Business-Impact-Analyse (BIA)

Was ist eine Business-Impact-Analyse (BIA)?

Eine Business-Impact-Analyse (BIA) ist ein systematischer Prozess zur Bestimmung und Bewertung der potenziellen Auswirkungen einer Unterbrechung kritischer Geschäftsabläufe infolge einer Katastrophe, eines Unfalls oder eines Notfalls. Organisationen verwenden die Daten einer BIA oft bei der Entwicklung eines Business-Continuity-Plans (BCP) oder eines Disaster-Recovery-Plans (DRP).

Das Ergebnis des BIA-Prozesses ist ein Bericht, der die Ergebnisse der Business-Impact-Analyse dokumentiert. Der Bericht enthält eine Untersuchungskomponente, die potenzielle Bedrohungen und Schwachstellen beschreibt, die für die untersuchte Organisation spezifisch sind. Anschließend wird eine Planungskomponente bereitgestellt, die Strategien zur Minimierung der Auswirkungen ungeplanter Ereignisse beschreibt.

Die Analyse basiert auf zwei grundlegenden Annahmen:

• Jeder Betrieb der Organisation ist auf das kontinuierliche Funktionieren aller anderen Betriebe angewiesen.
• Einige Betriebe sind wichtiger als andere und erfordern im Katastrophenfall eine größere Zuweisung von Mitteln und Betriebsressourcen. Beispielsweise kann ein Unternehmen wahrscheinlich mehr oder weniger normal weiterarbeiten, wenn die Cafeteria schließen muss, aber es würde zum Stillstand kommen, wenn die Informationssysteme und die IT-Infrastruktur ausfallen.

Wie man eine Business-Impact-Analyse erstellt

Die International Organization for Standardization (ISO) bietet Richtlinien für die Umsetzung und Aufrechterhaltung eines formellen und dokumentierten BIA-Prozesses. Die Richtlinien sind in ISO/TS 22317:2021 festgehalten. ISO/TS 22317:2021 ist eine technische Spezifikation (TS), die jeder Art und Größe von Organisation zur Verfügung steht, die die Richtlinien an ihre eigenen Gegebenheiten anpassen kann.

ISO/TS 22317:2021 definiert keinen einheitlichen Prozess für die Durchführung einer BIA, sodass die Methoden von Organisation zu Organisation oft variieren. Dennoch umfasst der Prozess in der Regel folgende Schritte:

