Business Continuity Plan: alles, was Sie wissen müssen
Das BCP ist ein strategisches Instrument für Unternehmen, das es ihnen ermöglicht, in einer Krise beruhigt zu sein, in der Gewissheit, dass sie widerstandsfähiger daraus hervorgehen werden. Darüber hinaus ist es ein unverzichtbares Mittel, um einer Krisensituation zu begegnen und gleichzeitig die Geschäftskontinuität aufrechtzuerhalten, wie es während der COVID-19-Pandemie erforderlich war.
Es gibt natürlich offizielle Definitionen für ein BCP und auch internationale Standards.
BCP: Definition von Business Continuity Management
Das Institut für Geschäftskontinuität definiert Geschäftskontinuität als „die Fähigkeit einer Organisation, nach einem Störfall die Bereitstellung von Produkten oder Dienstleistungen auf einem vordefinierten akzeptablen Niveau fortzusetzen“.
In diesem Zusammenhang bietet das Business Continuity Management einen Rahmen, um die Widerstandsfähigkeit Ihres Unternehmens sicherzustellen und so seinen Ruf und die Interessen seiner Stakeholder zu wahren.
Das BCP in britischen und internationalen Standards
Von 1995 bis 2006 regulierte die British Standards Institution die Planung der Geschäftskontinuität, indem sie eine Reihe von Standards herausgab, von denen viele inzwischen zurückgezogen wurden. Das Vereinigte Königreich folgt derzeit den Normen ISO 22301 und 22313.
Das Ziel eines BCP besteht darin, die Kontinuität der Aktivitäten im Falle einer Katastrophe zu organisieren, die den normalen Betrieb eines Unternehmens stört, wie z. B. Cyberangriff. Es soll dem Unternehmen helfen, trotz der Krise im Rahmen seiner gesetzlichen Verpflichtungen zu agieren, und soll die kommerziellen und finanziellen Ziele eines Unternehmens aufrechterhalten. BCPs gelten als wichtiger Hebel des Risikomanagements in der Wirtschaft.
Das BCP deckt alle Arten von Krisen ab. Diese können intern sein — wie eine digitale Sicherheitsverletzung, ein Computerausfall oder sogar ein Feuer, das im Büro wütet — oder extern, im Falle einer Epidemie, einer sozialen Bewegung oder einer Finanzkrise. Darüber hinaus ist ein Plan zur Aufrechterhaltung des Geschäftsbetriebs in bestimmten Sektoren wie Finanzen, Bankwesen und Gesundheit gesetzlich vorgeschrieben.
Das internationale Norm ISO 22301 von 2019 spezifiziert das Business Continuity Management System (BCMS), das ein Unternehmen installieren muss, um vor Krisen geschützt zu sein. Insbesondere werden darin die Maßnahmen beschrieben, die von den Sektoren, für die das BCP eine Frage der Einhaltung gesetzlicher Vorschriften ist, zu befolgen sind.
Wie unterscheidet sich das BCP vom DRP?
Diese beiden Arten von „Plänen“ zielen beide darauf ab, die Sicherheit eines Unternehmens trotz der Krisensituation, mit der es konfrontiert ist, zu gewährleisten. Das BCP fasst zusammen, was das Unternehmen tun muss, um es auch nach einer Katastrophe am Laufen zu halten, während Notfallwiederherstellungsplan (DRP) gibt an, wie die Aktivitäten nach einer Katastrophe am besten wieder aufgenommen werden können.
Am Beispiel eines Cyberangriffs erklärt das BCP, wie sichergestellt werden kann, dass Computersysteme betriebsbereit bleiben, sodass wichtige Anwendungen weiterhin nutzbar bleiben und der Schutz vertraulicher Daten gewährleistet wird. Darüber hinaus bietet es Mechanismen, mit denen Mitarbeiter und potenzielle Kunden die Computersysteme weiterhin nutzen können.
