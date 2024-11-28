Eine Geschäftskontinuitätsstrategie, auch bekannt als Business-Continuity-Plan (BCP), ist ein proaktiver Ansatz zur Aufrechterhaltung des normalen Geschäftsbetriebs im Falle einer Katastrophe.
Erfolgreiche Unternehmen waren schon immer mit einer Vielzahl von Bedrohungen konfrontiert, die ihr Geschäft beeinträchtigen könnten. In der heutigen digital vernetzten Weltwirtschaft sind diese Bedrohungen jedoch komplexer und verheerender geworden. Von Cyberangriffen, die zu massiven Datenschutzverletzungen führen, bis hin zu Naturkatastrophen, die Netzwerkausfälle, Unterbrechungen der Lieferkette und Datenverluste zur Folge haben, müssen moderne Unternehmen einen strategischen Ansatz verfolgen, um die Geschäftskontinuität aufrechtzuerhalten.
Geschäftskontinuität bezeichnet die Fähigkeit eines Unternehmens, im Krisenfall wichtige Geschäftsfunktionen aufrechtzuerhalten und Ausfallzeiten zu minimieren. Beispiele für solche Krisen sind Cyberangriffe, Ausfälle in der Lieferkette, unerwartete Stromausfälle und vieles mehr.
Diese Störungen sind teuer. Laut dem IBM Data Breach Kostenreport sind die weltweiten Durchschnittskosten einer Datenschutzverletzung (nur eine mögliche Folge einer Störung) im Vergleich zum Vorjahr um 10 % gestiegen und haben den höchsten Stand aller Zeiten erreicht.
Ein solides Geschäftskontinuitätmanagement (BCM), einschließlich der Umsetzung erfolgreicher Strategien für Geschäftskontinuität und Notfallwiederherstellung, trägt dazu bei, längere Ausfallzeiten, kostspielige und gefährliche Sicherheitsverletzungen und vieles mehr zu verhindern.
Sowohl Geschäftskontinuität als auch Notfallwiederherstellung (DR) sind strategische Prozesse, die den Kern des strategischen Krisenmanagements bilden. Die beiden Begriffe sind eng miteinander verbunden und werden oft synonym verwendet. Sie können zu einer Praxis kombiniert werden, die als Geschäftskontinuität und Notfallwiederherstellung (BCDR) bekannt ist und Unternehmen dabei unterstützt, nach einem Notfall wieder zum Normalbetrieb zurückzukehren. Es gibt jedoch einige wichtige Unterschiede, die es zu beachten gilt.
Die Planung der Geschäftskontinuität konzentriert sich in der Regel auf die Bereitschaft eines Unternehmens, einer Vielzahl von Bedrohungen zu begegnen. Pläne für die Geschäftskontinuität (BCPs) beschreiben in der Regel schrittweise Verfahren, um die Funktionsfähigkeit der Kerngeschäftsfunktionen vor, während und unmittelbar nach einer Unterbrechung sicherzustellen.
Andererseits konzentrieren sich Pläne zur Notfallwiederherstellung (DRPs) auf Möglichkeiten, Daten, Infrastruktur und IT-Systeme zu schützen, während ein Ereignis stattfindet. DRPs bestehen in der Regel aus Empfehlungen für widerstandsfähige IT-Technologien, umfassenden Listen mit Best Practices und wichtigen Maßnahmen, die zu ergreifen sind, um Datenverluste und Betriebsunterbrechungen infolge eines Vorfalls zu minimieren.
Wenn eine Notfallsituation den Kerngeschäftsbetrieb gefährdet, unterstützt eine erfolgreiche Geschäftskontinuitätsstrategie Unternehmen, sich schnell und effektiv zu erholen. Nachfolgend sind einige der Vorteile aufgeführt, die Unternehmen erwarten können, die einen strategischen Ansatz für BCM verfolgen.
Ausfallzeiten können schwerwiegende Folgen für Unternehmen haben, und je länger sie andauern, desto größer kann der Schaden sein. Neben der Unterbrechung des normalen Geschäftsbetriebs können Ausfallzeiten zu Umsatzverlusten, Reputationsschäden und Datenverlusten verursachen.
Solide Strategien zur Geschäftskontinuität unterstützen Unternehmen dabei, Verfahren einzuführen und zu testen, damit sie im Falle eines unvorhergesehenen Vorfalls vorbereitet sind.
Das Recovery Time Objective (RTO) eines Unternehmens ist ein Maß für die Zeit, die benötigt wird, um kritische Geschäftsprozesse nach einer Störung wiederherzustellen. Geschäftskontinuitätsstrategien legen RTOs für Mitarbeiter fest und beschreiben die Aufgaben und Verfahren, die zu deren Erreichung erforderlich sind. Unternehmen, die einen BCP implementieren, haben bessere Chancen, ihr RTO zu erreichen und das Vertrauen von Investoren, Kunden und Stakeholdern nach einer Katastrophe wiederherzustellen.
