Dr. Frank Kühnlenz, Computer- und Medienservice

Das Business Continuity Management (BCM) hat zum Ziel, signifikante Unterbrechungen von Geschäftsprozessen abzumildern, welche einer Organisation wie einer Hochschule ernsthafte Schäden zufügen. Zahlreiche Risiken können dafür verantwortlich sein – wie in diesem Artikel dargestellt
zum Beispiel ein IT-Notfall, durch den für die Ausführung kritischer Geschäftsprozesse essentielle IT-Infrastrukturen außer Betrieb gesetzt werden.

Business Continuity Management (BCM) wird durch zahlreiche Standards beschrieben, wie beispielsweise den BSI-Standard 200-4, an dem sich die HU orientiert. Abbildung 1 illustriert den Gegenstand der Betrachtungen:

Im Normalzustand laufen alle Geschäftsprozesse unterbrechungsfrei (typische Hochschulprozesse sind z. B. Immatrikulation und Studierendenmanagement, Prüfungen, Gehaltszahlungen). Findet jedoch ein signifikantes Schadensereignis – bspw. ein flächendeckender Ransomware-Befall – statt, führt dies zum Erliegen von Geschäftsprozessen und eine Notfallbewältigung wird eingeleitet.
Jede Notfallbewältigung startet mit einer „Chaos-Phase“, denn ein Berg von Herausforderungen türmt sich auf, die unter hohem Zeitdruck quasi simultan bewältigt werden müssen. Mit BCM verkürzt sich diese Chaos-Phase, weil bestimmte Szenarien und Pläne helfen, eine Lagefeststellung einfacher durchzuführen und etwa einen unrechtmäßigen Zugriff von Cyber-Kriminellen schneller zu beenden. Die betroffenen IT-Systeme müssen in der Regel komplett neu installiert und die Daten (inkl. Konfigurationen) wiederhergestellt werden. So einfach sich diese Schritte benennen lassen, so schwierig ist deren Umsetzung in einer sich dynamisch ändern den IT-Notfalllage, in der Erkenntnisse höchst selten vollständig gesichert sind und dennoch für Entscheidungen genutzt werden müssen. „Ersatzteile“, Personal und Spezialwissen müssten zudem über die Kapazitäten des Normalbetriebs hinaus vorgehalten werden, was aus Kostengründen und insbesondere an Hochschulen nicht leistbar ist.
Während des Notfalls sind Geschäftsprozesse nicht mehr durchführbar – einige mögen eine bestimmte Zeit warten können, andere fallen in die Kategorie der „kritischen Geschäftsprozesse“, deren Nicht-Ausführung innerhalb einer typischerweise eher kurzen Zeitspanne erhebliche Folgen hat (z. B. wenn Tiere nicht mehr versorgt oder Gehälter nicht gezahlt werden). Manche dieser kritischen Geschäftsprozesse an Hochschulen sind eng mit dem Studienjahr verbunden: Prüfungen, Immatrikulationen oder bestimmte Bewerbungsverfahren. Zudem beginnen Hochschulen vielerorts erst langsam, in derlei Prozessen zu denken, was oftmals mit „historisch Gewachsenem“ und der Abgrenzung von zentralen und dezentralen Vorgängen kollidiert.
Mittels einer Business Impact Analysis (BIA) werden für das BCM im Normalbetrieb ohne stressige Notfallsituation die Kriterien für kritische Geschäftsprozesse identifiziert – und mithin wird evaluiert, welche Prozesse existieren, die im Notfall priorisiert betrachtet werden müssen. Hierdurch lassen sich Notfallbewältigungsressourcen effektiv und zielgerichtet einsetzen und die proaktive Definition von angestrebten Notbetriebsniveaus wird für diese Prozesse ermöglicht. Ein Notbetriebsniveau beschreibt eine minimal notwendige Arbeitsweise, damit kritische Geschäftsprozesse weiter durchgeführt werden können (bspw. durch einen Rückgriff auf papierbasierte Arbeitsabläufe oder den Einsatz zusätzlichen Personals).

Ein stabiler Notbetrieb mag Wochen bis Monate anhalten, allerdings endet der Notfall erst mit Wiederherstellung des Normalbetriebs, in de alle Geschäftsprozesse ungehindert ablaufen, wie sie es vor Eintreten des Schadensereignisses getan haben. Eine (durch BCM) geregelte Vorgehensweise bei Notfällen durch proaktive und reaktive Maßnahmen ermöglicht somit typischerweise sowohl eine schnellere Etablierung des Notbetriebs als auch eine schnellere Rückführung in den Normalbetrieb. BCM ist zudem geeignet, den Stress zu reduzieren, den Mitarbeitende durch einen solchen Notfall erleiden: einerseits durch den Vertrauen schaffenden Rahmen, wie im Notfall zu verfahren ist, und andererseits durch besondere Aufmerksamkeit bzgl. Anerkennung und Erhalt der Arbeitskraft von Schlüsselpersonal.