Business Continuity Management in Banken
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Fakultät Medien und Informationswesen
Business Continuity Management in Banken
Bachelorthesis im Studiengang Unternehmens- und IT-Sicherheit
Von
Murat Wewerke
Studiengang: UNITS
Semester: 11
Email-Adresse: mwewerke@stud.hs-offenburg.de
Betreuer 1: Prof. Dr. rer. soc. HSG Dirk Drechsler
Betreuer 2: Prof. Dr. phil. Thomas Breyer-Mayländer
Bearbeitungszeitraum: SS 2017 und WS 2017/2018Eidesstattliche Erklärung
Eidesstattliche Erklärung
Hiermit versichere ich eidesstattlich, dass ich die vorliegende Arbeit mit dem Thema
Business Continuity Management in Banken
von mir selbstständig und ohne unerlaubte fremde Hilfe angefertigt worden ist, insbeson-
dere, dass ich alle Stellen, die wörtlich oder annähernd wörtlich oder dem Gedanken nach
aus Veröffentlichungen, unveröffentlichten Unterlagen und Gesprächen entnommen wor-
den sind, als solche an den entsprechenden Stellen innerhalb der Arbeit durch Zitate
kenntlich gemacht habe, wobei in den Zitaten jeweils der Umfang der entnommenen Ori-
ginalzitate kenntlich gemacht wurde. Die Arbeit lag in gleicher oder ähnlicher Fassung
noch keiner Prüfungsbehörde vor und wurde bisher nicht veröffentlicht. Ich bin mir be-
wusst, dass eine falsche Versicherung rechtliche Folgen haben wird.
Ort, Datum
_________________________
Murat Wewerke
Business Continuity Management in BankenKurzfassung
Kurzfassung
Der Bankensektor vollzieht eine digitale Transformation. Welche exakten Auswir-
kungen diese Transformation auf den Bankensektor und die einzelnen Banken
haben wird ist noch nicht abzusehen. Doch schon jetzt zeichnet sich ab, dass
Banken sich von ihren starren Öffnungszeiten lösen und flexibler auf die Kunden
zugehen müssen. Servicequalität durch maßgeschneiderte Angebote und perma-
nente Verfügbarkeit sind zu kritischen Erfolgsfaktoren im Rennen um die Gunst
des Kunden geworden.
Um in diesem Wettstreit einen Wettbewerbsvorteil zu erhalten muss die Verfüg-
barkeit kritischer Geschäftsprozesse und Ressourcen stets gewährleistet sein. An
dieser Stelle setzt Business Continuity Management (BCM) an. In der vorliegen-
den Arbeit wird anhand eines Modells einer bereits vollständig digitalisierten Bank,
ein Geschäftsprozess ausgewählt um anhand dessen die Auswirkungen des Aus-
falls von digitalen Vertriebswegen und Abhängigkeit von IT-Ressourcen aufzuzei-
gen.
Business Continuity Management in BankenI. Kurzfassung I
1. Inhaltsverzeichnis
1. Inhaltsverzeichnis ............................................................................................. I
Abbildungsverzeichnis ........................................................................................... III
Glossar .................................................................................................................. IV
1. Einführung ....................................................................................................... 1
1.1 Aufbau und Vorgehen................................................................................ 2
1.2 Theoriedefizit und Praxisdefizit ................................................................. 3
1.3 Abgrenzung ............................................................................................... 4
2. Grundlagen ..................................................................................................... 6
2.1 Definitionen ............................................................................................... 6
2.1.1 Risiko .................................................................................................. 6
2.1.1.1 IT-Risiken ................................................................................... 12
2.1.2 Business Continuity Management .................................................... 17
2.1.2.1 Präventive Maßnahmen ............................................................. 20
2.1.2.2 Reaktive Maßnahmen ................................................................ 25
2.1.2.3 Definition von BCM Begriffen ..................................................... 27
2.2 Vorgaben für Banken............................................................................... 35
2.2.1 Gesetze und gesetzesähnliche Anforderungen ................................ 36
2.2.1.1 KWG .......................................................................................... 36
2.2.1.2 Mindestanforderungen an das Risikomanagement .................... 37
2.2.2 Standards ......................................................................................... 38
2.2.2.1 BSI 100-4 ................................................................................... 38
2.2.2.2 ISO 22301 .................................................................................. 39
2.2.2.3 ISO 27002 .................................................................................. 39
2.3 Digitale Bank ........................................................................................... 40
3. Business Impact Analyse .............................................................................. 42
3.1 Konkretisieren von Auswirkungen auf Schadensszenarien und
Wiederherstellungsklassen ............................................................................... 46
3.2 Schadensanalyse am Geschäftsprozess ................................................ 50
