BCM Business Continuity Management.

BCM ist die Disziplin, die Bedrohungen für Ihre kritischen Betriebsabläufe identifiziert und anschließend die Pläne und Verfahren entwickelt, um diese bei einer Störung aufrechtzuerhalten. Kein einmaliges Projekt. Das BCM-Team, das bei einem realen Vorfall liefert, ist dasjenige, das vor vier Monaten eine Tabletop-Übung durchgeführt und dokumentiert hat, was dabei versagt hat.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

Die Einschätzung der Cyber Academy

BCM ist die Disziplin, die Bedrohungen für Ihre kritischen Betriebsabläufe identifiziert und anschließend die Pläne und Verfahren entwickelt, um diese bei einer Störung aufrechtzuerhalten. Kein einmaliges Projekt. Das BCM-Team, das bei einem realen Vorfall liefert, ist dasjenige, das vor vier Monaten eine Tabletop-Übung durchgeführt und dokumentiert hat, was dabei versagt hat.

Was das Business Continuity Management tatsächlich abdeckt

Das Business Continuity Management ist die Managementdisziplin, die die wichtigsten Aktivitäten einer Organisation am Laufen hält oder schnell wieder in Gang bringt, wenn etwas schiefgeht. Der Auslöser kann ein Cybervorfall, der Ausfall eines Lieferanten, eine Überschwemmung, ein Stromausfall oder eine Pandemie sein. Die Bedrohung muss nicht namentlich vorhergesagt werden. Entscheidend ist, dass die Aktivität, die sie lahmlegen würde, identifiziert, priorisiert und mit einem getesteten Plan zur Wiederherstellung innerhalb eines akzeptablen Zeitfensters ausgestattet wurde.

Der Geltungsbereich ist bewusst breit angelegt. Das Business Continuity Management betrachtet Menschen, Räumlichkeiten, Technik, Lieferanten und Informationen, nicht nur die IT-Landschaft. Das ist das Erste, was es von der Disaster Recovery unterscheidet, dem IT-fokussierten Teilbereich, der sich mit der Wiederherstellung von Infrastruktur, Anwendungen und Daten befasst. Eine Bank kann jeden Server wiederherstellen und dennoch nicht arbeitsfähig sein, weil das Callcenter keinen Platz hat und der Dritte, der ihre Geschäfte bewertet, nicht erreichbar ist. Das Business Continuity Management verantwortet dieses Gesamtbild.

Es ist außerdem ein kontinuierlicher Zyklus, kein Projekt mit Enddatum. Pläne veralten in dem Moment, in dem sich eine Organisation umstrukturiert, ein neues System einführt oder einen neuen kritischen Lieferanten anbindet. Die Teams, die bei einem echten Vorfall überzeugen, sind diejenigen, die kürzlich ein Szenario geübt und festgehalten haben, was nicht funktioniert hat, und es dann vor der nächsten Runde behoben haben.

Der grundlegende Lebenszyklus des Business Continuity Management

Die meisten Programme folgen einer erkennbaren Abfolge, die sich in der internationalen Norm ISO 22301 widerspiegelt:

  1. Business-Impact-Analyse. Die strukturierte Untersuchung, die jede Aktivität danach einstuft, wie stark eine Störung im Zeitverlauf schadet, und die Wiederherstellungsziele hervorbringt.
  2. Risikobeurteilung. Die Bedrohungen und Schwachstellen identifizieren, die am ehesten die priorisierten Aktivitäten stören.
  3. Strategie und Lösungen. Festlegen, wie Aktivitäten am Laufen gehalten oder wiederhergestellt werden: Ausweichstandorte, Behelfslösungen, Redundanz, Diversifizierung der Lieferanten.
  4. Pläne und Verfahren. Den Business-Continuity-Plan, die Struktur der Vorfallreaktion und die Wiederherstellungs-Runbooks verfassen, die die Menschen unter Druck tatsächlich nutzen werden.
  5. Übungen und Überprüfung. Planübungen und Live-Tests, Nachbesprechungen nach Vorfällen und Audits, die Korrekturen in den Zyklus zurückführen.

Wo das Business Continuity Management in der Regulierungslandschaft steht

Kontinuität hat sich in mehreren Sektoren von der guten Praxis zur beaufsichtigten Pflicht entwickelt. ISO 22301 legt die Anforderungen an ein zertifizierbares Business-Continuity-Managementsystem fest und ist die Referenz, an der sich die meisten Organisationen ausrichten. In der Europäischen Union legt der Digital Operational Resilience Act Erwartungen an Kontinuität und Tests für Finanzunternehmen fest, und die NIS-2-Richtlinie verlangt von Betreibern in wesentlichen und wichtigen Sektoren Maßnahmen zur Geschäftskontinuität, einschließlich Datensicherung und Krisenmanagement.

Eine Zertifizierung ist nicht zwingend erforderlich, um Business Continuity Management gut zu betreiben, aber sie verschafft Auditoren, Aufsichtsbehörden und Großkunden eine anerkannte Grundlage. Ob ein Programm ein Zertifikat anstrebt oder nicht, es gelten dieselben Disziplinen: die kritischen Aktivitäten kennen, vertretbare Wiederherstellungsziele festlegen, nutzbare Pläne verfassen und durch Tests nachweisen, dass sie funktionieren.

Frequently asked questions

01Was ist der Unterschied zwischen Business Continuity und Disaster Recovery?

Disaster Recovery ist der IT-fokussierte Teilbereich der Business Continuity, der Infrastruktur, Anwendungen und Daten wiederherstellt. Business Continuity ist breiter: Sie umfasst Menschen, Räumlichkeiten, Lieferanten und Prozesse ebenso wie die Technik, sodass die gesamte Organisation weiter arbeiten kann.

02Ist eine ISO-22301-Zertifizierung für das Business Continuity Management erforderlich?

Nein. ISO 22301 ist die internationale Norm, gegen die Sie ein Business-Continuity-Managementsystem zertifizieren können, aber gutes Business Continuity Management erfordert kein Zertifikat. Die Zertifizierung verschafft Aufsichtsbehörden und Kunden eine anerkannte Grundlage und wird in regulierten Sektoren zunehmend erwartet.

03Woher kommen RTO und RPO in einem Business-Continuity-Management-Programm?

Sie sind Ergebnisse der Business-Impact-Analyse. Der RTO ist die längste Zeit, die ein Prozess ausfallen darf, bevor inakzeptabler Schaden entsteht, und der RPO ist der maximal tolerierbare Datenverlust, gemessen in Zeit. Beide sollten von den Geschäftsverantwortlichen validiert und nicht von der IT allein festgelegt werden.

04Wie häufig sollten Business-Continuity-Pläne getestet werden?

Testen Sie regelmäßig statt jährlich. Planübungen sind günstig und schnell und decken Lücken auf, die Dokumentenprüfungen übersehen, weshalb viele Programme sie vierteljährlich durchführen und durch regelmäßige Live-Wiederherstellungstests ergänzen.

05Wer sollte in einer Organisation für das Business Continuity Management verantwortlich sein?

Die Verantwortung liegt bei der Geschäftsleitung, weil Kontinuitätsentscheidungen geschäftliche Entscheidungen über akzeptable Ausfallzeiten und Investitionen sind. Ein Koordinator oder eine BCM-Leitung führt den Lebenszyklus, aber jede kritische Aktivität braucht einen Verantwortlichen, der ihre Wiederherstellungsziele und ihren Plan validiert.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.