Warum ein Notfallhandbuch und Business Continuity Management?

zur Präsentation

Unternehmen haben in den letzten Jahrzehnten die Hauptlast der Informationsverarbeitung auf die elektronische Datenverarbeitung übertragen, was zu einer deutlichen Abhängigkeit vom „Funktionieren“ dieser Prozesse führte.

Es gibt zum einen rechtliche Aspekte die in diesem Zusammenhang zu berück­sichtigen sind, wobei Unterschiede sowohl aufgrund der Rechtsform der Gesellschaft als auch der Branche, in der das Unternehmen tätig ist, sowie dem Umstand, ob das Eigentum in öffentlich rechtli­cher oder privater Hand liegt, bestehen können. Zum anderen ist es der gesunde Menschen­verstand, der die verantwortliche Unternehmensleitung dazu bewegen sollte von sich aus entsprechende Vorkehrungen zu treffen, damit der Fortbestand des Unternehmens nicht ge­fährdet wird bzw. ist.

Im Nachfolgenden werden wir im Wesentlichen auf die Belange der Gesellschaften in privater Hand eingehen.

Ein deutlicher Nachteil der elektronischen Datenverarbeitung ist die grundsätzliche Flüchtig­keit und Veränderbarkeit der Daten als solche. Dies ist insbesondere auch deshalb zu berück­sichtigen, da durch die elektronische Datenverarbeitung, kurz IT, auch Prozesse zur Überwa­chung von Risikoprozessen gesteuert werden. Dies bedeutet, dass diese Risikoprozesse unter Umständen unkontrollierbar werden, wenn die IT ausfällt. Beispiele hierfür sind insbesondere der Gesundheitssektor (lebenserhaltende Maschinen), Produktionsprozesse (Kernkraftwerk-, Hochöfen-Steuerung, Fertigungssteuerung etc.) oder Überwachungs- und Nachweisprozes­sen (Flugsicherung, Eisenbahnsteuerung, Finanzbuchhaltung, etc.).

Fällt die IT aus oder werden Daten verfälscht oder stehen nicht in der definierten Art und Weise zur Verfügung tritt ein Schaden ein. Der Schaden kann sich konkret auf eine Person (Gesundheitswesen, Unfälle, soziale Schädigung etc.) als auch auf Unternehmen beziehen (Produktionsausfälle, Lieferengpässe, Konventionalstrafen, Imageschäden, Auftragseinbrü­che, Geheimnisverrat, Wirtschaftsspionage etc.); durch beides kann die Geschäftstätigkeit des Unternehmens  stark beeinträchtig werden, mit finanziellen Auswirkungen bis hin zur Gefähr­dung des Fortbestand des Unternehmens.

Diesem Umstand hat der Gesetzgeber Rechnung getragen, und hinreichend generische Maßgaben (Gesetze, Verordnungen, Richtlinien etc.) erlassen. Diese finden sich in unter­schiedlichsten Gesetzen wieder wie zum Beispiel AktG, BDSG, BGB, BilMoG, GmbHG, HGB, KWG, KonTraG, oder in Rechtsverordnungen wie GoB, GOBS, GDPdU, sowie Maßgaben von Versicherungen und Auftragnehmern.

Mit den 90er-Jahren in Deutschland beginnend wurde in der Privatwirtschaft vorrangig auf die Finanzbuchhaltungssysteme geschaut (GOBS). Von dort aus entwickelte sich langsam ein Verständnis für die Gesamtheit der in einem Unternehmen eingesetzten Systeme und deren Zusammenhänge bzw. deren Zusammenwachsen, indem so genannte Insellösungen nach und nach abgeschafft wurden.

Die Frage, warum die Entwicklung des Verständnisses so „langsam“ voran schritt, ist ebenso schwierig wie mannigfaltig zu beantworten. Ein wesentlicher Bestandteil der Antworten lässt sich jedoch mit Sicherheit auf die finanziellen Auswirkungen beziehen, die ein Ausfall oder eine Beeinträchtigung der IT-Prozesse mit sich bringt, als auch vor allem auf die Kosten, die für entsprechende Sicherungsmaßnahmen entstehen.

Warum zuerst die Finanzbuchhaltungssysteme? Der Staat hatte und hat die Befürchtung, dass die IT-gestützten Buchhaltungssysteme nicht die korrekten, vollständigen Zahlen wiederge­ben, die Manipulationen nicht entdeckt und somit entsprechende Steuereinnahmen verloren gehen. Zudem wurden durch solche Maßgaben alle Unternehmen in der Bundesrepublik Deutschland zugleich angesprochen.

