Wozu braucht ein Unternehmen einen Business Continuity Plan?

Road to Business Continuity

Braucht ein KMU einen Business Continuity Plan? Bei einem Ausfall der IT sind die betrieblichen Prozesse eines modernen KMU in der Regel lahmgelegt oder zumindest unterbrochen. Das Unternehmen ist unter Umständen über Stunden, Tage oder Wochen nicht mehr erreichbar. Kunden sind gezwungen, auf Mitbewerber auszuweichen. Es drohen Umsatz- und Gewinnausfälle, die Reputation des Unternehmens leidet. Im schlimmsten Fall ist die Existenz des KMU bedroht. Ein gut vorbereiteter Business Continuity Plan schafft Abhilfe.

Nach einem IT-Ausfall gewährleistet ein Business Continuity Plan (BCP) die Geschäftskontinuität. Risiken und Schäden für das KMU lassen sich damit minimieren. Der Plan enthält Strategien sowie alle vorzukehrenden Massnahmen und Prozesse, die den weiteren Betrieb des KMU ermöglichen (Business Continuity Management).

Was sind mögliche Ursachen eines IT-Ausfalls?

Die Gründe für einen Ausfall der IT können vielfältig sein. Sie können jedes KMU treffen. Entweder haben sie unmittelbar mit der IT selbst zu tun oder es sind indirekte Vorfälle, die in der Folge zu einem reduzierten IT-Betrieb führen. Oft sind die folgenden Vorkommnisse die Auslöser einer IT-Betriebsunterbrechung:

  • Soft- oder Hardware-Ausfälle
  • Netzwerk-Probleme
  • Cyberangriffe
  • Stromausfälle
  • Feuer, Überschwemmungen, Erdbeben
  • Personalausfälle mit direkter oder indirekter Auswirkung auf die IT
  • Fehlmanipulationen der IT-Systeme durch Mitarbeitende
  • Ausfälle von IT-Partnern (z.B. IT-Dienstleister oder Partner innerhalb der Supply Chain)

Die 4 Phasen des Business Continuity Managements    

Um eine wirksame Business Continuity sicherzustellen, muss dem BCP eine Analyse der Auswirkungen auf die Geschäftsentwicklung vorausgehen. Diese Business Impact Analysis (BIA) zeigt auf, welche Unternehmensprozesse und Bestandteile für die Kontinuität des Betriebs unverzichtbar sind. Darauf aufbauend beschreibt der Plan die folgenden 4 Phasen, die für das Business Continuity Management von Bedeutung sind:

  1. Schadensbewertung und Sofortmassnahmen
  2. Sicherstellung Notbetrieb
  3. Vollständige Wiederherstellung des Normalbetriebs
  4. Rückschau und allfällige Anpassung des BCP

Welche Rollen spielt der Business Continuity Plan in einem KMU?

Der Business Continuity Plan gewährleistet in einem KMU die Geschäftskontinuität nach IT-Ausfällen. Er ist Teil der Cyber Security des Unternehmens. Bei einer IT-Betriebsstörung oder einem Cyberangriff stellt der Plan die Fortsetzung der geschäftlichen Aktivitäten sicher – vorausgesetzt der Plan ist korrekt aufgesetzt und enthält keine Schwachstellen. Oft sind in der Praxis in KMU fehlerhafte Business Continuity Pläne anzutreffen, die im Ernstfall die Umsetzung der Geschäftskontinuität behindern.

Ein korrekt aufbereiteter Business Continuity Plan unterstützt das KMU während einer IT-Krise bei folgenden Schritten:

1. Steuerung der Schadensbewertung und der Sofortmassnahmen

Nach einem Zwischenfall ist eine rasche und organisierte Reaktion entscheidend, um den Schadensumfang und die Ausfallzeiten zu minimieren. Der BCP benennt die verantwortlichen Mitarbeitenden und Teams, die für die Umsetzung des Plans zuständig sind. Diese verfügen über genügend Fach- und Handlungskompetenz, um die Krisensituation anhand einer Checkliste rasch zu bewerten und die notwendigen Schritte einzuleiten. Sie schätzen die schädlichen Auswirkungen ein, priorisieren diese und leiten zielführende Reaktionen ein. 

