Die BCM-Risikoanalyse

  1. Home
  2. Blog
  3. BCM
  4. Blog Post
Veröffentlicht am 24.03.2021

Eine Gegenüberstellung der Anforderungen der BCM-Standards an Inhalte und Umsetzung der Risikoanalyse im Business Continuity Management.

Einleitung
Die BCM-Risikoanalyse stellt Unternehmen im Vergleich zu den anderen Phasen des BCM-Lebenszyklus, der Business Impact Analyse, der Notfallplanung sowie den Tests und Übungen oftmals vor neue methodische und organisatorische Fragestellungen. Das Verständnis, ob, wann und wie eine Risikoanalyse im Business Continuity Management durchgeführt werden soll hat sich im Entwicklungsverlauf der BCM-Disziplin gewandelt und auch innerhalb der BCM-Verantwortlichen gibt es heute unterschiedliche Sichtweisen auf dieses spannende Thema. Der BS 25999, Vorläufer des aktuellen ISO-Standards 22301, verweist bei der Risikoanalyse noch auf die Pflichtelemente des ISO 27001. In der Fassung von 2012 verweist der ISO 22301 dann bei der Umsetzung des Risikomanagements auf die ISO 31000 und definiert darüber hinaus nur sehr rudimentäre Anforderungen an das Risikomanagement aus BCM-Sicht. Dies lässt die BCM-Verantwortlichen mit zahlreichen Fragezeichen zurück.

Es beginnt mit der Fragestellung, ob für das BCM überhaupt eine eigenständige Risikoanalyse erforderlich ist und wenn ja, wie diese auszugestalten ist, wer für die Risikoanalyse und die identifizierten Risiken im Unternehmen die Verantwortung trägt und welche Rolle das Business Continuity Management im Zusammenspiel mit den anderen Risikomanagement-Disziplinen spielt. Ist nicht das Facility Management für die Gebäuderisiken, die IT für die IT-Risiken, die Auslagerungssteuerung für die Dienstleisterrisiken und Führungskräfte für die Personalrisiken verantwortlich? Welchen Beitrag kann oder muss das BCM hierzu leisten? Welche Verantwortung trägt das BCM für die Risiken und risikoreduzierenden Maßnahmen? Wie soll die BCM-Risikoanalyse methodisch durchgeführt werden und wie sollen die Methodiken der BCM-Risikoanalyse mit den Methodiken und Ergebnissen der anderen Risikodisziplinen im Unternehmen verzahnt werden?

Um sich diesen Fragestellungen auf der Suche nach Antworten zu nähern sollen in diesem Beitrag zunächst die Anforderungen an die BCM-Risiko-Analyse aus BCM-Standards und Good Practices beleuchtet werden. Schließlich enthalten die Standards und Good Practices Vorgaben, welche Inhalte und Ergebnisse eine BCM-Risikoanalyse umfassen soll. Hierzu werden die ISO Standards 22301 und 22313, der aktuelle Community Draft des BSI 200-4, die BCI Good Practice Guidelines sowie der US-Standard NFPA 1600 betrachtet. Ziel ist es, die Anforderungen aus den genannten Standards an die BCM-Risikoanalyse zu identifizieren und einander gegenüberzustellen.

Anforderungen des ISO 22301:2020 und ISO 22313:2000 an die Risikobeurteilung
Der BCM-Standard ISO 22301:2020 fordert, dass ein Prozess der Risikobeurteilung umgesetzt und aufrechterhalten wird. Für die Umsetzung wird auf den Standard ISO 31000 Risikomanagement Guidelines verwiesen.

Als Mindestumfang der Risikobeurteilung ist gefordert, dass die Organisation

  • die Risiken einer Störung ihrer Betriebstätigkeit hoher Priorität und ihrer erforderlichen Ressourcen ermittelt,
  • die ermittelten Risiken analysiert und bewertet,
  • bestimmt, welche Risiken eine Behandlung erfordern.

