von Thomas Radloff

1.    Einleitung

Für viele Unternehmen, die sich mit den Themen Notfallmanagement und Business Continuity Management auseinandersetzten, stellt sich die Frage, an welchen Standard sich diese Institution orientieren möchte: International ist sicherlich die ISO 22301 der gängigste Standard. In diesem Umfeld ist auch der Good Practice Guide des Business Continuity Institute weit verbreitet. Für Institutionen, die nur im deutschen Markt aktiv sind, gab es bisher auch den BSI (Bundesamt für Sicherheit in der Informationstechnik) „100-4 Notfallmanagement“. Nun hat das BSI mit dem „200-4 Business Continuity Management“ eine komplette Überarbeitung des 100-4 als Community Draft veröffentlicht.

Wie zu erkennen ist, geht der neue Standard den Weg vom Notfallmanagement hin zum Business Continuity Management, vor allem um zu verdeutlichen, dass es sich dabei um ein Managementsystem handelt. Die in der ISO Norm gängige PDCA (Plan, Do, Check, Act) Logik greift der 200-4 nahtlos auf.

2.    Wesentliche Neuerungen des BSI 200-4

Der 200-4 ersetzt den 100-4. Durch einen modularen Aufbau dient dieser Institutionen unterschiedlicher Größe als gängiger Standard. Dabei gibt es folgende, wesentliche Neuerungen vom 100-4 zum 200-4:

  • Einführung eines Stufenmodells, dabei Unterscheidung zwischen Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS.
  • Erstellung praxisnaher Anleitungen, für den Aufbau, Betrieb und die kontinuierliche Weiterentwicklung eines BCMS
  • Anpassung an den ISO-Standard 22301:2019
  • Ganzheitliche Betrachtung des Business Continuity Management im Fokus der Resilienz
  • Änderung des Begriffs „Notfallmanagement“ in „Business Continuity Management“
  • Ergänzung der BCM-Prozessschritte Voranalyse und Soll-Ist-Abgleich
  • Berücksichtigung der Schnittstellen und Synergien des BCM mit beispielsweise dem IT-Service Continuity Management und weiteren Managementsystemen
  • Ausführlichere Beschreibung der Bewältigungsorganisation mit ihren Strukturen

3.    Der BSI 200-4 in der Zusammenfassung:

Das Ziel des 200-4 lautet: „Der Standard soll Institutionen ganz gleich welcher Art, Größe oder Tätigkeit dabei unterstützen, ein BCM-System (BCMS) aufzubauen, das auf ihre spezifischen Anforderungen ausgerichtet ist“(BSI). Dieses Ziel ist in der Formulierung her zwar knapp, die Umsetzung jedoch wesentlich komplexer.

Dieses knapp verfasste Ziel kann um einige Punkte erweitert werden, um ein klareres Bild zu vermitteln:

  • Der 200-4 soll für alle Organisationen aller Branchen und Größen anwendbar sein – dennoch legt er großen Wert auf konkrete Umsetzungshilfen, die bei der Implementierung und dem Betrieb eines BCMS helfen sollen.
  • Der 200-4 verwendet ein Stufenmodell: Dabei steht es Unternehmen frei, ob sie eine „Grundabsicherung“ oder einen „vollumfänglichen Schutz“ für sich etablieren wollen.
  • Die Kompatibilität zum 100-4 ist wichtig. Der Standard soll sich auf ein bereits bestehendes BCMS anwenden lassen und bei vollständiger Umsetzung eine Zertifizierung nach ISO 22301 ermöglichen.
  • Der 200-4 soll sich als praxisnaher Standard etablieren, der dennoch generisch ist.
  • Der 200-4 soll sich nahtlos in die BSI-Standards 200-1 bis 200-3 eingliedern.
  • Schneller Einstieg für BCM-Neulinge und relevante Anforderungen für BCM-Erfahrene

Der 200-4 betont mehrfach, dass er nicht als „Stand-alone“ Managementsystem verstanden werden will. Viel wichtiger ist, die Eingliederung in eine Kette von Managementsystemen, die Schnittstellen etwa zum ITSCM und dem Risikomanagement aufbaut. Wird das Thema BCM weitergedacht und als Resilienz verstanden, bekommen diese Schnittstellen eine deutlich wichtigere Bedeutung.

