Die Notfallplanung sichert die Aufrechterhaltung der Geschäftstätigkeit eines Unternehmens beim Eintritt von Ereignissen, die den planmäßigen Betriebsablauf gefährden oder unmöglich machen. Diese Backup-Strategie soll ausschließen, dass unvorhergesehene Geschehnisse die unternehmerische Tätigkeit zum Erliegen bringen. Ein gut konzipierter Notfallplan sorgt also dafür, dass es gar keine unvorhergesehenen Ereignisse gibt.
Der Definition von Notfallplänen kommt gerade in jüngster Zeit eine besonders hohe Bedeutung zu. Eine pandemische Situation sorgte für krankheitsbedingte hohe Ausfallraten von Mitarbeitern, ein mitten in Europa stattfindenden Krieg ließ Energiepreise explodieren und sorgte für Lieferengpässe. Die derzeit hohe Inflationsrate trübt das Konsumklima ein. Firmen, die solche und andere Risiken unberücksichtigt lassen, können in einem globalen Wettbewerb nicht bestehen. Besonders dann nicht, wenn Krisensituationen nur regional begrenzt auftreten und auf dem Weltmarkt Konkurrenten agieren, die entstehende Versorgungslücken sofort schließen können.
Bitrix24 bietet über 35 Business-Tools für Ihr Unternehmen
Zu den wichtigsten Einflüssen, die unbedingt berücksichtigt werden müssen, und die in die Notfallplanung einzubeziehen sind, gehören:
● Risiken im Zusammenhang mit der IT-Struktur.
Das betrifft die Ausfallsicherheit von Hard- und Software, insbesondere die Sicherheit gegenüber Cyberangriffe.
● Finanzielle Turbulenzen.
Sie werden durch Veränderung von Zinssätzen, Wechselkursen und stark steigenden Rohstoffpreisen ausgelöst.
● Sich ändernde Marktbedingungen.
Dazu gehören wechselnde Kundenbedürfnisse und neue Trends, die Mitbewerber schneller bedienen.
● Störungen der Betriebsabläufe. Genannt werden sollen in diesem Zusammenhang als Beispiele Ausfälle von Lieferanten oder externen Dienstleistern, Krankheit und Arbeitsunfälle von Mitarbeitern, menschliches Versagen oder Prozessfehler.
● Strategische Risiken. Dazu gehören, eine nicht geklärte Unternehmensnachfolge, die Einführung neuer Technologien oder die Erschließung neuer Märkte.
● Negatives Image.
Unzufriedene Kunden, eine „schlechte Presse“ oder der Shitstorm in sozialen Medien seien dafür stellvertretend aufgeführt.
Umwelteinflüsse. Naturkatastrophen, Pandemien oder Kriege sind einige der dieser Kategorie zuzuordnenden Risiken.
Damit es gelingt, einen Notfallplan zu erstellen, müssen die Geschäftsabläufe des eigenen Unternehmens analysiert werden. Die vier wichtigsten dieser Arbeitsfolgen sind Einkauf, Herstellung, Qualitätssicherung und Kundenservice. Zur Realisierung der Prozesse werden verschiedene Ressourcen benötigt, die sich in physische, finanzielle und menschliche – die Human Resources - aufteilen lassen. Schlüsselressourcen sind entscheidend für den Geschäftserfolg, was eine besondere Berücksichtigung im Risikomanagement erfordert. Ohne sie kann kein Wert geschaffen werden. Welche Ressourcen primäre Bedeutung haben, wird sich von Firma zu Firma unterscheiden. Das können besondere Rohstoffe sein, die für die Produktion innovativer Produkte benötigt werden oder das besondere Know-how von Mitarbeitern, das zur Entwicklung qualitativ einzigartiger Dienstleistungen führt. Um welche Schlüsselressourcen es sich auch handelt, sie müssen bekannt und geschützt sein.
