Lohnt Kontinuitätsmanagement für KMU?
Viele der Risiken, die im alltäglichen Leben auf uns einwirken, lassen sich mehr oder weniger in gewissem Maße vorhersagen. Das umfasst komplexe Gebiete wie Währungsschwankungen ebenso wie kleinere, unmittelbar die eigene Person betreffende Angelegenheiten; privater oder beruflicher Natur. Mit gesundem Menschenverstand und einem vorausschauenden, planerischen Denken schaffen es die viele Kleinunternehmer, alle relevanten Informationen jeder Zeit parat zu haben. Wozu also ein aufwendiges Sicherheitskonzept erstellen? Für Mittelständler stellt sich die Frage nach der Sinn- und Zweckmäßigkeit einer Investition in das sogenannte "betriebliche Kontinuitätsmanagement" (BKM). Reflektiert man diese Überlegungen allerdings in Anbetracht zerstörerischer Naturkatastrophen wie dem Jahrhunderthochwasser im Mai 2013, in Folge dessen hunderte kleinere Betriebe und Selbstständiger von heut auf morgen vor den Trümmern ihrer Existenz standen, lohnt die Beschäftigung mit einem durchdachten Krisenmanagement durchaus.
Sicherheit auch in Krisenzeiten
Bevor die Entscheidung für oder gegen die Investition in das Kontinuitätsmanagement fällt, sollten sich Unternehmer zunächst überlegen, ob für sie und ihren Betrieb überhaupt eine Notwendigkeit besteht. Ein- oder Zwei-Mann geführte Firmen profitieren eventuell in geringerem Maße von jenen Strategien, als es Unternehmen mit weit über 100 Angestellten, teuren Geräten und aufwendigen Produktionsprozessen tun. Natürlich gibt es auch jene Eigentümer, welche die im Notfall wichtigen Informationen schnell zur Hand haben. In diesen Fällen wären es wahrscheinlich unnötig eingesetzte Ressourcen, an denen hier genagt würde. Dies betrifft allerdings den aller kleinsten Teil der mittelständischen Unternehmen. Schon heute gibt es kaum noch Betriebe, in denen nicht mindestens ein Notebook mit, für den Fortbestand der Firma, überlebenswichtigen Daten existiert und welcher vor unvorhersehbaren Katastrophen geschützt werden muss. Wie man im Ernstfall den Schutz sensibler Informationen sowie die Fortsetzung des Geschäftsprozesses gewährleistet, beschreibt das Konzept des betrieblichen Kontinuitätsmanagements.
Einen Rahmen konzipieren und Ressourcen schaffen
Unternehmer sollten sich im Zuge des angestrebten Kontinuitätsmanagements als erstes genau überlegen, welche Werte (Geräte, Daten, Informationen usw.) für ihre Firma wichtig sind. Diese gilt es dann, in das Krisenkonzept zu übernehmen. Folgende Fragen sollten in diesem Zusammenhang geklärt werden:
• Welche Ressourcen müssen geschützt werden?
• Wie kann in Katastrophenmomenten gewährleistet werden, dass wichtige Personen an die relevanten Informationen gelangen?
• Welche Schritte sind im Ernstfall zu tun, um die Geschäfte fortzuführen?
Wie bereits angesprochen: Risiken lassen sich durchauch kalkulieren. Mit Zufällen muss hingegen immer gerechnet werden. Diese lassen sich nicht planen. Jene Zufälle sind es auch, welche aus zunächst unbedeutenden Kleinigkeiten fatale Konsequenzen folgen lassen können. Wenn beispielsweise die Beschichtung eines millimetergroßen Bauteils falsch produziert wird, müssen vielleicht zigtausende Autos Monate später zurückgerufen werden. Das geht nicht nur auf Kosten erheblicher Schadenszahlungen seitens des Herstellers, sondern ebenso zu Lasten der Reputation der zuständigen Firma. Mittels eines Kontinuitätsmanagements lassen sich in diesem Zuge Fähigkeiten vorbereiten und üben, um im Ernstfall geschickt improvisieren und den Geschäftsbetrieb am Laufen halten zu können.
Wie gestaltet sich eine konkrete Umsetzung?
Das 1994 in England gegründete "Business Continuity Institute" (BCI), welches mittlerweile weit mehr als 2000 Mitglieder in über 50 Ländern vereint, worunter sich auch deutsche Unternehmen wie Siemens zählen, hat für Interessierte einen Leitfaden konzipiert. Der sogenannten "Good Practice Guide" ist unter folgender Adresse auch auf Deutsch zu erreichen. Diesem Leitfaden zufolge sollte eine Kontinuitätsstrategie in fünf Schritten entwickelt werden:
1. das eigene Geschäft verstehen,
2. Strategien entwickeln,
3. mögliche Reaktionsweisen erarbeiten,
4. eine Kontinuitätskultur fördern,
5. das eingerichtete System ständig erproben und verbessern.
