Entwicklung der BCM-Standards – ein Blick zurück und nach vorne
Business Continuity Management (BCM) hat sich als relativ junge Disziplin mittlerweile fest etabliert. Ein Zeichen hierfür ist die nationale und internationale Standardisierung der BCM-Disziplin mittels Normen, Standards und Good Practices. Für den deutschen Sprachraum sind zwei BCM-Standards von entscheidender Bedeutung und entsprechend weit im Einsatz bei den Unternehmen: der BCM-Zertifizierungsstandard ISO 22301:2012 sowie der BCM-Standard 100-4 des Bundesamt für Sicherheit in der Informationstechnik aus dem Jahr 2008.
Der ISO-Standard 22301:2012 “Societal security – Business continuity management systems – Requirements” definiert die Muss-Anforderungen an ein Business Continuity Management System für eine Zertifizierung. Es war der erste ISO-Standard nach einem neuen einheitlichen Aufbau (Annex SL), der die Integration verschiedener Managementsysteme in einem Unternehmen erleichtern soll.
ISO 22301 ist aus dem British Standard BS 25999 entstanden, der bereits im Dezember 2006 als BS 25999-1 “Code of Practice” und 25999-2 “Specification” erschienen ist. Auf Basis des BS 25999-2 war damit erstmals die Zertifizierung eines Business Continuity Management Systems möglich. Der BS 25999 fand weltweit schnell Beachtung und wurde zu einem Beststeller für British Standards. Vorläufer des BS 25999 wiederum war der Public Available Standard PAS 56, der 2003 von British Standards und dem Business Continuity Institute BCI herausgegeben wurde. PAS 56 beinhaltete bereits den BCM-Lebenszyklus, wie er sich heute noch vielfach in Standards wiederfindet. Vom 1994 gegründeten Business Continuity Institute wurden bereits 2001 die ersten Good Practice Guidelines (GPG) für das BCM veröffentlicht.
Das jugendliche Antlitz der BCM-Disziplin bekommt daher schon ein paar Falten, wenn man auf diese längere Geschichte der Dokumentation und Standardisierung des BCM zurückblickt.
In den vergangenen Jahren hat die Standardisierung des BCM eine enorme Dynamik erfahren. Man kann sogar von einer Standardisierungswelle sprechen. Auf der einen Seite besteht die Nachfrage nach dokumentierten standardisierten Vorgehensmodellen, auf der anderen Seite ist der Verkauf (hochpreisiger) Standards, die Durchführung von Zertifizierungen, Auditierungen und Schulungen ein lohnendes Geschäftsmodell. Dies lässt sich auch an der Anzahl der BCM- und Resilienz-Standards sowie der weltweiten BCM-Zertifizierungen ablesen. Bei der ISO-Organisation verantwortet seit Januar 2015 das technische Komitee ISO/TC 292 die Entwicklung und Aktualisierung aller ISO-Standards rund um Security und Resilience. Zuvor war ab 2001 das Komitee ISO/TC 223 Societal Security für die Entwicklung internationaler Standards für das BCM verantwortlich. Die Gründung des Komitees erfolgte nach dem tragischen Untergang des russischen Unterseeboots Kursk im Jahr 2000 und der traurigen Erkenntnis, dass die internationale Kooperation bei Notfällen nicht ausreichend war. Das ISO/TC 292 verantwortet aktuell 35 veröffentlichte ISO-Standards. 14 weitere ISO-Standards werden von den 47 Mitgliedern des Komitees derzeit entwickelt. Die ISO-Standards des TC 292 decken ein sehr breites Themenfeld ab. Neben BCM werden Standards für den Katastrophenschutz, Produktsicherheit, Sicherheit von Lieferketten und Resilience verantwortet.
Die ISO veröffentlicht jährlich die Anzahl der weltweiten ISO-Zertifizierungen. Zum 31.12.2017 wurden weltweit 4.281 Zertifizierungen nach ISO 22301:2012 gezählt. Ein Zuwachs von 11 Prozent gegenüber dem Vorjahr. Zentral- und Süd-Asien machen mit 39,4 Prozent den größten regionalen Anteil aus, gefolgt von Europa mit 28,3 Prozent. Als einzelnes Land dominiert Indien mit 1.678 Zertifikaten vor Großbritannien mit 700 Zertifikaten. Deutschland ist weit abgeschlagen mit 37 BCM-Zertifizierungen. Der Branchenschwerpunkt liegt eindeutig bei IT-Unternehmen vor Transport, Logistik und Kommunikation.
Dies zeigt, dass in den vergangenen Jahren rund um BCM-Standards ein großer Markt für die Publikation, Zertifizierung und Auditierung entstanden ist. Als Nutzer von Standards wird es zunehmend schwieriger den Überblick zu wahren und die relevanten Standards und Inhalte zu identifizieren. Zudem ist Masse nicht immer Klasse und die Begriffsverwirrungen haben sich auch durch Standards nicht gelegt. Ein wichtiger Meilenstein steht jedoch 2019 an: ISO-Standards werden alle fünf Jahre einem systematischen Review unterzogen. ISO 22301:2012 wird daher derzeit als “under review” ausgewiesen. Die Working Group 2 des TC 292 überarbeitet derzeit die drei zentralen ISO-Standards für das BCM: ISO 22300, 22301 und 22313. Aktuelle Entwicklungen sollen in die Überarbeitung des Standards einfließen.