Gleiches gilt für die wesentlichen Geschäftsprozesse. Als solche werden die strukturierten Abläufe innerhalb des Unternehmens bezeichnet, die erforderlich sind, ein definiertes Ziel zu erreichen. Die ISO-Norm 9001:2015 legt den Grundstein dafür, dass Unternehmen, die klare Geschäftsprozesse definiert haben, erfolgreicher agieren, als diejenigen, die ausschließlich auf das Wissen und die organisatorischen Fähigkeiten einzelner Führungskräfte setzen. Als Beispiel dafür soll die Produktneuentwicklung dienen. In einem Innovationsprozess werden die Stufen von der Idee über die Planung bis zur Umsetzung beschrieben. Eine Notfallplanung muss auch die Sicherung von Geschäftsprozessen berücksichtigen.
Für den Umgang mit verschiedenen Bedrohungen, denen ein Unternehmen ausgesetzt werden kann, ist eine Richtlinie zur Reaktion auf diese Vorfälle notwendig. Ein Incident-Response-Plan (IRP) dient diesem Zweck. Der IRP – ein wichtiges Instrument der Notfallplanung – ist der Leitfaden zur Behandlung und Verwaltung von Ereignissen, die die Sicherheit der Geschäftsprozesse betrifft.
Bei der Bewertung sicherheitsrelevanter Ereignisse muss zunächst eine Einschätzung getroffen werden, ob es sich um einen Vorfall oder eine Katastrophe handelt. Eine Risikoanalyse kann im Vorfeld Kennzahlen festlegen, die eine Einordnung zulassen. So kann eine undichte Gasleitung als Vorfall eingestuft werden, wenn es eine schnelle Reparaturmöglichkeit gibt. Wird der Schaden nicht erkannt und löst eine Explosion aus, muss der Vorgang zur Katastrophe hochgestuft werden. Ein Virus im Netzwerk des Unternehmens bleibt ein Cybersicherheitsvorfall, wenn er rückstandslos beseitigt werden kann, die Verschlüsselung der Unternehmensdaten durch Ransomware kann dagegen zum Erliegen der Unternehmenstätigkeit führen.
Aufgabe des Incident-Response-Plans ist es, die Auswirkungen potenzieller Risiken zu reduzieren. In der Richtlinie werden Maßnahmen und Verfahren festgelegt, wie ein Vorfall erkannt und bewertet werden kann, welche Personen zu informieren sind und wie die Reaktion zu erfolgen hat, um den regulären Geschäftsbetrieb fortsetzen zu können. Ein gut ausgearbeiteter IRP sichert eine schnelle Reaktionszeit, eine frühzeitige Bedrohungsabwehr und damit eine gute Geschäftskontinuität. Weitere wichtige Bestandteile der genannten Richtlinie zur Notfallplanung sind die Zuweisung von Rollen mit der Übernahme von Verantwortung und eine Kommunikationsstrategie.
Die wichtigsten Rollen für die Incident Response sind der Vorfallmanager, ein Technischer Leiter und der Kommunikationsmanager. Die Aufgabe des Vorfallmanagers besteht in der Organisation und Koordination von Maßnahmen zur Beseitigung des eingetretenen Vorfalls. Er besitzt Weisungsbefugnis und kann beispielsweise fachübergreifend Mitarbeiter zur Schadensbeseitigung heranziehen. Der technische Leiter ist für die fachliche Ebene der Schadensbeseitigung verantwortlich. In enger Zusammenarbeit mit dem Vorfallmanager entscheidet er über den Einsatz von Mitarbeitern und weist ihnen Aufgaben zu. Der Kommunikationsmanager übernimmt die Aufgabe der internen und externen Informationsübermittlung.
Eine reibungslose Kommunikation spielt im Rahmen des Incident-Response-Plans eine wesentliche Rolle. Für das Team, das mit der Vorfallanalyse und der Schadensbehebung beschäftigt ist, sind eigene Kommunikationskanäle einzurichten. Der Aufbau eines internen Firmenkommunikationsnetzwerkes zeigt hier seine großen Vorteile. Ein eigener LAN Messenger sorgt für schnellen Informationsaustausch. Videochats bieten eine großartige Möglichkeit, um bei der Diskussion des Einsatzteams den einzelnen Mitarbeitern ein Bild des eingetretenen Schadens zu übermitteln. In großen Unternehmen mit verteilten Standorten eignen sich Videokonferenztools, um das Management in die Informationsstrategie einzubeziehen.