Betriebsunterbrechungen sind teuer. Aktuellen Untersuchungen zufolge verursachen Ausfallzeiten globalen Unternehmen durchschnittlich Kosten in Höhe von 9.000 US-Dollar pro Minute, wobei die Kosten in Hochrisikobranchen wie dem Finanzwesen und dem Gesundheitswesen bis zu 5 Millionen US-Dollar erreichen können.1
Erfolgreiche Wiederherstellungsstrategien tragen in mehrfacher Hinsicht zur Risikominderung bei, beispielsweise durch die Erstellung genauer Risikobewertungen und die Einbindung bewährter Cybersicherheitslösungen in die Reaktions- und Wiederherstellungsmaßnahmen.
Große Unternehmen, die in mehr als einem Rechtsgebiet tätig sind, müssen alle relevanten regulatorischen Anforderungen erfüllen, da ihnen andernfalls erhebliche finanzielle Strafen und der mögliche Verlust wichtiger Betriebslizenzen drohen. Obwohl die Vorschriften von Land zu Land unterschiedlich sind, ist ein solides BCP von entscheidender Bedeutung, um die Einhaltung der Vorschriften zu gewährleisten und kostspielige Folgen zu vermeiden.
Geschäftskontinuitätsstrategien tragen dazu bei, dass kritische Abläufe nach Störungen wieder aufgenommen werden können, sensible Daten geschützt werden und die Dienstleistungserbringung aufrechterhalten wird, um die Anforderungen der Compliance-Vorschriften zu erfüllen.
Unternehmen haben unterschiedliche Anforderungen, wenn es darum geht, eine erfolgreiche Geschäftskontinuitätsstrategie zu entwickeln. Je nach Größe, Branche, Geschäftsanforderungen und den potenziellen Risiken, denen sie wahrscheinlich ausgesetzt sind, variieren die Ansätze. Dennoch gibt es vier allgemein anerkannte Schritte, die unternommen werden können, um sich besser auf unerwartete Ereignisse vorzubereiten.
Die Durchführung einer Business-Impact-Analysis (BIA) ist ein Prozess, bei dem die Kerngeschäftsfunktionen bewertet und ihre Reaktionsfähigkeit auf bestimmte Katastrophen beurteilt werden. Die BIA umfasst auch die Einschätzung der Wahrscheinlichkeit möglicher Ereignisse, die Ermittlung, wie diese Schwachstellen in Systemen und Prozessen aufdecken könnten, sowie die Erstellung von Hypothesen über die potenziellen Auswirkungen auf den Geschäftsbetrieb. Eine solide BIA ist der erste Schritt in der strategischen Planung, der dabei hilft, die für die Wiederherstellung nach einem Arbeitsausfall erforderlichen Assets und Systeme zu priorisieren.
Für jede in der BIA identifizierte potenzielle Bedrohung müssen Unternehmen eine angemessene Reaktion entwickeln. Verschiedene Bedrohungen erfordern unterschiedliche Tools und Planungen. Beispielsweise könnte ein Unternehmen im Falle eines Stromausfalls der Wiederherstellung der geschäftskritischen IT-Infrastruktur Vorrang vor allen anderen Maßnahmen einräumen.
Da digitale Kommunikationsplattformen und Daten in den meisten modernen Unternehmen eine entscheidende Rolle spielen, hat die Wiederherstellung der Funktionalität in diesen Bereichen in der Regel höchste Priorität. Zu den beliebtesten DR-Lösungen gehören beispielsweise Daten-Backups und Maßnahmen zum Schutz vor Datenverlusten, bei denen wichtige Daten an einen externen Standort verlagert werden und im Katastrophenfall leichter wiederhergestellt werden können.
Im Rahmen einer effektiven Geschäftskontinuitätsstrategie müssen die Stakeholder Teammitglieder benennen, die bestimmte Aufgaben übernehmen, um das Unternehmen im Falle eines unvorhergesehenen Vorfalls zu unterstützen. Effektive Geschäftskontinuitätsstrategien definieren klar die Rollen, Verantwortlichkeiten und Kontaktinformationen der Teammitglieder, einschließlich alternativer Kommunikationsmethoden für den Fall, dass ein Ausfall zu weitreichenden Netzwerkstörungen führt.
Um die Wirksamkeit ihrer Strategie zu überprüfen, muss ein Unternehmen regelmäßig Simulationen potenzieller Bedrohungen durchführen. Kontinuitätsteams müssen für die Aufgaben geschult werden, die sie im Falle einer tatsächlichen Katastrophe ausführen müssen, und sollten die Möglichkeit erhalten, diese regelmäßig zu üben. Testläufe mit realistischen Szenarien helfen auch dabei, Probleme in einer Strategie aufzudecken und Verbesserungsmöglichkeiten zu identifizieren.