In den nachfolgenden Kapiteln soll es detaillierten um die einzelnen Phasen eines BCMS und den Anforderungen des 200-4 gehen. Dabei liegt der Schwerpunkt auf den Änderungen zum 100-4:

3.1 Initiierung und Konzeption

Die Initiierung hat nur kleinen Änderungen erfahren. Die Gesamtverantwortung für das BCMS verbleibt in den höchsten Managementebenen des Unternehmens. Die operative Umsetzung wird jedoch an einen BCM-Beauftragten abgegeben. Diese Rolle nennt sich Business Continuity Manager.  Dem BC Manager steht es zu, weitere Rollen für das BC Managments innerhalb der Organisation zu etablieren, abhängig von der Größe des Unternehmens. Außerdem muss er dafür Sorge tragen, dass ausreichende Ressourcen und Know-how zur Verfügung stehen, sowie sich um Schulungs- und Sensibilisierungsmaßnahmen kümmern.

Neu ist, dass der 200-4 zwischen drei Aufbaustufen unterscheidet. Diese sind vor allem bei der erstmaligen Implementierung eines BCMS interessant: 

  • Das Reaktiv-BCMS ist eine Einstiegsstufe und richtet sich an Organisationen mit beschränkten Mitteln und wenig Vorerfahrung im BCM. Hierbei werden alle BCM Prozessschritte vorgezogen, die eine angemessene Notfallbewältigung ermöglichen, während man tiefgreifende Analysen des Geschäftsbetriebs sowie die Notfallvorsorge zurückstellen kann. Wichtig ist, dass diese Form nur ein erster Schritt hin zu einem vollständigen BCMS darstellen kann. Als dauerhafte Lösung kann diese Stufe nicht betrachtet werden
  • Das Aufbau-BCMS stellt eine konsequente Weiterentwicklung des Reaktiv-BCMS dar. Hierbei sind bereits alle Prozessschritte und Methoden vollständige etabliert. Der Fokus liegt jedoch nicht auf dem gesamten Unternehmen. In den Untersuchungsbereichen der BIA und des Risikomanagements werden klare Abgrenzungen getroffen. Dies spart Zeit und Ressourcen. Wichtig ist hierbei, vor allem die zeitkritischen Unternehmensprozesse abzusichern. Dadurch entsteht jedoch keine komplette Absicherung der Geschäftsbereiche.
  • Erst das Standard-BCMS ermöglicht es, ein vollständiges und anforderungsgerechtes BCMS aufzubauen. Vollständig meint dabei, dass alle Geschäftsprozesse im Geltungsbereich des BCMS untersucht und bedarfsweise abgesichert werden – zudem sind sowohl die Notfallvorsorge als auch Notfallbewältigung gleichwertig berücksichtigt. Wenn ein Standard-BCMS gemäß BSI-Standard 200-4 umgesetzt wird, sind darüber gleichzeitig auch alle Anforderungen nach ISO 22301:2019 abgedeckt.

3.2 Plan / Do

Neben der BIA (Business Impact Analyse) und Risikoanalyse wurden weitere Analysemethoden ergänzt: die Voranalyse sowie der Soll-Ist-Vergleich.

Die Voranalyse bezieht sich vor allem auf ein Reaktiv- und ein Aufbau-BCMS und stellt eine „BIA light“ dar. Statt einer komplexen Untersuchung aller Geschäftsprozesse beschränkt sich die Voranalyse dabei zunächst auf die Betrachtung der Organisationseinheiten. Die Vorabanalyse bietet hierbei die Möglichkeit, mit wenigen Leitfragen einfach und schnell zu ermitteln, ob eine OE zeitkritisch ist oder nicht. Ist sie es, soll eine vollständige BIA durchgeführt werden.

Die BIA bleibt in ihrer Umsetzung gleich. Allerdings ändert sich die Methode der Schadensbewertung hin zum Worst-Case Prinzip: Hierbei werden die Geschäftsprozesse nicht mehr nach verschiedenen Zeithorizonten bewertet, sondern zusammengefasst. Dabei wird jeweils nur der höchste Schadenswert dokumentiert. Dies soll den Dokumentationsaufwand der BIA verringern. Im Reaktiv- und Aufbau-BCMS entfällt zusätzlich die Betrachtung der Prozessabhängigkeiten.

Für alle BCMS-Stufen gleichermaßen gilt der neu aufgenommene Soll-Ist-Vergleich, der sich an die BIA anschließt. In diesem Prozessschritt wird überprüft, ob sich die soeben ermittelten Wiederanlaufanforderungen (RTO) in der Realität überhaupt erreichen lassen. Dazu wird dem RTO die zugesicherte Wiederanlaufzeit (Recovery-Time-Achievable, RTA) gegenübergestellt.