Dem Kommunikationsmanager kommt noch eine andere wichtige Aufgabe zu, die Information der Stakeholder. Besonders dann, wenn es sich um einen schwerwiegenden Vorfall handelt, sollten alle Interessensgruppen benachrichtigt werden. Das betrifft auch die Kunden. Gegebenenfalls fungiert der Kommunikationsmanager zudem als Ansprechpartner für Medienvertreter.
Zur Notfallplanung gehört eine Backup-Strategie, die auf der Analyse kritischer Geschäftsfunktionen basiert. Das sind diejenigen, die bei einer Störung unbedingt aufrechterhalten werden müssen. Solche Geschäftsfunktionen sind abhängig von der Unternehmenszielstellung, beinhalten aber in der Regel:
● Mitarbeiter mit speziellen Fähigkeiten
● Anlagen, Ausrüstungen und Technologien
● Informationen und deren Verarbeitung
● Lieferanten und deren Produkte
Eine Business-Impact-Analyse bewertet die Auswirkungen eines Störfalls auf die Geschäftsprozesse. Sie deckt auf, bis zu welchem Punkt Unterbrechungen noch akzeptabel wären und bis wann Prozessabläufe mit welchen Human Resources unbedingt wiederherzustellen sind.
Auf der Grundlage der Business-Impact-Analyse wird ein Business-Continuity-Plan und ein Disaster-Recovery-Plan angefertigt, der die Möglichkeiten beschreibt, wie das Unternehmen beim Eintritt eines Störfalls weiterarbeiten kann. Der Business-Continuity-Plan ist das umfassendere Dokument und stellt einen Notfallplan dar, der sämtliche betroffenen Geschäftsprozesse, die Vermögenswerte und alle Human Resources des Unternehmens einbezieht. Enthalten sind Checklisten über Material und Ausrüstung, Standorte der Datensicherung und Führungskräfte, die Koordinierungsfunktionen zu übernehmen haben. Für große Unternehmen enthält der Plan Handlungsanweisungen und Objektstandorte zur kontinuierlichen Sicherstellung des Betriebs. Das sind zum Beispiel Technologien, die für den Unternehmenszweck unerlässlich sind oder Einrichtungen, die Backups der IT-Daten aufbewahren. Unter dem letztgenannten Gesichtspunkt kommt dem Disaster-Recovery-Plan eine besondere Bedeutung zu. Er beinhaltet die Strategie zur Reaktion auf Störfälle innerhalb der IT-Umgebung. Backup-Standorte und die Technologie zur Wiederherstellung von Software und Daten werden in dem Plan beschrieben. Auch manuelle Lösungen zur Aufrechterhaltung des Betriebs bis zur Wiedereinsatzfähigkeit der IT-Infrastruktur gehören in einen Disaster-Recovery-Plan.
Ein fertig erstellter Notfallplan muss kommuniziert und seine Funktionsfähigkeit getestet werden. Die Bereitstellung aller Informationen für die Mitarbeiter des Unternehmens ist über mehrere Wege zu gewährleisten. Auch wenn die Verfahrensweise bekannt ist, muss beim Eintreten eines Notfalls der Zugriff auf die wichtigen Dokumente gewährleistet bleiben. Deshalb sind die Richtlinien sowohl in schriftlicher Form, als auch über ein Dokumentenmanagementsystem zu kommunizieren. Zur Dokumentenverwaltung kann das unternehmenseigene IT-Netzwerk genutzt werden, die Bereitstellung als Cloudlösung bietet eine höhere Sicherheit.
Neben den Mitarbeitern sind die als Stakeholder bezeichneten wichtigsten Interessensgruppen in die Bekanntgabe der Notfallplanung einzubeziehen. Das betrifft alle Vorstandsmitglieder, Lieferanten, wichtige Kunden und - falls vorhanden – Aktionäre, Investoren, Tochtergesellschaften und Treuhänder, um die wichtigsten zu nennen. Damit alle Stakeholder beim Eintreten einer Notfallsituation sofort informiert werden können, müssen Kommunikationsmittel und die Erreichbarkeit der entsprechenden Partner abgestimmt werden.