Da die Kosten für entsprechende Sicherungsmaßnahmen - im IT Bereich als auch für den Fortbe­stand des Unternehmens in Krisensituationen - das Handeln der verantwort­lichen Personen wesentlich und nachhaltig beeinflussen, hat der Gesetzgeber entsprechende Formu­lierungen in gesetzlichen Maßgaben aufgenommen. Dies sind z.B. § 91 Abs. 1 AktG und § 43 Abs 1 GmbH als auch § 111 AktG für den Aufsichtsrat (gilt analog für GmbH’s). Hierzu wurden auch entsprechende Sanktionen / Strafen bei Nichteinhaltung eingebracht.

Ferner haben auch die Banken, Versicherer und Geldgeber erkannt, wie wichtig die IT für die Unternehmen geworden ist und entsprechend generische Formulierungen in BASEL II, SOL­VENCY II aufgenommen, die durch den Gesetzgeber in KonTraG und BilMoG aufgegriffen wurden. Im Wesentlichen wurden diese unter dem Begriff „Risikomanagement“ subsumiert. Für die Finanz­dienst­leister hat die entsprechende Aufsichtsbehörde (BaFin) die „MaRisk“ (Mindestanforderung an das Risiko­manage­ment) entwickelt, worin explizit auf zu berücksichtigende Sachverhalte bezüglich der elektronischen Daten­verarbeitung verwiesen wird.

Das BilMoG, welches für Kapitalgesellschaften nach § 264d HGB bindend ist, verlangt eine ausführliche Stellungnahme im Lagebericht der Gesellschaften zu den in Bezug auf das Risi­komanagement durchgeführten Maßnahmen sowie den Maßnahmen zur Überwachung des Risikomanagements durch die Aufsichtsgremien. Hierunter fallen auch die Maßnahmen, die in Bezug auf die Ausfallsicherheit der IT durchge­führt bzw. etabliert wurden.

Darüber hinaus zahlen Versicherungen nicht oder nur anteilig, da bei entsprechen­den Nachweisen, das Obliegenheitsrecht beeinträchtigt wurde. Es ist hierbei zu berücksichtigen, dass die Beweislast jeweils beim geschädigten Unternehmen liegt.

 

Was bringt jetzt ein Notfallhandbuch?

Ein vorhandenes und aktuelles Notfallhandbuch vermittelt die Möglichkeit auf entstehen­de Unterbrechungen der Geschäftsprozesse zeitnah und richtig reagieren zu können, was zu einer raschen Wiederaufnahme der Geschäftsprozesse führt. Dies spiegelt sich in geringen finanziellen Ausfällen, Schadenersatz- und/oder Steueransprüchen wieder.

In einem Notfallhandbuch sind verschiedene, im Vorhinein betrachtete Szenarien, die eintre­ten könnten, sowie Handlungsanweisungen beschrieben, wie darauf zu reagieren ist. Die Sze­narien reichen von dem Ausfall einzelner Geräte über Infrastrukturausfälle bis hin zum Ausfall des gesamten Rechenzentrums.

Hierbei werden Betriebsunterbrechungen, die einen Service/Dienst beeinträchtigen, und Notfallsituationen, die Geschäftsprozesse unterbrechen, unterschieden. Um diese Unterschei­dung vornehmen zu können werden sogenannte Szenarien gebildet. 

Die Szenarien werden in einem ersten Schritt mit Hilfe eines Bedrohungskataloges in einer so­genannten Risiko-Einfluss-Analyse (RIA) bewertet und nach Eintrittswahrscheinlichkeit und Auswirkung (Dauer der Unterbrechung / Kosten) klassifiziert.

Risiko-Einfluss-Analyse

Abbildung 1

Abbildung 1: Beispiel einer Ergebnismatrix zu einer Risiko-Ergebnis-Analyse (Quelle: Eigene Darstellung des Autors)

In einem weiteren Schritt werden die Geschäftsprozesse eines Unternehmens in ihrer Wichtig­keit für den Fortbestand des Unternehmens bewertet (RTO[1]/RPO[2]) und mit den Ergebnissen aus der Risikoanalyse abgestimmt. Dieser Schritt wird Business Impact Analyse (BIA) genannt.

Hieraus resultieren unterschiedliche Ergebnisse, gemessen am Status Quo. Dort, wo die Aus­wirkung eines Ereignisses die RTO/RPO Zeiten innerhalb eines Geschäfts­pro­zesses überschrei­tet, hat eine in angemessenem Umfang ausgelegte Anpassung der IT Abläufe, der Geräte, der Umgebung oder der Organisation stattzufinden, um den RTO/RPO Zeiten gerecht werden zu können. Darüber hinaus können Maßnahmen notwendig werden, welche einen Ausbau der Betriebs­überwachung notwendig machen (Reporting etc.).

Das Notfallhandbuch unterliegt periodischen Anpassungen, welche aus Änderungen in der Organisation, der Liegenschaften, rechtlicher oder wirtschaftlicher Anforde­rungen und/oder aus Übungen zu dem Notfallhandbuch resultieren.

