Schützen Sie Ihr Geschäft mit Business Impact Analysis (BIA)

Wenn ein Schaden auftritt, ist es wichtig Ihre Geschäftsprozesse zu schützen.

Viele Maßnahmen betrachten die Vermeidung von Schäden. Doch war wäre, wenn der Schaden eintritt und wichtige Geschäftsprozesse davon betroffen sind. Hier setzt die Business-Impact-Analyse an.

/

InformationssicherheitBlogThemaBIANotfall

Es ist passiert...

Jetzt ist es tatsächlich passiert, was nicht passieren dürfte. Ein Brand im Stromverteiler führt zum Ausfall der Produktion und der zugehörigen IT. Bis die Produktion wieder hochgefahren werden kann, werden wohl mehrere Wochen vergehen. Die entstehenden Kosten werden immens sein. Ob das Unternehmen diese Situation überstehen wird?

Vorausschauen statt nur Absichern

Viele Unternehmen investieren viel (zuviel), um mit verschiedensten Maßnahmen Ihr Geschäftsprozesse vor Ausfällen zu bewahren. Dieser Ansatz vergisst, dass es keine 100%ige Sicherheit geben kann. Ein möglicher Ausfall und der resultierende Schaden sollte eine Teil der Unternehmensplanung sein. Hier setzt die Business Impact Analysis (BIA) an.

Die BIA ist ein unverzichtbarer Bestandteil im Bereich Betriebliches Kontinuitätsmanagement (Business Continuity). Durch die Betrachtung des Geschäftsbetriebs und der relevanten Geschäftsprozesse für den Fall eines Ausfalls, werden Schwachstellen aufgedeckt und Strategien zur Risiko-Minimierung entwickelt. Das Ergebnis einer solchen Analyse ist der Business Impact Analysis Report, der potenziellen Risiken, Prioritäten und Schäden  für das untersuchte Unternehmen auflistet.

Die BIA geht davon aus, dass jeder Geschäftsprozess und jede IT-Komponente in einem Unternehmen von anderen Prozessen sowie Komponenten abhängig sein kann. Einige sind aber unternehmenskritischer als andere. Diese unternehmenskritischen Einheiten sind zu identifizieren und gezielt mit vor Ausfällen abzusichern. Ist als Beispiel ein Online-Shop von einem einzelnen Server abhängig, ist es besser, diesen stärker abzusichern oder redundant auszulegen.

Bei den Betrachtungen spielen die Kosten (und Schäden) eine wichtige Rolle. Die Kosten können unterschiedlicher Art sein, sind aber berechenbar. Anders sieht es bei Personenschäden oder Reputationen aus. Undm damit sind wir beim Thema Notfallmanagement (Disaster Recovery) angekommen, was für Kosten entstehen beim Wiederanfahren der ausgefallen geschäftsprozesse. In einem BIA-Bericht wird die Bedeutung von geschäftlichen Komponenten quantifiziert und angemessene Maßnahmen zum Schutz der Komponeten vorgeschlagen, Mögliche Ausfälle werden auf ihre Auswirkungen nach Sicherheit, Finanzen, Marketing, Compliance und Qualitätssicherung (wenn möglich in Geldeinheiten) bewertet.

Ist das Gröbste vorbei, sollte die Erfahrungen in die weitere Entwicklung der BIA einfließen und zukünftige Auswirkungen eines Desasters ermitteln und dabei helfen, Prioritäten, Recovery-Strategien, Zeitaufwände und Ressourcenanforderungen zu bestimmen.

Business-Impact-Analyse und Risikobewertung

Oft wird der Begriff Risiko mit dem dem Thema BIA verwechselt. Beides sind wichtige Bestandteile der Unternehmensplanung. Die BIA beginnt in der Regel vor der Risikobewertung und betrachtet die Auswirkungen, die eine Störung auf Geschäftsprozesse haben kann und quantifiziert die finanziellen und nicht-finanziellen Aufwände in Geldeinheiten. Der Fokus liegt auf den wichtigsten Geschäftsprozessen, also im wesentlichen die Kernprozesse eines Unternehmens. Hierbei ist die Vernetzung der Geschäftsprozesse zu berücksichtigen.