3.3 Festlegung der Wiederanlaufparameter .................................................. 54
3.4 Erhebung der Ressourcen für Normal- und Notbetrieb ........................... 55
Business Continuity Management in BankenII. Kurzfassung II
3.5 Vor- oder nachgelagerte Prozesse .......................................................... 58
4. Zusammenfassung ........................................................................................ 60
5. Literaturverzeichnis ....................................................................................... 61
Business Continuity Management in BankenIII. Kurzfassung III
Abbildungsverzeichnis
Abbildung 3: grafische Darstellung Risiko .............................................................. 7
Abbildung 4: grafische Darstellung der Zusammensetzung eines Risikos ............. 9
Abbildung 5: Überschneidung der Risikoarten mit IT-Bezug ............................... 16
Abbildung 6: PDCA-Modell des BCM-Prozesses ................................................. 24
Abbildung 7: Übergang vom Normalzustand bis zur Krise ................................... 30
Abbildung 8: Wiederanlaufparameter ................................................................... 34
Abbildung 9: Ablauf einer BIA gemäß BSI-Standard 100-4 .................................. 45
Abbildung 10: Schadenskategorien bezogen auf das Szenario finanzielle
Auswirkungen und Beeinträchtigung der Aufgabenerfüllung ................................ 47
Abbildung 11: Schadenskategorien bezogen auf das Szenario negative Innen- und
Außenwirkung (Reputation) .................................................................................. 48
Abbildung 12: Schadenskategorien bezogen auf das Szenario Verstöße gegen
Gesetze, Vorschriften oder Verträge (Compliance) .............................................. 48
Abbildung 13: Darstellung der Wiederherstellungsklassen .................................. 49
Abbildung 14: Online Kreditvergabeprozess ........................................................ 51
Abbildung 15: Bewertung der Auswirkung in Schadenskategorien ....................... 54
Business Continuity Management in BankenIV. Glossar IV
Glossar
BaFin Bundesanstalt für Finanzdienstleistungsaufsicht
BCM Business Continuity Management stellt Maßnahmen zur
Prävention und Reaktion auf die Unterbrechung der
Geschäftstätigkeit bereit
BCMS Business Continuity Management System, ist ein ganz-
heitliches Managementsystem zum Einführen, Imple-
mentieren, Betreiben, Überprüfen, Kontrollieren und
Verbessern des BCM
BSI Bundesamt für Sicherheit in der Informationstechnolo-
gie
DDoS-Attacke Distributed Denial of Service Attacke bezeichnet einen
Angriff bei dem der Zielserver durch Überlastung funkti-
onsunfähig gemacht wird
ISO International Organization for Standardization, Interna-
tionale Organisation für Normung vergleichbar mit dem
Deutschen Institut für Normung (DIN)
Ransomware Schadprogramm das nach der Infektion eines IT-
Systems die darauf befindlichen Daten verschlüsselt
und gegen einen Geldbetrag verspricht die Daten wie-
der zu entschlüsseln
Spam-Mail unerwünschte Werbung per E-Mail
Business Continuity Management in BankenV. Glossar V
WLAN-Access-Point Ein Wireless Access Point ist ein elektronisches Gerät,
das als Schnittstelle für kabellose Kommunikationsgerä-
te fungiert
Worst-Case der schlechteste anzunehmende Fall
Business Continuity Management in Banken1. Einführung 1
1. Einführung
Der Bankensektor befindet sich im Umbruch. Die niedrigen Zinsen lassen die Ge-
winne schrumpfen und zwingen die Banken Kosten zu sparen.1 Gleichzeitig wird
das klassische Geschäftsmodell der Banken von FinTechs angegriffen. Diese digi-
talisieren und vereinfachen den Zugang zu den klassischen Dienstleistungen der
Banken, welches besonders von der jüngeren Generation, den so genannten „Di-
gital Natives“, angenommen wird. Im Zeitraum von 2014 – 2017 hat sich die An-
zahl dieser FinTechs um 300% gesteigert. Hinzu kommt, dass die „Digital Natives“
auch Generation Y, welche die Hauptnutzergruppe ist, bis 2020 50% der weltwei-
ten Erwerbstätigen stellen wird.2
Zusammengenommen führen der Ertragsdruck und das veränderte Kundenverhal-
ten zu einem Umdenken im Bankensektor. Die Anzahl der Bankfilialen soll einer
Einschätzung der Beratungsgesellschaft Investors Marketing nach von 35.000 im
Jahr 2015 auf 20.000 im Jahr 2025 fallen. Dies würde einen durchschnittlichen
Abbau von 57% aller Filialen bedeuten.3 Die Banken haben erkannt, dass die
Meisterung der Digitalisierung die größte und wichtigste Herausforderung ist vor
der sie stehen. Sollte es ihnen nicht gelingen sich auf das neue Marktumfeld ein-
zustellen, sehen Analysten der Commerzbank in einer Studie sogar das Ende der
aktuellen Wertschöpfungskette mit der Bank als zentrale Anlaufstelle des Kunden.4
5
Im Kampf um ihre Vormachtstellung entwickeln Banken eigene Apps oder Multi-
kanalstrategien bei denen der Kunde entscheidet über welchen Weg er mit der
1
Vgl. Drost, Frank Matthias (2017): Der Filialabbau beschleunigt sich
http://www.handelsblatt.com/finanzen/bankensterben-der-filialabbau-beschleunigt-sich/19788204.html [Ab-
gerufen am 15.10.2017]
2
Vgl. Deloitte – Innovationen im Private Banking & Wealth Management S. 4
3
Vgl. Mihm, Oliver; Frank, Björn (2016):Zukunft der Filiale – wie digital will der Kunde es wirklich?
