Unternehmen haben in den letzten Jahrzehnten die Hauptlast der Informationsverarbeitung auf die elektronische Datenverarbeitung übertragen, was zu einer deutlichen Abhängigkeit vom „Funktionieren“ dieser Prozesse führte.
Es gibt zum einen rechtliche Aspekte, die in diesem Zusammenhang zu berücksichtigen sind, wobei Unterschiede sowohl aufgrund der Rechtsform der Gesellschaft als auch der Branche, in der das Unternehmen tätig ist, sowie dem Umstand, ob das Eigentum in öffentlich-rechtlicher oder privater Hand liegt, bestehen können. Zum anderen ist es der gesunde Menschenverstand, der die verantwortliche Unternehmensleitung dazu bewegen sollte, von sich aus entsprechende Vorkehrungen zu treffen, damit der Fortbestand des Unternehmens nicht gefährdet wird bzw. ist.
Im Nachfolgenden werden wir im Wesentlichen auf die Belange der Gesellschaften in privater Hand eingehen.
Ein deutlicher Nachteil der elektronischen Datenverarbeitung ist die grundsätzliche Flüchtigkeit und Veränderbarkeit der Daten als solche. Dies ist insbesondere auch deshalb zu berücksichtigen, da durch die elektronische Datenverarbeitung, kurz IT, auch Prozesse zur Überwachung von Risikoprozessen gesteuert werden. Dies bedeutet, dass diese Risikoprozesse unter Umständen unkontrollierbar werden, wenn die IT ausfällt. Beispiele hierfür sind insbesondere der Gesundheitssektor (lebenserhaltende Maschinen), Produktionsprozesse (Kernkraftwerk-, Hochöfen-Steuerung, Fertigungssteuerung etc.) oder Überwachungs- und Nachweisprozesse (Flugsicherung, Eisenbahnsteuerung, Finanzbuchhaltung, etc.).
Fällt die IT aus oder werden Daten verfälscht oder stehen nicht in der definierten Art und Weise zur Verfügung, tritt ein Schaden ein. Der Schaden kann sich konkret auf eine Person (Gesundheitswesen, Unfälle, soziale Schädigung etc.) als auch auf Unternehmen beziehen (Produktionsausfälle, Lieferengpässe, Konventionalstrafen, Imageschäden, Auftragseinbrüche, Geheimnisverrat, Wirtschaftsspionage etc.); durch beides kann die Geschäftstätigkeit des Unternehmens stark beeinträchtigt werden, mit finanziellen Auswirkungen bis hin zur Gefährdung des Fortbestand des Unternehmens.
Diesem Umstand hat der Gesetzgeber Rechnung getragen, und hinreichend generische Maßgaben (Gesetze, Verordnungen, Richtlinien etc.) erlassen. Diese finden sich in unterschiedlichsten Gesetzen wieder, wie zum Beispiel AktG, BDSG, BGB, BilMoG, GmbHG, HGB, KWG, KonTraG, oder in Rechtsverordnungen wie GoB, GOBS, GDPdU, sowie Maßgaben von Versicherungen und Auftragnehmern.
Mit den 90er-Jahren in Deutschland beginnend, wurde in der Privatwirtschaft vorrangig auf die Finanzbuchhaltungssysteme geschaut (GOBS). Von dort aus entwickelte sich langsam ein Verständnis für die Gesamtheit der in einem Unternehmen eingesetzten Systeme und deren Zusammenhänge bzw. deren Zusammenwachsen, indem sogenannte Insellösungen nach und nach abgeschafft wurden.
Die Frage, warum die Entwicklung des Verständnisses so „langsam“ voranschritt, ist ebenso schwierig wie mannigfaltig zu beantworten. Ein wesentlicher Bestandteil der Antworten lässt sich jedoch mit Sicherheit auf die finanziellen Auswirkungen beziehen, die ein Ausfall oder eine Beeinträchtigung der IT-Prozesse mit sich bringt, als auch vor allem auf die Kosten, die für entsprechende Sicherungsmaßnahmen entstehen.
Warum zuerst die Finanzbuchhaltungssysteme? Der Staat hatte und hat die Befürchtung, dass die IT-gestützten Buchhaltungssysteme nicht die korrekten, vollständigen Zahlen wiedergeben, Manipulationen nicht entdeckt werden und somit entsprechende Steuereinnahmen verloren gehen. Zudem wurden durch solche Maßgaben alle Unternehmen in der Bundesrepublik Deutschland zugleich angesprochen.