Die Übung der Abläufe, die in einem Notfallhandbuch beschrieben sind, sollten mindestens zweimal im Jahr getestet und in einem Bericht an die Geschäftsführung / Beirat / Vorstand / Aufsichtsrat festgehalten werden. Dabei ist darauf einzugehen, welche Szenarien mit wel­chem Ergebnis in einem Geschäftsjahr getestet wurden, welche Maßnahmen zur Behebung von festgestellten Mängeln einzuleiten sind bzw. eingeleitet wurden, wer verantwortlich ist und bis wann die entsprechenden Arbeiten inklusive der erforderlichen Test abgeschlossen sein sollen.

Der Wechsel einer Applikation stellt immer eine Notfallsituation dar. Diesem  Sachver­halt sollte bei der Planung der Applikationsablösung als auch im Rahmen der Be­schreibung eines Not­fallhandbuches hinreichend Rechnung getragen werden.

Gleiches gilt für den Wechsel von Komponenten einer jeweiligen IT Umgebung. Je näher ein solcher Wechsel an das Core Environment heranreicht, desto höher sollte die Aufmerksamkeit in diesem Zusammenhang sein, da die Auswirkungen eines auftreten­den Schadens somit immer mehr Benutzer erreicht.

Die erste Erstellung eines Notfallhandbuches durch die beschriebene Vorgehensweise ist im­mer als Projekt zu definieren und dann in einen Geschäftsprozess zu überführen.

 

Warum BCM?

BCM kommt aus dem Englischen und ist die Abkürzung für Business Continuity Management oder zu Deutsch Betriebliches Kontinuitäts-Management.

Die best practice zu BCM ist international in der Norm BS 25999 festgehalten worden, die durch das Britische Standard Institute (BSI) herausgegeben worden ist, und basieren vormals auf dem PAS56 bzw. PAS77 des Business Continuity Institute (BCI). In Deutschland hat das Bundesamt in der Informationssicherheit mit dem 2008/2009 erschienenen Handbuch 100-4 versucht, eine Normung zu formulieren.

BCM steht nicht nur für die IT eines Unternehmens. In diese Ecke wird es leider all zu häufig gedrängt, da aus der IT Vorgehensweisen für entsprechenden Notfallsitu­ationen bestens bekannt sind. BCM steht für ein ganzheitlich organisiertes Vorgehen beim Eintritt von Katastrophen oder Situationen, die mehrere Unternehmensbereiche negativ beeinflussen. Es wird in der Regel aber immer von Unterbrechungen von Geschäftsprozessen, also der Wertschöpfungsketten der Unternehmen, ausgegangen.

Ursachen hierfür können mannigfaltig sein. Vom Ausfall einer / mehrerer Schlüssel­personen für ein Unternehmen, über Imageschäden, bis hin zur Vernichtung der Hauptverwaltung, Nie­derlassungen, Lager und/oder Produktionsstätten. Dazwischen liegen unterschiedliche Szenarien, die im Rahmen der RIA als auch BIA für jedes Unternehmen individuell untersucht werden sollten.

Anhand der Untersuchungsergebnisse sind mögliche Handlungsanweisungen zu erarbeiten, um die unterbrochenen Wertschöpfungsketten schnellstmöglich wieder aufnehmen zu kön­nen. Diese Untersuchungen bzw. Handlungsanweisungen sind für jeden Unternehmens­bereich individuell zu erstellen (Geschäftsführung, Produktion, Vertrieb, Einkauf, Lagerwesen, Finanz­buchhaltung, HR, Controlling, Marketing, F&E etc.). Lediglich der zugrunde liegende Katalog (für RIA Ermittlung) kann derselbe sein.

Die erste Erstellung eines BCM-Handbuches durch die beschriebene Vorgehensweise ist im­mer als Projekt zu definieren, und dann in einen Geschäftsprozess zu überführen.

Abbildung 2

Abbildung 2: Einführungsbeispiel BCM (Nutzen Sie die Funktion Ihres Browsers für eine Darstellung in Originalgröße)
Quelle: Eigene Darstellung des Autors

 

Zusammenfassung

Zusammengefasst betrachtet kann sich sinnvoller Nutzen in ein oder mehreren Bereichen eines Unter­neh­mens ergeben:

Neben der Erfüllung gesetzlicher Maßgaben für die Geschäftsführung / Vorstand sowie Auf­sichtsrat / Beirat unter anderem in Bezug auf das Risikomanagement können aus den Arbeitser­gebnissen auch Synergieeffekte abgeleitet werden. (Stichworte hier: §§ 91, 93, 111, 116 AktG; § 43 GmbHG; KonTraG; MilBoG; HGB; BDSG; GOB; GOBS; GDPdU; IFRS).