http://www.investors-
marketing.de/data/immc/media/doc/Bank_u._Markt__Zukunft_der_Filiale__Juli_2016.pdf [Abgerufen am
29.09.2017]
4
Vgl. Dohms, Heinz-Roger (2017): Commerzbank warnt vor „säkularer Zäsur“ für die eigene Branche
http://finanz-szene.de/exklusiv-commerzbank-warnt-vor-saekularer-zaesur-fuer-die-eigene-branche/ [Abge-
rufen am 23.10.2017]
5
Fymio – ein Produkt der TeamBank AG https://www.fymio.de/ [Abgerufen am 23.10.2017]
Business Continuity Management in Banken1. Einführung 2
Bank in Kontakt treten will. Ob klassisch in der Filiale, online per Internet, per Tele-
fon oder sogar per Video.6
Dies erzeugt eine Vielzahl neuer Risiken im Geschäftsprozess. Diesen Geschäfts-
prozess vor Unterbrechungen abzusichern ist Aufgabe des Business Continuity
Managements. Thema dieser Arbeit ist die Absicherung des Prozesses in einer
„digitalen Bank“. Es wird von einer Bank ausgegangen, die die vollständige Digita-
lisierung bereits vollzogen und ihr gesamtes Geschäftsmodell auf den digitalen
Markt ausgerichtet hat. Filialen existieren nicht, der komplette Kundenkontakt er-
folgt via Internet, Telefon und Video.
1.1 Aufbau und Vorgehen
Im zweiten Kapitel werden die Grundlagen erläutert und wichtige Begriffe definiert,
sodass eine gemeinsame Ausgangslage von Leser und Autor geschaffen wird. Es
gibt beispielsweise keine eindeutige und allgemein gültige Definition des Business
Continuity Managements. Durch eine Definition in dieser Arbeit ist sichergestellt,
dass jeder bei dem Begriff das gleiche Verständnis hat.
Der Bankensektor ist ein stark regulierter Bereich, national wie international.7 Aus
diesem Grund werden die relevanten Gesetze und Vorschriften vorgestellt und
erläutert. Darauf folgen die gängigen Standards, welche bei der Absicherung des
Geschäftsprozesses Verwendung finden und auf die in den Gesetztestexten indi-
rekt verwiesen wird.
6
Vgl. Baulig , Bianca (2015): Die Filiale und der digitale Wandel
https://www.springerprofessional.de/bankvertrieb/multikanal-banking/die-filiale-und-der-digitale-
wandel/6606204 [Abgerufen am 23.10.2017]
7
Vgl. Bundesverband Öffentlicher Banken Deutschlands e. V.: Bankenaufsicht & Bankenregulierung
https://www.voeb.de/de/themen/bankenregulierung [Abgerufen am 24.10.2017]
Business Continuity Management in Banken1. Einführung 3
Darauf folgt eine detaillierte Erläuterung des für diese Arbeit verwendeten Ban-
kenmodells und seiner Geschäftstätigkeit. Es wird ein Modell aufgebaut aus wel-
chem sich dann im folgenden Kapitel kritische Risiken ableiten lassen.
Der Hauptteil der Arbeit befasst sich mit der Identifikation, Bewertung und Gegen-
maßnahmen der kritischen (IT)-Risiken, welche geeignet sind einen Geschäfts-
prozess zu unterbrechen. Dieser Geschäftsprozess wird aus dem entwickelten
Bankenmodell abgeleitet. Unter risikoorientierten Gesichtspunkten und Beachtung
der gesetzlichen Anforderungen, sowie akzeptierten Standards wird eine Business
Impact Analyse am gewählten Geschäftsprozess durchgeführt. Im Anschluss da-
rauf wird ein Geschäftsfortführungsplan erstellt, der im eingetretenen Schadensfall
die Maßnahmen festlegt und die Notfallreaktion koordiniert.
Abschließend wird das Ergebnis zusammengefasst und aufbereitet. Die daraus
gewonnene Erkenntnisse über ein Business Continuity Management System einer
digitalisierten Bank werden formuliert.
1.2 Theoriedefizit und Praxisdefizit
Zum Ende des Bearbeitungszeitraums dieser Arbeit wurde die überarbeitete Fas-
sung der Mindestanforderungen an das Risikomanagement (MaRisk) der Bundes-
anstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht.8 Diese Anforderun-
gen konkretisieren die Vorgaben in den Gesetzen wie das Gesetz über das Kre-
ditwesen (KWG). Somit bilden die MaRisk einen elementaren Bestandteil jedes
BCMs in einem Finanzinstitut. Ein novellierter Entwurf stand Anfang 2016 zur
Konsultation, zu dem der Bankenfachverband Stellung genommen und den erheb-
8
Vgl. Bundesanstalt für Finanzdienstleistungsaufsich (BaFin) (2017): Rundschreiben 09/2017 (BA) - Mindest-
anforderungen an das Risikomanagement – MaRisk
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html
[Abgerufen am 03.12.2017]
Business Continuity Management in Banken1. Einführung 4
lichen Umsetzungsaufwand und die teilweise herrschende Unschärfe kritisiert hat.9
Die tatsächlichen Auswirkungen der MaRisk Novelle auf die Praxis konnte in die-
ser Arbeit noch nicht geprüft werden, da geforderten Maßnahmen im Bearbei-
tungszeitraum noch nicht vollständig implementiert worden sind.