Das DRP bietet eine Anleitung, was zu tun ist, wenn sich das Computersystem nach einem Cyberangriff leider als unbrauchbar herausstellt. Es kann Sie beispielsweise Schritt für Schritt durch den Prozess führen, um Ihre Website im Falle eines Verteilter Denial-of-Service (DDoS) angreifen. Es kann auch Anweisungen zum Booten eines Backup-Systems geben.
Wann müssen Sie einen Business Continuity Plan implementieren?
Das BCP ist für alle Unternehmen erforderlich, in denen die Geschäftskontinuität gefährdet ist. Dies ist insbesondere dann erforderlich, wenn dieser Shutdown die finanzielle Glaubwürdigkeit des Unternehmens oder seinen Ruf gefährdet.
Wenn es zu einer digitalen Sicherheitsverletzung kommt, ist es wichtig, den Anlegern die Professionalität Ihrer Teams zu versichern. Die Durchführung der vom BCP für den Fall einer schweren Krise vorgesehenen Verfahren trägt dazu bei, die Glaubwürdigkeit der Interessengruppen zu stärken. BCP-Verfahren gewährleisten auch die Vertraulichkeit der Daten Ihrer Benutzer und Kunden sowie deren Fähigkeit, ihren Online-Aktivitäten nachzugehen.
Warum müssen Sie einen Business Continuity Plan einrichten? Vorteile und Fallstricke
Der Hauptvorteil von BCPs besteht darin, die betrieblichen Risiken eines Unternehmens zu verhindern und zu antizipieren. Es ist Teil der Risikomanagement im Zusammenhang mit digitalen Sicherheitsverletzungen und beinhaltet die Zusammenführung der richtigen Akteure, um die Prozesse durchzuführen, die die Geschäftskontinuität gewährleisten.
Vorteile des Business Continuity Plans
Das BCP vereint mehrere Vorteile:
- die internen und externen Risiken eines Unternehmens zu antizipieren und zu verhindern;
- Festlegung von Konjunkturstrategien für eine schnelle und wirksame Reaktion auf ein Krisenszenario;
- Verbreitung einer internen Kultur der Risikoprävention;
- Planung der an die verschiedenen Interessengruppen gesendeten Nachrichten, sodass Kommunikation in Krisenzeiten Strategien werden durch einen soliden Rahmen unterstützt;
- Beitrag zur raschen Wiederherstellung nach Katastrophen;
- Abschwächung der Auswirkungen der Krise in Bezug auf Betrieb, Rentabilität und Ruf;
- Beruhigung der Finanzmärkte;
- Aufrechterhaltung der persönlichen Glaubwürdigkeit des Leiters;
- dem Unternehmen zu helfen, sich von der Konkurrenz abzuheben;
- von Tarifermäßigungen bei Versicherern profitieren.
Fallstricke des Business Continuity Plans
Um weiterhin von Vorteil zu sein, muss das BCP jedoch von der Geschäftsleitung als echtes Instrument betrachtet werden. Einer der Hauptnachteile des BCP besteht darin, dass es möglicherweise nur als stilistische Übung erscheint — seine Anwendung mag sehr hypothetisch erscheinen. Um jedoch wirksam zu sein, muss es regelmäßig aktualisiert und überprüft werden.
Die Implementierung eines Business Continuity Plans kann manchmal auch kostspielig sein, was einige Unternehmen abschreckt. In diesem Fall sollten Sie unbedingt ein Remote-System erwerben, das Ihre wichtigen Anwendungen im Falle eines Cyberangriffs schützt.
Plan zur Geschäftskontinuität
Möchten Sie einen Plan zur Geschäftskontinuität erstellen und mehr über Cyberrisiken erfahren?
Wie entwickelt man ein BCP?
