boyloso - stock.adobe.com
Was unterscheidet Business Continuity von Notfallmanagement
Geschäftskontinuität und Notfallmanagement haben Gemeinsamkeiten, sind aber nicht das Gleiche. Es sind unterschiedliche, aber gleichermaßen wichtige Verfahren fürs Disaster Recovery.
Die Planung der Business Contiuity (BC, Geschäftskontinuität) und das Notfallmanagement stellen sicher, dass eine Organisation auf widrige Ereignisse vorbereitet ist. Dennoch dienen diese wichtigen Praktiken jeweils einem anderen Zweck.
Bei der Planung der Geschäftskontinuität geht es darum, Maßnahmen zu ergreifen, um zu verhindern, dass der IT-Betrieb unterbrochen wird, bevor eine Krise eintritt. Das Notfallmanagement ist eher reaktiv. Es umfasst sofortige Maßnahmen zum Schutz des Eigentums und der Mitarbeiter des Unternehmens während eines Störfalls.
Es gibt viele Überschneidungen zwischen Business-Continuity-Planung und Notfallmanagement, was dazu führt, dass manche Unternehmen bei der Wiederherstellungsplanung die beiden Begriffe verwechseln. Schließlich geht es bei der Business-Continuity-Planung darum, zu planen, wie sich das Unternehmen im Falle einer Krise verhalten soll, während es beim Notfallmanagement darum geht, sofortige Maßnahmen zu ergreifen, um eine gerade eingetretene Störung zu beheben. Beides sind jedoch unterschiedliche Komponenten einer Disaster-Recovery-Strategie.
Das Krisenmanagement ist eine weitere verwandte, aber separate Praxis, die häufig mit dem Notfallmanagement verwechselt wird. Auf den ersten Blick scheinen die beiden Begriffe gleichbedeutend zu sein, doch unterscheidet sich das Krisenmanagement dadurch, dass es sich in der Regel damit befasst, die Auswirkungen eines Vorfalls sowohl kurz- als auch langfristig zu minimieren. Neben dem Fokus auf der Öffentlichkeitsarbeit, geht es beim Krisenmanagement um die Minimierung von Reputationsschäden und rechtlichen Komplikationen.
Gemeinsam tragen Business Continuity und Notfallmanagement dazu bei, den Betrieb einer Organisation vor, während und nach einer Katastrophe aufrechtzuerhalten. Erfahren Sie mehr über die Unterschiede zwischen den beiden Bereichen und darüber, wann das Krisenmanagement ins Spiel kommt.
Beginnen Sie mit der Geschäftskontinuität
Die optimale Geschäftskontinuitätsplanung ist proaktiv. Dazu gehört die Erstellung eines Notfallplans, der es einem Unternehmen ermöglicht, geschäftskritische IT-Workloads auch in Krisenzeiten aufrechtzuerhalten. IT-Ausfälle in einer Unternehmensumgebung können leicht enorme Kosten pro Stunde verursachen, daher unternehmen größere Firmen in der Regel große Anstrengungen, um sicherzustellen, dass es nie zu einem Ausfall kommt.
Obwohl das Hauptziel der Business-Continuity-Planung darin besteht, wichtige Arbeitslasten am Laufen zu halten, ist der Planungsprozess selbst in der Regel recht breit angelegt. Während sich ein Großteil des Planungsprozesses auf die Gewährleistung der Zuverlässigkeit der IT-Infrastruktur konzentriert, berücksichtigt die Business-Continuity-Planung auch Backups, Disaster Recovery und die Rollen und Verantwortlichkeiten der Mitarbeiter. Ein Business-Continuity-Plan muss auch sicherstellen, dass die erforderlichen Mitarbeiter während der Krise verfügbar sind und über die nötigen Ressourcen verfügen, um die Arbeitsabläufe aufrechtzuerhalten.
Die Planung der Geschäftskontinuität ist in der Regel eine unternehmensweite Aufgabe, an der nicht nur die IT-Mitarbeiter beteiligt sind. Zumindest wird das Managementteam einer Organisation in den Prozess der Geschäftskontinuitätsplanung einbezogen. Oft arbeitet das Unternehmen aber auch mit externen Anbietern zusammen, um sicherzustellen, dass es in Krisenzeiten Computerhardware, Rechenzentrumsfläche oder andere benötigte Ressourcen beschaffen kann.
Einige Beispiele für die Planung der Geschäftskontinuität sind Pläne für einen Ausfall des Rechenzentrums oder für eine Katastrophe wie einen Brand oder einen Wirbelsturm. In beiden Situationen benötigt ein Unternehmen wahrscheinlich einen Plan für die Verlagerung des Betriebs in die Cloud oder in ein alternatives Rechenzentrum, bis der normale Betrieb am eigenen Standort wieder aufgenommen werden kann.
