• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 & ISO 22301 Blog

    Betriebliches Kontinuitätsmanagement für kleine Unternehmen – notwendig oder nicht?

    Macht es Sinn, betriebliches Kontinuitätsmanagement in kleineren Unternehmen umzusetzen? Warum sollten diese Unternehmen eine derart kostenaufwendige Sache benötigen, wenn der Inhaber des Unternehmens doch über alle notwendigen Informationen in seinem/ihrem Kopf verfügt?

    Lassen Sie mich mit einer Geschichte beginnen, die ich vor Kurzem gehört habe. Es geht um ein kleines Unternehmen (für den Vertrieb verschiedener Geräte an einen großen Kundenstamm), das ausgeraubt wurde. Der Dieb brach nachts in das Büro ein und stahl neben anderen Wertsachen auch alle Computer. Das Problem bestand darin, dass der Inhaber dieses Unternehmens alle Daten gesichert hatte, dieses Back-up jedoch auf einem anderen Computer im selben Büro aufbewahrte. Sehr bald ging die Firma bankrott. Sie war einfach nicht in der Lage, wichtige geschäftliche Informationen zurückzugewinnen.

    Dies ist ein klassisches Beispiel für das „Das wird mir nie passieren“-Syndrom, unter dem die Mehrzahl der kleinen Unternehmen leidet.

    Rahmen für betriebliches Kontinuitätsmanagement

    Bedeutet dies, dass kleine Unternehmen in kostspielige Notfallstandorte einschließlich Geräten mit hoher Verfügbarkeit investieren müssen? Sicher nicht.

    In einigen Fällen ist betriebliches Kontinuitätsmanagement wirklich nicht notwendig, weil der Eigentümer des Unternehmens alle Informationen in seinem/ihrem Kopf hat. Aber solche Fälle sind sehr selten – wie viele von diesen haben kein Notebook mit verschiedenen Arten wichtiger Informationen? Darüber nachzudenken, wie diese Informationen im Falle einer Katastrophe verfügbar bleiben, ist bereits Teil eines Versuchs des betrieblichen Kontinuitätsmanagements.

    Eigentümer von Kleinunternehmen müssen genau überlegen, welche Informationen (und andere Ressourcen) für ihr Geschäft wichtig sind, wie gewährleistet wird, dass diese Informationen und andere Ressourcen im Falle einer Katastrophe zur Verfügung stehen, und welche Schritte notwendig sind, um die Geschäftstätigkeit im Falle einer Katastrophe wieder aufzunehmen. Diese Schritte sind nichts anderes als die Erstellung einer Geschäftsauswirkungsanalyse, einer Strategie des betrieblichen Kontinuitätsmanagements und von Plänen zum betrieblichen Kontinuitätsmanagement, wie es jedes größere Unternehmen bei der Umsetzung des betrieblichen Qualitätsmanagements machen würde. Sämtliche dieser Vorgänge werden in einer führenden Norm zum betrieblichen Kontinuitätsmanagement – BS 25999-2 – beschrieben.


    Vorbereitung

    Der Unterschied zwischen kleinen und großen Unternehmen liegt in der Komplexität und den Kosten der Vorbereitung, die für das betriebliche Kontinuitätsmanagement kleiner Unternehmen anfallen:

    • Sicherung elektronischer Daten– kleine Unternehmen können einige der Werkzeuge verwenden, mit denen die Daten von ihren Computern fast umgehend in der Cloud gesichert werden. Natürlich muss sorgfältig drauf geachtet werden, dass alle notwendigen Daten berücksichtigt sind.
    • Sicherung von Papierdokumenten – Kleine Unternehmen sind heute in der Lage, Papierdokumente fast vollständig aus ihrer täglichen Arbeit zu verbannen und alles in elektronische Form zu bringen. In den seltenen Fällen, in denen Papierdokumente erforderlich sind, können sie zum Zwecke des betrieblichen Kontinuitätsmanagements eingescannt werden.
    • Alternative Bürostandorte – In den meisten Fällen wird es ausreichen, dass die Mitarbeiter den Geschäftsbetrieb von zuhause aus fortführen. Die Voraussetzung dafür wären eine Internetverbindung, Notebooks/PCs und Passwörter. Sollte die Arbeit von zuhause aus nicht angemessen sein, so kann in weniger als einer Stunde immer noch ein Hotelzimmer gemietet werden.
    • Hardware – Sofern in einem Unternehmen keine spezielle Art von Computern eingesetzt wird, ist es sehr einfach, eine Alternative zu finden. In der Regel ist das ein privater Computer zu Hause, oder von einem Verwandten kann ein Gerät ausgeliehen werden, oder man kann einen Computer im Laden nebenan erwerben.
    • Arbeitskraft – Dies ist wahrscheinlich der schwierigste Punkt. Nehmen wir einmal an, dass ein Mitarbeiter nicht verfügbar ist und er der Einzige ist, dem bestimmte Informationen bekannt sind (z. B. Administratoren-Passwörter, notwendige Schritte in einem wichtigen Projekt usw.). Für solche Fälle bestünde die Vorbereitung darin, sämtliche dieser Informationen zu dokumentieren, so dass sie verwendet werden können, ohne dass der Mitarbeiter anwesend sein muss. Der andere Fall träte ein, wenn ein Mitarbeiter fehlt und niemand sonst die Zeit oder die Fähigkeiten hat, seine Arbeit zu erledigen. Für diesen Fall bestünde die Vorbereitung darin, im Voraus festzulegen, wer für eine kurzfristige Einstellung zur Verfügung stünde, um die Aufgaben des fehlenden Mitarbeiters wahrzunehmen. Der springende Punkt ist hier natürlich, jemanden mit den richtigen Fähigkeiten / Qualifikationen zu finden.

    Zusammengefasst ist festzustellen, dass es hinsichtlich des Rahmens für betriebliches Kontinuitätsmanagement keinen Unterschied zwischen großen und kleinen Unternehmensorganisationen gibt. Beide müssen detailliert planen, welche Vorbereitungen notwendig sind, um eine Katastrophe zu überleben. Der Unterschied liegt im Vorbereitungsaufwand: Kleinere Unternehmen schaffen es mit einem sehr niedrigen Investitionsaufwand.

    Dieses kostenlose Webinar hilft Ihnen beim: Writing a business continuity plan according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Unter Dejans Preisen und Zertifikaten findet man unter anderem: leitender Auditor für ISO 9001, zertifizierter Berater für das Management, Fachkraft für betriebliches Kontinuitätsmanagement und leitender ISO/IEC-Auditor für Managementsysteme für Informationssicherheit. Dejan führt unser Team in der Betreuung verschiedener Webseiten, die ISO- und IT-Fachkräfte beim Kennenlernen der wichtigen internationalen Normen und deren erfolgreicher Umsetzung unterstützen. Dejan besitzt einen MBA-Titel des Henley Management College und verfügt über langjährige Erfahrung in den Bereichen Bankwesen, Versicherungswirtschaft und Investment-Funds. Dejan ist bekannt für sein Expertenwissen in den Bereichen Informationssicherheit und Kontinuitätsmanagement (ISO 27001 und ISO 22301) – und hat zahlreiche Toolkits zur Dokumentation, Online-Tutorials und Bücher verfasst.