Eine Risikobewertung erkennt mögliche Gefahren, die durch Gefährdungen, wie z.B. Feuer, Personenausfall oder Cyber-Attacken entstehen. Es werden eher punktuell Risiken erkannt, bewertet und im Vorfeld Maßnahmen zur Risikoverminderung ergriffen. Diese Betrachtung kann sich mit der BIA überschneiden, aber es werden mögliche Ausfälle und Schäden betrachtet, im Gegensatz zur BIA, wo ein Schaden eingetreten ist.

Bausteine der Business-Impact-Analyse

Die oben erwähnte Überschneidund zwischen Risikobewertung und BIA erlauben es mögliche Eintrittszenarien (Desasterszenarien) abgleichen und die Folgen zu priorisieren.. Priorisierung erfolgt dann basierend auf der Wahrscheinlichkeit und der Auswirkung eines Störung (Impact) auf die Geschäftsprozesse des Unternehmens. Die ermittelten Kosten helfen bei der Begründung und Steuerung von Investitionen in Schadensminderung, die Vorbeugung sowie in Recovery-Strategien.

Vorgehen bei derBusiness-Impact-Analyse

Die BSI entwickelt mit dem Standard 200-4 eine Vorgehensweise für die BIA. Diese Vorgehensweise kann jedoch je nach Unternehmen variieren. Allgemein betrachtet, besteht die BIA aus folgenden Schritten:

  • Informationen sammeln, z.B. bei Interviews.
  • Informationen evaluieren.
  • Report zusammenstellen.
  • Resultate dem Management präsentieren.
Die Aufgaben im Rahmen der BIA können auch an externe Unternehmen (wie die UI Manufaktur) abgegeben werden.

Interviews helfen dabei, aktuelle wichtige Geschäftsprozesse, Beziehungen und darüber hinaus gehende Informationen zu identifizieren. Damit wird es möglich, mögliche Auswirkungen eines Störfalls frühzeitig zu bewerten. Die Mitarbeiter sollten motiviert werden, das nötige Wissen darüber Ihre Prozesse weiterzugeben. Persönliche Interviews sind in der Regel effizienter als automatisierte Umfragen.

Fragen zur Business-Impact-Analyse

Mögliche Fragen wären:
  • Welche Abhängigkeiten bestehen zwischen Systemen, Geschäftsprozessen und Abteilungen?
  • Welche Risiken bestehen an kritischen Prozessschritten?
  • Gibt es SLAs und wer ist verantwortlich?
  • Wie ist das Notfallmanagement gestaltet?
Diese Informationen brauchen Sie für die BIA:
  1. Verantwortlichkeite, Abteilungen oder Standorte von Prozessen
  2. Prozessname und detaillierte Beschreibung
  3. Schnittstellen (In- und Outputs) eines Prozesses.
  4. Die maximale tolerierbare Ausfallzeit eines Prozesses
  5. Finanzielle und betriebliche Auswirkungen eines Ausfalls.
  6. Menschliche und technologische Ressourcen im Prozess bestimmen
  7. Außenauswirkungen (z.B. in Richtung Geschäftspartner)
  8. Liste von Abteilungen, die vom Prozess abhängig sind.
  9. Rechtliche und behördliche Auswirkungen eines Prozessausfalls
  10. Frühere Ausfälle
Sind die Informationen vollständig,  beginnt die Prüfungsphase oft zusammen mit den Wirtschaftsführern.

Business-Impact-Analyse-Resultate analysieren

Wir sind immer noch dabei, die wichtigsten Geschäftsfunktionen und Systeme in einem Unternehmen zu identifizieren. Die BIA bestimmt auch das Zeitfenster, in dem die Geschäftsfunktionen wiederhergestellt werden müssen, um eine möglichst normalen Geschäftbetrieb wieder herzustellen. Die Analyse kann manuell oder computergestützt (mit unserer Software [noch in Arbeit]) durchgeführt werden.

Der oben erwähnte BIA-Report umfasst eine Zusammenfassung, beschreibung der Vorgehensweise, Ergebnisse aus verschiedenen Geschäftsabteilungen und Diagramme, um Verluste bzw. Kosten zu visualisieren. Das Ergebnis sollten Empfehlungen fürs Investitionen in das Recoverymanagement sein.


Fazit​​​​​​​

Wir haben die Wichtigkeit der Buisness-Impact-Analyse vorgestellt. Die BIA ist eine weitere wichtige, leider auch vernachlässigte, Säule in der Unternehmensplanung, ähnlich wie das Risikomanagement und das Notfallmanagement.