Ein gegensätzliches Problem stellt sich mit dem BSI Standard 100-4 Notfallma-
nagement. Dies ist der deutsche beschreibende Standard für die korrekte Ausge-
staltung und Umsetzung von Notfallmanagement. Vergleichbare internationale
Standards wie den ISO 22301 sind deutlich weniger deskriptiv. Allerdings ist die
aktuelle Version des BSI Standards 2008 veröffentlicht worden.10 Er gibt deshalb
nicht die aktuellen Entwicklungen auf dem Gebiet des Notfallmanagements wie-
der.
1.3 Abgrenzung
Der Fokus dieser Arbeit liegt auf den kritischen IT-Risiken. Als kritisch werden alle
Risiken definiert welche den Geschäftsprozess unterbrechen und der Bank erheb-
lichen Schaden zufügen können. Dies wird in den Grundlagen nochmals ausführ-
lich definiert. Das bedeutet, dass Risiken wie zum Beispiel ein Kreditausfall nicht
behandelt werden.
Sollte die Europäische Zentralbank (EZB) oder je nach Zuständigkeit die BaFin
feststellen, dass ein von ihnen beaufsichtigtes Finanzinstitut nicht die geforderte
Kernkapitalquote oder Gesamtkapitalquote erfüllt, droht im schlimmsten Fall der
Entzug der Banklizenz.11 Der Entzug hätte gravierende Auswirkungen auf eine
9
Vgl. Bankenfachverband – Stellungnahme zu MaRisk Entwurf 02/2016
https://www.bafin.de/SharedDocs/Downloads/DE/Konsultation/2016/dl_kon_0216_stn_Bankenfachverband.
pdf;jsessionid=69DC7BDB4ACECDEE5FB6C8AA6E91D6D5.1_cid390?__blob=publicationFile&v=1 [Abge-
rufen am 05.10.2017]
10
Vgl. BSI-Standard 100-4 – Notfallmanagement
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-
Standard_1004.html [Abgerufen am 05.10.2017]
11
Vgl. BaFin – Bankenaufsicht
https://www.bafin.de/DE/DieBaFin/AufgabenGeschichte/Bankenaufsicht/bankenaufsicht_node.html [Abgeru-
fen am 05.10.2017]
Business Continuity Management in Banken1. Einführung 5
Bank, wäre also Business Continuity Management (BCM) relevant. Da dieses Ri-
siko allerdings kein Bezug zur IT aufweist wird dieses und alle anderen Risiken
ohne direkten IT Bezug nicht behandelt.
Wie anfangs beschrieben, ist der Bankensektor stark reguliert. Welche Anforde-
rungen eine Bank erfüllen muss, hängt von ihrer Tätigkeit, Größe bzw. volkswirt-
schaftlicher Relevanz und ihrem Standort ab. Das in dieser Arbeit entworfene Mo-
dell einer Bank entspricht einer voll digitalisierten mittelständischen Bank, welche
im Privatkundenbereich tätig ist. Es müssen keine Gesetzte außerhalb der deut-
schen Gerichtsbarkeit erfüllt werden. Die Bank wird als nicht systemrelevant defi-
niert, steht also unter Aufsicht der BaFin und nicht der EZB.
Business Continuity Management in Banken2. Grundlagen 6
2. Grundlagen
In diesem Kapitel werden die Grundlagen vermittelt welche als Basis für ein ge-
meinsames Verständnis dienen. Die Begriffe Risiko, Business Continuity Ma-
nagement (BCM) und Business Impact Analyse (BIA) werden definiert und abge-
grenzt. Die wichtigsten für Banken gültige Gesetze und angewandte Standards mit
BCM Bezug werden kurz erläutert wie auch ihre Auswirkung auf die Bank. Ab-
schließend wird ausführlich das Modell einer digitalen Bank aufgebaut und erläu-
tert. Dieses Modell dient als Ausgangsposition für die im nachfolgenden Kapitel
stattfindende Business Impact Analyse.
2.1 Definitionen
2.1.1 Risiko
Im allgemeinen Sprachgebrauch wird der Begriff Risiko als „negativer Ausgang bei
einer Unternehmung mit dem Nachteile, Verlust, Schäden verbunden sind“ 12 inter-
pretiert. Diese Interpretation wird auch als Risiko im engeren Sinne bezeichnet.
Betrachtet man den Aktienmarkt oder das Glücksspiel so wird deutlich, dass Risi-
ko im weiteren Sinne durchaus auch positiv sein kann. Bei diesen Beispielen be-
steht die Möglichkeit Geld zu verlieren, gleichzeitig besteht aber auch die Möglich-
keit zu gewinnen. Die positive Möglichkeit wird im allgemeinen Chance genannt.
Risiko ist also die positive oder negative Abweichung von einer erwarteten Ent-
wicklung. Diese Abweichung entsteht durch ein Informationsdefizit in Bezug auf
das Verständnis oder die Kenntnis über ein zukünftiges Ereignis, deren Folge oder
12
Duden (2017): Risiko https://www.duden.de/rechtschreibung/Risiko [Abgerufen am 28.10.2017]
Business Continuity Management in Banken2. Grundlagen 7
Wahrscheinlichkeit.13 Grafisch dargestellt in der Abbildung 1: grafische Darstellung
Risiko.
