Entwickeln eines Business Continuity-Plans 

Für die Entwicklung eines effektiven Business Continuity-Plans gibt es viele Frameworks. Die meisten von ihnen decken drei sich überschneidende Phasen ab:

• Analyse: In dieser Phase identifizieren und bewerten Sie die verschiedenen Unternehmensfunktionen und Betriebsabläufe. Dann ermitteln Sie, wie diese verschiedenen Funktionen von einem Zwischenfall betroffen sein werden. In dieser Phase werden in der Regel verschiedene Bereiche oder Abteilungen nach ihrer Bedeutung für Ihren Betriebsablauf priorisiert, sodass Ihr Plan zuerst die Kontinuität der wichtigsten Funktionen sicherstellt. 

Zu Beginn der Entwicklung eines neuen Plans führen Business Continuity-Experten häufig eine Business Impact Analysis (BIA) durch. Damit werden die Folgen verschiedener Zwischenfallszenarien in Bezug auf entgangene Einnahmen und andere geschäftsspezifische Kennzahlen abgeschätzt.

• Planung: Sobald die erste Analyse abgeschlossen ist, wird in der nächsten Phase ein konkreter Plan für die Fortführung des Betriebsablaufs bei einem Zwischenfall oder für die schnelle Recovery nach einer Unterbrechung des normalen Betriebsablaufs entwickelt. Während der Planungsphase führen Unternehmen folgende Schritte aus:
  •  Entwickeln von Protokollen für potenzielle Anforderungen, z.B. für einen schnellen Standortwechsel oder den Wechsel zu Remote-Arbeit
  •  Strategisches Planen des Bedarfs an Zeitarbeitskräften oder von Veränderungen im Hinblick auf Zeitarbeitskräfte
  •  Implementieren von IT-Tools für die Disaster Recovery, die die Kontinuität kritischer Systeme gewährleisten 

Ein wichtiger Teil dieser Phase ist die Bildung eines Kontinuitäts- oder Krisenmanagementteams aus Führungskräften und Stakeholdern. Dieses Team wird bei Bedarf die Umsetzung des Plans leiten. 

• Schulung und Tests: Selbst der robusteste BCP muss regelmäßig getestet werden, damit seine Funktionsfähigkeit im Notfall gewährleistet bleibt. Dazu gehört die Schulung der Mitarbeiter im Hinblick auf ihre Rollen und Verantwortlichkeiten in diesen Szenarien sowie die Durchführung von Tests der verschiedenen Elemente des Plans. Ein Beispiel dafür ist die kurzfristige Einführung eines Remote-Arbeitsszenarios, um Probleme und Verbesserungsbedarf zu identifizieren.  

Hauptmerkmale eines Business Continuity-Plans 

Einige Merkmale eines BCP sind branchen- oder unternehmensspezifisch, bestimmte Komponenten sind jedoch für fast alle Pläne gleich:

Mitarbeiter: In einem BCP werden Rollen und Verantwortlichkeiten klar definiert, nicht nur für das Führungsteam des Krisenmanagements, sondern auch für alle Teams, die für die Umsetzung verschiedener Elemente des Plans bei einem Zwischenfall zuständig sind. Einige BCPs definieren auch „unternehmenskritisches Personal“ – z.B. Mitarbeiter, die aufgrund ihres Tätigkeitsbereichs auch in Zeiten erhöhten Risikos zur Arbeit erscheinen müssen. 

Technologie: In fast allen modernen Business Continuity-Plänen wird auch die Rolle der Informationstechnologie bei der Aufrechterhaltung der Verfügbarkeit kritischer Daten, Anwendungen und Services oder bei der schnellen Wiederherstellung nach einer Unterbrechung klar umrissen. Dazu zählen:

•  Tools für Backup und Recovery
•  Cloud Computing-Infrastruktur und -Services
•  Remote-Arbeitsplattformen

Servicebereitstellung: Ein BCP muss auch beschreiben, welche Services am kritischsten sind und wie sie weiterhin für Kunden, Mitarbeiter, Partner, die Öffentlichkeit und andere Stakeholder bereitgestellt werden. 

Gesundheit und Sicherheit: Schließlich umfasst ein wirksames Business Continuity-Programm Kriterien und Richtlinien zur Gewährleistung der Gesundheit und Sicherheit aller betroffenen Mitarbeiter, Kunden und Partner bei der Umsetzung und dem Management des Plans. 

Checkliste für den Business Continuity-Plan 

Viele Unternehmen erstellen im Rahmen ihrer Business Continuity-Planung eine Checkliste, in der alle wichtigen Schritte des BCP aufgeführt sind. Sie kann auf zwei Arten verwendet werden:

1. Konzeption: Zunächst einmal kann eine BCP-Checkliste im Rahmen der Ersterstellung des Plans verwendet werden. In diesem Zusammenhang beschreibt sie detailliert die Schritte, die zur Entwicklung des Plans von der Analyse bis zu den Tests erforderlich sind.




2. Umsetzung: Eine BCP-Checkliste kann darüber hinaus zum Testen und/oder zum tatsächlichen Umsetzen des Plans verwendet werden. In diesem Zusammenhang stellt das BCP- oder das Krisenmanagementteam anhand der Checkliste sicher, dass alle Tools und Prozesse des Plans berücksichtigt und im gesamten Unternehmen effektiv kommuniziert werden.

Business Continuity- und Disaster Recovery-Planung

Business Continuity- und Disaster Recovery-Planung werden oft in ähnlichen Zusammenhängen erwähnt. Diese Begriffe sind jedoch nicht austauschbar. Ein Business Continuity-Plan ist eine übergreifende Strategie für den Betriebsablauf in Zwischenfallszenarien oder für die Recovery nach einer größeren Unterbrechung. 

Ein Disaster Recovery-Plan (DR) bezieht sich speziell auf die IT-Prozesse und -Tools, die den Zugriff auf unternehmenskritische Daten, Anwendungen und Services in diesen Szenarien zuverlässig aufrechterhalten oder wiederherstellen. Ein DR-Plan kann beispielsweise ausführlich beschreiben, wie Sie den Zugriff auf eine umsatzgenerierende Webanwendung im Fall einer Überschwemmung im Rechenzentrum, das diesen Service hostet, wiederherstellen können. 

Wie oft sollte ein Business Continuity-Plan überprüft werden? 

Die meisten Experten empfehlen, Business Continuity-Pläne regelmäßig zu überprüfen und bei Bedarf zu aktualisieren. Dies gewährleistet, dass der Plan auch angesichts der sich entwickelnden Risiken und Bedrohungen den Bedürfnissen des Unternehmens gerecht wird. 

Die Häufigkeit, mit der Sie einen Business Continuity-Plan überprüfen, hängt von vielen Faktoren ab, unter anderem von der Art des Unternehmens, seiner Branche und seinen besonderen Risiken. Generell sollten Pläne dieser Art jährlich oder mindestens alle zwei Jahre überprüft werden. Allerdings gibt es mehrere Szenarien, in denen ein Unternehmen häufigere Überprüfungen in Betracht ziehen sollte. Dazu gehören: 

• Wesentliche Veränderungen im Unternehmen oder an seinen Betriebsabläufen 
• Standort in einer Region mit erhöhtem Risiko für Naturkatastrophen oder andere Zwischenfälle 
• Jede Organisation oder Einrichtung, die unentbehrliche Services für die Öffentlichkeit bereitstellt