RCE/BCM

„Es kommt nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft vorbereitet zu sein.“ Perikles, griech. Staatsmann, 493-429 v. Chr.

Die Fortführung der kritischen (wetschöpfenden) Geschäftsprozesse ist gerade in extremen Ausnahmesituationen für jedes Unternehmen eine enorme Herausforderung. Gemeint sind nicht nur die klassischen Ausnahmesituationen wie Brand, Hochwasser, Starkregen, Sturm, Stromausfall, sondern auch die heutigen Ausnahmesituationen, wie die sogenannten Desaster. Solche können aufgrund terroristischer Bedrohungen, Bombenattentate, Streiks, Pandemie, Entführungen, Datenverluste, Computerfehler, Verschlüsselungstrojaner, etc. entstehen.

Die richtungsweisende Studie der Universität Oxford

Eine bekannte Studie der Oxford University (2005) über Firmen mit Desaster-Erfahrungen belegt, dass 80% derjenigen Unternehmen, die kein Managementsystem zur Fortführung der kritischen Geschäftsprozesse (BCMS) hatten im Nachhinein Insolvenz anmelden mussten. Die restlichen 20% der befragten Firmen haben nur aufgrund glücklicher Umstände überlebt. Umgekehrt konnten lediglich 80% derjenigen Firmen, die ein Business Continuity Management (BCM) aktiv betreiben, das Desaster überwinden.

Nach dieser Studie ist es für Unternehmen interessant und notwendig ein BCMS auf-zubauen und zu pflegen. Darüber hinaus besteht die Notwendigkeit, zu prüfen, ob und wie gut das BMCS funktioniert. Herauszufinden ist also, welche Faktoren zu berücksichtigen sind, damit das Unternehmen nicht zu den 20% gehört, die trotz eines BCMS‘s das Desaster nicht überwinden konnten.

Zentrale Zusammenhänge und Abhängigeiten

Die nachfolgende Grafik illustriert auf einer monitären Achse (Ordinate) und einer Zeitachse (Abzisse) die wesentlichen Zeitmarken, die ein solches Desaster und dessen Bewältigung charakterisieren.

Abzisse als Zeitschiene mit Zeitmarken für kritische Ereignisse gegen einer monitären Größe auf der Ordinate abgetragen
Abbildung 1: Abzisse als Zeitachse mit Eintreten eines Desasters gegenüber der monitäre Ordinate (Euro)

Festzuhalten ist, dass ein solches Desaster und deren Begegnung eine rein finanzielle bzw. wirtschaftliche Angelegenheit ist und keine technische, wie die MTPD und die Zeitpunkte t0, t1, t2, und t3 illustrieren. (Leider wird im BSI-Standard 200-4 in der Abb.1 und Abb.6 eine rein technische Abhängigkeit suggeriert. Man muss schon etwas um die Ecke denken, um den finanziellen Aspekt aus den Grafiken herauszufiltern).

Kern der Norm

Das Wesen der Norm (ISO/IEC 22301:2019) liegt in dem Management derjenigen Maßnahmen, die notwendig sind, die Wertschöpfungskette nach Eintreten eines Desasters solange auf ein Minimum aufrecht zuhalten (Notfallbetrieb) und für ausreichenden Umsatz zu sorgen, bis der Normalzustand (Wirkbetrieb) wieder hergestellt ist.

Wahrscheinlichkeit des Überlebens oder die Effektivität und Effizienz eines BCP

Wenn das Überleben einer Firma bzw. Institutuion von einem BCP fundamental abhängt, liegt der Gedanke nahe, die Güte des BCPs, zu verproben und zu messen. Dabei spielt die MTPD auf der Zeitachse mit t1 markiert die entscheidende Rolle, wie die nachfolgende als auch die obige Grafik (Abb.1, Abb.2) zeigen. Der Zeitpunkt des Desasters ist mit t0 und der Zeitpunkt der MTPD mit t1 bezeichnet.

Kosten und Zeitachse
Abbildung 2: Abzisse als Zeitachse mit moniärer Ordinate und Wahrscheinlichkeitsaussag des Überlebens

Werden nun etliche BCPs und DRPs verprobt, entsteht eine Verteilung zwischen 0 und 1 und einer Verteilungsfunktion und eine Dichtfunktion. Hierzu kann man noch etliche Expermeinte und statitsiche Auswertungen anfertigen und Abschätzungen zur Wahrscheinlichkeit des Übelends einer Firma anstellen. Im Ergebnis entsteht dann das folgende Bild (Abb3.) über die Effektivität und Effizienz der eingesetzten Mittel.

Abbildung 3: Aussagen zur Effektivität und Effizienz sowie das strategische Dilemma

Aus den verschiedenen Konstellationen, I, II, III, IV in der Abb.3 läßt sich das Ergebnis der o.g. Oxford Studie in einem ganz anderen Licht erscheinen. Für die Praxis bedeutet diese Konstellation, dass ein Unternehmen den Zustand I anstreben sollte, um zu den 80% Firmen zu zugehören, die einem Desaster widerstehen können.

Wissenschaftliche Meriten

Ich habe meine praktischen Erfahrungen und theortische Überlegungen und Erkentnisse an der TU-Darmstadt im Fachbereich 20 (Informatik) am Lehrstuhl Secuerity Engingeering in Vorlesungen und wissenschaftliche Publikationen verarbeitet. Im Jahr 2009 erhieltich dann eine Bestätigung durch den Best Paper Award auf einer Konferenz in Athen.

Abbildung 4: Best Paper Award verliehen in Griechenland auf einer int. Konferenz in Athen

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmst du dem zu.

Datenschutzerklärung