Diese knappen Ausführungen zur Risikobeurteilung mit dem Verweis auf einen anderen Standard helfen dem BCM-Verantwortlichen noch nicht sehr viel weiter. Zumal es im ISO 31000 keine spezifischen Ausführungen zu BCM-Risiken gibt.
Werfen wir daher einen Blick in die Guidance ISO 22313:2000 zum ISO 22301. ISO 22313 beschreibt die Empfehlungen („should“-Anforderungen) zur Umsetzung der verpflichtenden Anforderungen des ISO 22301 („shall“-Anforderungen).
Und tatsächlich werden hier die Anforderungen an die Risikobeurteilung etwas konkretisiert:

„Die Organisation sollte die relevanten Bedrohungen und das Schadenspotenzial für die Ressourcen verstehen, die für die Tätigkeiten der Organisation erforderlich sind, insbesondere:

  • Ressourcen, die für Aktivitäten mit identifizierter hoher Priorität benötigt werden;
  • wo die Zeit für die Ersatzbeschaffung länger ist als das Ziel für die Wiederherstellungsdauer (RTO) der Tätigkeit.“

Der Risikobeurteilungsprozess besteht aus den Elementen:

  1. Identifikation von Risiken:
    • Potenzielle Risikoquellen für die priorisierten Aktivitäten einer Organisation und für die Prozesse, Systeme, Daten, Personen, Vermögenswerte, Lieferanten und anderen Ressourcen, die diese unterstützen:
    • Spezifische Bedrohungen, die Tätigkeiten und Ressourcen stören können (z. B. Feuer, Überschwemmungen, Stromausfall, Verlust von Mitarbeitern, Abwesenheit von Mitarbeitern, Computerviren und Geräteausfall),
    • Betriebsstörungen, die aus den Schwachstellen der Ressourcen hervorgehen könnten (z. B. Einzelausfälle, unangemessener Brandschutz, Mangel an elektrischer Belastbarkeit, unangemessene Personaldecke, mangelhafte IT-Sicherheit und -Belastbarkeit).
  2. Analyse von Risiken:
    • Betrachtung der Ursachen und Quellen von Risiken, der Wahrscheinlichkeit sowohl positiver als auch negativer Auswirkungen und die mögliche Auswirkung anderer Faktoren auf die Wahrscheinlichkeit,
    • Bestimmung der Risiken, hauptsächlich auf der Grundlage ihrer Wahrscheinlichkeit und der erwarteten Auswirkungen, aber auch unter Berücksichtigung der Wirksamkeit und der Leistungsfähigkeit bestehender Steuerungselemente,
    • Ein wesentlicher Parameter in der Analyse ist die Wahrscheinlichkeit, sodass das Vertrauen in die Gültigkeit des Risikos (basierend auf den unterschiedlichen Meinungen der Experten, der Unsicherheit, Verfügbarkeit, Qualität, Quantität und dauerhaften Relevanz von Informationen oder Beschränkungen der Modellierung) berücksichtigt und den Entscheidungsträgern oder anderen interessierten Parteien mitgeteilt werden sollte,
    • Die Analyse kann qualitativ, semi-quantitativ oder quantitativ sein.
  3. Bewertung von Risiken:
    Eine Bewertung, welche störungsbezogenen Risiken eine Behandlung erfordern. Diese Bewertung sollte sich auf diejenigen Ressourcen konzentrieren, die von Aktivitäten mit hoher Priorität oder mit erheblicher Zeit für die Ersatzbeschaffung gefordert werden.

Die ISO 22313 differenziert hierbei Risiken aus spezifischen Bedrohungen wie Stromausfall und Risiken, die aus Schwachstellen der Prozess-Ressourcen entstehen können. Es sind demzufolge neben Gefährdungen wie Überschwemmungen oder Stromausfall auch die Prozess-Ressourcen und deren Schwachstellen in der Risikobeurteilung zu betrachten. Hierbei ist der Fokus auf die in der Business Impact Analyse identifizierten kritischen Prozess-Ressourcen zu richten.
Bei der Analyse wird der Betrachtung der Eintrittswahrscheinlichkeit eine hohe Bedeutung zugemessen. Dies ist bemerkenswert, da gerade bei BCM-Risiken die Eintrittswahrscheinlichkeiten sehr gering sind und zudem schwer zu ermitteln, da oftmals keine Schadenshistorien vorliegen.

