Gajus - stock.adobe.com
So unterscheiden sich BIA und Risikobewertung
Bei der Disaster-Recovery-Strategie spielen Business-Impact-Analyse und Risikobewertungen eine wichtige Rolle. Sie sollten beides in der Disaster-Recovery-Planung einbeziehen.
Risikobewertungen und Business Impact Analysis (BIA) sind zwei Schlüsselelemente eines Disaster-Recovery-Plans (DRP). Bei beiden geht es um die Bewertung von Störungsereignissen und die Nutzung der Ergebnisse zur Stärkung einer Disaster-Recovery-Strategie, aber sie sind nicht austauschbar. Um einen zuverlässigen DRP zu erstellen, sollte ein Unternehmen sowohl eine BIA als auch eine Risikobewertung durchführen.
Auf den ersten Blick scheinen eine BIA und eine Risikobewertung einen ähnlichen Zweck zu erfüllen, aber beide befassen sich mit einem anderen wichtigen Aspekt der DR-Planung. Risikobewertungen analysieren potenzielle Bedrohungen und deren Eintrittswahrscheinlichkeit, während eine Business-Impact-Analyse die Auswirkungen bestimmter Katastrophen und deren Schweregrad erläutert.
Um die Unterschiede zwischen einer BIA und einer Risikobewertung zu verstehen, ist es hilfreich, den Grund für jeden Prozess zu kennen und zu wissen, wie und wann er durchgeführt wird.
Was ist eine Risikobewertung?
Bei einer Risikobewertung (oder Risk Assesment) geht es darum, Situationen zu ermitteln, die für das Unternehmen störend sein könnten. Risikobewertungen werden häufig für das Unternehmen als Ganzes durchgeführt, aber auch IT-spezifische Risikobewertungen sind üblich.
In den Risikobewertungsberichten werden in der Regel Risiken in einer Vielzahl von Bereichen ermittelt, darunter Cybersicherheit, Telekommunikationsausfälle und geopolitische Zwischenfälle. Naturkatastrophen sind ein häufiger Bereich, der bei Risikobewertungen berücksichtigt wird. Eine Organisation in einem Küstengebiet könnte dem Risiko ausgesetzt sein, dass ein Wirbelsturm den Geschäftsbetrieb unterbricht. Der Wirbelsturm könnte möglicherweise einen langfristigen Stromausfall oder sogar eine Überschwemmung des Rechenzentrums verursachen.
In den Risikobewertungsberichten werden in der Regel auch auf menschliches Versagen beruhende Gefahren aufgeführt. Diese Risiken können versehentlich sein, zum Beispiel wenn ein Benutzer eine Datei löscht, oder es kann sich um vorsätzliche Handlungen handeln, beispielsweise wenn ein verärgerter Mitarbeiter das Unternehmen mit Malware infiziert.
Manchmal werden bei Risikobewertungen auch Risiken berücksichtigt, die nicht direkt mit dem Unternehmen verbunden sind. Beispielsweise könnte ein groß angelegter Terroranschlag in der Region ein Unternehmen für eine gewisse Zeit daran hindern, seine Geschäfte zu tätigen, auch wenn das Unternehmen nicht direkt Ziel des Anschlags war.
Risikobewertung vs. Business-Impact-Analyse
Im Gegensatz dazu ist eine BIA eine Studie, mit der ermittelt werden soll, wie sich die Unterbrechung wichtiger Geschäftsprozesse auf das Unternehmen auswirken wird.
Der Inhalt dieser Analyse ist für jedes Unternehmen anders, da der Bericht stark von der Art des Unternehmens abhängt. Ein Faktor, auf den ein Unternehmen des Gesundheitswesens in einem Bericht über die Analyse der Auswirkungen auf das Geschäft wahrscheinlich eingehen würde, wären beispielsweise HIPAA-Verletzungen.
Im Gegensatz dazu unterliegt ein Fertigungsunternehmen zwar nicht dem HIPAA, aber es gibt möglicherweise andere branchenspezifische Vorfälle und Vorschriften, die berücksichtigt werden müssen.
Einer der häufigsten Faktoren in BIA-Berichten sind Umsatzeinbußen aufgrund der Unfähigkeit, Kunden zu bedienen. Ein weiterer Faktor sind erhöhte Kosten, zum Beispiel durch Überstunden in der IT-Abteilung, dringende Hardwareanschaffungen oder Cloud-Kosten. Je nach Art des Vorfalls kann das Unternehmen auch Kunden verlieren, die ihr Vertrauen in das Unternehmen verloren haben. Darüber hinaus kann ein Unternehmen Strafen und Rechtskosten erleiden, wenn es seinen vertraglichen Verpflichtungen nicht nachkommt.
In der Praxis sollten eine BIA und eine Risikobewertung als getrennte Prozesse betrachtet werden, die keineswegs unabhängig voneinander sind. Ein BIA-Bericht ist im Wesentlichen eine Erweiterung eines Risikobewertungsberichts. Während ein Risikobewertungsbericht darauf abzielt, Risikofaktoren zu identifizieren, versucht ein BIA-Bericht vorherzusagen, wie sich identifizierte Risiken tatsächlich auf das Unternehmen auswirken werden, wenn sie eintreten.