14
Abbildung 1: grafische Darstellung Risiko
Setzt man den Begriff Risiko in Kontext mit der Aufrechterhaltung der Betriebsfä-
higkeit ist nur die negative Zielabweichung relevant. Das Ziel eines BCM-Systems
ist es den Geschäftsprozess aufrecht zu erhalten. Dieses Ziel wird durch eine po-
sitive Abweichung nicht gefährdet. Dementsprechend werden positive Abweichun-
gen weder von BCM-Systemen im Allgemeinen, noch in dieser Arbeit behandelt.
Wird der Begriff Risiko in dieser Arbeit verwendet, ist er immer als negative Ziel-
abweichung zu verstehen.
Ein Risiko setzt sich zusammen aus Bedrohung und Schwachstelle. Nur wenn
Bedrohung und Schwachstelle gleichzeitig aufeinander treffen kann ein Risiko ein-
13
Vgl. International Organization for Standardization 22301 (2012): Sicherheit und Schutz des Gemeinwe-
sens – Business Continuity Management System – Anforderungen, S. 15
14
Niggemann, Markus (2013): Steuerung von Gaspreisrisiken: Konzeption eins Preisrisikomanagements für
Gasversorger, Dissertation, Wiesbaden: Springer Fachmedien, S.10
Business Continuity Management in Banken2. Grundlagen 8
treten. Als Bedrohung oder Gefahren werden mögliche Ereignisse, welche bei ei-
ner Tätigkeit oder einem Prozess eintreten können, genannt. Mit einer geeigneten
Maßnahme im BCM System könnte eine Bedrohung, bzw. ihre Auswirkungen,
vermieden werden. Ist solch eine Maßnahme nicht implementiert wird dies als
Schwäche oder Schwachstellen im BCM System bezeichnet.15 Deutlicher wird
dieser Zusammenhang in einem Beispiel. Der Betrieb eines Servers beinhaltet
immer die Gefahr eines Ausfalls. Dieser Bedrohung kann man begegnen, indem
man die Serverarchitektur redundant und ausfallsicher auslegt. Sollte ein Server
nach Implementierung dieser Maßnahme ausfallen, übernimmt seine Aufgabe ein
anderer Server. Das Risiko manifestiert sich nicht, weil keine korrespondierende
Schwachstelle existiert. Wäre der Server nur einfach ausgelegt und ausgefallen
droht ein Datenverlust. Ohne Maßnahmen wie ausreichende Redundanz oder Ba-
ckup-Strategie treffen Bedrohung und Schwäche aufeinander und das volle Risi-
kopotential tritt ein. Das Eintreten eines Risikos wird auch als Verlustereignis be-
zeichnet.
15
Vgl. Königs, Hans-Peter (2017): IT-Risikomanagement mit System, 5., überarbeitete und erweiterte Aufla-
ge, Wiesbaden: Springer Fachmedien, S. 13
Business Continuity Management in Banken2. Grundlagen 9
16
Abbildung 2: grafische Darstellung der Zusammensetzung eines Risikos
Der Eintritt eines Verlustereignisses kann unterschiedliche Auswirkungen auf ein
Unternehmen haben. Zur Einschätzung der Auswirkungen werden Risiken bspw.
in folgenden Schadensszenarien bewertet: 17 18
Finanzielle Schäden: direkte finanzielle Schäden, sowie fehlender Ertrag
aus entgangenem Gewinn durch Beeinträchtigung der Aufgabenerfüllung
Reputationsschäden: negative Innen- und Außenwirkung auf Mitarbeiter,
Vertragspartner, Kunden etc.
Verstöße gegen Gesetze, Vorschriften und Verträge (Compliance Risi-
ken): Zahlung von Vertragsstrafen, Verletzung von internen Richtlinien,
16
Vgl. Königs 2017, S. 409
17
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S.34
18
Vgl. Königs 2017, S. 23
Business Continuity Management in Banken2. Grundlagen 10
strafrechtlich relevante Handlungen mit Konsequenzen von Verwarnungen
bis strafrechtlicher Verurteilung des Unternehmens und/oder der Beteiligten
In Kapitel 3 werden diese Schadensszenarien detaillierter spezifiziert und sofern
möglich quantifiziert. Die konkret ausgearbeiteten Risiken werden für die Business
Impact Analyse unter anderem nach diesen Szenarien eingewertet.
Jede unternehmerische Tätigkeit birgt ein inhärentes Risiko. Völlige Sicherheit
kann es dabei nicht geben und kann auch nie Ziel eines Unternehmens sein. Ziel
jeder Handlung ist es einen Mehrwert für das Unternehmen zu generieren. Dieser
Mehrwert wird durch die gezielte Übernahme kalkulierter Risiken erwirtschaftet.