Viele erfolgreiche moderne Unternehmen haben mithilfe der oben beschriebenen Schritte Strategien zur Geschäftskontinuität entwickelt, um einer Vielzahl von Bedrohungen begegnen zu können. Hier sind einige Beispiele:
Krisenmanagementstrategien sind bewusst breit gefasst und unterstützen Unternehmen bei der Identifizierung von Möglichkeiten, auf eine Vielzahl von Krisen zu reagieren. Im Gegensatz zu Strategien, die sich auf bestimmte Arten von Assets konzentrieren, die für ein Unternehmen wertvoll sein könnten (z. B. die IT-Infrastruktur oder Daten) plant eine Krisenmanagementstrategie jede Stunde und Minute einer Krise und versucht, die besten Reaktionsmöglichkeiten für das Unternehmen im Verlauf der Krise zu antizipieren.
Sowohl BCP als auch DR sind in Krisenmanagementplänen integriert, wobei der Schwerpunkt jedoch auf dem Zeitplan der Krise liegt und darauf, welche BC- und DR-Maßnahmen wann und von wem ergriffen werden.
Kommunikationspläne (oder Comms-Pläne) beschreiben, wie Unternehmen während einer Katastrophe mit Öffentlichkeitsarbeit (PR) umgehen. Eine effektive Kommunikationsplanung unterstützt Führungskräfte dabei, eine Struktur und Methodik für die Reaktion auf disruptive Ereignisse zu entwickeln und die dafür zu nutzenden Kanäle festzulegen.
Beispielsweise formulieren einige Führungskräfte im Voraus prägnante, wirkungsvolle Botschaften, die für unterschiedliche Zielgruppen wie Mitarbeiter, Kunden oder Investoren bestimmt sind. Wenn ein erwartetes Ereignis eintritt, wie beispielsweise ein Cyberangriff oder eine Naturkatastrophe, verfügen sie bereits über ihre Kommunikations- und Kanalstrategie, um darauf zu reagieren.
Einer der wichtigsten Aspekte der Geschäftskontinuität ist die Wiederherstellung der betroffenen Kommunikationsnetze. Beispiele hierfür sind zahlreich, wie beispielsweise das Internet, Mobilfunk und Intranet, die von Mitarbeitern genutzt werden, und deren Unterbrechung verheerende Folgen haben kann.
Die Planung der Netzwerkwiederherstellung umfasst in der Regel die Identifizierung der für ein Unternehmen wichtigsten Netzwerkdienste und die Priorisierung ihrer Wiederherstellung gegenüber anderen Diensten. Der Teil der Geschäftskontinuitätsstrategie, der sich mit der Netzwerkwiederherstellung befasst, muss die Maßnahmen und Ressourcen identifizieren, die für die sichere und effektive Wiederherstellung aller Netzwerke nach einer Unterbrechung erforderlich sind.
Datensicherheit und Bedrohungen für die IT-Infrastruktur – wie beispielsweise Rechenzentren, in denen in einigen Fällen streng vertrauliche Kunden- und Geschäftsinformationen gespeichert sind – sind wichtige Aspekte der Geschäftskontinuitätsstrategie. Datenwiederherstellungspläne zielen auf viele häufige Bedrohungen ab, wie beispielsweise überlastetes Personal, Cyberangriffe und Ausfälle, die Auswirkungen auf die Datensicherheit haben.
Virtualisierungs-Wiederherstellungspläne, die sich auf virtuelle Maschinen (VM) zum Sichern und Wiederherstellen von Daten stützen, erfreuen sich aufgrund ihrer Flexibilität und Skalierbarkeit zunehmender Beliebtheit. Virtualisierte Wiederherstellungspläne können innerhalb weniger Minuten nach einem Notfall aktiviert werden und tragen durch ihre hohe Verfügbarkeit (HA) zur schnellen Wiederherstellung von Anwendungen bei.
Heutzutage sehen sich Unternehmen einer Vielzahl von Bedrohungen ausgesetzt, die das Potenzial haben, ihre Geschäftstätigkeit zu beeinträchtigen. Von Naturkatastrophen, die tagelang zu Stromausfällen führen, bis hin zu komplexen Cyberangriffen, die vertrauliche Daten gefährden, müssen geeignete Maßnahmen ergriffen werden, um Risiken zu minimieren.
Die Entwicklung einer erfolgreichen Geschäftskontinuitätsstrategie trägt dazu bei, Investoren, Mitarbeiter und Kunden zu versichern, dass ein Unternehmen sich schnell von allen Herausforderungen erholen kann. Obwohl kein Unternehmen dem anderen gleicht und die Anforderungen variieren, ist ein einfacher 4-Stufen-Ansatz der beste Weg, um eine erfolgreiche Geschäftskontinuitätsstrategie zu entwickeln.
1. The True Cost Of Downtime (And How To Avoid It) (Link befindet sich außerhalb von ibm.com) Forbes, April 2024