Die Mitarbeiter des eigenen Unternehmens müssen in der Lage sein, die Richtlinien des Notfallplans ausführen zu können. Dazu bedarf es Schulungen und Tests. Innerhalb des Business-Continuity-Plans sind deshalb regelmäßige Coachings vorzusehen. In Rollenspielen werden simulierte Abläufe getestet. Besonderer Bedeutung kommt dem Disaster-Recovery-Plan zu, der die Wiederherstellung der IT-Struktur beinhaltet. Die in einem unternehmensfernen Standort ausgelagerten Backups der Daten und Softwarekomponenten werden neu eingespielt. In Zeiten steigender Cyberkriminalität ist diese Strategie heute beinahe überlebenswichtig für jedes Unternehmen.
Im vorhergehenden Schritt wurde auf die Notwendigkeit von Schulungen und Tests verwiesen, mit denen die Strategie beim Eintreten von Störfällen einer Prüfung zu unterziehen ist. Schulungen und Übungen müssen bewertet werden, um zu klären, ob die ausgearbeiteten Konzepte erfolgreich umzusetzen sind oder angepasst werden müssen. Tests sollten nicht nur angekündigt durchgeführt werden, sondern auch zufällig und ohne die Mitarbeiter vorher in Kenntnis zu setzen. Schließlich treten Störfälle auch ohne vorherige Ankündigung ein.
Die Strategie der Notfallplanung basiert auf drei Komponenten: dem auslösenden Ereignis, der Vorgehensweise zur Aufrechterhaltung des Geschäftsbetriebs und den beteiligten Personen. Ändert sich eine dieser Komponenten, muss der Plan angepasst werden. Auslösende Ereignisse können ihre Relevanz durch Änderung der Technologie innerhalb der Geschäftsprozesse verlieren. Oft tritt aber das Gegenteil ein. Mit der Digitalisierung steigt die Bedrohung durch Cyberattacken. Die Einführung neuer Softwaretools ist deshalb immer mit einer Überprüfung des Notfallplans verbunden. Die Neueinstellung von Mitarbeitern, insbesondere ein damit verbundener Aufbau neuer Strukturen, die Schaffung einer veränderten Unternehmensführung und der Wechsel von Stakeholdern hat direkte Auswirkung auf die Kommunikationswege, die im Notfallplan festgelegt sind. Zunächst müssen neue Mitarbeiter mit den Plänen vertraut gemacht werden. Führungskräften ist ihre Rolle in der Strategie zuzuweisen und diese in der Dokumentation zu verankern.
Die aktualisierten Dokumente – eine wichtige Rolle spielt bei Personaländerungen ein gut gepflegtes CRM mit aktuellen Daten aller Interessensgruppen – sind revisionssicher in einem cloudbasierten Dokumentenmanagementsystem zu speichern und auch als gedruckte Version an einem geschützten Ort außerhalb des Unternehmens aufzubewahren.
Die meisten als unvorhersehbare Ereignisse eingestuften Störfälle sind keine solchen, denn sie lassen sich im Vorfeld erkennen. Das Aufdecken von Risiken, ihre Bewertung und Priorisierung, verbunden mit der Analyse der Geschäftsvorgänge des eigenen Unternehmens, muss zur Entwicklung eines Reaktionsplans auf Bedrohungen führen. Dieser wiederum bildet die Basis einer komplexen Strategie, die neben einer Dokumentation zur Weiterführung des Geschäftsbetriebs, die Festlegung von Verantwortlichkeiten und Kommunikationsverfahren beinhaltet.
Stellen Sie Ihr Risikomanagement immer wieder auf den Prüfstand und passen Sie es den sich schnell ändernden Bedingungen einer weiter fortschreitenden Digitalisierung der Wirtschaft an. Der Notfallplan wird dadurch zum wesentlichen Bestandteil einer langfristig erfolgreichen Unternehmensführung.
