Ein Spin-Off der Christian-Albrechts-Universität zu Kiel.
27. Jahrgang (2024) - Ausgabe 10 (Oktober) - ISSN 1619-2389
 
 KRISENMAGAZIN
   Zeitschrift für Krisenmanagement,
   Krisenkommunikation und Krisentraining
   ISSN 1867-7541
   www.krisenmagazin.de

"Business Continuity Management wird oft nicht als das verstanden, was es ist"

Erfurt - Business Impact Analysen, Notfallübungen und Notfallpläne zur Abwehr von Cyberangriffen und zum Bewältigen von Systemausfällen gehören zum Arbeitsalltag von Lars Halbauer, Mitglied der Deutschen Gesellschaft für Krisenmanagement e.V. (DGfKM). Der Business Continuity Manager der Computacenter AG & Co. oHG mit Sitz in Kerpen verantwortet das Notfall- und Krisenmanagement für alle 25 Standorte des Unternehmens in Deutschland. Als herstellerunabhängiger IT-Dienstleister stellt Computacenter IT-Infrastrukturservices und IT-Infrastrukturlösungen für Großunternehmen und Großeinrichtungen im öffentlichen Bereich bereit. Im Gespräch mit dem Krisenmagazin erläutert Lars Halbauer, wie er entlang der digitalen Wertschöpfungskette die Schnittstellen zum Business Continuity Management (BCM) organisiert.

Krisenmagazin: Computacenter beschäftigt 15.000 Mitarbeiter weltweit, 6.700 davon in Deutschland. Das sind viele tausend Ansatzpunkt für mögliche Social Engineering Attacken. Wie sensibilisieren Sie Ihre eigenen Mitarbeiter, aber auch die von Kunden und Kooperationspartnern für die Sinnhaftigkeit und Notwendigkeit von Business Continuity Maßnahmen?

Lars Halbauer: Bei der Vielzahl an Themen ist es teilweise schwierig, die Grenze zwischen Security und BCM zu ziehen oder auch zwischen internen und externen Maßnahmen. So hat unser interner Informationssicherheitsbereich kürzlich eine Kampagne bezüglich Social Engineering durchgeführt, die alle Kolleginnen und Kollegen adressiert hat. Außerdem beobachten wir, dass die Zahl der Audits zunimmt. Das hängt natürlich stark mit den steigenden Anforderungen durch den Gesetzgeber, die Regulatoren oder Kunden zusammen. Dabei stehen wir in der Regel schon bei der Implementierung der Anforderungen im regen Austausch mit den Stakeholdern. Erst wenn Einvernehmen besteht, werden die Anforderungen und die Audits umgesetzt. Wie wir selbst auditiert werden, auditieren wir unter Berücksichtigung des Serviceumfangs natürlich analog auch unsere Dienstleister. Ziel ist es, bei Abweichungen in der Servicekette gegebenenfalls entgegenwirken zu können. Und nicht zuletzt muss im BCM auch getestet werden, was gemeinsam vereinbart und zu Papier gebracht worden ist. So gibt es regelmäßig Übungen mit Kunden. Teilweise nur in der internen Notfallorganisation, manchmal aber auch mit Einbindung der Dienstleister.

Krisenmagazin: 2018 haben sich gerade einmal neun Unternehmen in Deutschland nach dem ISO-Standard 22301 zum Business Continuity Management zertifizieren lassen. Zum Vergleich: Bei der IT-Sicherheit gemäß ISO 27001 waren es 1.057 und beim Qualitätsmanagement nach ISO 9001 sogar 47.482. Wie erklären Sie sich die Skepsis gegenüber dem ISO-Standard zum Business Continuity Management in der Unternehmenspraxis?

Lars Halbauer: Das hat aus meiner Sicht viele Gründe. Zum einen wird das Business Continuity Management nicht als das verstanden, was es ist - nämlich ein eigener Bereich im Notfallmanagement - sondern häufig mit der ISO 27001 gleichgesetzt. In dieser sind auch drei bis vier Kontrollen zum Thema BCM zu finden. Zudem ist die ISO 27001 sicherlich durch das IT-Sicherheitsgesetz gepusht worden, das für Kritis-Betreiber höhere Auflagen im Bereich Netz- und Informationssicherheit enthält. Zum anderen war die Infrastruktur in Deutschland in der bisherigen öffentlichen Wahrnehmung relativ stabil, so dass Großstörungen mit einer geringen Eintritts-Wahrscheinlichkeit bzw. mit einer kurzen Wiederherstellungszeit bewertet wurden. Und wenn ich auf Ausschreibungen blicke, dann ist in Deutschland auch die BSI 100-4 noch ein weit verbreiteter Standard, der gern als Abgleich der Managementsysteme herangezogen wird. Die Situation wird sich aber vielleicht bald ändern: Seit November 2019 gibt es die neue ISO22301:2019. Sie wurde überarbeitet, ein paar sperrige Wörter oder Formulierungen wie "Risk Appetite" wurden entfernt. Aufgrund dessen hofft man, dass der neue pragmatische Ansatz zu einer weiteren Verbreitung der Norm führt.

Krisenmagazin: An der "Verteidigung" der digitalen Infrastruktur sind organisationsübergreifend viele Akteure beteiligt - vom Endnutzer bis zum Systemadministrator im Rechenzentrum. Ihre IT-Lösungen greifen tief in die Prozesse der Kunden ein. Wie stellen Sie ein hinreichendes Schnittstellenmanagement im Business Continuity Management entlang der Wertschöpfungskette sicher?

Lars Halbauer: Man sollte die betrieblichen Prozesse der IT Infrastructure Library (ITIL) für die täglichen Belange mitnutzen, anstatt neue Prozesse zu implementieren. Das führt bei den Nutzern zu einer höheren Akzeptanz, da es sich um bereits gelebte Prozesse handelt. Die in der Frage genannten Schnittstellen zu allen relevanten Stakeholdern sind in Form des Incident- oder Change-Managements implementiert. Zudem gibt es Ticketnummern, was zugleich zu einer höheren Revisionssicherheit führt. Und das Change-Management zeigt Änderungen auf, die unter anderem auch in Bezug auf BCM-Relevanz reportet werden können. Zusätzlich sorgen Alarmierungsketten dafür, dass in Notfällen die richtigen Stakeholder bei der Bewältigung hinzugezogen werden können.

© 2020 Krisennavigator. Alle Rechte vorbehalten.
Stand der Informationen: 13. Januar 2020.


Vervielfältigung und Verbreitung - auch auszugsweise - nur mit ausdrücklicher
schriftlicher Genehmigung des Krisennavigator - Institut für Krisenforschung, Kiel.
© Krisennavigator 1998-2024. Alle Rechte vorbehalten. ISSN 1619-2389.
Internet:
www.krisennavigator.de | E-Mail: poststelle@ifk-kiel.de

Krisennavigator

Krisenthemen
Aktuell
Kurzmeldungen
Krisenmanagement
Restrukturierungsmanagement
Krisenkommunikation
Themenmanagement
Krisenpsychologie
Risikomanagement
Compliancemanagement
Sicherheitsmanagement
Katastrophenmanagement
Business Continuity Management
Krisenforschungsinstitut
Kurzprofil
Bereiche
Publikationen
Interviews
Vorträge
Stellungnahmen
Veranstaltungen
Zeitschriften
Stellenangebote
Ansprechpartner
Krisenberatung
Kurzprofil
Leistungsübersicht
Einzelleistungen
Kommunikationslösungen
Komplettsysteme
Basislösungen
BCM-Systeme
Referenzen
Ansprechpartner
Krisenakademie
Kurzprofil
Leistungsübersicht
Krisenübung & Medientraining
Krisengipfel & Fachtagungen
Seminare & Schulungen
Vorträge & Vorlesungen
Zertifikatslehrgänge
Ansprechpartner
Deutsch   /  English  Letzte Aktualisierung: Samstag, 5. Oktober 2024
        Krisenkompetenz als langfristiger Erfolgsfaktor.

Krisennavigator

 

 KRISENMAGAZIN
   Zeitschrift für Krisenmanagement,
   Krisenkommunikation und Krisentraining
   ISSN 1867-7541
   www.krisenmagazin.de

"Business Continuity Management wird oft nicht als das verstanden, was es ist"

Erfurt - Business Impact Analysen, Notfallübungen und Notfallpläne zur Abwehr von Cyberangriffen und zum Bewältigen von Systemausfällen gehören zum Arbeitsalltag von Lars Halbauer, Mitglied der Deutschen Gesellschaft für Krisenmanagement e.V. (DGfKM). Der Business Continuity Manager der Computacenter AG & Co. oHG mit Sitz in Kerpen verantwortet das Notfall- und Krisenmanagement für alle 25 Standorte des Unternehmens in Deutschland. Als herstellerunabhängiger IT-Dienstleister stellt Computacenter IT-Infrastrukturservices und IT-Infrastrukturlösungen für Großunternehmen und Großeinrichtungen im öffentlichen Bereich bereit. Im Gespräch mit dem Krisenmagazin erläutert Lars Halbauer, wie er entlang der digitalen Wertschöpfungskette die Schnittstellen zum Business Continuity Management (BCM) organisiert.

Krisenmagazin: Computacenter beschäftigt 15.000 Mitarbeiter weltweit, 6.700 davon in Deutschland. Das sind viele tausend Ansatzpunkt für mögliche Social Engineering Attacken. Wie sensibilisieren Sie Ihre eigenen Mitarbeiter, aber auch die von Kunden und Kooperationspartnern für die Sinnhaftigkeit und Notwendigkeit von Business Continuity Maßnahmen?

