Kein System und kein Prozess ist vollständig ausfallsicher, trotz getroffener Sicherheits- und Schutzmaßnahmen können Störungen nicht vollkommen verhindert werden. Kleinere Störungen lassen sich noch im Regelbetrieb lösen. Fraglich ist, was passiert, wenn der Regelbetrieb auf einen Schlag vollständig außer Gefecht gesetzt wird? Mögliche Ursachen hierfür könnten Naturkatastrophen wie Überschwemmungen oder Erdbeben, Stromausfälle und Brände, politische Unruhen, Pandemien, Hackerangriffe oder aber ein einfacher Unfall sein.
Solche Notfälle, Krisen oder Katastrophen können für ein Unternehmen sehr schnell existenzbedrohlich werden. Ziel des Business Continuity Management (BCM) ist es daher, den Fortbestand des Unternehmens und seine wirtschaftliche Tätigkeit zu sichern. Beim BCM wird sich auf die kritische Geschäftsprozesse fokussiert. Einerseits soll die schädigende Wirkung eines Ereignisses auf solche Prozesse idealerweise schon vorher identifiziert, bewertet und Maßnahmen zur Risikominimierung unternommen werden. Andererseits sollen Pläne dokumentiert werden, die Verhaltensweisen für den Normalfall wiedergeben sowie Ablaufpläne, die kritischen Prozesse in kürzester Zeit wieder ins Laufen bringen, um möglichst schnell wieder zu einem Regelbetrieb zurückzukehren.
Unter BCM fallen somit alle Maßnahmen, die eine Organisation durch eine Krisensituation bringen sollen:
- Notfallplan / Business Continuity Plan (BCP): Der Aktionsplan, wie Sie auf diese potenziellen Bedrohungen so effektiv wie möglich reagieren und sich davon erholen werden.
- Business Impact Analyse (BIA): Was braucht die Organisation, um das Kerngeschäft aufrechtzuerhalten?
- Risikobewertung: Risiken müssen identifiziert und behandelt werden.
- Notfallorganisation: Notfälle erfordern eine Anpassung der Organisation im Unternehmen.
- Tests und Übungen: Durch regelmäßige Tests und Übungen wird die Anwendbarkeit der Notfallprozesse überprüft. Ferner werden Schwachstellen in der Dokumentation sichtbar.
Alle diese dokumentierten Informationen und Pläne können Teil eines Business Continuity Management System (BCMS) sein. Die ISO 22301 ist die internationale Managementsystemnorm für BCM. Auch das BSI hat mit seinem Standard 200-4 ein Rahmenwerk für das Notfallmanagement verfasst.