1. BIA-Projekt vorbereiten. Eine Business-Impact-Analyse sollte wie jedes andere Projekt behandelt werden. Die Projektplanungsleiter sollten die Genehmigung für das Projekt von der Geschäftsleitung einholen und dann einen detaillierten BIA-Plan erstellen. Außerdem sollte ein Team aus geschulten Personen zusammengestellt werden, das die BIA durchführt. Das Team kann aus internen Mitarbeitern, externen Beratern oder einer Kombination aus beidem bestehen. Einige Organisationen führen eine Schulung für Schlüsselpersonen mit Branchenkenntnissen durch. Dies kann dazu beitragen, sie auf den BIA-Prozess und die damit verbundene Informationsbeschaffung vorzubereiten. Die Vorbereitungsphase ist auch ein guter Zeitpunkt, um ISO/TS 22317:2021 zu überprüfen.
2. Relevante Informationen für die Analyse sammeln. Es gibt keinen einheitlichen Ansatz für die Informationsbeschaffung. Das Team kann Fragebögen versenden, persönliche Interviews durchführen oder vorhandene Unterlagen prüfen. Die Teammitglieder sollten eine Vielzahl von Informationen sammeln, darunter spezifische Details über geschäftskritische Anwendungen und Geschäftsprozesse, die zur Unterstützung dieser Prozesse erforderlichen Ressourcen und die Abhängigkeiten zwischen den beteiligten Einheiten. Dazu gehören interne und externe Abhängigkeiten sowie relevante Inputs und Outputs. Diese Informationen sind für die Bewertung der potenziellen Auswirkungen eines Störfalls von entscheidender Bedeutung.
3. Gesammelte Daten auswerten und analysieren. Die Teammitglieder sollten die gesammelten Daten überprüfen, um sicherzustellen, dass sie alles haben, was sie benötigen, um Geschäftsfunktionen zu verstehen und zu priorisieren. Es können Folgegespräche oder andere Kommunikationsmittel erforderlich sein. Sobald die Teammitglieder sicher sind, dass sie über die erforderlichen Daten verfügen, können sie mit der Analyse der Daten beginnen, um kritische Geschäftsprozesse und die Technologien, von denen diese Prozesse abhängen, zu identifizieren. Anschließend sollten sie anhand von Leistungskennzahlen wie Recovery Time Objective (RTO), Recovery Point Objective (RPO) und Maximum Tolerable Downtime (MTD) ermitteln, welche Auswirkungen es hätte, wenn diese Prozesse nicht ausgeführt werden können. Der Analyseprozess kann manuell oder computergestützt erfolgen.
4. Bericht erstellen, um Ergebnisse zu dokumentieren. Der Bericht enthält in der Regel eine Zusammenfassung, Informationen zur Methodik der Datenerfassung und -analyse, detaillierte Ergebnisse zu den verschiedenen Geschäftseinheiten und Funktionsbereichen, Diagramme und Schaubilder zur Veranschaulichung potenzieller Verluste und Empfehlungen für die Wiederherstellung. Der Bericht priorisiert die wichtigsten Geschäftsfunktionen, untersucht die Auswirkungen von Betriebsunterbrechungen, spezifiziert gesetzliche und behördliche Anforderungen, legt akzeptable Ausfallzeiten und Verluste fest und listet RTOs, RPOs und MTDs auf. Der Bericht kann auch die Reihenfolge der Aktivitäten auflisten, die zur Wiederherstellung des Betriebs erforderlich sind, die Mindestanzahl der für die Wiederherstellung des Betriebs erforderlichen Mitarbeiter, die ungefähren für die Wiederherstellung erforderlichen Mittel und ob die Wiederherstellung am ursprünglichen Standort oder an einem anderen Standort erfolgen wird.
5. Ergebnisse der Geschäftsleitung präsentieren. Nach Fertigstellung des Berichts trifft sich das BIA-Team in der Regel mit leitenden Managern, um die Ergebnisse zu besprechen. Das Team kann den Bericht zu diesem Zeitpunkt vorlegen oder ihn zur besseren Vorbereitung der Teilnehmer im Voraus versenden. Die Manager prüfen den Bericht und verwenden ihn, falls er genehmigt wird, zur Entwicklung des BCP und DRP. Der BIA-Bericht wird oft in Verbindung mit einer Risikobewertung (Risk Assesssment, RA) verwendet, um Strategien für die Wiederherstellung geschäftskritischer Prozesse zu definieren.

Das BIA-Team, Manager oder andere benannte Personen sollten die BIA-Daten mindestens einmal jährlich sowie bei jeder wesentlichen Änderung des Geschäftsbetriebs überprüfen und aktualisieren.

Was ist das Ziel der Business-Impact-Analyse?

Eine Business-Impact-Analyse dient vielen Zwecken. Sie identifiziert die Geschäftsfunktionen, Systeme, Mitarbeiter und technologischen Ressourcen, die für einen optimalen Betrieb am wichtigsten sind. Sie beschreibt auch die Auswirkungen oder Folgen einer Unterbrechung kritischer Geschäftsfunktionen und versucht, die mit der Katastrophe verbundenen finanziellen und nichtfinanziellen Kosten zu quantifizieren. Darüber hinaus schätzt eine BIA, wie lange es dauern sollte, jede Geschäftsfunktion wiederherzustellen, um erhebliche Auswirkungen auf den Betrieb zu vermeiden.