Da die Kosten für entsprechende Sicherungsmaßnahmen – im IT-Bereich als auch für den Fortbestand des Unternehmens in Krisensituationen – das Handeln der verantwortlichen Personen wesentlich und nachhaltig beeinflussen, hat der Gesetzgeber entsprechende Formulierungen in gesetzlichen Maßgaben aufgenommen. Dies sind z.B. § 91 Abs. 1 AktG und § 43 Abs 1 GmbH als auch § 111 AktG für den Aufsichtsrat (gilt analog für GmbH’s). Hierzu wurden auch entsprechende Sanktionen / Strafen bei Nichteinhaltung eingebracht.
Ferner haben auch die Banken, Versicherer und Geldgeber erkannt, wie wichtig die IT für die Unternehmen geworden ist und entsprechend generische Formulierungen in BASEL II, SOLVENCY II aufgenommen, die durch den Gesetzgeber in KonTraG und BilMoG aufgegriffen wurden. Im Wesentlichen wurden diese unter dem Begriff „Risikomanagement“ subsumiert. Für die Finanzdienstleister hat die entsprechende Aufsichtsbehörde (BaFin) die „MaRisk“ (Mindestanforderung an das Risikomanagement) entwickelt, worin explizit auf zu berücksichtigende Sachverhalte bezüglich der elektronischen Datenverarbeitung verwiesen wird.
Das BilMoG, welches für Kapitalgesellschaften nach § 264d HGB bindend ist, verlangt eine ausführliche Stellungnahme im Lagebericht der Gesellschaften zu den in Bezug auf das Risikomanagement durchgeführten Maßnahmen sowie den Maßnahmen zur Überwachung des Risikomanagements durch die Aufsichtsgremien. Hierunter fallen auch die Maßnahmen, die in Bezug auf die Ausfallsicherheit der IT durchgeführt bzw. etabliert wurden.
Darüber hinaus zahlen Versicherungen nicht oder nur anteilig, da bei entsprechenden Nachweisen das Obliegenheitsrecht beeinträchtigt wurde. Es ist hierbei zu berücksichtigen, dass die Beweislast jeweils beim geschädigten Unternehmen liegt.
Was bringt jetzt ein Notfallhandbuch?
Ein vorhandenes und aktuelles Notfallhandbuch vermittelt die Möglichkeit, auf entstehende Unterbrechungen der Geschäftsprozesse zeitnah und richtig reagieren zu können, was zu einer raschen Wiederaufnahme der Geschäftsprozesse führt. Dies spiegelt sich in geringen finanziellen Ausfällen, Schadenersatz- und/oder Steueransprüchen wieder.
In einem Notfallhandbuch sind verschiedene, im Vorhinein betrachtete Szenarien, die eintreten könnten, sowie Handlungsanweisungen,wie darauf zu reagieren ist, beschrieben. Die Szenarien reichen von dem Ausfall einzelner Geräte über Infrastrukturausfälle bis hin zum Ausfall des gesamten Rechenzentrums.
Hierbei werden Betriebsunterbrechungen, die einen Service/Dienst beeinträchtigen, und Notfallsituationen, die Geschäftsprozesse unterbrechen, unterschieden. Um diese Unterscheidung vornehmen zu können, werden sogenannte Szenarien gebildet.
Die Szenarien werden in einem ersten Schritt mit Hilfe eines Bedrohungskataloges in einer sogenannten Risiko-Einfluss-Analyse (RIA) bewertet und nach Eintrittswahrscheinlichkeit und Auswirkung (Dauer der Unterbrechung / Kosten) klassifiziert.
Risiko-Einfluss-Analyse
Abbildung 1: Beispiel einer Ergebnismatrix zu einer Risiko-Ergebnis-Analyse (Quelle: Eigene Darstellung des Autors)
In einem weiteren Schritt werden die Geschäftsprozesse eines Unternehmens in ihrer Wichtigkeit für den Fortbestand des Unternehmens bewertet (RTO[1]/RPO[2]) und mit den Ergebnissen aus der Risikoanalyse abgestimmt. Dieser Schritt wird Business Impact Analyse (BIA) genannt.
Hieraus resultieren unterschiedliche Ergebnisse, gemessen am Status Quo. Dort, wo die Auswirkung eines Ereignisses die RTO/RPO-Zeiten innerhalb eines Geschäftsprozesses überschreitet, hat eine in angemessenem Umfang ausgelegte Anpassung der IT-Abläufe, der Geräte, der Umgebung oder der Organisation stattzufinden, um den RTO/RPO-Zeiten gerecht werden zu können. Darüber hinaus können Maßnahmen notwendig werden, welche einen Ausbau der Betriebsüberwachung notwendig machen (Reporting etc.).
Das Notfallhandbuch unterliegt periodischen Anpassungen, welche aus Änderungen in der Organisation, der Liegenschaften, rechtlicher oder wirtschaftlicher Anforderungen und/oder aus Übungen zu dem Notfallhandbuch resultieren.
