Im Aufbau und Betrieb eines Business Continuity Managementsystems sind üblicherweise zwei Lager anzutreffen: Die einen nutzen komplexe Governance, Risk und Compliance (GRC)-Tools, die anderen behelfen sich mit „klassischen“ Office-Tools. Wie ein möglicher Mittelweg zwischen GRC-Tool und Office-Lösung aussehen kann, um sein BCM wirksam, kollaborativ und ausfallsicher zu betreiben, soll der vorliegende Beitrag näher erläutern.
GRC-Tools bieten eine zentrale Plattform zur Verwaltung von Risiken, Compliance-Anforderungen und internen Kontrollen. Sie ermöglichen eine strukturierte, automatisierte und nachvollziehbare Dokumentation sowie Berichterstattung. Zudem bieten sie Workflows, Alarmfunktionen und ein Monitoring, was im realen Not- und Krisenfall helfen kann, die Übersicht zu behalten. Durch integrierte Schnittstellen lassen sich zudem Daten aus verschiedenen Quellen zusammenführen. All diese Möglichkeiten haben jedoch einen entscheidenden Nachteil: GRC-Tools werden häufig als teuer und komplex empfunden. Zudem benötigen sie eine längere Implementierungs- und Schulungsphase, was gerade für kleine und mittelständische Unternehmen eine Hürde darstellen kann.
Viele dieser kleinen und mittelständischen Unternehmen greifen daher auf bewährte Office-Tools zurück, allen voran solche von Microsoft Office, um ihr BCM zu verwalten: Word für Notfallpläne, Excel für Business Impact und Risikoanalyse, PowerPoint für Awareness-Formate und Reports. Diese Office-Lösungen sind weit verbreitet, intuitiv bedienbar und bieten bewährte und flexible Werkzeuge, die viele Organisationen bereits kennen. Richtlinien und Notfallpläne sind damit schnell erstellt und leicht editierbar. Allerdings sind die Dateien oft einzeln und dezentral abgelegt, was zu Inkonsistenzen, Versionschaos und eingeschränkter Kollaboration führen kann – gerade wenn viele Personen gleichzeitig daran arbeiten müssen.
Wer mit dem klassischen Ansatz unzufrieden ist, muss jedoch nicht gleich den großen Sprung auf ein GRC-Tool wagen. Zahlreiche andere Tools auf dem Markt können dabei helfen, ein BCMS zu betreiben und dabei Ausfallsicherheit sowie kollaboratives und Workflow-gesteuertes Arbeiten in Einklang zu bringen. Hierbei jedoch zwei Prämissen vorab:
- Produktneutralität: Der Beitrag wäre nur halb so lesenswert, würde man auf die Nennung von bestimmten Herstellern und Tools komplett verzichten. HiSolutions versteht sich als Sicherheitsberatungsunternehmen, das produkt- und herstellerunabhängig berät. Nachfolgend genannte Tools sollen daher nicht als Produktempfehlung missverstanden werden. Vielmehr sind es Tools, die in diversen Projektsituationen angetroffen wurden und sich augenscheinlich im Einsatz bewährten.
- Datenschutz: Ein Tooleinsatz muss immer auch datenschutzrechtliche Aspekte berücksichtigen – gerade im BCM, wo besonders sensible Informationen verarbeitet werden. In diesem Beitrag ist das Thema jedoch bewusst ausgeklammert, da die Bewertung individueller Datenschutzanforderungen und rechtlicher Rahmenbedingungen stets organisationsspezifisch erfolgen muss.
Papier ist geduldig? Policies und Pläne zentral erstellen und verwalten
Ganz ohne dokumentierte Informationen geht es auch im BCM nicht: Geltungsbereich und Ziele, Aufbau- und Ablauforganisation, Notfallstrategien und Notfallmaßnahmen sollten nachvollziehbar dokumentiert und auffindbar organisiert werden.
Etherpad (Open Source), CryptPad Docs oder das Textmodul von Nextcloud eignen sich hierbei für die kollaborative Planpflege – mit dem Vorteil, dass Pläne nicht als statische Dateien auf Netzlaufwerken liegen, sondern zentral, durchsuchbar und mit Rechtemanagement versehen, verfügbar sind.
Immer häufiger anzutreffen sind auch Lösungen, die sich vom klassischen „Dokumentenstil" verabschieden und eine freiere Gestaltung von Informationen erlauben. Entsprechende „Sites“, beispielsweise in Sharepoint oder Confluence erlauben es, Texte und Multimediainhalte flexibel zu gestalten. Statt vieler einzelner Dokumente auf Netzlaufwerken sind die Inhalte direkt im System eingebettet, durchsuchbar und miteinander verlinkbar – etwa von der BCM-Policy zum konkreten Notfallplan. Zudem bieten diese Tools eine automatische Versionierung. Änderungen sind transparent nachvollziehbar – inklusive Autor, Zeitstempel und Änderungsverlauf. Das erleichtert Audits und ermöglicht eine einfache Wiederherstellung früherer Versionen. Mehrere Personen können zudem gleichzeitig an den Inhalten arbeiten. Durch entsprechende Berechtigungen kann festgelegt werden, welche Nutzer die Informationen bearbeiten können oder nur lesend darauf zugreifen sollen.
