Business Continuity und IT-Notfallmanagement

Rezension von Frank Roselieb

Cyberangriffe, Naturkatastrophen oder Lieferantenausfälle können die Geschäftsprozesse eines Unternehmens empfindlich stören. Wie die betriebsnotwendigen Abläufe gegen "widrige Umstände" abgesichert werden sollten, ist in verschiedenen Richtlinien fixiert. Exemplarisch genannt seien der ISO-Standard 22301 zum Business Continuity Management (BCM), die ISO-Standards 27001 und 27031 zur IT-Sicherheit sowie der BSI-Standard 100-4 zum Notfallmanagement. Wirklich durchsetzen konnten sich diese Standards in Deutschland bislang allerdings nicht. So haben sich im Jahr 2017 gerade einmal 37 Unternehmen in Deutschland nach dem ISO-Standard 22301 zum BCM zertifizieren lassen; in Großbritannien waren es im gleichen Zeitraum 700 und weltweit sogar 4.281.

Diesen Umstand möchten die beiden IT-Sicherheitsberater Dr. Heinrich Kersten aus Meckenheim bei Bonn und Dr. Gerhard Klett aus Battenberg in Nordhessen ändern. Mit ihrem 242 Seiten starken Buch wollen sie die Leser beim Einrichten von Systemen zum Business Continuity Management und IT-Notfallmanagement unterstützen und dabei auch mögliche Synergieeffekte zwischen beiden Bereichen nutzen. Bereits im Vorwort dämpfen sie jedoch überzogene Erwartungen. Keineswegs kann ein BCM-System Ausfälle und Leistungsminderungen vollständig verhindern, wohl aber deren Anzahl reduzieren und deren Dauer vermindern (Seite VI).

• Eher theoretisch gehen die Autoren das Thema in den ersten fünf Kapiteln ihres Fachbuchs an. So erläutern sie im ersten Kapitel zunächst die zentralen Begriffe des Business Continuity Managements. Sie widmen sich dabei ausführlich den Prozessen und Abhängigkeiten, Assets und Ressourcen, der Dokumentation und Kritikalität. Sie unterscheiden zwischen Ereignis, Vorkommnis und Notfall, mahnen die Einhaltung von Compliance-Vorgaben an, zeigen Schnittstellen mit dem IT-Notfallmanagement auf und führen den Leser in den PDCA-Zyklus ein (Seite 14). Dieser Kreislauf aus Plan-Do-Check-Act zieht sich fortan wie ein roter Faden durch das Buch.
   
• Im zweiten Kapitel folgen die Autoren dem zeitlichen Verlauf von "widrigen Umständen". Zunächst stellen sie zweckmäßige Präventionsmaßnahmen vor, um deren Eintrittswahrscheinlichkeit bzw. Schadenshöhe zu reduzieren. Dann geben sie kurze Empfehlungen, wie im Zuge der Detektion eine möglichst schnelle Erkennung von Incidents möglich ist. Abschließend stellen sie in drei Phasen zielführende Maßnahmen vor, um kritische Incidents zeitnah zu klassifizieren, auf diese zu reagieren und durch ein systematisches Incident Management zügig einen Wiederanlauf der havarierten Systeme bzw. eine Wiederherstellung des Normalzustands zu erreichen.
   
• Das dritte Kapitel unter der Überschrift "Das Business Continuity Managementsystem" präsentiert sich als eine Art "Gesetzeskommentar" zum ISO-Standard 22301. Die Autoren erläutern anhand der Normkapitel vier bis zehn des ISO-Standards zunächst die zentralen Fachbegriffe wie Kontext, Anwendungsbereich und Leitungsgremium. Anschließend geben sie zweckmäßige Hinweise für die konkrete Ausgestaltung der BCM-Organisation je nach Unternehmensgröße und weisen auch auf Schwachstellen der deutschen Übersetzung gegenüber der englischen Originalfassung des Standards hin (Seite 83). Empfehlungen zu den verschiedenen Varianten der Leistungsbewertung, kontinuierlichen Verbesserung und Zertifizierung beschließen das Kapitel.
     