Ein zu hohes Sicherheitsniveau kann zu hohen Kosten und ausgelassenen Gele-
genheiten führen, während ein zu niedriges Sicherheitsniveau den Eintritt eines
Risikos wahrscheinlich macht. Beide Varianten sind negativ und bedrohen das
Unternehmen in seiner Existenz.19
Wie Risiken gesteuert werden sollen ist in jedem Unternehmen individuell festge-
legt. Abhängig von der Risikoneigung, die von Risikoaversion über Risikoneutrali-
tät bis zur Risikofreude gehen kann, gibt es grundsätzlich vier Arten einem Risiko
zu begegnen:
Akzeptanz: Eingehen des Risikos ohne Gegenmaßnahmen zu ergreifen.
Vorsorge in Form von Rücklagen wird nicht ausgeschlossen.
Reduzierung: Es wird versucht die Eintrittswahrscheinlichkeit und/oder
Auswirkung eines Risikos durch geeignete Maßnahmen auf ein akzeptables
Maß zu reduzieren. Dies entspricht dem Ziel eines Risikomanagement- und
BCM-Systems.
19
Vgl. Spörrer, Stefan (2014): Betriebliches Kontinuitätsmanagement - BCM basierend auf der ISO 22301,
https://www.risknet.de/themen/risknews/bcm-basierend-auf-der-iso-22301/ [Abgerufen am 30.10.2017]
Business Continuity Management in Banken2. Grundlagen 11
Vermeidung: Risiko wird vermieden, indem die betrachtete Aktivität nicht
eingegangen bzw. aufgelöst wird.
Teilen: Der potenzielle Schaden durch ein Risiko wird partiell oder vollstän-
dig gegen Entgelt auf Dritte übertragen. Typische Beispiele sind Versiche-
rungen oder Outsourcing.20 21
In einer Bank existieren verschiedene Risikoarten. Wie in der Einleitung bereits
beschrieben, ist der Finanzsektor ein intensiv regulierter Bereich. Die BaFin defi-
niert in den MaRisk die folgenden Risiken als wesentlich für Finanzinstitute: 22
Adressenausfallrisiko: Verlust oder entgangener Gewinn aufgrund des
Ausfalls eines Vertragspartners 23
Marktpreisrisiko: Kursrisiken, Zinsänderungen, Wechselkursrisiken und
Marktpreisrisiken aus Warengeschäften 24
Liquiditätsrisiko: Gefahr gegenwärtigen oder zukünftigen Zahlungsver-
pflichtungen nicht vollständig oder fristgerecht nachkommen zu können 25
operationelle Risiken: Gefahr von Verlusten, verursacht durch menschli-
ches Verhalten, technisches Versagen, Schwächen in internen Prozessen
oder externen Ereignissen 26
20
Vgl. Drechsler, Dirk (2017): Vorlesung Risikomanagement, Offenburg: Hochschule Offenburg, S. 57
21
Vgl. Doege, Dana (2013): Hedge Accounting nach IAS/IFRS: Bilanzielle Abbildung ökonomischer Siche-
rungsbeziehung, Dissertation, in: Becker, M. / Bierwirth, Ch. / Ebeling, R. / Kraft, G. / Laitenberger, J. / Möh-
lenbruch, D. / Müller, J. / Schmidt, R. / Weiser, Ch. / Zabel, H.-U. (Hrsg.): Hallesche Schriften zur Betriebs-
wirtschaft, Band 29, Wiesbaden: Springer Fachmedien, S.15 f.
22
Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (2012): Mindestanforderungen an das Risikomanage-
ment, AT 2.2 Risiken
23
Vgl. Glaser, Christian (2015): Risikomanagement im Leasing: Grundlagen, rechtlicher Rahmen und prakti-
sche Umsetzung, Wiesbaden: Springer Fachmedien, S. 17
24
Vgl. Glaser 2015, S. 27
25
Vgl. Österreichische Kontrollbank (2015): Risikomanagement - Die Risikoarten im Einzelnen, S. 3
http://www.oekb.at/de/osn/DownloadCenter/unternehmen/OeKB-Risikomanagement-Risikoarten.pdf [Abge-
rufen am 02.11.2017]
26
Vgl. Glaser 2015, S. 32
Business Continuity Management in Banken2. Grundlagen 12
Während Marktpreis- und Adressenausfallrisiken aus dem Abschluss von Ge-
schäften entstehen, resultieren operationelle Risiken aus unangemessenem Han-
deln oder Versagen von internen Prozessen, Menschen, Systemen oder externen
Ereignissen. Sie stehen in keiner direkten Verbindung zu den ersten drei genann-
ten Risiken, können jedoch Ursache dieser sein. Zu den operationellen Risiken
gehören die Prozessrisiken (fehlendes 4-Augen-Prinzip), Personenrisiken (Bedien-
fehler), Systemrisiken (Softwarefehler), externe Risiken (Hackerangriff). Das ope-
rationelle Risiko schließt das Rechtsrisiko und in dieser Arbeit auch das Reputati-
onsrisiko mit ein.27
Aus dem vorherigen Absatz geht hervor, dass die für diese Arbeit relevanten Risi-
ken ausschließlich innerhalb der operationellen Risiken liegen. Diese Arbeit be-
fasst sich mit den IT-Risiken, welche das Potential haben kritische Geschäftspro-
zesse zu unterbrechen. Andere Risiken in einer Bank werden nicht behandelt.