Anforderungen des BSI 200-4 Community Draft vom Januar 2021 an die BCM-Risikoanalyse
Der Standard BSI 200-4 Business Continuity Management des Bundesamt für Sicherheit in der Informationstechnik ist aktuell als Community Draft (CD) veröffentlicht und kann bis zum 30.06.2021 kommentiert werden. Der Standard ist weitgehend überarbeitet worden und wird den bestehenden BSI 100-4 ablösen. Es sollen hier daher nur die Anforderungen aus dem Community Draft betrachtet werden.
Im Abschnitt 8.2.3 definiert der BSI 200-4 CD die Anforderungen an die Risikobeurteilung:

  • „Der BSI 200-4 beschreibt keine eigenständige Methodik für eine BCM-Risikoanalyse. Vielmehr kann hierzu auf etablierte Risikomanagement-Standards zurückgegriffen werden. Diese Methoden müssen jedoch die Parameter Eintrittswahrscheinlichkeit und Schadenshöhe berücksichtigen.“
  • „Die Organisation muss einen Prozess der Risikobeurteilung umsetzen und aufrechterhalten.
  • Die Organisation muss
    o Die Risiken einer Störung ihrer Betriebstätigkeit hoher Priorität und ihrer erforderlichen Ressourcen ermitteln
    o Die ermittelten Risiken analysieren und bewerten
    o Bestimmen, welche Risiken eine Behandlung erfordern“
  • „In der BCM-Risikoanalyse wird dazu untersucht, gegen welche Gefährdungen der Geschäftsbetrieb abgesichert werden soll, bzw. bei welchen Gefährdungen das Risiko so hoch ist, dass abgesichert werden soll. Als Zielobjekte in der BCM-Risikoanalyse dienen alle zeitkritischen Ressourcen, die vorab in der BIA identifiziert wurden.“
  • „Die Ergebnisse der BCM-Risikoanalyse schaffen die Voraussetzung in den Folgeschritten des BCMS gezielte Notfallvorsorgemaßnahmen und BC-Lösungen unter Kosten-Nutzen-Risiko-Gesichtspunkten ableiten zu können.“

Wie auch der ISO 22301 verweist der BSI 200-4 auf bestehende Risikomanagement-Standards. Hier ist neben dem ISO 31000 insbesondere auch der BSI-Standard 200-3 zu nennen.

Der BSI 200-4 CD lässt zwar mit dieser Vorgabe grundsätzlich verschiedene Methodiken der BCM-Risikoanalyse zu, setzt aber auf der anderen Seite fest definierte Leitplanken für die methodische Umsetzung. Zu diesen Vorgaben zählt, dass die BCM Risikoanalyse erst nach erfolgter Business Impact Analyse durchgeführt werden kann, da die Risikoanalyse auf den zeitkritischen Ressourcen aus der BIA als Zielobjekt der Risikoanalyse aufsetzt. Zudem definiert der Standard zwingend die Risiko-Parameter Eintrittswahrscheinlichkeit und Schadenshöhe zu berücksichtigen, wobei die bereits getroffenen risikoreduzierenden Maßnahmen zu berücksichtigen sind (Netto-Risiko).

Dieses im Standard BSI 200-4 CD definierte Vorgehen kann auf Grund des Zielobjekts der Prozess-Ressourcen auch als „Asset-bezogenes Risikomanagement“ bezeichnet werden.

BCM-Risikoanalyse, Anfoderungen aus den gängigen Standards

Anforderungen der BCI Good Practice Guidelines 2018 deutsche Fassung an die BCM-Risikoanalyse
Das Business Continuity Institute (BCI) gibt seit vielen Jahren die BCI The Good Practice Guidelines als Implementierungsleitfaden für das BCM heraus. Die aktuelle Version aus dem Jahr 2018 gibt es als kostenpflichtige Voll- und kostenlose Lite-Version (www.thebci.org).
Die BCM-Risikoanalyse ist in den BCI Good Practice Guidelines (BCI GPG) im Prozess „Risiko- und Bedrohungsanalyse“ beschrieben.