Jede BIA ist auf ihre spezifischen Umstände zugeschnitten. Beispielsweise kann eine Business-Impact-Analyse für eine IT-Abteilung damit beginnen, die Anwendungen zu identifizieren, die wesentliche Geschäftsfunktionen unterstützen. Anschließend werden die Abhängigkeiten zwischen bestehenden Systemen, mögliche einzelne Fehlerquellen und die mit Systemausfällen verbundenen Kosten beschrieben. Die BIA untersucht IT-bezogene Risiken und priorisiert die Anforderungen an die Betriebszeit unter Verwendung von Metriken wie RTO, RPO und MTD.

Die Durchführung einer Business-Impact-Analyse ist nicht ohne Herausforderungen. So kann es beispielsweise schwierig sein, die vollständigen Auswirkungen einer Betriebsunterbrechung auf den Umsatz zu ermitteln oder die langfristigen Folgen von Verlusten bei Marktanteilen, Unternehmensreputation oder Kunden zu quantifizieren. Eine Betriebsunterbrechung kann sich auf verschiedene Weise auf ein Unternehmen auswirken, darunter die folgenden:

• verzögerte Verkäufe oder Einnahmen
• erhöhte Arbeitskosten
• Bußgelder
• Vertragsstrafen
• Unzufriedenheit der Kunden

Trotz dieser Herausforderungen kann eine BIA für eine Vielzahl von Organisationen ein wertvolles Instrument sein, insbesondere bei der Erstellung ihres Business-Continuity- und Disaster-Recovery-Plans. BIA-Berichte müssen jedoch umfassend und äußerst genau sein, weshalb viele Organisationen auf Ressourcen zurückgreifen, die sie bei diesem Prozess unterstützen, wie zum Beispiel:

• Berater. Externe Berater, die auf BIA spezialisiert sind, können für Organisationen, denen es an internem Fachwissen mangelt, sehr nützlich sein. Bei der Beauftragung eines Beratungsunternehmens sollte die Organisation jedoch darauf achten, dass die Teammitglieder nachweislich Erfahrung in der Durchführung von BIAs haben.
• BIA-Software. Die richtige Anwendung kann den BIA-Prozess rationalisieren und vereinfachen und gleichzeitig dazu beitragen, Genauigkeit und Konsistenz zu gewährleisten. BIA-Funktionen werden oft als Modul innerhalb einer größeren, umfassenderen Anwendung bereitgestellt.
• Business Continuity as a Service (BCaaS). BCaaS bietet viele der Vorteile, die für Cloud-Plattformen typisch sind. Sie machen die interne Bereitstellung von Software überflüssig, beschleunigen und vereinfachen den Einstieg und können von nahezu überall und jederzeit genutzt werden. Solche Dienste enthalten oft eine BIA-Komponente, die den Analyseprozess vereinfacht.

Die Rolle der Business-Impact-Analyse bei der Disaster-Recovery-Planung

Ein Notfallwiederherstellungsplan ist ein strukturiertes Dokument, das beschreibt, wie eine Organisation ihre Arbeit schnell wieder aufnehmen kann, nachdem ein ungeplanter Vorfall den normalen Betrieb unterbrochen hat. Der Notfallwiederherstellungsplan enthält in der Regel Daten aus einer Business-Impact-Analyse, einschließlich der mit Betriebsunterbrechungen verbundenen Kosten. Die Kosten können Situationen wie den Verlust des Cashflows, den Austausch von Geräten oder die Zahlung von Gehältern zur Aufholung von Arbeitsrückständen widerspiegeln. Sie können auch den Verlust von Gewinnen, Mitarbeitern oder Daten beinhalten.

Die im Notfallwiederherstellungsplan verwendeten Business-Impact-Analysedaten quantifizieren die Bedeutung von Geschäftskomponenten und schlagen angemessene Mittelzuweisungen für deren Schutz und die sie unterstützende Technologie vor. Mögliche Störungen werden oft im Hinblick auf ihre Auswirkungen auf bestimmte geschäftliche Belange wie Sicherheit, Finanzen, Marketing, Reputation, Einhaltung von Rechtsvorschriften oder Qualitätssicherung bewertet.