Der Begriff der BCM-Risikoanalyse wurde geschärft, der 200-4 verzichtet jedoch auf eine eigene Entwicklung eines Risikostandards und verweist auf den ISO-Standard 27005. Es wird lediglich auf die Besonderheiten der Risikoanalyse im BCM eingegangen. Hierbei können auch Erkenntnisse aus einem bereits als Risikomanagementsystem einfließen.

Deutlich stärker hervorgehoben wird der Stellenwert der Business-Continuity Strategien und -Lösungen, der Geschäftsfortführungsplanung sowie der Wiederanlaufplanung. Diese Elemente stellen das Notfallkonzept für zeitkritische Prozesse dar.

3.3 Check

Der 200-4 orientierte sich in der Check-Phase sehr deutlich an den Anforderungen der ISO 22301 und legt einen klaren Fokus auf das Üben und Testen. Dabei beinhaltet er im Wesentlichen vier Anforderungen: Übungen, Tests, Leistungsüberprüfungen und eine Managementbewertung.

Dabei spielt die Dokumentation der Tests und Übungen nur eine untergeordnete Rolle. Vielmehr geht es um korrekte Handlungsschritte, um Übungen, Überprüfungen und Managementbewertungen zu konzipieren. Die Bewertung der Ergebnisse spielt ebenfalls eine Rolle.

3.4 Act

Hierbei spielen nochmals die unterschiedlichen Aufbau-Strukturen des BCMS eine Rolle. Während bei einem Reaktiv-BCMS in dieser Phase von einem weiteren Aufbau des BCMS ausgegangen. Ein Aufbau- und Standard-BCMS sollte sich an der kontinuierlichen Verbesserung aus der ISO 22301 orientieren.

3.5 Detaillierter als ISO 22301

Der 200-4 erhebt für sich den Anspruch, detaillierter als die ISO 22301 zu sein. Dabei ist der ISO-Standard 22301 wie alle ISOs normativ aufgebaut. Er sagt, was zu tun ist. Im konkreten Fall, wie ein BCMS aufgebaut, betrieben und kontinuierlich weiterentwickelt werden soll. Wie ein Unternehmen dies jedoch umsetzt, bleibt dem Unternehmen freigestellt. Und genau hier setzt der 200-4 an und will konkrete Umsetzungshilfen liefern. Dabei unterscheidet der 200-4, ob eine Anforderung umgesetzt werden muss, soll oder kann.

Da durch diese Umsetzungshilfen ein sehr umfangreiches Dokument entstanden ist, wird geplant, einen Anhang des 200-4 zu veröffentlichen, der ebenfalls eine rein normative Anforderung an ein BCMS enthält.

3.6 Schwerpunkt: Notfall- und Krisenbewältigung

Der 200-4 nimmt ein weiteres Thema mit auf, welche in der ISO 22301 nicht näher erläutert wird: Die Notfallbewältigung. Hierbei nimmt der 200-4 die Themen aus dem 100-4 wieder auf und erweitert die Kapitel Notfallbewältigung und Krisenmanagement um weitere Aspekte, etwa die Befähigung einer Bewältigungsorganisation, über die Alarmierung und Eskalation bis hin zur Stabsarbeit und Deeskalation eines Schadensereignisses.

4.    Kritik  

Der 200-4 stellt eine konsequente Weiterentwicklung des 100-4 dar. Dabei beruhen die Anpassungen zu großen Teilen auf den Änderungen in der ISO 22301. Hierbei kommt dann auch gleich die erste Frage auf: Wenn es zukünftig einen normativen Anhang des 200-4 geben soll, der auf der ISO 22301 beruht, wofür braucht eine dann einen 200-4.

Sicherlich liefert er zahlreiche Hilfen, die besonders bei einem im Aufbau befindlichen BCMS den Anwendern wichtige Tipps geben können – doch solche gibt es im Good Practice Guide des BCI ebenfalls. 

Hinzu kommt, dass es für Unternehmen zwar zukünftig möglich sein soll, sich nach dem 200-4 zertifizieren zu lassen, im internationalen Umfeld diese Norm aber wohl kaum Beachtung finden wird. Hier wird es auch zukünftig eine Zertifizierung nach ISO 22301 erforderlich sein.

Insgesamt kann man sagen, dass es war ein guter Schritt ist, Unternehmen weitere Dokumente und Hilfen zum Thema BCM zu geben, ob sich die Ausgaben von Steuergeldern für eine Übersetzung der ISO 22301 und eine Einarbeitung des Good Practice Guides lohnt, wird sich erst in Zukunft bei der Akzeptanz des 200-4 zeigen.