2.1.1.1 IT-Risiken
Jede Bank ist von ihrer IT und den darauf befindlichen Informationen und Pro-
grammen abhängig. Aus diesem Umstand ergeben sich eine Vielzahl von Risiken
im Umfeld der IT. Dazu zählen die IT-Risiken, die Informationssicherheits-Risiken
und die Cyber-Risiken. Jedoch ist nicht jedes mögliche Risiko relevant für diese
Arbeit. Bevor eine engere Eingrenzung erfolgen kann müssen die verschiedenen
Risikoarten kurz erläutert und auf Gemeinsamkeiten sowie Unterschiede vergli-
chen werden.
Informationssicherheits-Risiken: „Ziel der „Informationssicherheit“ ist es, so-
wohl die Informationen selbst als auch die Daten, Systeme, Kommunikationen,
27
Vgl. Glaser 2015, S. 32 ff.
Business Continuity Management in Banken2. Grundlagen 13
Prozeduren und Einrichtungen zu schützen, welche die Informationen enthalten,
verarbeiten, speichern oder liefern.“28 Der Begriff „Informationen“ bezieht sich da-
bei nicht nur auf die in elektronischer Form abgespeicherten Informationen, son-
dern auf sämtliche Formen wie zum Beispiel abgeheftete Akten.29 Je nach Infor-
mation wird der Schutzbedarf in folgenden Eigenschaften ermittelt und umgesetzt:
Vertraulichkeit
Entsprechend klassifizierte Informationen sind ausschließlich berechtigten
Personen, Entitäten oder Prozessen zugänglich.
Integrität
Die Information liegt vollständig und unverändert vor. Die Erzeugung, Ver-
änderung Ergänzung oder Verarbeitung erfolgt fehlerfrei durch autorisierte
Personen, Entitäten oder Prozessen.
Verfügbarkeit
Die Information steht den autorisierten Personen, Entitäten oder Prozessen
zum benötigten Zeitpunkt in der benötigten Form zur Verfügung.
Die Verfügbarkeit der Informationen bezieht sich in dieser Arbeit auf die Verfüg-
barkeit der IT-Systeme, welche für die Bearbeitung, Darstellung und Speicherung
der Informationen benötigt werden. Zu diesen IT-Systemen gehören Computer,
Eingabe-Geräte, Netzwerke, Server etc.. Der Zugang zum Aktenarchiv ist generell
auch Gegenstand der Informationssicherheit, wird aber nicht in dieser Arbeit the-
matisiert.30
Cyber-Risiko: Cyber-Risiken sind Risiken, deren Bedrohungsquelle der Cyber-
space ist. Der Cyberspace ist eine global vernetzte Umgebung aus Netzwerken,
28
Vgl. Königs 2017, S. 161
29
Vgl. Königs 2017, S. 162
30
Vgl. Königs 2017, S. 159
Business Continuity Management in Banken2. Grundlagen 14
Computer-Systemen und IT-Infrastruktur. Er schließt das Internet, Telekommunika-
tionsnetzwerke und das Firmennetzwerk mit ein.31 Die Ziele von Cyber-
Risikomanagement unterscheiden sich nicht von denen des Informationssicher-
heitsmanagements. Jedoch liegt der Fokus auf Daten, also elektronisch gespei-
cherten Informationen, und den Bedrohungen, die sich aus der Vernetzung und
Verarbeitung digitaler Daten ergeben.32
Der Ausbau der digitalen Präsenz und Online-Diensten von Unternehmen führen
zu einer steigenden Vernetzung und resultieren in einer wachsenden Angriffsflä-
che. War die Internetseite eines Unternehmens vor 15 Jahren noch rein informativ,
so ist sie heutzutage, insbesondere bei Banken, ein wichtiges Service- und Ge-
schäftselement. Die Unternehmen sind abhängig von Information und deren Ver-
netzung. Durch die Integration von Online-Diensten in das Geschäftsmodell steigt
auch die potenzielle Schadenshöhe bei Fehlfunktionen oder Ausfall. Daher wächst
die Bedeutung von Cyber-Risiken weiterhin.33 Im Global Risk Report 2017 des
World Economic Forum wird das Cyber-Risiko „Massiver Datendiebstahl“ auf Platz
5 nach Eintrittswahrscheinlichkeit gelistet.34
Um diesen Bedrohungen angemessen zu begegnen muss in einem Unternehmen
eine effektive Cybersecurity implementiert werden. Unter diesem Begriff werden
die Maßnahmen verstanden mit denen die Cyber-Risiken minimiert werden. Dabei
35
ist zu unterscheiden, ob es sich um „absichtliche“ oder „unabsichtliche“ Bedro-
hungen handelt.36
Je nach Art der Bedrohung fallen die Gegenmaßnahmen sehr unterschiedlich aus.
Bei „unabsichtlichen“ Bedrohungen reichen oft in Prozesse integrierte Kontrollen
31
Vgl. Königs 2017, S. 407
32
Vgl. Engels-Müller, C.: RMK-Report – Cyber-Risiken http://www.r-m-k.de/fileadmin/RMK/Infoportal/RMK-
Report/Cyber-Risiken.pdf [Abgerufen am 07.11.2017]
33
Vgl. Königs 2017, S. 406 f.