2. Notbetrieb sicherstellen

Ein Business Continuity Plan gewährleistet die rasche Wiederaufnahme von wichtigen betriebsrelevanten Prozessen, während die Auswirkungen des IT-Ausfalls oder der Cyber-Attacke noch spürbar sind. In vielen Fällen handelt es sich vorerst um einen Notbetrieb mit Einschränkungen – doch ist ein eingeschränkter kontrollierter Betrieb nach Plan stets die bessere Lösung als ein vollständiger Stillstand (Shutdown). Bei einem kompletten Shutdown ist das Unternehmen unter Umständen für Kunden, Lieferanten, Geschäftspartnern, Mitarbeitenden etc. nicht mehr zugänglich. Der E-Mail-Verkehr, die VOIP-Telefonie, der Zugang zum ERP, zur Website oder zum Online-Shop sind blockiert. In solchen Fällen dient dieser Schritt des BCP der Schadensbegrenzung.

3. Normalbetrieb vollständig wiederherstellen

Der Business Continuity Plan gewährleistet den Weiterbestand des KMU nach einem Shutdown. Einerseits ermöglicht der BCP den erwähnten Notbetrieb der IT unter Krisenbedingungen. Andererseits dient ein Teil davon auch der raschen Wiederaufnahme sämtlicher IT-Prozesse nach einem Ausfall – diese Wiederherstellung des Normalbetriebs wird im Disaster Recovery Plan (DRP) festgelegt. Der DRP ist integrierter Bestandteil des Business Continuity Plans. Es handelt sich dabei um einen dokumentierten und strukturierten Wiederherstellungsplan. Dieser wird auf diejenigen Bereiche einer Organisation angewendet, die von einer funktionierenden IT-Infrastruktur abhängig sind. Ein Disaster Recovery Plan unterstützt ein KMU dabei, Datenverluste zu beheben und die IT-Systemfunktionalität vollständig wiederherzustellen. Nach Eintritt einer IT-Krisensituation, wie beispielsweise nach einem Cyberangriff, ist das KMU damit in der Lage, schneller zur Normalität zurückkehren als ohne DRP. Dazu gehört insbesondere die vollständige Leistungsbereitschaft und -fähigkeit der IT-Infrastruktur.  

Ziel des Disaster Recovery Plans ist es, die Dauer des eingeschränkten Notbetriebs des Unternehmens möglichst kurz zu halten. Die rasche Wiederherstellung der kompletten IT-Betriebsbereitschaft kann in gewissen Fällen sogar das Überleben eines KMU sichern. Ein wirkungsvoller Disaster Recovery Plan enthält in der Regel mehrere Punkte, die ein KMU bei der Vorbereitung einer strukturierten Vorgehensweise im Krisenfall unterstützen. So enthält der Plan etwa Handlungsanweisungen, wie sich verlorene Daten wieder reproduzieren lassen oder kritische Anwendungen (Software) wieder hochzufahren sind. 

Fazit

Verschiedene Vorfälle können den KMU-Betrieb stören, unterbrechen oder vollständig lahmlegen. Dies kann zu markanten Umsatzeinbussen oder in extremen Fällen zur vollständigen Schliessung eines Unternehmens führen. Mit einem Business Continuity Plan steigt die Wahrscheinlichkeit um ein Vielfaches, dass sich das KMU nach einer Krisensituation in der IT schnell wieder erholt. Ein solcher Plan gehört daher im Rahmen eines sinnvollen Risk Managements zur Grundausstattung eines KMU.

Disaster Recovery: In 6 Schritten zum IT-Wiederherstellungsplan

 

Titelbild: Matt Duncan on Unsplash

Themen: Disaster Recovery, Business Continuity
Autor: Philipp Hollerer | 18.09.2020 | 11:14
Philipp Hollerer
Besuchen Sie mich auf Social Media:
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook

Jetzt IT-Blog für KMU als E-Mail abonnieren.