Der Notfallmanagement-Standard BSI 100-4 des Bundesamt für Sicherheit in der Informationstechnik spielt ebenfalls eine große Rolle im deutschsprachigen BCM-Bereich. Zielsetzung und Inhalte unterscheiden sich jedoch wesentlich von den ISO-Standards. 2008 als vierter Grundschutz-Standard veröffentlicht, sollen Unternehmen und Behörden in die Lage versetzt werden, ein geschäftsprozessorientiertes Notfallmanagement zu implementieren. Der Standard baut hierbei auf der IT-Grundschutz-Vorgehensweise auf und erleichtert die Implementierung für Unternehmen und Behörden, die diese Standards bereits einsetzen. Der Standard ist stark umsetzungsorientiert aufgebaut und umfasst im Gegensatz zu ISO-Standards Beispiele, Vorlagen und Templates. Mit dem auf der Webseite des BSI verfügbaren Umsetzungsrahmenwerk UMRA wurde die Templatesammlung in Form eines Werkzeugkastens um Dokumentvorlagen, Ausfüllhilfen und Leitfäden erweitert. Der Standard beschreibt im Gegensatz zu Zertifizierungsstandards nicht nur “was” für ein Notfallmanagement implementiert werden muss, sondern gibt auch Handlungsanleitungen “wie” die Anforderungen umgesetzt werden können. Neben dem Business Continuity Management werden auch wesentliche Aspekte des Krisenmanagements mit betrachtet. Nachdem die anderen Standards der BSI-Familie bereits ein Update auf die 200-er-Version erfahren haben, wird das BSI für den 100-4 in 2019 ebenfalls mit der Überarbeitung beginnen. In 2018 fanden erste Expertenworkshops zur Neukonzeption statt und Ende 2019 soll es eine erste Entwurfsfassung für die öffentliche Kommentierung geben. Bis dahin bleibt der 100-4 in Kraft.
2019 und 2020 werden also gleich zwei Updates wichtiger BCM-Standards erarbeitet und veröffentlicht.
Neben Normen und Standards existieren weitere BCM-Leitfäden, die BCM-Verantwortlichen Unterstützung bei der Implementierung und dem Betrieb des BCM geben können.
Die BCI Good Practice Guidelines des britischen Business Continuity Institute gehören zu den bereits am längsten existierenden BCM-Leitfäden. Die “GPG” werden regelmäßig aktualisiert und sind in mehreren Sprachen verfügbar, darunter auch in deutscher Sprache. Der GPG ist neben weiteren umfangreichem Informationsmaterialien auf der Webseite des BCI zu beziehen.
Branchenspezifische BCM-Leitfäden gibt es mittlerweile auch von Versicherungen sowohl für Unternehmen als auch für Versicherungsunternehmen. „VdS 3821 Business Continuity Management – Hinweise für Unternehmen“ und „VdS 3822 Business Continuity Management – Hinweise für Versicherer“ geben Tipps zur Bewältigung von Betriebsunterbrechungen durch den Aufbau eines Business Continuity Management System (BCMS) und zeigen auf, welche Versicherungslösungen bereitgestellt werden können. Dabei wendet sich der VdS 3822 explizit an Underwriter, Schadenverhütungs-Ingenieure und Schadenregulierer in Versicherungsunternehmen.
Das Institut für Business Continuity & Resilience Management e.V. hat sich zum Ziel gesetzt, BCM und Resilience Management in Deutschland zu fördern. Im Rahmen dieser Aufgabenstellung wird auch ein Implementierungsleitfaden BCM entwickelt. Interessierte können sich gerne an der Erarbeitung des Standards beteiligen. Die dafür benötigte Anmeldung erfolgt über die Webseite des IBCRM.
Dieser Beitrag hat die Welt der Normen, Standards und Leitfäden aus der nationalen Sicht betrachtet. Für Unternehmen, die international tätig sind, wird die Orientierung an Normen und Standards schnell viel komplexer. Denn neben den weltweit gültigen ISO-Standards existieren zahlreiche weitere nationale BCM-Standards, die vor Ort zu beachten sind. Als Beispiel hierfür seien die USA genannt. In den Vereinigten Staaten ist Ende 2018 die 2019er-Edition des BCM-Standards NFPA 1600 Continuity, Emergency, and Crisis Management der National Fire Protection Association NFPA erschienen. Der Standard hat in den USA eine herausragende Bedeutung für das BCM und ist von dort tätigen Unternehmen zu beachten. Ähnlich verhält es sich in anderen Ländern, die nationale BCM-Standards vorgeben. Hinzu kommen Branchen-Standards wie zum Beispiel Basel II und Basel III sowie spezifische BCM-Anforderungen der Europäischen Bankenaufsicht für die Finanzdienstleistung sowie IT-Standards, die das Thema BCM mit beinhalten (ISO 2700-Standards, Cobit, SITB, ITIL etc.).
Business Continuity Verantwortliche werden daher auch weiterhin alle Hände voll zu tun haben, um in der Welt der Normen, Standards und Leitfäden auf dem Laufenden zu bleiben und hoffentlich nicht den Überblick zu verlieren.
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschafts-wissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.