„Für die Durchführung der Risiko- und Bedrohungsanalyse im Rahmen des Business Continuity Programms sind die folgenden Schritte zu beachten:

  1. Auflistung der bekannten und erwarteten internen und externen Bedrohungen,
  2. Abschätzung der Auswirkungen jeder Bedrohung auf die Organisation,
  3. Ermittlung der Wahrscheinlichkeit für das Eintreten einer Bedrohung,
  4. Berechnen eines Risikowertes für jede Bedrohung, indem die Werte für die Auswirkung und Wahrscheinlichkeit kombiniert werden,
  5. Priorisieren der Bedrohungen auf Grundlage des Risikowertes für die priorisierten Aktivitäten,
  6. Identifizieren inakzeptabler Risikobereiche, zu denen auch besondere Schwachstellen (Single Points of Failure) gehören können,
  7. Ergebnisse mit relevanten Interessengruppen teilen,
  8. Mithilfe der Informationen, die sich aus der Risiko- und Bedrohungsanalyse ergeben, können Optionen für Minderungsmaßnahmen in der Designphase des Lifecycles identifiziert werden.“

Für die Berücksichtigung potenzieller Bedrohungen und Risiken aus längerfristigen Trends verweisen die BCI GPG auf regelmäßig durchzuführende „Horizont Scans“ als weitere Grundlage für die Risikobewertung.

Ergebnis der Risiko- und Bedrohungsanalyse ist „eine priorisierte Liste der Bedrohungen basierend auf dem Risiko einer Unterbrechung der Aktivitäten der Organisation“, sowie die „Identifizierung von inakzeptablen Risiken und Einzelschäden“ sowie „…Maßnahmen zur Verringerung der Häufigkeit und des Ausmaßes der priorisierten Bedrohungen“.

Die methodische Vorgehensweise der Risikoanalyse der BCI Good Practice Guidelines unterscheidet sich von der Vorgehensweise im BSI 200-4 CD. Ausgangspunkt sind nicht die in der BIA als kritisch identifizierten Prozess-Ressourcen, sondern eine Liste von Bedrohungen, deren Eintrittswahrscheinlichkeit und Ausmaß der Auswirkungen auf das Unternehmen eingeschätzt wird. Mit den „Horizont Scans“, die regelmäßig durchgeführt werden sollen, erhält die Risiko- und Bedrohungsanalyse zudem eine weitere strategische zukunftsgerichtete Analyse der Risiken, die für das Unternehmen relevant werden können.
Die Risiko- und Bedrohungsanalyse ist gemeinsam mit der BIA Teil der Analyse-Phase. Das Vorgehen ausgehend von den Bedrohungen bedingt aber nicht notwendigerweise die Ergebnisse einer BIA und kann daher auch zeitlich parallel oder unabhängig von der BIA durchgeführt werden.

Dieser Ansatz wird hier als „Bedrohungs-orientiertes Risikomanagement“ bezeichnet.

Anforderungen des NFPA 1600:2000 an die BCM-Risikoanalyse
Die US-amerikanischen Anforderungen an ein Business Continuity Management sind im Standard NFPA 1600 der National Fire Protection Agency NFPA definiert. Während der BSI 200-4 CD und auch die BCI Good Practice Guidelines auf dem ISO Standard 22301 Business Continuity Management basieren, wird dieser BCM-Standard laufend weiterentwickelt und wurde im Jahr 2000 letztmalig aktualisiert. Für Unternehmen mit Sitz oder Niederlassungen in den USA ist der NFA 1600 der maßgebliche Standard für die BCM-Implementierung.

Die Anforderungen an das BCM-Risikomanagement sind im Abschnitt 3-3 „Hazard Identification and Risk Assessment“ definiert:

3-3.1* The entity shall identify hazards, the likelihood of their occurrence, and the vulnerability of people, property, the environment, and the entity itself to those hazards. Hazards to be considered at a minimum shall include, but shall not be limited to, the following: (1) Natural events (2) Technological events (3) Human events

3-3.2* The entity shall conduct an impact analysis to determine the potential for detrimental impacts of the hazards on items including but not limited to the following: (1) Health and safety of persons in the affected area at the time of the incident (injury and death) (2) Health and safety of personnel responding to the incident (3) *Continuity of operations (4) Property, facilities, and infrastructure (5) Delivery of services (6) The environment (7) *Economic and financial condition (8) Regulatory and contractual obligations (9) Reputation of the entity

Der US-amerikanische BCM-Standard vereint die Anforderungen des „Bedrohungs-orientierten Risikomanagements“ mit denen des „Asset-bezogenen Risikomanagements“ indem sowohl auf die Identifikation der Bedrohungen für das Unternehmen eingegangen wird als auch explizit eine Impact-Analyse zur Identifikation der Auswirkungen auf die Prozesse und Assets des Unternehmens durchgeführt werden muss.
Im Abschnitt 3-4 „Hazard Mitigation“ werden beispielhafte risikomindernde Maßnahmen aufgelistet, die sowohl die Eintrittswahrscheinlichkeiten von Bedrohungen reduzieren als auch die Schadenswirkungen auf Assets zum Beispiel durch redundante Absicherungen.