Das BCP besteht aus der Antizipation verschiedener Krisenszenarien, um die Strategien zur Aufrechterhaltung kritischer Geschäftsfunktionen zu entwerfen. Insbesondere berücksichtigt es den Verlust von Ressourcen (Einkommen, Mitarbeiter oder, im Falle eines Cyberangriffs, Computersysteme) oder sensibler Daten.
Hier ist ein Beispiel für eine BCP-Implementierung, die auf das Risiko eines Cyberangriffs angewendet wird. Dieses Beispiel ist direkt inspiriert von“Plan Do Check Act“ (PDCA) -Methode, die in der Norm ISO 22301 vorgesehen ist:
- P: „Planen“;
- D: „Tun“, die geeigneten Maßnahmen entwerfen;
- C: BCP „überprüfen“, testen, ausprobieren, simulieren und verifizieren;
- A: „Handeln“, korrigieren Sie die Mängel des Plans.
Prüfung Ihres Unternehmens und seines Cyberkontextes
1/Konzentrieren Sie sich zunächst auf die Definition der Unternehmensprioritäten und -ziele, die eine digitale Sicherheitsverletzung gefährden könnte. Ist es Ihre Priorität, die Barrierefreiheit Ihrer Website sicherzustellen? Geht es darum, die Daten Ihrer Nutzer zu sichern? Was sind Ihre vorrangigen IT-Aktivitäten?
2/Definieren Sie anschließend die IT-Ressourcen und internen Fähigkeiten, die für die Einhaltung dieser Ziele unerlässlich sind. Dies wird als Business Impact Analysis (BIA) bezeichnet. Schätzen Sie auch Ihr Recovery Point Objective (RPO) ein: Fragen Sie sich, wie lange Ihre Computersysteme unbrauchbar bleiben können, ohne die Nachhaltigkeit des Unternehmens dauerhaft zu beeinträchtigen. Bewerten Sie abschließend Ihr Recovery Time Objective (RTO): Wie lange wird es dauern, bis Ihre Computersysteme wieder betriebsbereit sind?
3/Gehen Sie die verschiedenen Cyberkrisenszenarien an, mit denen Ihr Unternehmen konfrontiert sein könnte:
- Sind Sie dem Diebstahl/Verlust vertraulicher Daten ausgesetzt oder Ransomware Risiken?
- Sind Ihre Website und Onlinedienste von Denial-of-Service-Angriffen bedroht?
- Ist Ihr Unternehmen Potenzialen ausgesetzt?l Malware?
- Warst du jemals ein Opfer von Phishing?
Nutze deinen Cyber Risikokarte um vorherzusehen, wie sich diese Szenarien auf Ihr Unternehmen auswirken könnten.
Skizzieren Sie eine Risikomanagementstrategie
4/Konzentrieren Sie sich als Nächstes darauf, Ihre Risikomanagementstrategie zu skizzieren: die vorrangigen Maßnahmen, die ergriffen werden müssen, um Cyberrisiken zu reduzieren und gegebenenfalls sicherzustellen, dass das Unternehmen, seine Abläufe und Ziele alle überleben.
5/Sobald diese Elemente spezifiziert wurden, definieren Sie eine gründliche Kontinuitätsstrategie für jedes Cyberangriffsszenario. Dieser Schritt ist Krisenmanagement wie aus dem Lehrbuch. Beschreiben Sie Schritt für Schritt, einen Akteur nach dem anderen, die Risikomanagementstrategie, die Sie benötigen:
- Was ist die Anfälligkeitsschwelle Ihres Unternehmens? Welche Kriterien sind erforderlich, um die vom BCP festgelegten Prozesse auszulösen?
- Wer sind die Verantwortlichen für den Business Continuity Plan? Sind das die gleichen Leute wie bei Ihnen Krisenstab? Welche Rolle spielen die einzelnen Akteure und sind an der Gesamteffektivität des BCP beteiligt?
- Welche Maßnahmen können die Auswirkungen des Cyberangriffs auf IT-Systeme, Datensicherheit und die Aktivitäten Ihrer Benutzer und Mitarbeiter abschwächen?