Die Notfallplanung sichert die Aufrechterhaltung der Geschäftstätigkeit eines Unternehmens beim Eintritt von Ereignissen, die den planmäßigen Betriebsablauf gefährden oder unmöglich machen. Diese Backup-Strategie soll ausschließen, dass unvorhergesehene Geschehnisse die unternehmerische Tätigkeit zum Erliegen bringen. Ein gut konzipierter Notfallplan sorgt also dafür, dass es gar keine unvorhergesehenen Ereignisse gibt.
Der Definition von Notfallplänen kommt gerade in jüngster Zeit eine besonders hohe Bedeutung zu. Eine pandemische Situation sorgte für krankheitsbedingte hohe Ausfallraten von Mitarbeitern, ein mitten in Europa stattfindenden Krieg ließ Energiepreise explodieren und sorgte für Lieferengpässe. Die derzeit hohe Inflationsrate trübt das Konsumklima ein. Firmen, die solche und andere Risiken unberücksichtigt lassen, können in einem globalen Wettbewerb nicht bestehen. Besonders dann nicht, wenn Krisensituationen nur regional begrenzt auftreten und auf dem Weltmarkt Konkurrenten agieren, die entstehende Versorgungslücken sofort schließen können.
Der folgende Artikel beschreibt in sieben Schritten eine proaktive Strategie der Notfallplanung, die verhindert, dass ein Unternehmen seine Tätigkeit einstellen muss, selbst wenn äußere Einflussfaktoren dies als unabdingbar erscheinen lassen.
Einen wesentlichen Bestandteil eines Notfallplans bildet das Verfahren, mit dem ein Störfall im Unternehmen abgewendet werden kann, die Rollen, die Verantwortliche innerhalb des Verfahrens zu übernehmen haben und die Kommunikationswege zur Information der Mitarbeiter und Stakeholder. Im Plan sind auch regelmäßige Tests zur Überprüfung der Methodik verankert.
Disaster Recovery beschreibt die Methode, nach Störfällen wieder Zugriff auf die IT-Struktur zu erhalten. Besonders für Cyberangriffe, die mit einer Verschlüsselung der gesamten Informationen einhergehen, ist eine Backup-Strategie erforderlich, die den kompletten Datenbestand sicher aufbewahrt und keinen Zugriff durch Ransomware ermöglicht.
Der Notfallplan muss auf einer Plattform veröffentlicht werden, wo er in der jeweils aktuellen Fassung allen Mitarbeitern des Unternehmens und den als Stakeholdern bezeichneten Interessensgruppen zur Verfügung steht. Dafür eignet sich am besten ein cloudbasiertes Dokumentenmanagementsystem, das den Zugriff unabhängig vom unternehmenseigenen Firmennetzwerk sichert.
Der als Incident-Response-Plan bezeichnete Reaktionsplan auf Vorfälle ist eine Dokumentation zur Aufdeckung und Abwendung von Störfällen, die den Geschäftsbetrieb eines Unternehmens stark beeinträchtigen oder unmöglich machen. Ein solcher Notfallplan behandelt Szenarien und Kommunikationswege, mit denen die als verantwortlich zugewiesene Personen die Wirtschaftsprozesse aufrechterhalten können.
Zu den wichtigsten Einflüssen, die unbedingt berücksichtigt werden müssen, und die in die Notfallplanung einzubeziehen sind, gehören:
● Risiken im Zusammenhang mit der IT-Struktur.
Das betrifft die Ausfallsicherheit von Hard- und Software, insbesondere die Sicherheit gegenüber Cyberangriffe.
● Finanzielle Turbulenzen.
Sie werden durch Veränderung von Zinssätzen, Wechselkursen und stark steigenden Rohstoffpreisen ausgelöst.
● Sich ändernde Marktbedingungen.
Dazu gehören wechselnde Kundenbedürfnisse und neue Trends, die Mitbewerber schneller bedienen.
● Störungen der Betriebsabläufe. Genannt werden sollen in diesem Zusammenhang als Beispiele Ausfälle von Lieferanten oder externen Dienstleistern, Krankheit und Arbeitsunfälle von Mitarbeitern, menschliches Versagen oder Prozessfehler.
