DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Das kri­tische Potenzial von Geschäftsprozessen

Notfallmanagement Teil 2

Im zweiten Teil der Serie “Not­fall­ma­nagement” geht es darum, die Geschäfts­pro­zesse im Unter­nehmen her­aus­zu­finden, die als besonders kri­tisch anzu­sehen sind. Was bedeutet dabei kri­tisch und wie kann man dies ermitteln?

 

Was bedeutet “kri­tisch” und kann man dies ermitteln?

“Kri­tisch” im Sinne des Not­fall­ma­nage­ments bedeutet “zeit­kri­tisch”, also dass dieser Prozess eine schnellere Wie­der­auf­nahme der Tätigkeit nach einem Ausfall erfordert, da sonst ein hoher Schaden für das Unter­nehmen zu erwarten ist. Der hohe Schaden kann sowohl aus finan­zi­ellen Ver­lusten, Ver­stößen gegen Gesetze oder Ver­träge, aus Image­schäden oder wei­teren Scha­dens­sze­narien ent­stehen. Ein als “unkri­tisch” ein­ge­stufter Geschäfts­prozess bedeutet nicht, dass dieser unwichtig ist, sondern lediglich, dass er eine geringere Prio­rität in der Wie­der­her­stellung haben sollte.

Um die “kri­ti­schen” Geschäfts­pro­zesse zu iden­ti­fi­zieren und später geeignete Stra­tegien und Vor­sor­ge­maß­nahmen für Scha­dens­er­eig­nisse aus­ar­beiten zu können, müssen zunächst die Aus­wir­kungen von Stö­rungen, Unter­bre­chungen oder gar der Verlust von Geschäfts­pro­zessen ermittelt werden. Die kri­ti­schen Geschäfts­pro­zesse werden in der Regel zur Erbringung der wich­tigsten Dienst­leis­tungen und Erzeugung der Pro­dukte bei­tragen, doch sollte der reine Fokus aus­schließlich auf diese Pro­zesse ver­mieden werden. Zu diesem Zeit­punkt spielt lediglich die Frage eine Rolle, welche Kon­se­quenzen zu erwarten sind.

Hierzu wird eine so genannte Business Impact Analyse (BIA) durch­ge­führt. Eine BIA ist ein Ver­fahren, um die Wie­der­an­lauf­punkte der Geschäfts­pro­zesse, eine Prio­ri­sierung für den Wie­der­anlauf und damit die Kri­ti­ka­lität der Geschäfts­pro­zesse fest­zu­legen und die benö­tigten Res­sourcen zu identifizieren.

Gibt es den “wahren” Weg zur Bestimmung der Kritikalität?

Es exis­tieren viele Methoden und Wege, eine Business Impact Analyse durch­zu­führen. Der eine „wahre“ Weg oder “Best Practice” exis­tiert nicht. Wie die benö­tigten Ergeb­nisse ermittelt werden, kann jedes Unter­nehmen für sich selbst ent­scheiden. Trotzdem hat sich ein Standard-Vor­­­gehen etabliert.

Die Bestimmung der Kri­ti­ka­lität: ein prag­ma­ti­scher Ansatz

Wie kann nun ein Unter­nehmen ermitteln, welche Geschäfts­pro­zesse aus seiner Sicht “kri­tisch” sind? Fol­gendes sys­te­ma­ti­sches Vor­gehen hat sich in der Praxis bewährt, ergänzt um typische Fra­ge­stel­lungen, die es beim jewei­ligen Schritt zu beant­worten gilt:
 

Notfallmanagement Teil2 Bild1

Abbildung:  © Thomas Lohre / www.datev.de

  1. Kon­zeption der Business Impact Analyse
    a) Gibt es Unter­neh­mens­be­reiche, die per se nicht kri­tisch sind? (Wie z.B. Per­sonal, Einkauf, etc.?)
    b) Sind bereits Pro­zess­in­for­ma­tionen vor­handen? (Falls nicht, müssen die Pro­zesse erst noch erhoben werden. Faust­formel: nicht mehr als 10 Pro­zesse pro Bereich.)
    c) Fest­legung der Impact Kate­gorien (finan­zielle Schäden, Image, Recht­liche und regu­la­to­rische Rah­men­be­din­gungen, Steue­rungs­fä­higkeit, Gefährdung der Gesundheit von Personen)
    d) Fest­legung der Vor­ge­hens­weise zur Daten­er­hebung (Workshop, Interview, Fra­ge­bogen, Kombination)
  2. Durch­führung der Business Impact Analyse: Erhebung der not­wen­digen Infor­ma­tionen ent­spre­chend der fest­ge­legten Vorgehensweise
  3. Nach­be­reitung der Business Impact Analyse
    a) Aus­wertung der Ergebnisse
    b) Fest­legung, ab wann Pro­zesse kri­tisch und damit zu betrachten sind

Im nächsten Teil der Arti­kel­serie geht es um das “Not­fall­vor­sor­ge­konzept”, also darum, wie kri­tische Geschäfts­pro­zesse gegen Not­fälle abge­si­chert werden können.

Die bisher erschienen Bei­träge zur Serie Notfallmanagement:

Teil 1: “6 Schritte im Unter­nehmen

Teil 3: “Not­fall­vor­sorge

Teil 4: “Not­fall­be­wäl­tigung

Teil 5: “Tests und Übungen

Teil 6: “Kon­ti­nu­ier­liche Ver­bes­serung

Bild:  © Jens Bre­dehorn / pixelio.de

2 Kommentare zu Das kritische Potenzial von Geschäftsprozessen

  • Lasse sagt:

    hi
    Geschäfts­pro­zesse sind auch bei uns mit das Wich­tigste in der Firma. Zudem gibt man dem Kunden ein gutes Gefühl. Das Gefühl in guten Händen zu sein und dass die Ent­wicklung nie ins Stocken gerät.
    Mit Not­fall­ma­nagement haben wir uns aller­dings noch nicht auseinandergesetzt.

  • Angelika Pelz sagt:

    Antwort der Redaktion
    Vielen Dank für Ihren Kom­mentar, wir haben den Link ent­fernt, da der Blog wer­befrei ist. Danke für Ihr Verständnis!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.