Die Übung der Abläufe, die in einem Notfallhandbuch beschrieben sind, sollten mindestens zweimal im Jahr getestet und in einem Bericht an die/den Geschäftsführung / Beirat / Vorstand / Aufsichtsrat festgehalten werden. Dabei ist darauf einzugehen, welche Szenarien mit welchem Ergebnis in einem Geschäftsjahr getestet wurden, welche Maßnahmen zur Behebung von festgestellten Mängeln einzuleiten sind bzw. eingeleitet wurden, wer verantwortlich ist und bis wann die entsprechenden Arbeiten inklusive der erforderlichen Test abgeschlossen sein sollen.
Der Wechsel einer Applikation stellt immer eine Notfallsituation dar. Diesem Sachverhalt sollte bei der Planung der Applikationsablösung als auch im Rahmen der Beschreibung eines Notfallhandbuches hinreichend Rechnung getragen werden.
Gleiches gilt für den Wechsel von Komponenten einer jeweiligen IT-Umgebung. Je näher ein solcher Wechsel an das Core Environment heranreicht, desto höher sollte die Aufmerksamkeit in diesem Zusammenhang sein, da die Auswirkungen eines auftretenden Schadens somit immer mehr Benutzer erreicht.
Die erste Erstellung eines Notfallhandbuches durch die beschriebene Vorgehensweise ist immer als Projekt zu definieren und dann in einen Geschäftsprozess zu überführen.
Warum BCM?
BCM kommt aus dem Englischen und ist die Abkürzung für Business Continuity Management oder, zu Deutsch, Betriebliches Kontinuitäts-Management.
Die best practice zu BCM ist international in der Norm BS 25999 (jetzt: ISO 22301) festgehalten worden, die durch das Britische Standard Institute (BSI) herausgegeben worden ist, und basiert vormals auf dem PAS56 bzw. PAS77 des Business Continuity Institute (BCI). In Deutschland hat das Bundesamt in der Informationssicherheit mit dem 2008/2009 erschienenen Handbuch 100-4 versucht, eine Normung zu formulieren.
BCM steht nicht nur für die IT eines Unternehmens. In diese Ecke wird es leider all zu häufig gedrängt, da aus der IT Vorgehensweisen für entsprechenden Notfallsituationen bestens bekannt sind. BCM steht für ein ganzheitlich organisiertes Vorgehen beim Eintritt von Katastrophen oder Situationen, die mehrere Unternehmensbereiche negativ beeinflussen. Es wird in der Regel aber immer von Unterbrechungen von Geschäftsprozessen, also der Wertschöpfungsketten der Unternehmen, ausgegangen.
Ursachen hierfür können mannigfaltig sein: vom Ausfall einer / mehrerer Schlüsselpersonen für ein Unternehmen über Imageschäden bis hin zur Vernichtung der Hauptverwaltung, Niederlassungen, Lager und/oder Produktionsstätten. Dazwischen liegen unterschiedliche Szenarien, die im Rahmen der RIA als auch BIA für jedes Unternehmen individuell untersucht werden sollten.
Anhand der Untersuchungsergebnisse sind mögliche Handlungsanweisungen zu erarbeiten, um die unterbrochenen Wertschöpfungsketten schnellstmöglich wieder aufnehmen zu können. Diese Untersuchungen bzw. Handlungsanweisungen sind für jeden Unternehmensbereich individuell zu erstellen (Geschäftsführung, Produktion, Vertrieb, Einkauf, Lagerwesen, Finanzbuchhaltung, HR, Controlling, Marketing, F&E etc.). Lediglich der zugrunde liegende Katalog (für RIA-Ermittlung) kann derselbe sein.
Die erste Erstellung eines BCM-Handbuches durch die beschriebene Vorgehensweise ist immer als Projekt zu definieren, und dann in einen Geschäftsprozess zu überführen.
Abbildung 2: Einführungsbeispiel BCM (Nutzen Sie die Funktion Ihres Browsers für eine Darstellung in Originalgröße)
Quelle: Eigene Darstellung des Autors
Zusammenfassung
Zusammengefasst betrachtet kann sich sinnvoller Nutzen in einem oder mehreren Bereich(en) eines Unternehmens ergeben:
Neben der Erfüllung gesetzlicher Maßgaben für die Geschäftsführung / Vorstand sowie Aufsichtsrat / Beirat unter anderem in Bezug auf das Risikomanagement können aus den Arbeitsergebnissen auch Synergieeffekte abgeleitet werden (Stichworte hier: §§ 91, 93, 111, 116 AktG; § 43 GmbHG; KonTraG; MilBoG; HGB; BDSG; GOB; GOBS; GDPdU; IFRS).
