The ISO 27001 & ISO 22301 Blog

    Dejan Kosutic

    Betriebliches Kontinuitätsmanagement für kleine Unternehmen – notwendig oder nicht?

    Macht es Sinn, betriebliches Kontinuitätsmanagement in kleineren Unternehmen umzusetzen? Warum sollten diese Unternehmen eine derart kostenaufwendige Sache benötigen, wenn der Inhaber des Unternehmens doch über alle notwendigen Informationen in seinem/ihrem Kopf verfügt?

    Lassen Sie mich mit einer Geschichte beginnen, die ich vor Kurzem gehört habe. Es geht um ein kleines Unternehmen (für den Vertrieb verschiedener Geräte an einen großen Kundenstamm), das ausgeraubt wurde. Der Dieb brach nachts in das Büro ein und stahl neben anderen Wertsachen auch alle Computer. Das Problem bestand darin, dass der Inhaber dieses Unternehmens alle Daten gesichert hatte, dieses Back-up jedoch auf einem anderen Computer im selben Büro aufbewahrte. Sehr bald ging die Firma bankrott. Sie war einfach nicht in der Lage, wichtige geschäftliche Informationen zurückzugewinnen.

    Dies ist ein klassisches Beispiel für das „Das wird mir nie passieren“-Syndrom, unter dem die Mehrzahl der kleinen Unternehmen leidet.

    Rahmen für betriebliches Kontinuitätsmanagement

    Bedeutet dies, dass kleine Unternehmen in kostspielige Notfallstandorte einschließlich Geräten mit hoher Verfügbarkeit investieren müssen? Sicher nicht.

    In einigen Fällen ist betriebliches Kontinuitätsmanagement wirklich nicht notwendig, weil der Eigentümer des Unternehmens alle Informationen in seinem/ihrem Kopf hat. Aber solche Fälle sind sehr selten – wie viele von diesen haben kein Notebook mit verschiedenen Arten wichtiger Informationen? Darüber nachzudenken, wie diese Informationen im Falle einer Katastrophe verfügbar bleiben, ist bereits Teil eines Versuchs des betrieblichen Kontinuitätsmanagements.

    Eigentümer von Kleinunternehmen müssen genau überlegen, welche Informationen (und andere Ressourcen) für ihr Geschäft wichtig sind, wie gewährleistet wird, dass diese Informationen und andere Ressourcen im Falle einer Katastrophe zur Verfügung stehen, und welche Schritte notwendig sind, um die Geschäftstätigkeit im Falle einer Katastrophe wieder aufzunehmen. Diese Schritte sind nichts anderes als die Erstellung einer Geschäftsauswirkungsanalyse, einer Strategie des betrieblichen Kontinuitätsmanagements und von Plänen zum betrieblichen Kontinuitätsmanagement, wie es jedes größere Unternehmen bei der Umsetzung des betrieblichen Qualitätsmanagements machen würde. Sämtliche dieser Vorgänge werden in einer führenden Norm zum betrieblichen Kontinuitätsmanagement – BS 25999-2 – beschrieben.


    Vorbereitung

    Der Unterschied zwischen kleinen und großen Unternehmen liegt in der Komplexität und den Kosten der Vorbereitung, die für das betriebliche Kontinuitätsmanagement kleiner Unternehmen anfallen:

    • Sicherung elektronischer Daten– kleine Unternehmen können einige der Werkzeuge verwenden, mit denen die Daten von ihren Computern fast umgehend in der Cloud gesichert werden. Natürlich muss sorgfältig drauf geachtet werden, dass alle notwendigen Daten berücksichtigt sind.
    • Sicherung von Papierdokumenten – Kleine Unternehmen sind heute in der Lage, Papierdokumente fast vollständig aus ihrer täglichen Arbeit zu verbannen und alles in elektronische Form zu bringen. In den seltenen Fällen, in denen Papierdokumente erforderlich sind, können sie zum Zwecke des betrieblichen Kontinuitätsmanagements eingescannt werden.
    • Alternative Bürostandorte – In den meisten Fällen wird es ausreichen, dass die Mitarbeiter den Geschäftsbetrieb von zuhause aus fortführen. Die Voraussetzung dafür wären eine Internetverbindung, Notebooks/PCs und Passwörter. Sollte die Arbeit von zuhause aus nicht angemessen sein, so kann in weniger als einer Stunde immer noch ein Hotelzimmer gemietet werden.
    • Hardware – Sofern in einem Unternehmen keine spezielle Art von Computern eingesetzt wird, ist es sehr einfach, eine Alternative zu finden. In der Regel ist das ein privater Computer zu Hause, oder von einem Verwandten kann ein Gerät ausgeliehen werden, oder man kann einen Computer im Laden nebenan erwerben.
    • Arbeitskraft – Dies ist wahrscheinlich der schwierigste Punkt. Nehmen wir einmal an, dass ein Mitarbeiter nicht verfügbar ist und er der Einzige ist, dem bestimmte Informationen bekannt sind (z. B. Administratoren-Passwörter, notwendige Schritte in einem wichtigen Projekt usw.). Für solche Fälle bestünde die Vorbereitung darin, sämtliche dieser Informationen zu dokumentieren, so dass sie verwendet werden können, ohne dass der Mitarbeiter anwesend sein muss. Der andere Fall träte ein, wenn ein Mitarbeiter fehlt und niemand sonst die Zeit oder die Fähigkeiten hat, seine Arbeit zu erledigen. Für diesen Fall bestünde die Vorbereitung darin, im Voraus festzulegen, wer für eine kurzfristige Einstellung zur Verfügung stünde, um die Aufgaben des fehlenden Mitarbeiters wahrzunehmen. Der springende Punkt ist hier natürlich, jemanden mit den richtigen Fähigkeiten / Qualifikationen zu finden.

    Zusammengefasst ist festzustellen, dass es hinsichtlich des Rahmens für betriebliches Kontinuitätsmanagement keinen Unterschied zwischen großen und kleinen Unternehmensorganisationen gibt. Beide müssen detailliert planen, welche Vorbereitungen notwendig sind, um eine Katastrophe zu überleben. Der Unterschied liegt im Vorbereitungsaufwand: Kleinere Unternehmen schaffen es mit einem sehr niedrigen Investitionsaufwand.

    Dieses kostenlose Webinar hilft Ihnen beim: Writing a business continuity plan according to ISO 22301.

    Wenn Ihnen dieser Artikel gefallen hat, können Sie Updates abonnieren

    Weiten Sie Ihre Kenntnisse mit unseren kostenlosen Ressourcen zu den Normen ISO 27001 und ISO 22301 aus.

    Sie können sich jederzeit abmelden.

    Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.