Ein Business Continuity Plan BCP ist ein Plan zur Gewährleistung der Geschäftskontinuität bei IT-Ausfällen. Bei einer IT-Betriebsstörung oder einem Cyberangriff stellt der BCP die Fortsetzung der geschäftlichen Aktivitäten sicher. In KMU sind jedoch bei der Planung der Business Continuity häufig Fehler anzutreffen, die im Ernstfall die Umsetzung der Geschäftskontinuität behindern.
Der Business Continuity Plan BCP enthält sämtliche vorsorglichen Massnahmen, die den Weiterbetrieb eines KMU ermöglichen, obwohl ein IT-Ausfall oder die Auswirkung einer Cyberattacke noch spürbar sind. Meist kommt es mit einem BCP zu einem Notbetrieb mit gewissen Einschränkungen. Doch ist ein eingeschränkter kontrollierter Betrieb nach Plan in der Regel die bessere Lösung als ein vollständiger Stillstand (Shutdown) nach einem IT-Ausfall.
Der Disaster Recovery Plan (Wiederherstellungsplan) ist Teil des Business Continuity Plans. Damit ist ein KMU in der Lage, bei Eintritt einer IT-Krisensituation wie einem Cyberangriff die technische Leistungsbereitschaft und -fähigkeit seiner IT-Infrastruktur möglichst rasch wiederherzustellen.
Die Entwicklung eines wirksamen BCP ist ein intensiver Prozess. Dabei werden die genutzten Unternehmensdaten gesammelt, gemäss ihrer geschäftlichen Priorität validiert und analysiert. Danach gilt es, Verfahren zu entwickeln, um die für die laufenden Geschäftsvorfälle relevanten Daten jederzeit verfügbar zu halten und zu schützen. Abschliessend erfolgen Schulungen für die Mitarbeiter, damit Sie in der Lage sind den Business Continuity Plan umzusetzen. Auch sollen sie für den Ernstfall ihre Rollen und Verantwortlichkeiten kennen. Die Geschäftsleitung muss sich an der Entwicklung des Plans beteiligen und diesen in seinen wichtigen Einzelheiten verstehen.
6 häufige Fehler bei der Erstellung eines Business Continuity Plans in KMU
1. Fehlende Business Impact Analysis BIA
Jedem BCP muss eine Business Impact Analysis (BIA oder Analyse der Auswirkungen auf die Geschäftsentwicklung) vorausgehen. Die BIA zählt die Risiken sowie die Schwachstellen des jeweiligen KMU auf und beschreibt diese. Sie zeigt auf, welche Unternehmensprozesse und Bestandteile davon für die Geschäftskontinuität unverzichtbar sind. Die BIA bewertet die Auswirkungen, die bestimmte Störungen auf relevante Geschäftsprozesse haben kann. Fehlt die Business Impact Analysis, so fehlt auch die Grundlage, um einen zielführenden Business Continuity Plan mit den entsprechenden Prioritäten zu entwickeln.
2. Fehlende Strategie zur Wiederaufnahme der Geschäftsaktivitäten
Wenn im Plan keine Strategie zur Reaktion auf Zwischenfälle und zur Wiederherstellung von Daten und Prozessen festgelegt ist, so lässt sich auch keine Strategie zur sinnvollen Wiederaufnahme der Geschäftsaktivitäten erstellen und umsetzen. Diese Strategie ist essenziell und leitet sich aus den Ergebnissen der BIA ab. Sie legt fest, wie das Unternehmen Zwischenfälle verhindert oder wie es darauf reagiert. Damit lässt sich die Schwere eines Vorfalls reduzieren und den Geschäftsbetrieb, allenfalls mit Einschränkungen, schnell wieder aufnehmen.
3. Fehlende Definition der Reaktion und Schadensbewertung
Wenn sich ein Zwischenfall ereignet, kann eine rasche und organisierte Reaktion den Schadensumfang und die Ausfallzeiten deutlich minimieren. Es ist dabei wichtig im BCP die verantwortlichen Mitarbeitenden zu benennen, die bei IT-Zwischenfällen für die Durchführung des Plans zuständig sind. Diese müssen für den Ernstfall richtig ausgebildet sein, damit sie schnell eine Krisensituation bewerten, schädliche Auswirkungen einschätzen und richtig reagieren können. Fehlt eine klare Definition dieser Vorgehensweisen im BCP, geht wertvolle Zeit verloren und die Geschäftsprozesse bleiben länger als erwartet blockiert.