• Nichts für Leser mit einer ausgeprägten Analytik-Schwäche ist das vierte Kapitel. Hier führen die Autoren in das Verfahren der Business Impact Analysis (BIA) ein. Dieses ist sowohl für BCM-Systeme gemäß ISO 22301 als auch für IT-Notfallmanagementsysteme nach ISO 27031 von zentraler Bedeutung. Entsprechend ausführlich dargestellt werden daher die Methoden zur Bestimmung der Kritikalität von Prozessen, Aktivitäten und Ressourcen sowie die Auswahl einer zielführenden Kontinuitätsstrategie. Auch zentrale Begriffe wie die alternativen Kritikalitätsregeln (Seite 126) oder die Varianten von Standby-Systemen werden gut erläutert.
   
• Einen deutlichen thematischen Schwenk zum IT-Notfallmanagement vollziehen die Autoren im fünften Kapitel. Ausführlich - auf rund 40 Seiten - erläutern sie mögliche Bedrohungen der IT, geben Hinweise zur Konzeption eines Notfallmanagements, nennen mögliche Rollen und Verantwortlichkeiten, informieren über Wiederanlaufpläne und Trainingsmaßnahmen. Hilfreich sind auch die Ausführungen zur Durchführung einer Risikoanalyse im IT-Bereich, zur konkreten Organisation der Notfallbewältigung sowie zu den Varianten von Notfallübungen auf den verschiedenen Führungsebenen (Seite 161).
   
• Im sechsten Kapitel belohnen die Autoren ihre Leser nach den zuweilen recht theoretischen Darstellungen der vorhergehenden Kapitel mit kurzen prägnanten, wenngleich anonymen Fallbeispielen aus der Unternehmenspraxis. So stellen sie die vielfältigen Risiken aus dem Einsatz mobiler IT-Infrastruktur wie Smartphones, Tabletts und Notebooks einschließlich möglicher Strategien zur Notfallprävention und Notfallreaktion dar. Erläutert werden ferner das Vorgehen bei der Ausgestaltung des BCM in komplexen Lieferketten, das Durchführen einer BIA am Beispiel eines Warenlagers sowie das Ermitteln von Kritikalitäten und Festlegen einer Kontinuitätsstrategie für ein Trust Center.
   
• Weitergehende, kapitelübergreifende Ergänzungen reichen die Autoren im siebten Kapitel nach. Sie erläutern die Auswahl und Messung geeigneter Kennzahlen zum BCM-System, geben Hinweise für das Vorbereiten, Durchführen und Auswerten von Audits sowie den zweckmäßigen Einsatz von Tools. Das Spektrum reicht von Formblättern über Open-Source-Software bis hin zu kommerziellen Angeboten. Abschließend erläutern die Autoren die Gemeinsamkeiten und Unterschieden von ISM- und BCM-Systemen und skizzieren Möglichkeiten zur Nutzung von Synergien.
   
• Das kurze, abschließende achte Kapitel stellt nochmals überblicksartig das empfohlene, idealtypische Vorgehen beim erstmaligen Aufbau eines BCM-Systems dar. Zurecht warnen die Autoren davor, das Rad beim BCM neu erfinden zu wollen. Oft sind wertvolle Beiträge und erste Überlegungen zum BCM schon in anderen Managementsystemen, wie dem Qualitäts- und Risikomanagement, vorhanden (Seite 229).

Insgesamt ist den beiden Autoren ein verdienstvolles Buch zum Business Continuity Management und IT-Notfallmanagement gelungen. Zwar gehen sie die Themen vergleichsweise theoretisch an, liefern keine ganzheitlichen Fallbeispiele aus der Unternehmenspraxis und überlassen es - abgesehen von wenigen zusammenfassenden Tabellen (z.B. Seiten 97, 143, 161) - weitgehend dem Leser, sich die konkreten "To-Dos" selbst zusammenzustellen. Gleichwohl schließen die Autoren mit ihrem Fachbuch eine wichtige Lücke in der deutschen Managementliteratur, denn ähnlich gehaltvolle Bücher zum Business Continuity Management in deutscher Sprache sucht man bislang weitgehend vergeblich. Auch aus dieser Perspektive ist dem Werk eine zweite Auflage ausdrücklich zu wünschen.

Heinrich Kersten und Gerhard Klett,
Business Continuity und IT-Notfallmanagement:
Grundlagen, Methoden und Konzepte
Springer Vieweg Verlag, Wiesbaden, 2017,
242 Seiten, EUR 54,99
ISBN 978-3-658-19117-7

| Bestellen |

Erstveröffentlichung im Krisennavigator (ISSN 1619-2389):
22. Jahrgang (2019), Ausgabe 2 (Februar)