Notfallmanagement und Geschäftskontinuität
Das Notfallmanagement konzentriert sich auf die unmittelbare Reaktion eines Unternehmens auf eine Krise. Es gibt vier Standardphasen des Notfallmanagements, die Unternehmen durchführen: Schadensbegrenzung, Vorbereitung, Reaktion und Wiederherstellung. Die genauen Prozesse sind je nach Art der Katastrophe sehr unterschiedlich, aber die Schritte des Notfallmanagements können Szenarien wie die Evakuierung eines Gebäudes und die Kontaktaufnahme mit den Behörden oder die Isolierung von Systemen, die von einem Ransomware-Angriff betroffen sind, und die Wiederherstellung eines Backups umfassen.
In einer perfekten Welt wäre das Notfallmanagement definiert als die Umsetzung der Protokolle und Verfahren, die im Geschäftskontinuitätsplan des Unternehmens dokumentiert sind. Das Notfallmanagement kann jedoch nur lose mit dem Geschäftskontinuitätsplan einer Organisation übereinstimmen. Hierfür gibt es zwei Hauptgründe.
Der erste Grund ist, dass jeder Notfall anders ist und dass es für eine Organisation unmöglich ist, alle denkbaren Ereignisse vorherzusehen und zu planen. Der Plan zur Aufrechterhaltung des Geschäftsbetriebs kann zwar allgemeine Anhaltspunkte liefern und dazu beitragen, allgemeine Risiken zu antizipieren, aber nur wenige können alle Möglichkeiten berücksichtigen.
Ein Geschäftskontinuitätsplan sollte zum Beispiel die Reaktion des Unternehmens auf einen Ransomware-Angriff beschreiben. Es gibt jedoch viele verschiedene Arten von Ransomware, so dass der Plan nicht in der Lage sein wird, die genauen Schritte anzugeben, die das Unternehmen bei einem Ransomware-Angriff befolgen müsste. Stattdessen würde der Plan wahrscheinlich einen allgemeinen Überblick über den Ransomware-Reaktionsplan der Organisation geben, und dieser Plan müsste je nach den Umständen angepasst werden.
Der zweite Grund, warum die Notfallmaßnahmen möglicherweise nicht perfekt mit einem Business-Continuity-Plan übereinstimmen, ist, dass manche Reaktionen rein instinktiv erfolgen. In ähnlicher Weise sind die Anweisungen in einem Geschäftskontinuitätsplan möglicherweise nicht praktikabel.
So könnte der Business-Continuity-Plan eines Unternehmens beispielsweise vorsehen, dass der Sicherheitsbeauftragte des Unternehmens im Falle eines Brandes die Feuerwehr verständigen soll. Sollte es jedoch tatsächlich zu einem Brand kommen, werden die Mitarbeiter wohl kaum Zeit damit verschwenden, den Sicherheitsbeauftragten des Unternehmens zu suchen, damit dieser die Feuerwehr verständigt. Stattdessen würden wahrscheinlich zumindest einige der Mitarbeiter selbst die Initiative ergreifen und die Feuerwehr kontaktieren.
Welche Rolle spielt das Krisenmanagement?
Das Krisenmanagement unterscheidet sich von der Betriebskontinuitätsplanung und dem Notfallmanagement insofern, als es sich in erster Linie mit den Aspekten der Öffentlichkeitsarbeit und der Kommunikation nach einer Katastrophe befasst. Nach einer größeren Katastrophe würde das Krisenmanagementteam eines Unternehmens wahrscheinlich die Konten in den sozialen Medien verwalten, Fragen der Presse beantworten und sich mit den Rechtsberatern abstimmen, um etwaige Verluste im Zusammenhang mit Rechtsstreitigkeiten zu begrenzen.
Wie die Notfallmaßnahmen werden auch die Protokolle für das Krisenmanagement in der Regel im Rahmen der Geschäftskontinuitätsplanung behandelt. Während der Geschäftskontinuitätsplan jedoch möglicherweise nur allgemeine Anleitungen für die mit dem Notfallmanagement betrauten Personen bereitstellt, erhält das Krisenmanagementteam detaillierte Protokolle und Anweisungen als Teil der Geschäftskontinuitätsplanung. Die Aufgabe des Krisenmanagementteams besteht darin, den rechtlichen und rufschädigenden Schaden zu begrenzen. Natürlich sollten die Reaktionen des Teams im Voraus geplant werden, und zwar mit Unterstützung des Rechtsteams der Organisation.
Ohne eine solche Vorausplanung besteht ein erhebliches Risiko, dass jemand aus dem Krisenmanagementteam versehentlich etwas sagt oder veröffentlicht, was die Organisation einem zusätzlichen rechtlichen Risiko aussetzt oder den Ruf der Organisation weiter schädigt.