● Strategische Risiken. Dazu gehören, eine nicht geklärte Unternehmensnachfolge, die Einführung neuer Technologien oder die Erschließung neuer Märkte.
● Negatives Image.
Unzufriedene Kunden, eine „schlechte Presse“ oder der Shitstorm in sozialen Medien seien dafür stellvertretend aufgeführt.
Umwelteinflüsse. Naturkatastrophen, Pandemien oder Kriege sind einige der dieser Kategorie zuzuordnenden Risiken.
Damit es gelingt, einen Notfallplan zu erstellen, müssen die Geschäftsabläufe des eigenen Unternehmens analysiert werden. Die vier wichtigsten dieser Arbeitsfolgen sind Einkauf, Herstellung, Qualitätssicherung und Kundenservice. Zur Realisierung der Prozesse werden verschiedene Ressourcen benötigt, die sich in physische, finanzielle und menschliche – die Human Resources - aufteilen lassen. Schlüsselressourcen sind entscheidend für den Geschäftserfolg, was eine besondere Berücksichtigung im Risikomanagement erfordert. Ohne sie kann kein Wert geschaffen werden. Welche Ressourcen primäre Bedeutung haben, wird sich von Firma zu Firma unterscheiden. Das können besondere Rohstoffe sein, die für die Produktion innovativer Produkte benötigt werden oder das besondere Know-how von Mitarbeitern, das zur Entwicklung qualitativ einzigartiger Dienstleistungen führt. Um welche Schlüsselressourcen es sich auch handelt, sie müssen bekannt und geschützt sein.
Gleiches gilt für die wesentlichen Geschäftsprozesse. Als solche werden die strukturierten Abläufe innerhalb des Unternehmens bezeichnet, die erforderlich sind, ein definiertes Ziel zu erreichen. Die ISO-Norm 9001:2015 legt den Grundstein dafür, dass Unternehmen, die klare Geschäftsprozesse definiert haben, erfolgreicher agieren, als diejenigen, die ausschließlich auf das Wissen und die organisatorischen Fähigkeiten einzelner Führungskräfte setzen. Als Beispiel dafür soll die Produktneuentwicklung dienen. In einem Innovationsprozess werden die Stufen von der Idee über die Planung bis zur Umsetzung beschrieben. Eine Notfallplanung muss auch die Sicherung von Geschäftsprozessen berücksichtigen.
Für den Umgang mit verschiedenen Bedrohungen, denen ein Unternehmen ausgesetzt werden kann, ist eine Richtlinie zur Reaktion auf diese Vorfälle notwendig. Ein Incident-Response-Plan (IRP) dient diesem Zweck. Der IRP – ein wichtiges Instrument der Notfallplanung – ist der Leitfaden zur Behandlung und Verwaltung von Ereignissen, die die Sicherheit der Geschäftsprozesse betrifft.
Bei der Bewertung sicherheitsrelevanter Ereignisse muss zunächst eine Einschätzung getroffen werden, ob es sich um einen Vorfall oder eine Katastrophe handelt. Eine Risikoanalyse kann im Vorfeld Kennzahlen festlegen, die eine Einordnung zulassen. So kann eine undichte Gasleitung als Vorfall eingestuft werden, wenn es eine schnelle Reparaturmöglichkeit gibt. Wird der Schaden nicht erkannt und löst eine Explosion aus, muss der Vorgang zur Katastrophe hochgestuft werden. Ein Virus im Netzwerk des Unternehmens bleibt ein Cybersicherheitsvorfall, wenn er rückstandslos beseitigt werden kann, die Verschlüsselung der Unternehmensdaten durch Ransomware kann dagegen zum Erliegen der Unternehmenstätigkeit führen.