Zusammenfassung und Bewertung
Die Darstellung der Anforderungen an die BCM Risikoanalyse der drei BCM-Standards und zwei BCM-Guidelines haben gezeigt, dass es stark unterschiedliche Herangehensweisen an die BCM-Risikoanalyse gibt. Bezeichnend ist, dass sowohl der Community Draft des BSI 200-4 als auch die BCI Good Practice Guidelines, die mit dem ISO-Standard 22301 kompatibel sind stark abweichende Herangehensweisen zeigen, während der US-amerikanische Standard als größter gemeinsamer Nenner der Methodiken erscheint.

Während der Community Draft des BSI 200-4 ein stark operativ in den BCM-Lebenszyklus eingebettetes BCM Risikomanagement definiert, betonen die BCI Good Practice Guidelines insbesondere mit den „Horizont Scans“ die strategische Perspektive des BCM Risikomanagements.

Eine Kombination der drei verschiedenen Perspektiven der BCM-Risikoanalyse ermöglicht einen 360-Grad-Blick auf die Risiken, sie ergänzen sich somit ideal:

  • Eine „Asset-bezogene BCM-Risikoanalyse“ aufbauend auf der BIA zur Identifikation der Asset-bezogenen Risiken und Ableitung der risikoreduzierenden Maßnahmen für kritische Assets (Personal, Gebäude, IT, techn. Anlagen, Dienstleister, Dokumente),
  • Eine „Gefährdungsbezogene BCM-Risikoanalyse“ zur Identifikation der Risiken aus Sicht übergreifender Gefährdungen auf Basis eines Gefährdungskatalogs (Bsp. Stromausfall, Extremwetterereignisse, Streiks, Pandemie etc.),
  • Eine „Strategische BCM-Risikoanalyse“ zur Identifikation strategischer und zukünftiger Risiken, die die Organisation existentiell gefährden können.

Abhängig davon, wie sich ein Business Continuity Management hinsichtlich dieser drei Varianten im Unternehmen aufstellt, definieren sich die Schnittstellen zu den anderen Risikomanagement-Disziplinen im Unternehmen.

Eine „Asset-bezogene BCM-Risikoanalyse“ kann durch das BCM gemeinsam mit den Fachbereichen aufbauend auf der Business Impact Analyse durchgeführt werden und erfordert darüber hinaus wenige Schnittstellen zu anderen Risikomanagement-Disziplinen.

Eine „Gefährdungs-bezogene BCM-Risikoanalyse“ erfordert dagegen eine enge Zusammenarbeit mit den Risikoeigentümern und anderen Disziplinen des Risikomanagements, wie zum Beispiel dem operationellen Risikomanagement. Gefährdungsanalysen werden oftmals bereits durch andere Disziplinen im Haus durchgeführt und verantwortet (Bsp. Gefährdungsanalyse Gebäude durch Facility Management und IT-Risiken durch das IT-Risikomanagement). Eine enge Verzahnung der Disziplinen ist hierbei erforderlich, um Synergien zu heben, Doppelarbeiten zu vermeiden sowie ein gemeinsames Verständnis der Risiken zu erzielen.

Die „Strategische Risikoanalyse“ ist auf Management-Ebene angesiedelt. Hier hat das Business Continuity Management die Chance, sich stärker auf Management-Ebene zu präsentieren und einzubringen. Mit den Ergebnissen der Business Impact Analysen, den Notfallkonzepten und -plänen verfügt das BCM auch über einen Wissensschatz, der einen wichtigen Beitrag zur Risikostrategie leisten kann.

Es liegt jetzt in der Hand jedes einzelnen BCM-Verantwortlichen, wie die Rolle im Risikomanagement gesehen und wahrgenommen wird. Auch ein schrittweises Vorgehen vom operativen hin zum strategischen Risikomanagement bietet sich als eine Option an.

Matthias Hämmerle, haemmerle consulting, zum Thema BCM-Risikoanalyse - eine Gegenüberstellung der Anforderungen aus den gängigen StandardsMatthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschaftswissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.

Tags