Strukturen etabliert und die kritischsten Prozesse abgesichert werden. Der Schwerpunkt sollte hierbei auf der Plan-Phase und der Strukturierung der Aufbauorganisation in der Do-Phase liegen. Elemente wie Notfallstab, Alarmierungs- und Eskalationswege, Notfallkommunikation und Sofortmaßnahmen sollten sorgfältig ausgearbeitet werden. Dadurch wird eine solide Grundlage für zukünftige Zyklen geschaffen, die sich dann stärker auf die Ablauforganisation fokussieren können.

Die Ausarbeitung der Ablauforganisation ist in der Regel der arbeitsintensivste Teil und birgt viele Herausforderungen. Fragen wie „Was ist ein Geschäftsprozess?“, „Wer ist für diesen Prozess verantwortlich?“ oder „Wie bewertet man die Kritikalität eines Prozesses?“, müssen vor der Planung der Ablauforganisation einheitlicher innerhalb der Organisation geklärt werden. Diese Fragen sollten in enger Abstimmung mit der Unternehmensführung beantwortet und dann in die Fachabteilungen weitergetragen werden. Das Ergebnis sollte eine priorisierte Liste aller Geschäftsprozesse sein, die als Grundlage für die Business-Impact-Analyse (BIA) dient. Wie bereits in einem vorherigen Abschnitt beschrieben, können die Prioritäten zwischen den Prozessen im Normal- und Notbetrieb abweichen.

Abhängig von den spezifischen Zielen und Ressourcen der Organisation, kann eine geeignete Strategie für die Umsetzung des BCM-Prozesses ausgewählt werden. Das Reaktiv-BCMS bietet sich an, wenn der Schwerpunkt zunächst auf der Aufrechterhaltung der Geschäftstätigkeit in Notfällen liegt und ein grundlegender Einstieg in das Management mit geringem Ressourcenaufwand gewünscht ist. Dieser Ansatz ist weniger ressourcenintensiv als die Alternativen und ermöglicht eine schnellere Implementierung.

Das Aufbau-BCMS hingegen ist komplexer und vielseitiger, da es auch den Wiederanlauf und die Wiederherstellung von Ressourcenabhängigkeiten berücksichtigt. Obwohl dieser Ansatz einen höheren Dokumentationsaufwand erfordert, bietet er mehr Flexibilität und ist daher für einen umfassenden Einstieg in das BCM besser geeignet. Durch den Einsatz eines gezielten BIA-Vorfilters, kann der Ressourcenaufwand effizient gesteuert werden, was die Komplexität und den Arbeitsaufwand reduziert.

Die initiale Wahl eines Standard-BCMS wird in den meisten Fällen nicht empfohlen, da der Implementierungsaufwand sehr hoch ist. Eine vollständige Abdeckung aller Geschäftsprozesse innerhalb eines einzigen Zyklus stellt für viele Organisationen eine große Herausforderung dar. Obwohl dieser Ansatz den Ressourcenaufwand für nachfolgende Zyklen reduzieren könnte, erhöht sich das Risiko für Fehler und Engpässe, was die Qualität des Managementsystems beeinträchtigen könnte. Die Abdeckung des Standard-BCMS sollte aus einer der beiden anderen Vorgehensweisen hervorgehen.

Abschließend lässt sich sagen, dass die Entscheidung für eine bestimmte Vorgehensweise letztlich nur von der betroffenen Organisation selbst getroffen werden kann. Zwar gibt es Indikatoren, die darauf hinweisen, welche Strategie am besten geeignet sein könnte, jedoch obliegt die endgültige Entscheidung dem BC-Beauftragten in Kooperation mit der Organisationsleitung. Je nach den Zielen der Organisation (z. B. Zertifizierung) oder den zur Verfügung stehenden Ressourcen, können unterschiedliche Ansätze zum optimalen Ergebnis führen.

Ein weiterer häufig vernachlässigter, aber kritischer Aspekt ist die Check-Phase. Übungen und Tests sind ressourcenintensiv, aber unerlässlich für die Überprüfung der Praxistauglichkeit der ausgearbeiteten Pläne. Selbst wenn keine Ressourcen für umfassende Funktionstests vorhanden sind, sollten zumindest Alarmierungs- und Planübungen durchgeführt werden. Diese Übungen offenbaren Verbesserungspotenziale, die in den nächsten Zyklen zur Optimierung des BCM beitragen können.

  1. BSI-Standard 200-4 – Seite 41-42 ↩︎
  2. BSI-Standard 200-4 – Seite 25 ↩︎
  3. BSI-Standard 200-4 – Seite 43-44 ↩︎
  4. BSI-Standard 200-4 – Seite 48-49 ↩︎
  5. BSI-Standard 200-4 – Seite 48-49 ↩︎
  6. BSI-Standard 200-4 – Seite 49-50 ↩︎
  7. BSI-Standard 200-4 – Seite 44 ↩︎
  8. BSI-Standard 200-4 – Seite 162 ↩︎
  9. BSI-Standard 200-4 – Seite 48-50 ↩︎
  10. BSI-Standard 200-4 – Seite 44 ↩︎
  11. BSI-Standard 200-4 – Seite 48-49 ↩︎
  12. BSI-Standard 200-4 – Seite 48-49 ↩︎
  13. BSI-Standard 200-4 – Seite 49-50 ↩︎
  14. BSI-Standard 200-4 – Seite 50 ↩︎
  15. BSI-Standard 200-4 – Seite 42 ↩︎

*Alle verwendeten Grafiken basieren auf den Darstellungen aus dem BSI-Standard 200-4

Beitrag veröffentlicht

in

von

Tobias Golz

Schlagwörter:

, , , , , , ,
WordPress Cookie Hinweis von Real Cookie Banner