Aufgabe des Incident-Response-Plans ist es, die Auswirkungen potenzieller Risiken zu reduzieren. In der Richtlinie werden Maßnahmen und Verfahren festgelegt, wie ein Vorfall erkannt und bewertet werden kann, welche Personen zu informieren sind und wie die Reaktion zu erfolgen hat, um den regulären Geschäftsbetrieb fortsetzen zu können. Ein gut ausgearbeiteter IRP sichert eine schnelle Reaktionszeit, eine frühzeitige Bedrohungsabwehr und damit eine gute Geschäftskontinuität. Weitere wichtige Bestandteile der genannten Richtlinie zur Notfallplanung sind die Zuweisung von Rollen mit der Übernahme von Verantwortung und eine Kommunikationsstrategie.
Eine reibungslose Kommunikation spielt im Rahmen des Incident-Response-Plans eine wesentliche Rolle. Für das Team, das mit der Vorfallanalyse und der Schadensbehebung beschäftigt ist, sind eigene Kommunikationskanäle einzurichten. Der Aufbau eines internen Firmenkommunikationsnetzwerkes zeigt hier seine großen Vorteile. Ein eigener LAN Messenger sorgt für schnellen Informationsaustausch. Videochats bieten eine großartige Möglichkeit, um bei der Diskussion des Einsatzteams den einzelnen Mitarbeitern ein Bild des eingetretenen Schadens zu übermitteln. In großen Unternehmen mit verteilten Standorten eignen sich Videokonferenztools, um das Management in die Informationsstrategie einzubeziehen.
Dem Kommunikationsmanager kommt noch eine andere wichtige Aufgabe zu, die Information der Stakeholder. Besonders dann, wenn es sich um einen schwerwiegenden Vorfall handelt, sollten alle Interessensgruppen benachrichtigt werden. Das betrifft auch die Kunden. Gegebenenfalls fungiert der Kommunikationsmanager zudem als Ansprechpartner für Medienvertreter.
● Mitarbeiter mit speziellen Fähigkeiten
● Anlagen, Ausrüstungen und Technologien
● Informationen und deren Verarbeitung
● Lieferanten und deren Produkte
Eine Business-Impact-Analyse bewertet die Auswirkungen eines Störfalls auf die Geschäftsprozesse. Sie deckt auf, bis zu welchem Punkt Unterbrechungen noch akzeptabel wären und bis wann Prozessabläufe mit welchen Human Resources unbedingt wiederherzustellen sind.
Auf der Grundlage der Business-Impact-Analyse wird ein Business-Continuity-Plan und ein Disaster-Recovery-Plan angefertigt, der die Möglichkeiten beschreibt, wie das Unternehmen beim Eintritt eines Störfalls weiterarbeiten kann. Der Business-Continuity-Plan ist das umfassendere Dokument und stellt einen Notfallplan dar, der sämtliche betroffenen Geschäftsprozesse, die Vermögenswerte und alle Human Resources des Unternehmens einbezieht. Enthalten sind Checklisten über Material und Ausrüstung, Standorte der Datensicherung und Führungskräfte, die Koordinierungsfunktionen zu übernehmen haben. Für große Unternehmen enthält der Plan Handlungsanweisungen und Objektstandorte zur kontinuierlichen Sicherstellung des Betriebs. Das sind zum Beispiel Technologien, die für den Unternehmenszweck unerlässlich sind oder Einrichtungen, die Backups der IT-Daten aufbewahren. Unter dem letztgenannten Gesichtspunkt kommt dem Disaster-Recovery-Plan eine besondere Bedeutung zu. Er beinhaltet die Strategie zur Reaktion auf Störfälle innerhalb der IT-Umgebung. Backup-Standorte und die Technologie zur Wiederherstellung von Software und Daten werden in dem Plan beschrieben. Auch manuelle Lösungen zur Aufrechterhaltung des Betriebs bis zur Wiedereinsatzfähigkeit der IT-Infrastruktur gehören in einen Disaster-Recovery-Plan.
Ein fertig erstellter Notfallplan muss kommuniziert und seine Funktionsfähigkeit getestet werden. Die Bereitstellung aller Informationen für die Mitarbeiter des Unternehmens ist über mehrere Wege zu gewährleisten. Auch wenn die Verfahrensweise bekannt ist, muss beim Eintreten eines Notfalls der Zugriff auf die wichtigen Dokumente gewährleistet bleiben. Deshalb sind die Richtlinien sowohl in schriftlicher Form, als auch über ein Dokumentenmanagementsystem zu kommunizieren. Zur Dokumentenverwaltung kann das unternehmenseigene IT-Netzwerk genutzt werden, die Bereitstellung als Cloudlösung bietet eine höhere Sicherheit.
