Interviewpartner: Rolf Irion
Funktion: Geschäftsführer
Unternehmen: HiScout GmbH
Website: www.hiscout.de
Beschreiben Sie kurz Ihr Unternehmen. Welche Zielgruppe sprechen Sie hauptsächlich an?
Die HiScout GmbH wurde 2009 gegründet und zählt inzwischen im deutschsprachigen Raum zu den führenden Anbietern von Software für das Management von Informationssicherheit, Geschäftskontinuität und der damit verbundenen Risiken. Zu unseren Kunden gehören namhafte Institutionen aus dem Dienstleistungs-, Finanz- und Industriesektor sowie der öffentlichen Verwaltung. Als agiles Unternehmen zählen für uns Menschen und Interaktionen mehr als Prozesse und Werkzeuge. Wir sind ein bunt gemischtes, authentisches Team, welches bereits seit vielen Jahren erfolgreich mit unseren Kunden zusammenarbeitet. Künftig unterstützt unsere HiScout GRC Suite die Kunden auch bei der Integration von ITSM, ISM und BCM – stellen Sie sich einen Servicekatalog vor, in dem Sicherheitsniveau, Verfügbarkeit, Wiederanlauf- und Wiederherstellungszeiten für die Kunden der IT bestellbar werden.
Was bedeutet Business Continuity Management – kurz BCM – für Sie?
Business Continuity Management hilft unseren Kunden, die Kontinuität der Geschäftsabläufe zu gewährleisten, deren Unterbrechung der Organisation ernsthafte Schäden oder existenzgefährdende Verluste zufügen würde. Diese Geschäftsabläufe sowie die dafür benötigten kritischen Ressourcen werden vor potenziellen Ausfallrisiken besonders geschützt. Für den Ernstfall werden alternative Abläufe für einen Notbetrieb der Organisation ermöglicht, unabhängig davon, ob der Ausfall Personal, Infrastrukturen, Dienstleister und/oder die Informations- und Kommunikationstechnologie umfasst.
Wo sehen Sie den Unterschied zwischen BCM und dem Notfall- und Krisenmanagement?
Business Continuity Management ist das übergreifende Managementsystem. Es beschreibt also u. A. die Organisation, Rollen und Abläufe, die den Aufbau eines leistungsfähigen Notfall- und Krisenmanagements nachhaltig überhaupt erst ermöglichen. Hierzu gehören neben den konkreten Plänen für verschiedene Notfall- und Krisenszenarien beispielsweise auch Awareness-Maßnahmen, Schulungen, Tests, Übungen oder die Vorbereitung und Aufrechterhaltung einer Zertifizierung. Unternehmen können bisweilen mit einzelnen Notfällen operativ sehr gut umgehen, haben aber noch kein übergreifendes BCM, das sicherstellt, dass dies auch für andere Szenarien gelingt, die das Unternehmen ebenso oder sogar stärker gefährden könnten, aber mit denen eher selten zu rechnen ist.
Unsere Erfahrung zeigt auch, dass Unternehmen, die sich systematisch mit der Frage befassen welche Abläufe und Ressourcen wirklich kritisch sind sehr viel über sich und ihr Geschäft lernen und somit auch ohne Not- oder Krisenfälle von den Erkenntnissen des BCM profitieren.
Historisch gesehen ist der Begriff BCM aus dem militärischen Bereich entlehnt. Sehen Sie BCM auch heute als absolut erforderliche Überlebensstrategie für Unternehmen?
Es ist möglicherweise kein Zufall, dass die Ursprünge sowohl des BCM, als auch des Agilitätsgedankens- eines der zentralen Themen, moderner Softwareunternehmen – bei Denkern mit militärischem Hintergrund zu finden sind. Beide beschäftigen sich auf ihre Art mit der Frage, wie Unternehmen am besten funktionieren, wenn sich Anforderungen plötzlich verändern und genutzte bzw. verfügbare Technologien/Ressourcen zunehmend Unsicherheiten mit sich bringen.
Die erfolgreiche Umsetzung eigener Pläne trotz „Feindeinwirkung und Störung“, wie es im militärischen Bereich so schön heißt, ist für jedes Unternehmen eine zentrale Frage. Durch die zunehmende Serviceorientierung steigt die Abhängigkeit von Servicepartnern. Gleichzeitig sinkt in der Regel die Möglichkeit auf die Art wie diese Partner ihr Geschäft betreiben im Not- oder Krisenfall Einfluss zu nehmen oder zu „improvisieren“. Entsprechend müssen Regelungen getroffen, Risiken bekannt und präventive, eindämmende und geschäftsfortführende Maßnahmen gut definiert sein.
Die Ressource IT hat ebenfalls einen zwiespältigen Charakter. Einerseits stellt sie sich über die Cloud/SaaS als weitestgehend ausfallsicheres Commodity dar, auf das ich immer zugreifen kann. Andererseits ist gerade die Informations- und Kommunikationstechnologie beliebt für die sog. „Feindeinwirkung“.
Welche neuen Entwicklungen gibt es im Bereich BCM, die besonders die deutschen Unternehmen derzeit beschäftigen (sollten)?
Für zahlreiche deutsche Unternehmen gewinnt die nationale Strategie zum Schutz Kritischer Infrastrukturen (kurz: KRITIS) des Bundesamts für Bevölkerungsschutz u. Katastrophenhilfe sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an Bedeutung.
Zu den kritischen Infrastrukturen gehören alle Unternehmen und Einrichtungen, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder z. B erhebliche Störungen der öffentlichen Sicherheit einträten. Hierzu gehören: Transport/Verkehr, Energie, Informationstechnik u. Telekommunikation, Finanz- und Versicherungswesen, Ernährung, Wasser, Gesundheit, Medien, Kultur(güter) sowie Staat u. Verwaltung, insbes. Regierung, Parlament, Justizeinrichtungen und das Notfall- und Rettungswesen einschließlich Katastrophenschutz.
Die Bundesregierung und die Betreiber Kritischer Infrastrukturen haben ihre Kooperation erst im August dieses Jahres erneuert und Handlungsschwerpunkte für die nächsten Jahre festgelegt.
Was war das spannendste Projekt, das Sie/Ihr Unternehmen in den letzten 12 Monaten in Angriff genommen haben?
Im Bereich BCM haben wir einem Dax-notierten Konzern geholfen eine weltweit einsetzbare und standardisierte Lösung für Disaster Recovery Pläne auf Basis unserer Technologie aufzusetzen.
Außerdem helfen wir einer staatlichen Großorganisation bei der toolgestützten Umsetzung des BSI IT-Grundschutzes.
Ein kurzes Statement zum Schluss:
Sie suchen den fachlichen Austausch mit Anwenderunternehmen und deren GRC-Experten? – Besuchen Sie doch unsere „IT-GRC Expert Group“ auf XING. Hier leisten wir Hilfe zur Selbsthilfe.