4. Fehlende Tests des BCP
Regelmässige Tests des BCP tragen dazu bei, dass der Plan korrekt und aktuell ist. Sie stellen sicher, dass die Reihenfolge der vorzukehrenden Massnahmen stimmt und die Handlungsanweisungen an die betroffenen Mitarbeitenden nachvollziehbar sind. Die Testergebnisse halten Erfolg und Misserfolg der einzelnen Schritte fest, um im Anschluss den BCP bei Bedarf entsprechend anzupassen und zu verbessern. Fehlen diese Tests, so besteht die Gefahr, dass das Business Continuity Team allfällige Lücken im Plan erst während eines IT-Ausfalls feststellt und sich der BCP nicht wunschgemäss umsetzen lässt.
5. Fehlende Aktualisierung des BCP
Ein Business Continuity Plan ist für ein KMU nur dann nützlich, wenn dieser aktuell ist und die laufenden Geschäftsprozesse akkurat wiedergibt. Zu diesem Zweck muss der Plan regelmässig überprüft und entsprechend der Entwicklung des Unternehmens angepasst werden. Fehlt diese Aktualisierung, so steigt das Risiko, dass sich bei einem IT-Ausfall die essenziellen Geschäftsprozesse nicht wirksam wiederherstellen lassen.
6. Fehlende Unterstützung durch die Geschäftsleitung
Der BCP schützt bei einem IT-Zwischenfall das KMU vor Reputationsschäden, vor finanziellen Einbussen oder vor existenzgefährdenden Auswirkungen. Für die Geschäftsleitung muss daher ein einwandfrei funktionierender Business Continuity Plan ganz oben auf der Prioritätenliste stehen. Sie muss sicherstellen, dass der Plan all diejenigen Elemente beinhaltet, die bei IT-Unterbrechungen die Geschäftskontinuität und das Weiterbestehen des Unternehmens gewährleisten.
Zudem soll die Geschäftsführung die notwendigen Budgets bereitstellen, damit sich die mit dem Plan einhergehenden Investitionen auch tätigen lassen. Fehlt diese Unterstützung durch die Geschäftsleitung, so mag zwar auf dem Papier ein gut gemeinter Plan entstehen, doch lässt sich dieser nicht mit der notwendigen Wirksamkeit umsetzen.
Für KMU stellt ein fehlerhafter Business Continuity Plan ein nicht zu unterschätzendes Risiko dar. Im Ernstfall kann die Wiederherstellung der IT-Systeme sowie des IT-Betriebs gefährdet sein. Die Folgen reichen von finanziellen Verlusten, Reputationsschäden für das KMU bis hin zur existenziellen Gefährdung eines Unternehmens. Ein vollständiger BCP, regelmässige Übungen unter der Leitung des Business Continuity Teams sowie ein hohes Engagement der Geschäftsleitung bei der Entwicklung des BCP tragen dazu bei, die Wirksamkeit des Plans sicherzustellen. Wie erwähnt ist die Entwicklung eines BCP ein intensives Projekt. Oft nutzen KMU deshalb die Dienste eines Anbieters von Managed IT Services, der das Unternehmen bei der Ausarbeitung des Plans unterstützt.
Es vergeht fast kein Tag, an dem nicht über Cyberattacken auf KMU berichtet wird – in vielen Fällen gewinnt man dabei den Eindruck, dass Unternehmen in solchen Fällen nur ungenügend auf die Wahrung der betrieblichen Kontinuität (Business Continuity) vorbereitet sind. Unternehmen tun gut daran, ihre Reaktion auf Cyberattacken einzuplanen, da gerade KMU zu einem beliebten Ziel von Cyberkriminellen geworden sind. Doch wie lässt sich die Cyberabwehr eines KMU prüfen?
Das Bedrohungspotenzial für IT-Infrastrukturen in Unternehmen ist mittlerweile allgegenwärtig. Cyberangriffe zur Lahmlegung der Unternehmens-IT mit Viren, Datendiebstähle oder Dateiverschlüsselungen via Ransomware, um nur einige zu nennen, gehören zu den Risikoszenarien, mit denen sich Unternehmen auseinandersetzen müssen. KMU sind zu einem beliebten Ziel von Cyberkriminellen geworden, denn diese treffen bei diesen kleinen und mittelgrossen Unternehmen oft auf eine ungenügende und manchmal fehlende Abwehr. Es stellt sich nicht mehr die Frage ob ein Cyberangriff in der Zukunft stattfindet, sondern wann er umgesetzt wird. Mittlerweile nehmen zwar die meisten KMU Cyber Security (IT-Sicherheit, Cybersicherheit) als wichtige und unverzichtbare Disziplin wahr, doch fehlt es in vielen Fällen noch an einer wirksamen und professionellen Vorbereitung für den Ernstfall.
Titelbild: Shutterstock
.png){kind=icon}