Neben den Mitarbeitern sind die als Stakeholder bezeichneten wichtigsten Interessensgruppen in die Bekanntgabe der Notfallplanung einzubeziehen. Das betrifft alle Vorstandsmitglieder, Lieferanten, wichtige Kunden und - falls vorhanden – Aktionäre, Investoren, Tochtergesellschaften und Treuhänder, um die wichtigsten zu nennen. Damit alle Stakeholder beim Eintreten einer Notfallsituation sofort informiert werden können, müssen Kommunikationsmittel und die Erreichbarkeit der entsprechenden Partner abgestimmt werden.
Die Mitarbeiter des eigenen Unternehmens müssen in der Lage sein, die Richtlinien des Notfallplans ausführen zu können. Dazu bedarf es Schulungen und Tests. Innerhalb des Business-Continuity-Plans sind deshalb regelmäßige Coachings vorzusehen. In Rollenspielen werden simulierte Abläufe getestet. Besonderer Bedeutung kommt dem Disaster-Recovery-Plan zu, der die Wiederherstellung der IT-Struktur beinhaltet. Die in einem unternehmensfernen Standort ausgelagerten Backups der Daten und Softwarekomponenten werden neu eingespielt. In Zeiten steigender Cyberkriminalität ist diese Strategie heute beinahe überlebenswichtig für jedes Unternehmen.
Im vorhergehenden Schritt wurde auf die Notwendigkeit von Schulungen und Tests verwiesen, mit denen die Strategie beim Eintreten von Störfällen einer Prüfung zu unterziehen ist. Schulungen und Übungen müssen bewertet werden, um zu klären, ob die ausgearbeiteten Konzepte erfolgreich umzusetzen sind oder angepasst werden müssen. Tests sollten nicht nur angekündigt durchgeführt werden, sondern auch zufällig und ohne die Mitarbeiter vorher in Kenntnis zu setzen. Schließlich treten Störfälle auch ohne vorherige Ankündigung ein.
Die Strategie der Notfallplanung basiert auf drei Komponenten: dem auslösenden Ereignis, der Vorgehensweise zur Aufrechterhaltung des Geschäftsbetriebs und den beteiligten Personen. Ändert sich eine dieser Komponenten, muss der Plan angepasst werden. Auslösende Ereignisse können ihre Relevanz durch Änderung der Technologie innerhalb der Geschäftsprozesse verlieren. Oft tritt aber das Gegenteil ein. Mit der Digitalisierung steigt die Bedrohung durch Cyberattacken. Die Einführung neuer Softwaretools ist deshalb immer mit einer Überprüfung des Notfallplans verbunden. Die Neueinstellung von Mitarbeitern, insbesondere ein damit verbundener Aufbau neuer Strukturen, die Schaffung einer veränderten Unternehmensführung und der Wechsel von Stakeholdern hat direkte Auswirkung auf die Kommunikationswege, die im Notfallplan festgelegt sind. Zunächst müssen neue Mitarbeiter mit den Plänen vertraut gemacht werden. Führungskräften ist ihre Rolle in der Strategie zuzuweisen und diese in der Dokumentation zu verankern.
Die aktualisierten Dokumente – eine wichtige Rolle spielt bei Personaländerungen ein gut gepflegtes CRM mit aktuellen Daten aller Interessensgruppen – sind revisionssicher in einem cloudbasierten Dokumentenmanagementsystem zu speichern und auch als gedruckte Version an einem geschützten Ort außerhalb des Unternehmens aufzubewahren.
Stellen Sie Ihr Risikomanagement immer wieder auf den Prüfstand und passen Sie es den sich schnell ändernden Bedingungen einer weiter fortschreitenden Digitalisierung der Wirtschaft an. Der Notfallplan wird dadurch zum wesentlichen Bestandteil einer langfristig erfolgreichen Unternehmensführung.