Home » Fachbeiträge » Security Management » Stabil im Business

Wie BCM und NKM gemeinsam die Unternehmens-Resilienz stärken: Stabil im Business

Business Continuity Management (BCM) und Notfall- oder Krisenmanagement (NKM) sind zwei wichtige Disziplinen, die sich mit der Bewältigung von Störungen und Krisen innerhalb einer Organisation befassen. Obwohl sie eng miteinander verbunden sind, haben sie unterschiedliche Schwerpunkte und Rollen. Richtig kombiniert, stärken sie die Widerstandsfähigkeit eines Unternehmens gegenüber unerwarteten Ereignissen.

4 Min. Lesezeit

BCM ist ein proaktiver Prozess, der die Risiken potenzieller Bedrohungen für eine Organisation identifiziert und wirksame Strategien entwickelt, um die Kerngeschäftsprozesse im Falle einer Unterbrechung wiederherzustellen. Es umfasst in der Regel Risikobewertungen, eine Geschäftsauswirkungsanalyse (Business Impact Analysis, BIA) und die Erstellung von Geschäftskontinuitätsplänen (Business Continuity Plans, BCP). Die Hauptziele des BCM sind die Wiederherstellung der Geschäftstätigkeit in einem akzeptablen Zeitraum, die Minimierung finanzieller Verluste und die Vermeidung von Reputationsverlusten.

Bei der Implementierung hilft zum Beispiel der modernisierte BSI-Standard 200-4. Im Gegensatz dazu konzentriert sich das Notfall- oder Krisenmanagement eher auf die unmittelbare Bewältigung einer aktuellen oder in Zukunft drohenden Krise. Es beinhaltet die Entwicklung von Prozessen und Plänen zur effektiven Bewältigung und Milderung der Auswirkungen von Krisen, sobald diese eintreten. Das Krisenmanagement konzentriert sich auf Aspekte wie Kommunikation, Notfallhilfe, Sicherheit und die Wiederherstellung des Normalbetriebs nach einer Krise.

Stärkung der Katastrophenvorbereitung durch parallelen Einsatz von BCM und NKM

Die Bedeutung der parallelen Umsetzung von BCM und NKM liegt in der Stärkung der Widerstandsfähigkeit eines Unternehmens gegenüber unerwarteten Ereignissen und Katastrophen. Wenn Unternehmen beide Ansätze kombinieren, können sie sich nicht nur besser auf mögliche Katastrophenereignisse vorbereiten, sondern auch schneller und effektiver auf aktuelle Krisen reagieren.

Zunächst ist es wichtig, die Risiken zu verstehen, denen das Unternehmen ausgesetzt ist. Dies kann durch eine umfassende Risikobewertung erreicht werden, die alle möglichen Bedrohungen identifiziert, sei es Naturkatastrophen, Cyberangriffe, Betriebsunterbrechungen oder andere Risiken. Die Identifizierung der Risiken ermöglicht es dem Unternehmen, gezielte Maßnahmen zu ergreifen, um die Auswirkungen zu minimieren und die Geschäftskontinuität sicherzustellen.

Business Impact Analysis versus Emergency Impact Analysis

Anschließend sollten die Auswirkungen dieser Risiken auf die Geschäftsprozesse analysiert werden. Eine Business Impact Analysis (BIA) kann dabei helfen, die kritischsten Bereiche und Funktionen zu identifizieren, die im Fall eines Ereignisses Priorität haben sollten. Die BIA bewertet die potenziellen finanziellen und betrieblichen Verluste, die bei einer Unterbrechung der Geschäftsprozesse entstehen könnten. Sie hilft dabei, Prioritäten für die Wiederherstellung von Geschäftsprozessen festzulegen und die entsprechenden Maßnahmen zu planen.

Die Notfallauswirkungsanalyse (Emergency Impact Analysis, EIA) bezieht sich im Allgemeinen auf den Prozess der Bewertung der direkten Auswirkungen eines bestimmten Notfalls oder einer Krise auf eine Organisation. Dabei kann es sich beispielsweise um eine Naturkatastrophe, ein technisches Versagen oder einen Sicherheitsvorfall handeln. Während eine BIA in der Regel mehr auf langfristige und strategische Aspekte ausgerichtet ist, konzentriert sich die EIA auf die unmittelbaren Auswirkungen eines Ereignisses und die Maßnahmen, die erforderlich sind, um diesen Auswirkungen zu begegnen.