Banken und Geldgeber können in Bezug auf die „Sicherheit“ ihrer Gelder überzeugt werden, was zumindest bei Banken eine entsprechend gute Risikoeinstufung erzielen sollte, was wie­derum mit einer damit in Verbindung stehenden niedrigeren Verzinsung des Kapitals einher­gehen kann (Stichwort hier: BASEL II).

Aufwendungen von Jahresabschlussprüfern und Aufsichtsorganen (z.B. Compliance- und Datenschutzbeauftragte, Revision) können minimiert werden, da die Prüfungs­hand­lungen nur auf das Wesentliche beschränkt werden können.  Stichworte hier: u. a. PS 330 IDW).

Geschäftspartner (gerade in der Automobilzulieferer und der Chemieindustrie) in der Industrie als auch öffentliche Auftraggeber können hierdurch gewonnen werden, da ein entspre­chend etabliertes BCM durchaus zum Wettbewerbsvorteil als auch positivem Image inner­halb und außerhalb des Unternehmens gereichen kann. (Stichworte hier: Positives Image; Geschäftspartner; Zuverlässigkeit; Kundenzufrieden­heit; Mitarbeiterzufriedenheit)

Etablierte Abläufe werden unter unterschiedlichen Gesichtspunkten untersucht und somit in Frage gestellt. Daraus kann eine Verbesserung der Wertschöpfungsketten erfolgen, was wie­derum zur Senkung interner und/oder externer Kosten beitragen kann (Stichworte hier: Abhän­gigkeiten von Mitarbeitern, Zulieferern, Know How-Trägern kann minimiert werden, was sich schlussendlich auch wieder in einer Minimierung von Folgekosten darstellen kann).

Der Versicherungsschutz kann besser gewährleistet werden, da das Obliegenheitsrecht, welches die Versicherer immer häufiger in Anspruch nehmen um die Zahllast im Versicherungsfall (z. B. Betriebsunterbrechung, Schäden durch Überspannung, Brand) so gering wie möglich zu halten, nur sehr schwer ausgeübt werden kann. Das Unternehmen kann anhand geeigneter Dokumentation nachweisen, dass sie hinreichend genau die möglichen Risiken untersucht und entsprechende Maßnahmen vereinbart bzw. umgesetzt und getestet hat.

Durch die Nutzung entsprechender Standards kann ein Benchmarking innerhalb der Bran­chen aufgebaut werden, was wiederum zu einer Verbesserung der Abläufe führen kann (Stichworte: BS25999, BS27999, ISO 27001 ff..

Die Ausarbeitung eines Internen Kontroll Systems kann und wird durch die Arbeitser­gebnisse nachhaltig unterstützt werden (u.a. auch Revisionsaufgaben) (Stichworte hier: HGB; BilMoG; KonTraG; AktG; BDSG; GOB; GOBS; Aufsichtsorgane; Gesellschafter; Management-Informati­onssystem; Governance; Kontrolle von Niederlassungen; Vermeidung dolosen Handlungen; Fraud detection).

 

Bewusstsein schaffen

Ein Unternehmen wird insgesamt durch ein derartiges Projekt sich seiner gegebenen­falls vor­handenen Schwächen bewusst und kann (A) Maßnahmen einleiten, diese zu lindern, oder (B) diese bewusst eingehen. In jeden Fall ist sich das Unternehmen dieser Schwächen bewusst. Hierdurch kann auf und in Krisensituationen besser reagiert bzw. agiert werden; kosten- und zeitintensive Fehlentschei­dungen werden auf ein Mindestmaß reduziert, was im Ergebnis zu einem kompetenten und starken Auftreten der Verantwort­lichen gegenüber Kunden und Mitarbeitern gleicherma­ßen führt.

 


Quellen:

[1] RTO = Recovery Time Objective = Wie lange darf ein Geschäftsprozess/ IT/TK-System ausfallen?

[2] RPO = Recovery Point Objective = Wie viel Verlust von Daten kann verantwortet werden?

Der Artikel ist nach bestem Wissen und Gewissen recherchiert. Er dient lediglich dazu, einen Anhaltspunkt zu setzen, um weitere Schritte zu prüfen. Der Ersteller übernimmt keinerlei Haftung, Für den Inhalt der verlinkten Webseiten und Dokumente sind die Beitreiber der Webseiten verantwortlich. Alle Angaben ohne Gewähr.

 

Der Autor:

Klaus-Dieter Krause

Dipl.-Inform. FR Wirtschaftsinformatik

CMC/BDU – CISA – CISM – MBCI – QAR-IT

Compliance- und Datenschutzbeauftragter

Internet: http://www.kkmc.de

Dateianhänge: