Wie krisensicher schätzen Sie Ihr Unternehmen ein? Beispielsweise, wenn es morgen einem Cyber-Vorfall ausgesetzt wäre und der Betrieb inklusive der Lieferketten unterbrochen würde? Gerade weil Notfälle vergleichsweise selten auftreten, sollten sich Unternehmen nicht in Sicherheit wiegen. Ein Notfall kann aus dem Nichts kommen und das komplette Unternehmen lahmlegen. Die beste Vorsorge ist ein zielgerichtetes Business Continuity Management, das im Krisenfall den Überblick über notwendige Maßnahmen schafft und alle Verantwortlichkeiten klar regelt. Insbesondere geschäftskritische Prozesse müssen auch im Notbetrieb fortgeführt werden können. Wir zeigen Ihnen in diesem Artikel, wie Sie mit einem zielgerichteten Notfallmanagement gravierende Unternehmensrisiken minimieren können, welche Handlungsschritte sinnvoll sind und wie eine Krisenplattform das Management unterstützen kann.
Was bedeutet Business Continuity Management (BCM)?
Die Vorbereitung auf mögliche Krisenfälle und die Begrenzung des Schadens ist die Aufgabe des Business Continuity Management (BCM). Es ist Teil der Unternehmensstrategie, das im Vorfeld potentielle Risiken erkennt, einschätzt und eindämmt sowie für den Ernstfall einen Notfallplan ausarbeitet, der in einer Krisensituation greift.
Ein strukturiertes Notfallmanagement stellt im Krisenfall auf den Notbetrieb für geschäftskritische Prozesse um und sichert auf diese Weise das „Überleben“ des Unternehmens. Dank eines zielgerichteten Vorgehens reduziert und vermeidet das BCM Sach-, Personen- und Imageschäden sowie aus dem Notfall resultierende Kosten. Darüber hinaus sorgt das BCM dafür, dass der Normalbetrieb Schritt für Schritt wieder aufgenommen werden kann.
Alles in allem ermöglicht das Business Continuity Management eine schnelle und strategische Reaktion auf Krisensituationen mit klaren Verantwortlichkeiten und To-dos sowie einer Dokumentation, sodass Prozesse im Nachgang verbessert werden können.
Warum gibt es ein Notfallmanagement (BCM)?
Viele Firmen unterschätzen die Bedrohungen, denen sie ausgesetzt sind. Sie verpassen im Vorfeld die Chance, Mitarbeitende zu schulen und zu sensibilisieren. Wer allerdings ohne Vorbereitung und ohne Notfallplan einem Großereignis ausgesetzt ist, steht vor einer Katastrophe. Ein Stromausfall, ein Hochwasser oder ein Cyberangriff kann schwerwiegende Folgen haben. Systeme fallen aus, Daten werden vernichtet, Menschen können nicht arbeiten und das Unternehmen erleidet einen Reputationsverlust.
Zu den zehn wichtigsten Geschäftsrisiken zählen Betriebsunterbrechungen und Cybervorfälle – wie IT-Ausfälle, Cyberkriminalität und Datenschutzverletzungen (Allianz Global Corporate & Specialty, Allianz Risk Barometer 2020). Durch vorbeugende Maßnahmen sollen diese und weitere Risiken weitestgehend ausgeschlossen werden. Ein Notfallmanagement (BCM) ist daher wichtig, um Unternehmen vor den Auswirkungen einer Krise zu schützen und sie zu befähigen, Krisensituationen ohne größere Schäden zu meistern.
Wie unterstützt eine Krisenplattform als Risikomanagementsystem?
Die Möglichkeiten der Digitalisierung bieten im Bereich Business Continuity Management große Unterstützung. Eine strategische Krisenplattform beispielsweise kann alle Informationen aus dem Krisenhandbuch bündeln. Diese sind:
- Alarme
- Abläufe
- Personen
- Lagepläne
- Schichtpläne
- Kalender
- Etc.
Die digitale Krisenplattform spielt ihre Stärken aus, indem Sie Kollaborationen zu Außenstehenden wie Lieferanten und externen Dienstleistern auf der einen Seite, aber auch Polizei und Presse auf der anderen Seite unterstützt. Letztere werden aber erst in einer besonders schweren Krise eingebunden, wenn eine unternehmensinterne Lösung nicht mehr machbar ist. Die digitale Krisenplattform fragt über mehrere Kanäle hinweg Bereitschaften ab und fasst Informationen zusammen. Für die Sicherstellung eines Notbetriebs im Krisenfall löst sie automatisch Eskalationen über Alarmkanäle wie Telefon, SMS, Pager, Sirenen, App, etc. aus und bietet eine revisionssichere Dokumentation. Diese wiederum ist für eine Verbesserung der Prozesse im Nachgang essentiell.
Welche Gefahren drohen ohne ein strategisches Risikomanagement und Risikocontrolling?
Cyber-Security wird noch allzu oft als Kostentreiber statt als Notwendigkeit gesehen, obwohl ein mangelhaftes Risikomanagement im Krisenfall zu schwerwiegenden Folgen führt. Folgende Grafik visualisiert den Nutzen eines Business Continuity Management anschaulich:
Sie sehen hier eine blaue Linie, welche den Vorfall ohne Notfallplan darstellt. Es könnte sich beispielsweise um einen Cyber-Angriff handeln, bei dem bestimmte Systeme ausfallen. Ohne etabliertes Business Continuity Management kommt es zu Betriebsunterbrechungen wie beispielsweise Lieferkettenunterbrechungen. In der Folge kann Personal nicht weiterarbeiten, da Lieferungen fehlen. Es dauert, bis ein Maßnahmenplan erstellt und angewendet werden kann, der die Betriebsunterbrechungen aufhebt.
Wie die Grafik zeigt, kann die Arbeit nach einiger Zeit langsam wieder starten und auch die annehmbare Mindestbetriebsstufe erreichen. Unklar bleibt, ob und wann der Betrieb wieder vollumfänglich laufen wird.
Im Gegensatz dazu veranschaulicht die magentafarbene Linie den Vorfall mit Notfallplan. Kaum tritt der Cyber-Angriff auf und wird gemeldet, erfolgt ein Umschalten auf Notbetrieb, wodurch die Belegschaft zwar nicht vollumfänglich aber grundlegend arbeitsfähig bleibt. Der Betrieb kann dank Notfallplan insgesamt schneller wieder aufgenommen werden und auch der hundertprozentige Betrieb ist wesentlich schneller wieder erreicht bzw. wird überhaupt wieder erreicht.
Phasen des Business Continuity Management
- Analyse und Definition geschäftskritischer Prozesse: Geschäftskritische Prozesse werden definiert und die Auswirkungen eines möglichen Stillstands bzw. Ausfalls analysiert. Man spricht von der Risiko- und Business-Impact-Analyse.
- Aufstellen von Business Continuity Plänen: In den Plänen wird festgehalten, was im Falle einer Krise bzw. Unterbrechung zu tun ist. Hier finden sich alle wichtigen Informationen sowie Verantwortlichkeiten für den Krisenfall.
- Notfall- und Krisenübungen: Die Effektivität der Notfallplanung kann durch gezielte Übungen überprüft und kontinuierlich verbessert werden.
- Umsetzung der Maßnahmen: Der Notfallmanager setzt im Notfall die definierten Maßnahmen schnell und koordiniert um. Dazu zählen auch die Eingrenzung des Schadens sowie die IT-Forensik bei Cyber-Angriffen
- Rückkehr in den Normalbetrieb: Die Wiederanlaufpläne treten in Kraft, um wieder in den Normalbetrieb zurückzukehren.
Was sind die hilfreichsten Risikomanagement-Instrumente?
Das Business Continuity Management als Teil der Unternehmensstrategie ist ein weites Feld, das häufig unterschiedlich praktiziert wird. Messenger Gruppen sind ein verbreitetes Beispiel dafür, wie Krisenmanagement nicht aussehen sollte. Häufig findet man in den WhatsApp-Gruppen einen Wildwuchs an Untergruppen und einen unkoordinierten Informationsfluss.
Auch der Kontext von Informationen sowie wichtige Details geht via Messenger-Kommunikation verloren. Wichtige Eskalationsstufen fehlen, die Sicherheitsstandards sind fraglich und es erfolgt keine Dokumentation. In einer Business Continuity Strategie sollten Messenger keine Berücksichtigung finden, sondern durch kluge Instrumente ersetzt werden. Als wichtige Bausteine fürs Risikomanagement haben sich eine Beratung und eine Risk Map etabliert.
Risikomanagement-Beratung
Das Business Continuity Management muss strategisch angegangen werden. Zu Beginn empfiehlt sich ein Erstgespräch mit einem Risikomanagement-Berater, der einen Überblick über den konkreten Bedarf, die Vorbereitung und die Planung geben kann. Die Beratung umfasst in der Regel:
- Projektplanung
- Risikoanalyse und Risikobewertung
- Maßnahmenplan
- Dokumentation
- Trainings der Beschäftigten
Risk Map für das Risikomanagement
Mit dem Risikomanagement wird die Eintrittswahrscheinlichkeit und die Schwere der Auswirkungen in einer Risk Map visualisiert. Sie macht Risken transparent, sichtbar und bewusst. Werfen Sie einen Blick auf das folgende Beispiel:
Dieser Tabelle liegt der BSI Gefährdungskatalog zugrunde. Insgesamt sollten 47 Gefährdungen betrachtet werden, um Risiken verlässlich einschätzen zu können. Die Bewertung eines einzelnen Risikos erfolgt, indem Auswirkung und Eintrittswahrscheinlichkeit miteinander multipliziert werden. Eine Auswirkung der Stufe 4 mit einer Eintrittswahrscheinlichkeit von 4 ergibt 4 x 4 = 16 und somit die höchstmögliche Gefahr.
In solch einem Fall besteht akuter Handlungsbedarf. Die Risk Map zeigt, dass dieses Risiko dringend minimiert werden sollte.
Nehmen wir beispielsweise an, Ihr Betrieb ist in einer sehr ländlichen Gegend angesiedelt, das Gelände nah am Wald, wie beispielsweise in Baden-Württemberg. In Folge der viel zu trockenen Sommer der letzten Jahre und einer Hitze im Sommer ist es immer wahrscheinlicher geworden, dass Waldbrände auftreten. Dazu werden unter anderem – quasi zur Awareness – die gültigen Waldbrandstufen bekannt gegeben. Je höher diese Stufe desto wahrscheinlicher ein Brand. Der zu erwartende Schaden wird umso höher, wenn Sie keine Vorkehrungen gegen Waldbrände treffen.
Beispiele für Maßnahmen zur Absicherung gegen Waldbrände:
- Hinweise zu Rauchverboten
- eine eigene Zisterne
- Anlegen von Brandschneisen
- Etablieren eines betrieblichen Brandschutzes mit Brandschutzhelfern
- Feuerschutzwände und -Türen an Serverräumen
- Schaffung von Geo-Redundanzen
- Etc.
Business Continuity Plan – die Fragen einer Krise
Wenn ein Störfall eintritt, führt ein geordnetes Vorgehen zur Bewältigung der Krise. Im Notfall gilt es, zunächst die wichtigsten Fragen zu beantworten:
- Was genau ist passiert?
- Welche Assets meines Unternehmens sind betroffen?
- Wer kann helfen?
- Wie kann ich meine Informationen sichern?
Die Antworten sind essentiell, um die korrekten Risikomanagement-Maßnahmen einleiten zu können. Diese Methoden werden dem Notfallvorsorgekonzept entnommen. Sollte Ihr Unternehmen noch nicht über Notfallkonzepte und Maßnahmenpläne verfügen, sollten Sie die Entwicklung des Regelwerks dringend nachholen, um für den Ernstfall gewappnet zu sein.
Was sind die Ziele des Risikomanagements in Unternehmen?
- Sichtbarmachen von Bedrohungen
- Aufzeigen einer proaktiven Einstellung auf Krisenfälle gegenüber Stakeholdern
- Aufstellung eines Frühwarnsystems
- Minimierung von Umsatzverlusten
- Kostenreduktion nach einem Störfall
- Anpassung der Unternehmensprozesse, damit im Notfall Gegenmaßnahmen ergriffen werden können
Nutzen Sie das Risikomanagement als wichtiges Qualitätsmanagement!
Fragen Sie sich nicht erst nach Eintritt einer Krise, wie Sie besser hätten vorbereitet sein können! Es lohnt sich, in die Ermittlung von Sicherheitslücken oder die Ausarbeitung eines Business Continuity Management zu investieren. Und das VOR einem Notfall. Unternehmen sollten die Risiken kennen, denen sie ausgesetzt sind und die Aufgaben für den Krisenfall exakt festlegen. Dank einer strategischen Notfallplanung lassen sich Schäden durch ein unvorhergesehenes Ereignis begrenzen.
Unser Tipp: Nutzen Sie die Vorzüge der Digitalisierung für Ihr effektives Krisen- und Notfallmanagement! Eine Business Continuity Management-Plattform unterstützt Sie übersichtlich, schnell und sicher bei der Risiko-Prävention sowie der Notfallplanung und -bewältigung im Ernstfall.
Ihr Interesse ist geweckt? Dann erfahren Sie mehr zu unseren konkreten Leistungen für „Business Continuity Management“
Ist digitales Geschäft eigentlich zuverlässig, sicher, vertrauensvoll, ausfallsicher? Wie und warum – darüber schreibe ich in diesem Blog.