Beide Analysemethoden spielen eine wichtige Rolle im Gesamtprozess des Business Continuity Managements und des Krisenmanagements. Während die BIA dabei hilft, eine breite Perspektive auf die potenziellen Auswirkungen von Unterbrechungen auf das Geschäft zu erhalten, ermöglicht die EIA eine fokussierte und unmittelbare Reaktion auf spezifische Notfälle.

So ergänzen so ergänzen sich Krisenmanagement und BCM

Die Entwicklung robuster und detaillierter Pläne für das Business Continuity Management und das Krisenmanagement ist ein weiterer Schritt. Diese Pläne sollten klar darlegen, welche Maßnahmen im Falle einer Störung oder Krise zu ergreifen sind, und sie sollten regelmäßig aktualisiert und getestet werden, um ihre Wirksamkeit zu gewährleisten.

Ein weiterer wichtiger Aspekt ist die Kommunikation. Stellen Sie sicher, dass sowohl im Krisenmanagementplan als auch im Betriebskontinuitätsplan eine klare Kommunikationsstrategie festgelegt ist. Im Krisenfall ist eine klare und schnelle Kommunikation von entscheidender Bedeutung, um das Vertrauen der Stakeholder zu wahren und effektiv zu handeln.

Schließlich sollten Unternehmen eine Kultur der kontinuierlichen Verbesserung fördern. Nutzen Sie die Erkenntnisse aus Tests, Übungen und realen Vorfällen, um Ihre Pläne regelmäßig zu überprüfen und zu aktualisieren. Flexibilität und Anpassungsfähigkeit sind entscheidend, da sich die Risikolandschaft ständig verändert.

Insgesamt sind BCM und Krisenmanagement keine einmaligen Aktivitäten, sondern erfordern kontinuierliche Anstrengungen und Engagement auf allen Ebenen der Organisation. Durch die parallele Umsetzung von BCM und NKM können Unternehmen nicht nur ihre Widerstandsfähigkeit stärken, sondern auch die Geschäftskontinuität sicherstellen und effektiv auf Störungen und Krisen reagieren. Es ist ein ganzheitlicher Ansatz, der langfristig zum Erfolg und zur Sicherheit der Organisation beiträgt.

Tools für das Notfall- und Krisenmanagement

Bei der Umsetzung von Notfall- und Krisenmanagement können Werkzeuge helfen, die auch als Open Source zur Verfügung stehen:

Ushahidi (https://www.ushahidi.comist eine Plattform, die speziell für das Informationsmanagement und interaktive Mapping in Krisensituationen entwickelt wurde. Sie ermöglicht es Nutzern, Informationen aus verschiedenen Quellen wie E-Mails, SMS, Fotos und Tweets zu sammeln und auf einer Karte zu visualisieren.

Crisis Cleanup (https://crisiscleanup.org) ist ein Tool, mit dem Hilfsorganisationen ihre Arbeit koordinieren, priorisieren und effizienter gestalten können. Es wird häufig nach Naturkatastrophen eingesetzt, um Aufräumarbeiten zu organisieren.

Sahana Eden (https://eden.sahanafoundation.org) Dabei handelt es sich um ein Open-Source-Disaster-Management-System, das eine Vielzahl von Funktionen bietet, darunter die Verwaltung von Vermisstenmeldungen, Notunterkünften, Hilfsgütern und Freiwilligen.

CERT (https://www.cert.org) – Obwohl CERT selbst keine Open-Source-Software ist, stellt es eine Fülle von Ressourcen und Werkzeugen zur Verfügung, die im Zusammenhang mit Notfall- und Krisenmanagement genutzt werden können. Es ist ein weltweit anerkanntes Forschungszentrum für Cybersicherheit und Notfallreaktion.

Thomas Joos, freier Journalist

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.