Lars Halbauer: Bei der Vielzahl an Themen ist es teilweise schwierig, die Grenze zwischen Security und BCM zu ziehen oder auch zwischen internen und externen Maßnahmen. So hat unser interner Informationssicherheitsbereich kürzlich eine Kampagne bezüglich Social Engineering durchgeführt, die alle Kolleginnen und Kollegen adressiert hat. Außerdem beobachten wir, dass die Zahl der Audits zunimmt. Das hängt natürlich stark mit den steigenden Anforderungen durch den Gesetzgeber, die Regulatoren oder Kunden zusammen. Dabei stehen wir in der Regel schon bei der Implementierung der Anforderungen im regen Austausch mit den Stakeholdern. Erst wenn Einvernehmen besteht, werden die Anforderungen und die Audits umgesetzt. Wie wir selbst auditiert werden, auditieren wir unter Berücksichtigung des Serviceumfangs natürlich analog auch unsere Dienstleister. Ziel ist es, bei Abweichungen in der Servicekette gegebenenfalls entgegenwirken zu können. Und nicht zuletzt muss im BCM auch getestet werden, was gemeinsam vereinbart und zu Papier gebracht worden ist. So gibt es regelmäßig Übungen mit Kunden. Teilweise nur in der internen Notfallorganisation, manchmal aber auch mit Einbindung der Dienstleister.

Krisenmagazin: 2018 haben sich gerade einmal neun Unternehmen in Deutschland nach dem ISO-Standard 22301 zum Business Continuity Management zertifizieren lassen. Zum Vergleich: Bei der IT-Sicherheit gemäß ISO 27001 waren es 1.057 und beim Qualitätsmanagement nach ISO 9001 sogar 47.482. Wie erklären Sie sich die Skepsis gegenüber dem ISO-Standard zum Business Continuity Management in der Unternehmenspraxis?

Lars Halbauer: Das hat aus meiner Sicht viele Gründe. Zum einen wird das Business Continuity Management nicht als das verstanden, was es ist - nämlich ein eigener Bereich im Notfallmanagement - sondern häufig mit der ISO 27001 gleichgesetzt. In dieser sind auch drei bis vier Kontrollen zum Thema BCM zu finden. Zudem ist die ISO 27001 sicherlich durch das IT-Sicherheitsgesetz gepusht worden, das für Kritis-Betreiber höhere Auflagen im Bereich Netz- und Informationssicherheit enthält. Zum anderen war die Infrastruktur in Deutschland in der bisherigen öffentlichen Wahrnehmung relativ stabil, so dass Großstörungen mit einer geringen Eintritts-Wahrscheinlichkeit bzw. mit einer kurzen Wiederherstellungszeit bewertet wurden. Und wenn ich auf Ausschreibungen blicke, dann ist in Deutschland auch die BSI 100-4 noch ein weit verbreiteter Standard, der gern als Abgleich der Managementsysteme herangezogen wird. Die Situation wird sich aber vielleicht bald ändern: Seit November 2019 gibt es die neue ISO22301:2019. Sie wurde überarbeitet, ein paar sperrige Wörter oder Formulierungen wie "Risk Appetite" wurden entfernt. Aufgrund dessen hofft man, dass der neue pragmatische Ansatz zu einer weiteren Verbreitung der Norm führt.

Krisenmagazin: An der "Verteidigung" der digitalen Infrastruktur sind organisationsübergreifend viele Akteure beteiligt - vom Endnutzer bis zum Systemadministrator im Rechenzentrum. Ihre IT-Lösungen greifen tief in die Prozesse der Kunden ein. Wie stellen Sie ein hinreichendes Schnittstellenmanagement im Business Continuity Management entlang der Wertschöpfungskette sicher?

Lars Halbauer: Man sollte die betrieblichen Prozesse der IT Infrastructure Library (ITIL) für die täglichen Belange mitnutzen, anstatt neue Prozesse zu implementieren. Das führt bei den Nutzern zu einer höheren Akzeptanz, da es sich um bereits gelebte Prozesse handelt. Die in der Frage genannten Schnittstellen zu allen relevanten Stakeholdern sind in Form des Incident- oder Change-Managements implementiert. Zudem gibt es Ticketnummern, was zugleich zu einer höheren Revisionssicherheit führt. Und das Change-Management zeigt Änderungen auf, die unter anderem auch in Bezug auf BCM-Relevanz reportet werden können. Zusätzlich sorgen Alarmierungsketten dafür, dass in Notfällen die richtigen Stakeholder bei der Bewältigung hinzugezogen werden können.

© 2020 Krisennavigator. Alle Rechte vorbehalten.
Stand der Informationen: 13. Januar 2020.

Deutsch   /  English 

Letzte Aktualisierung: Samstag, 5. Oktober 2024

       

© Krisennavigator, Kiel / Hamburg. Alle Rechte vorbehalten.

Vervielfältigung und Verbreitung - auch auszugsweise - nur mit ausdrücklicher schriftlicher Genehmigung des Krisennavigator - Institut für Krisenforschung, Kiel.

Internet: www.krisennavigator.de
E-Mail: poststelle@ifk-kiel.de