Die vergangenen zwei Jahre haben deutlich die Anfälligkeiten unserer Arbeitsweise gezeigt!

  • COVID-19 zwang uns, innerhalb weniger Tage ganze Unternehmen im Homeoffice arbeiten zu lassen.
  • Der aktuelle Cyberangriff auf die Haftpflichtkasse ist einer von vielen auftretenden Zugriffen auf unsere Infrastruktur und Datenverarbeitung.

COVID-19 zeigt, wie anfällig die gewohnten Arbeitsweisen der Gesellschaft in Notfallsituationen sind. Gleichzeitig hat die Pandemie aber auch verdeutlicht, wie innerhalb eines Unternehmens auf ein solches Bedrohungsszenario reagiert werden kann. Beispielsweise lassen sich der Arbeitsplatz ins Homeoffice verlegen und der Betrieb vor Ort durch eine Minimalbesetzung weiterführen. Viele Firmen sahen sich kurzfristig einem Berg aus koordinativen Aufgaben gegenüber. Kritische Geschäftsprozesse waren unzureichend definiert und für die kurzfristige Bewältigung eines Notfalls nicht ausgelegt. Außerdem mussten sich viele Mitarbeiter weiter in die Geschäftsstellen begeben, auch wenn gesundheitliche Aspekte dafürsprachen, schon früher von zu Hause aus zu arbeiten.

Die BaFin hat auf die Anzeichen in der Notfallvorsorge reagiert und plant, den Unterpunkt Business Continuity Management (BCM) in die neuen BAIT aufzunehmen. Eine Übernahme in die VAIT wird folgen.
Gleichzeitig geht der Entwurf von DORA der EU-Kommission noch einmal über die Anforderungen der BaFin hinaus und wird in vielen Fällen detaillierter.

Wichtige Fragen bei einem Notfall jeder Art sind daher immer:

  • Welche meiner Geschäftsprozesse sind betroffen? Welche Systeme und Daten gehören dazu?
  • Wie und wie lange kann ich unter der aktuellen Situation weiterarbeiten?
  • Was muss ich tun, um den vorherigen Zustand wiederherzustellen?
  • Hat der Notfall Außenwirkungen? Muss ich auf meine Kunden oder die Aufsicht zugehen?

Ein umfassendes BCM denkt dabei voraus – damit lässt sich einem wirklichen Notfall entspannter entgegensehen.

Zuerst werden alle kritischen Geschäftsprozesse und die zugehörigen Assets erfasst. Dabei sollten auch die beiden Parameter „Maximale tolerierbare Ausfallzeit“ und „Maximaler tolerierbarer Datenverlust“ bestimmt werden, um entsprechende vorbeugende und Notfallmaßnahmen bestimmen zu können.
Die möglichen Risiken in den Geschäftsprozessen lassen sich zu Notfallszenarien aggregieren.
Wichtig bei Notfallszenarien ist immer die adäquate Detailtiefe.
Beispiel: Die beiden Risiken „Feuer im Rechenzentrum“ und „Stromausfall im Rechenzentrum“ führen zu demselben Szenario „(Teil-)Ausfall des Rechenzentrums“ und haben einen ähnlichen Grundansatz im Umgang auf Ebene der Geschäftsprozesse.

Für jedes Szenario kann jetzt eine Kontinuitätsstrategie festgelegt werden:

  • Welche Maßnahmen sind zu treffen?
  • In welchem Zeithorizont muss die Arbeit im Geschäftsprozess wieder aufgenommen werden können?
  • Wer ist wann und in welcher Reihenfolge zu benachrichtigen? Gibt es Eskalationsstufen?
  • Wer übernimmt die Kommunikation nach außen?

Vollendet werden die Vorbereitungsmaßnahmen durch eine Schulung der relevanten Mitarbeiter und die Erstellung nachvollziehbarer Unterlagen. Auch ein regelmäßiger Test eines wirklichen Notfalls hilft dabei, das Vorgehen zu verfestigen und mögliche Schwachstellen zu identifizieren.

FAZIT:

Das Thema „Notfall und Kontinuität“ ist grundsätzlich erst einmal negativ behaftet. Mit diesen Punkten will man sich nicht unbedingt beschäftigen.
Umso wichtiger ist es, gut vorbereitet an das Thema heranzugehen. Eine grundlegende Planung und definierte Abläufe und Ansprechpartner sind dabei das A und O. Nur wenn die Mitarbeiter wissen, wie sie in einem Notfall vorzugehen haben, kann man diesem aktiv begegnen und im Ernstfall schlimmere Folgen verhindern.

Während eines Notfalls herrscht genug Unsicherheit. Ziel sollte es daher immer sein, viel von dieser Unsicherheit vorwegnehmen zu können!

Haben Sie die wichtigen Punkte des BCM bei Ihnen im Unternehmen schon bedacht? Fühlen Sie sich gut auf einen möglichen Notfall vorbereitet?
Tauschen Sie sich mit uns zu diesem Thema aus!
Informieren Sie sich auch gerne noch detaillierter über den Aufbau eines BCM in unserem VAIT-Factsheet „Notfall- und Krisenmanagement“.

Gastautor: Florian Starke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Verwandte Artikel