Banken und Geldgeber können in Bezug auf die „Sicherheit“ ihrer Gelder überzeugt werden, was zumindest bei Banken eine entsprechend gute Risikoeinstufung erzielen sollte, was wiederum mit einer damit in Verbindung stehenden niedrigeren Verzinsung des Kapitals einhergehen kann (Stichwort hier: BASEL II).
Aufwendungen von Jahresabschlussprüfern und Aufsichtsorganen (z.B. Compliance- und Datenschutzbeauftragte, Revision) können minimiert werden, da die Prüfungshandlungen nur auf das Wesentliche beschränkt werden können (Stichworte hier: u. a. PS 330 IDW).
Geschäftspartner (gerade in der Automobilzulieferer- und der Chemieindustrie) in der Industrie als auch öffentliche Auftraggeber können hierdurch gewonnen werden, da ein entsprechend etabliertes BCM durchaus zum Wettbewerbsvorteil als auch positivem Image innerhalb und außerhalb des Unternehmens gereichen kann (Stichworte hier: Positives Image; Geschäftspartner; Zuverlässigkeit; Kundenzufriedenheit; Mitarbeiterzufriedenheit).
Etablierte Abläufe werden unter unterschiedlichen Gesichtspunkten untersucht und somit infrage gestellt. Daraus kann eine Verbesserung der Wertschöpfungsketten erfolgen, was wiederum zur Senkung interner und/oder externer Kosten beitragen kann (Stichworte hier: Abhängigkeiten von Mitarbeitern, Zulieferern, Know How-Trägern kann minimiert werden, was sich schlussendlich auch wieder in einer Minimierung von Folgekosten darstellen kann).
Der Versicherungsschutz kann besser gewährleistet werden, da das Obliegenheitsrecht, welches die Versicherer immer häufiger in Anspruch nehmen, um die Zahllast im Versicherungsfall (z. B. Betriebsunterbrechung, Schäden durch Überspannung, Brand) so gering wie möglich zu halten, nur sehr schwer ausgeübt werden kann. Das Unternehmen kann anhand geeigneter Dokumentation nachweisen, dass sie hinreichend genau die möglichen Risiken untersucht und entsprechende Maßnahmen vereinbart bzw. umgesetzt und getestet hat.
Durch die Nutzung entsprechender Standards kann ein Benchmarking innerhalb der Branchen aufgebaut werden, was wiederum zu einer Verbesserung der Abläufe führen kann (Stichworte: BS25999, BS27999, ISO 27001 ff.).
Die Ausarbeitung eines Internen Kontrollsystems kann und wird durch die Arbeitsergebnisse nachhaltig unterstützt werden (u.a. auch Revisionsaufgaben) (Stichworte hier: HGB; BilMoG; KonTraG; AktG; BDSG; GOB; GOBS; Aufsichtsorgane; Gesellschafter; Management-Informationssystem; Governance; Kontrolle von Niederlassungen; Vermeidung dolosen Handlungen; Fraud detection).
Bewusstsein schaffen
Ein Unternehmen wird insgesamt durch ein derartiges Projekt sich seiner gegebenenfalls vorhandenen Schwächen bewusst und kann a) Maßnahmen einleiten, diese zu lindern, oder b) diese bewusst eingehen. In jedem Fall ist sich das Unternehmen dieser Schwächen bewusst. Hierdurch kann auf und in Krisensituationen besser reagiert bzw. agiert werden; kosten- und zeitintensive Fehlentscheidungen werden auf ein Mindestmaß reduziert, was im Ergebnis zu einem kompetenten und starken Auftreten der Verantwortlichen gegenüber Kunden und Mitarbeitern gleichermaßen führt.
Quellen:
[1] RTO = Recovery Time Objective = Wie lange darf ein Geschäftsprozess/ IT/TK-System ausfallen?
[2] RPO = Recovery Point Objective = Wie viel Verlust von Daten kann verantwortet werden?
Der Artikel ist nach bestem Wissen und Gewissen recherchiert. Er dient lediglich dazu, einen Anhaltspunkt zu setzen, um weitere Schritte zu prüfen. Der Ersteller übernimmt keinerlei Haftung, Für den Inhalt der verlinkten Webseiten und Dokumente sind die Beitreiber der Webseiten verantwortlich. Alle Angaben ohne Gewähr.
Der Autor:
Klaus-Dieter Krause
Dipl.-Inform. FR Wirtschaftsinformatik
CMC/BDU – CISA – CISM – MBCI – QAR-IT
Compliance- und Datenschutzbeauftragter
Internet: http://www.kkmc.de