- Was sind die Indikatoren für die Bewertung der Wirksamkeit des BCP? Wie messen Sie realistisch das Funktionieren Ihres Unternehmens während der Krise?
Krisentraining zur digitalen Sicherheit
6/ Führen Sie Simulationsübungen für Cyberangriffe durch, um die Wirksamkeit Ihres BCP zu testen. Anhand dieser Vorgehensweise können Sie sicherstellen, dass Ihr Geschäftskontinuitätsplan wirklich zur MRO-Methode (Wartung, Reparatur und Betrieb) beiträgt.
Das National Cyber Security Center (NCSC) hat einen umfassenden Leitfaden zum veröffentlicht Erstellung von Übungen zum Cyber-Krisenmanagement. Es sei an mehrere wichtige Elemente erinnert, die das Konzept eines Krisenmanagements ausmachen:
- die Übung ist zeitlich begrenzt, die meisten Organisationen machen sie über zwei oder drei Stunden;
- es konzentriert sich auf ein fiktives, aber glaubwürdiges Cyberangriffsszenario für Mitarbeiter;
- es sollte die Aktivitäten des Unternehmens auf keinen Fall stören: Alle Elemente der Krise müssen simuliert werden;
- Simulationen helfen den Akteuren des Krisenmanagements, ihre Ziele zu erreichen, sie sind nicht darauf ausgelegt, sie aus dem Konzept zu bringen;
- An der Übung müssen alle internen Akteure beteiligt sein, die möglicherweise von einer digitalen Sicherheitsverletzung betroffen sind.
BCP-Wartung
Dank der Erkenntnisse aus Cyberrisikosimulationen sollte Ihr Unternehmen in der Lage sein, die Effizienz seines BCP zu beurteilen. Falls erforderlich, können Sie es jedoch neu definieren, um die Leistung zu verbessern. Aus einer breiteren Perspektive sollte Ihr Geschäftskontinuitätsplan mindestens alle zwei bis drei Jahre aktualisiert werden. Er sollte auch nach jeder Krise dank Erfahrungsrückmeldungen verbessert werden.
Alternativ kann der Business Continuity Plan auch aus einem einzigen Dokument bestehen, das alle Risiken behandelt, denen ein Unternehmen ausgesetzt ist. Er kann auch in verschiedene thematische Dokumente unterteilt werden: ein BCP, das sich auf digitale Sicherheit konzentriert, eines, das sich auf Gesundheitskrisen konzentriert, und ein weiteres, das sich mit streikbedingten Risiken befasst usw.
HÄUFIG GESTELLTE FRAGEN: BCP
Was ist die Rolle eines Business Continuity Plans?
Das BCP beschreibt die Strategie und die Schritte, die Sie befolgen müssen, um die Kontinuität Ihres Betriebs nach einer Krise wie einem Cyberangriff sicherzustellen. Es ermöglicht Ihnen, schnell mit der Krisensituation umzugehen und gleichzeitig Ihre kritischen Geschäftsprozesse aufrechtzuerhalten.
Wann müssen Sie ein BCP einrichten?
Der Business Continuity Plan wird im Vorfeld einer Katastrophe oder eines störenden Elements für das Unternehmen, seine Nutzer und seinen Ruf vorbereitet. Die Risiken zu antizipieren, sie abzubilden und ein an die potenzielle Krise angepasstes BCP zu erstellen — all dies ist von größter Bedeutung.
Wer ist für den Business Continuity Plan verantwortlich?
Der Business Continuity Plan Manager, der der Geschäftsleitung untersteht, ist für das BCP verantwortlich. Wenn sich das BCP mit Cyberrisiken befasst, kann dieser Manager Mitglied der Abteilung Informationssysteme sein. Letztlich geht das BCP jedoch alle an und muss alle Beteiligten einbeziehen, um seine Wirksamkeit sicherzustellen.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.