Business Impact Analysen (BIA) kollaborativ durchführen
Statt Excel kann man für BIAs auf SeaTable (Open Source und onPrem) oder Nextcloud Tables zurückgreifen. Diese Tabellen-Tools bieten mehr Struktur als klassische Excel-Listen und ermöglichen es mehreren Personen, gleichzeitig an der Analyse zu arbeiten – inklusive Formularansichten, Automatisierungen und Rollenrechten. Nextcloud bietet zudem die Möglichkeit, Prozesse und Assets direkt in verknüpfbaren Tabellen zu erfassen. Dies schafft Transparenz – auch über mehrere Standorte oder Teams hinweg.
Wer die Visualisierung der BIA-Ergebnisse stärker in den Vordergrund stellen möchte, findet in Power BI die entsprechenden Möglichkeiten dazu – meist in Kombination mit der TEAMS-App Forms, in der die Abfragen zur Prozesserhebung hinterlegt sind.
Übungen planen, durchführen und auswerten
Für die Planung und Dokumentation von Übungen kann ein Projektmanagement-Ansatz hilfreich sein. Tools wie Trello, Kanboard (Open Source), WeKan oder Nextcloud Deck bieten visuelle Boards, um Übungsszenarien, Aufgaben, Beteiligte und Zeitachsen strukturiert abzubilden. Die Kombination mit Kommentarfunktionen, Checklisten, Labels und Kalendern unterstützt ein systematisches Vorgehen – egal ob Desktop oder mobil, intern oder mit externen Partnern.
Für Notfalltests, insbesondere im IT-Umfeld, bietet es sich an, die Testergebnisse direkt als Ticket in JIRA Service Management abzubilden – insbesondere, wenn die IT-Assets dort ohnehin schon hinterlegt sind. Angaben zum Testzeitraum in Verbindung mit Wiedervorlagen und Statustracking führen dazu, dass keine Tests vergessen oder versäumt werden. Entsprechende Workflows erlauben es, je nach Testergebnis, direkt den Folgetest als neues Ticket anzulegen. Verantwortlichkeiten können klar zugewiesen werden.
Verfügbarkeit und Zusammenarbeit im Krisenfall
Spätestens Corona hat gezeigt, dass es nicht immer sinnvoll oder möglich ist, dass ein Krisenstab physisch in einem Stabsraum zusammenkommt. Kollaborationswerkzeuge wie TEAMS haben hierbei schnell Einzug in die Arbeit von Unternehmen und Institutionen gehalten, um remote arbeitsfähig zu bleiben. Details zu verschiedenen Formen der Zusammenarbeit im Krisenfall bietet auch der folgende Artikel: Erfolgreich im Krisenstab: vor Ort, remote oder hybrid.
Krisenstäbe und Notfallteams können durch den Einsatz vertraulicher TEAMS-Kanäle einfach und schnell Informationen und Dateien austauschen. Die TEAMS-Videotelefonie-Funktion erlaubt es zudem in Echtzeit Lagebesprechungen durchzuführen.
Während die Flipcharts und Whiteboards im Stabsraum früher oder später keinen Platz mehr für die zahlreichen Informationen boten, können dank Conceptboard oder Miro Lagebilder in nahezu unbegrenzter Größe erstellt und allen Krisenstabsmitgliedern sofort zur Verfügung gestellt werden. Auch komplexe Informationen, z. B. Wiederanlaufkoordinationspläne, können mithilfe dieser Tools in einer Baumstruktur abgebildet und so komplexe Abhängigkeiten für alle Beteiligten transparent gemacht werden.
Das Aufgaben- und Maßnahmentracking anhand von Kanban-Boards kann sehr praktikabel via TEAMS Planner, Trello oder Nextcloud Deck dargestellt werden.
Ein zentrales Kriterium für alle eingesetzten Tools: Sie müssen auch im Krisenfall verfügbar sein. Cloud- oder Hybridlösungen können hier sinnvoll sein, sofern das Hosting redundant und unabhängig vom Produktivbetrieb ist. Die Tools sollten im besten Fall auch offline nutzbar oder auf mobilen Endgeräten zugänglich sein.
Und wer doch langfristig zum GRC-Tool kommen möchte: Es kann sogar sehr sinnvoll sein, zunächst mit verschiedenen Tools für einzelne Aufgaben im BCM zu arbeiten, um praktische Erfahrung zu sammeln, welche Funktionalitäten tatsächlich im GRC-Tool benötigt werden.
Welche Tools nutzen Sie für Ihr BCM(S) abseits von Word, Excel und PowerPoint? Haben sich Open-Source-Lösungen bewährt? Und welche Erfahrungen haben Sie im Notfalleinsatz gemacht?
Teilen Sie gerne Ihre Empfehlungen, Erfahrungen und Feedback.