Da inzwischen ein Großteil der Geschäftsfunktionen über Computer geleitet wird, nimmt die Sicherung der IT-Struktur hierin einen der zentralsten Aspekt ein. Für Christof Bentele, der für den Versicherungsmakler "AON" als Chairman des Krisenmanagements arbeitet, ist deshalb auch die entscheidende Frage worauf sich Unternehmen besinnen sollten: "Wie lange kann ein Teil meines Unternehmens ausfallen, ohne die Existenz der gesamten Firma zu bedrohen?". Überprüft man sämtliche Abteilungen, Geschäftsbereiche und Ablaufprozesse nach dieser Weise, können im Anschluss entsprechende Ausweichstrategien und Notfallressourcen erstellt werden.
Die Komplexität des Unternehmens entscheidet über das Ausmaß der Strategie
Wie umfangreich das Sicherheitskonzept für einen Betrieb angelegt werden sollte (beachtet man vor allem die steigenden Kosten mit zunehmender Komplexität des Konzepts), richtet sich vordergründig nach "Umfang" und Größe des Unternehmens. Für kleinere Betriebe mit vergleichsweise wenigen Kapazitäten wäre es sicherlich übertrieben, einen vollen Masterplan für jede erdenkliche Notfallsituation zu erstellen. Wichtig ist allerding, dass in außerordentlichen Krisenfällen die lückenlose Fortführung sämtlicher (oder zumindest der wichtigsten) Geschäftsprozesse in Produktion und Dienstleistung gewährleistet werden kann. Ob Ausfälle von Computern, Maschinen oder Angriffe auf Betriebs- und Produktionssysteme: Steht die Herstellung still, wird dies über kurz oder lang dem Unternehmen schaden.
Zusammenfassend also noch einmal jene zentralen Ziele, welche mittels Einsatz der verschiedenen BKM-Aktivitäten erreicht werden sollen:
• Erhöhung der Verfügbarkeit der kritischen Geschäftsprozesse
• Sicherstellung der Produktivität
• schnelle Wiederherstellung aller Datenressourcen sowie sämtlicher Dienste und Programme
Kleinere und mittelständische Betriebe können sich vorerst, bevor eventuell in ein umfangreicheres Kontinuitätsmanagement investiert wird, mit ersten Sicherheitsmaßnahmen gegen mögliche Störfälle ausrüsten. Darunter zählen beispielsweise regelmäßige Backups wichtiger Informationen, Datenarchivierung und "Mirroring" (dt. Spiegelung; Echtzeit-Duplizierung von Dateneinheiten) von Festplatten. Der zweite Schwerpunkt neben der Sicherung der IT sollte sich auf weitreichende Sicherheitsmaßnahmen mittels Authentifizierung von Personen und Prozessen stützen, wie etwa der Koordination über Zugangskontrollen und die Konzeption einer umfassenden Sicherheitsinfrastruktur. All dies wird dazu beitragen können, in Krisensituationen den Fortbestand von Produktion und Firma sicherzustellen und sich Risiken somit nicht unvorbereitet auszusetzen.
Autor: M. Fett
Quelle: http://www.harvardbusinessmanager.de/heft/artikel/a-620225.html
Sicherheit auch in Krisenzeiten
Bevor die Entscheidung für oder gegen die Investition in das Kontinuitätsmanagement fällt, sollten sich Unternehmer zunächst überlegen, ob für sie und ihren Betrieb überhaupt eine Notwendigkeit besteht. Ein- oder Zwei-Mann geführte Firmen profitieren eventuell in geringerem Maße von jenen Strategien, als es Unternehmen mit weit über 100 Angestellten, teuren Geräten und aufwendigen Produktionsprozessen tun. Natürlich gibt es auch jene Eigentümer, welche die im Notfall wichtigen Informationen schnell zur Hand haben. In diesen Fällen wären es wahrscheinlich unnötig eingesetzte Ressourcen, an denen hier genagt würde. Dies betrifft allerdings den aller kleinsten Teil der mittelständischen Unternehmen. Schon heute gibt es kaum noch Betriebe, in denen nicht mindestens ein Notebook mit, für den Fortbestand der Firma, überlebenswichtigen Daten existiert und welcher vor unvorhersehbaren Katastrophen geschützt werden muss. Wie man im Ernstfall den Schutz sensibler Informationen sowie die Fortsetzung des Geschäftsprozesses gewährleistet, beschreibt das Konzept des betrieblichen Kontinuitätsmanagements.
Einen Rahmen konzipieren und Ressourcen schaffen
Unternehmer sollten sich im Zuge des angestrebten Kontinuitätsmanagements als erstes genau überlegen, welche Werte (Geräte, Daten, Informationen usw.) für ihre Firma wichtig sind. Diese gilt es dann, in das Krisenkonzept zu übernehmen. Folgende Fragen sollten in diesem Zusammenhang geklärt werden:
• Welche Ressourcen müssen geschützt werden?
• Wie kann in Katastrophenmomenten gewährleistet werden, dass wichtige Personen an die relevanten Informationen gelangen?