Wenn möglich, werden Auswirkungen und Wiederherstellung zu Vergleichszwecken in Geldbeträgen ausgedrückt. Beispielsweise kann ein Unternehmen das Dreifache des normalen Betrags für Marketing einplanen, um das Vertrauen der Kunden nach einer Katastrophe wiederherzustellen. Die BIA sollte die Auswirkungen einer Katastrophe im Laufe der Zeit bewerten und Wiederherstellungsstrategien, Prioritäten und Anforderungen für Ressourcen und Zeit festlegen. All diese Informationen können dann im DRP verwendet werden.

Die Rolle der Business-Impact-Analyse bei der Business-Continuity-Planung

Eine Organisation führt häufig eine Business-Impact-Analyse durch, um Daten sowohl für einen Notfallwiederherstellungsplan als auch für einen Business-Continuity-Plan bereitzustellen. Ein Business-Continuity-Plan ist ein Dokument, das die kritischen Informationen enthält, die eine Organisation benötigt, um während eines ungeplanten Ereignisses den Betrieb aufrechtzuerhalten. Er identifiziert Geschäftsfunktionen, welche Systeme und Prozesse aufrechterhalten werden müssen und wie dies zu bewerkstelligen ist.

Der Business-Continuity-Plan verwendet oft Daten aus einer Business-Impact-Analyse. Die Daten identifizieren die kritischen Geschäftsprozesse der Organisation, die Technologien, die zu ihrer Unterstützung benötigt werden, das Personal, das zur Wiederherstellung des Geschäftsbetriebs erforderlich ist, und die Einrichtungen, die zur Unterstützung des Geschäftsbetriebs benötigt werden – Informationen, die für die Entwicklung eines umfassenden Business-Continuity-Plans unerlässlich sind. Im Idealfall sollten sich die Business-Continuity- und Disaster-Recovery-Pläne gegenseitig ergänzen, es sei denn, das Management möchte sich beispielsweise auf den Schutz der Technologie konzentrieren und sich weniger um die Geschäftsprozesse kümmern.

Business-Impact-Analyse versus Risikobewertung

Eine Risikobewertung wird manchmal mit einer Business-Impact-Analyse verwechselt, aber die beiden sind grundlegend verschieden. Eine Risikobewertung identifiziert inhärente Geschäftsrisiken und wie die Auswirkungen dieser Risiken auf den Geschäftsbetrieb reduziert werden können.

Zu den Risiken können Naturkatastrophen (wie Hurrikane oder Erdbeben), Brände, Ausfälle in der Lieferkette, Strom- oder andere Versorgungsausfälle, Cyberangriffe und vieles mehr gehören. Die Risikobewertung beschreibt die wichtigsten Bereiche der Verwundbarkeit und Schwachstellen.

Im Gegensatz dazu konzentriert sich eine Business-Impact-Analyse auf die kritischen Geschäftsprozesse der Organisation und die Ressourcen, die zu ihrer Unterstützung benötigt werden. Sowohl die Risikobewertung als auch die Business-Impact-Analyse sind für die Entwicklung umfassender und genauer Business-Continuity- und Disaster-Recovery-Pläne unerlässlich.

Einige Organisationen führen die Business-Impact-Analyse vor der Risikobewertung durch, während andere es vorziehen, zuerst die Risikobewertung durchzuführen. In beiden Fällen gehen sie dem Business-Continuity- und Disaster-Recovery-Plan voraus. Zusammen dienen die Business-Impact-Analyse und die Risikobewertung als Ausgangspunkt für die umfassenderen Business-Continuity- und Disaster-Recovery-Bemühungen. Sie können bei der Analyse der Auswirkungen von RTOs und RPOs und bei der Ermittlung der für die Wiederherstellung und Wiederaufnahme des Geschäftsbetriebs erforderlichen Ressourcen und Materialien eine entscheidende Rolle spielen.