• Welche Schritte sind im Ernstfall zu tun, um die Geschäfte fortzuführen?
Wie bereits angesprochen: Risiken lassen sich durchauch kalkulieren. Mit Zufällen muss hingegen immer gerechnet werden. Diese lassen sich nicht planen. Jene Zufälle sind es auch, welche aus zunächst unbedeutenden Kleinigkeiten fatale Konsequenzen folgen lassen können. Wenn beispielsweise die Beschichtung eines millimetergroßen Bauteils falsch produziert wird, müssen vielleicht zigtausende Autos Monate später zurückgerufen werden. Das geht nicht nur auf Kosten erheblicher Schadenszahlungen seitens des Herstellers, sondern ebenso zu Lasten der Reputation der zuständigen Firma. Mittels eines Kontinuitätsmanagements lassen sich in diesem Zuge Fähigkeiten vorbereiten und üben, um im Ernstfall geschickt improvisieren und den Geschäftsbetrieb am Laufen halten zu können.
Wie gestaltet sich eine konkrete Umsetzung?
Das 1994 in England gegründete "Business Continuity Institute" (BCI), welches mittlerweile weit mehr als 2000 Mitglieder in über 50 Ländern vereint, worunter sich auch deutsche Unternehmen wie Siemens zählen, hat für Interessierte einen Leitfaden konzipiert. Der sogenannten "Good Practice Guide" ist unter folgender Adresse auch auf Deutsch zu erreichen. Diesem Leitfaden zufolge sollte eine Kontinuitätsstrategie in fünf Schritten entwickelt werden:
1. das eigene Geschäft verstehen,
2. Strategien entwickeln,
3. mögliche Reaktionsweisen erarbeiten,
4. eine Kontinuitätskultur fördern,
5. das eingerichtete System ständig erproben und verbessern.
Da inzwischen ein Großteil der Geschäftsfunktionen über Computer geleitet wird, nimmt die Sicherung der IT-Struktur hierin einen der zentralsten Aspekt ein. Für Christof Bentele, der für den Versicherungsmakler "AON" als Chairman des Krisenmanagements arbeitet, ist deshalb auch die entscheidende Frage worauf sich Unternehmen besinnen sollten: "Wie lange kann ein Teil meines Unternehmens ausfallen, ohne die Existenz der gesamten Firma zu bedrohen?". Überprüft man sämtliche Abteilungen, Geschäftsbereiche und Ablaufprozesse nach dieser Weise, können im Anschluss entsprechende Ausweichstrategien und Notfallressourcen erstellt werden.
Die Komplexität des Unternehmens entscheidet über das Ausmaß der Strategie
Wie umfangreich das Sicherheitskonzept für einen Betrieb angelegt werden sollte (beachtet man vor allem die steigenden Kosten mit zunehmender Komplexität des Konzepts), richtet sich vordergründig nach "Umfang" und Größe des Unternehmens. Für kleinere Betriebe mit vergleichsweise wenigen Kapazitäten wäre es sicherlich übertrieben, einen vollen Masterplan für jede erdenkliche Notfallsituation zu erstellen. Wichtig ist allerding, dass in außerordentlichen Krisenfällen die lückenlose Fortführung sämtlicher (oder zumindest der wichtigsten) Geschäftsprozesse in Produktion und Dienstleistung gewährleistet werden kann. Ob Ausfälle von Computern, Maschinen oder Angriffe auf Betriebs- und Produktionssysteme: Steht die Herstellung still, wird dies über kurz oder lang dem Unternehmen schaden.
Zusammenfassend also noch einmal jene zentralen Ziele, welche mittels Einsatz der verschiedenen BKM-Aktivitäten erreicht werden sollen:
• Erhöhung der Verfügbarkeit der kritischen Geschäftsprozesse
• Sicherstellung der Produktivität
• schnelle Wiederherstellung aller Datenressourcen sowie sämtlicher Dienste und Programme
Kleinere und mittelständische Betriebe können sich vorerst, bevor eventuell in ein umfangreicheres Kontinuitätsmanagement investiert wird, mit ersten Sicherheitsmaßnahmen gegen mögliche Störfälle ausrüsten. Darunter zählen beispielsweise regelmäßige Backups wichtiger Informationen, Datenarchivierung und "Mirroring" (dt. Spiegelung; Echtzeit-Duplizierung von Dateneinheiten) von Festplatten. Der zweite Schwerpunkt neben der Sicherung der IT sollte sich auf weitreichende Sicherheitsmaßnahmen mittels Authentifizierung von Personen und Prozessen stützen, wie etwa der Koordination über Zugangskontrollen und die Konzeption einer umfassenden Sicherheitsinfrastruktur. All dies wird dazu beitragen können, in Krisensituationen den Fortbestand von Produktion und Firma sicherzustellen und sich Risiken somit nicht unvorbereitet auszusetzen.
Autor: M. Fett
Quelle: http://www.harvardbusinessmanager.de/heft/artikel/a-620225.html