34
Vgl. World Economic Forum (2017): The Global Risks Report 2017, 12th Edition, S.4 (Abbildung 2)
http://www3.weforum.org/docs/GRR17_Report_web.pdf [Abgerufen am 07.11.2017]
35
Vgl. Königs 2017, S. 410
36
Vgl. Königs 2017, S. 408
Business Continuity Management in Banken2. Grundlagen 15
wie Schnittstellenkontrollen aus, bei denen die übermittelten Daten überprüft wer-
den. Dem gegenüber stehen die „absichtlichen“ Bedrohungen. Aufgrund der ho-
hen Ungewissheit der exakten Manifestation der Bedrohung müssen teilweise
komplexe und aufwendige Maßnahmen wie das Einführen und Betreiben einer
Firewall realisiert werden. Solch eine absichtliche Cyber-Bedrohung kann von
Ausspähung der Passwörter bis zu Sabotage der öffentlichen Server mittels „Dis-
tributed-Denial-of-Service“-Attacke (DDoS-Attacke) reichen. Der genaue Angriffs-
vektor ist im Vorfeld nicht bekannt und erfordert deshalb genannte aufwendige
Maßnahmen.37
IT-Risiko: Das IT-Risiko bezieht sich neben den bereits genannten Zielen der Ver-
traulichkeit, Integrität und Verfügbarkeit auch auf die Compliance oder Effektivität
der IT-Prozesse. Diese Risikoart beschränkt sich nicht auf die IT-Sicherheit, son-
dern erstreckt sich auch auf operationelle Risiken mit IT-Bezug. Diese sind bei-
spielsweise die IT-Ressourcen-Beschaffung und der laufende IT-Betrieb.38 So ist
der Ausfall des WLAN-Access-Points in der Lobby ein IT-Risiko, hat jedoch keine
Überschneidung mit dem andern beiden Risikoarten.
Welche Risikoart ist nun relevant für diese Arbeit? Die Antwort lautet: Alle Cyber-
Risiken, IT-Risiken und Informationssicherheits-Risiken, die geeignet sind einen
kritischen Geschäftsprozess für einen relevanten Zeitraum zu unterbrechen und /
oder einen erheblichen Schaden für die Bank zu verursachen.
Wie das Beispiel des WLAN-Access-Points (IT-Risiko), der abgehefteten Akten
(Informationssicherheits-Risiko) oder Spam-Mails (Cyber-Risiko) aufzeigt sind
nicht alle Risiken innerhalb der verschiedenen Kategorien relevant. Gleichzeitig
37
Vgl. Königs 2017, S. 405 f.
38
Vgl. Königs 2017, S. 162
Business Continuity Management in Banken2. Grundlagen 16
gibt es Risiken bei denen sich alle Kategorien überschneiden. Ein solches Beispiel
ist der Befall eines Servers mit Ransomware. Ransomware verschlüsselt Dateien
auf einem IT-System und macht sie somit unbrauchbar. Gegen Bezahlung (engl.
ransom = Lösegeld) versprechen die Verursacher eine Entschlüsselung der Daten.
Die Bedrohung kommt aus dem Cyberspace, verletzt die Integrität der Daten
(=Informationen) und verhindert eine Nutzung der IT-Ressource. Das Risiko ist
also Teil aller Kategorien. Eine scharfe Trennung vieler Risiken ist bei dem heuti-
gen Vernetzungsgrad nicht mehr möglich. Die Überschneidung der Risikoarten ist
dargestellt in der Abbildung 3: Überschneidung der Risikoarten mit IT-Bezug
39
Abbildung 3: Überschneidung der Risikoarten mit IT-Bezug
39
Vgl. Königs 2017, S.162 und S.408
Business Continuity Management in Banken2. Grundlagen 17
2.1.2 Business Continuity Management
Statistisch tritt ungefähr alle drei Jahre ein geschäftsgefährdendes Ereignis ein.
Diese Ereignisse haben das Potential massive Schäden an Unternehmensres-
sourcen wie Daten, Systemen oder Betriebseinrichtungen zu verursachen. 90%
der Unternehmen, welche auf solch ein Ereignis nicht mit geeigneten Gegenmaß-
nahmen reagieren konnten und massiven Schaden erlitten, sind innerhalb von 24
Monaten vom Markt verschwunden.40
Aktuell geht eine große Gefahr für digital gespeicherte Informationen von so ge-
nannter Ransomware aus. Ransomware verschlüsselt Daten und erpresst Löse-
geld (engl. ransom) für die Entschlüsselung von den Betroffenen. Dabei ist zu be-
achten, dass selbst bei Bezahlung des geforderten Lösegeldes eine Entschlüsse-
lung der Daten nicht garantiert ist. Der US-Pharmahersteller Merck Sharp & Doh-
me gab 2017 einen Schaden von 375 Millionen US-Dollar durch die von der
Ransomware „NotPetya“ verursachten Produktionsausfälle an.41 42
Um Risiken zu
begegnen, die die Geschäftstätigkeit so massiv beeinträchtigen, dass das Unter-
nehmen erheblichen Schaden davonträgt oder sogar in seiner Existenz bedroht
ist, wurde das Business Continuity Management (BCM) entwickelt.43
In einer Befragung der BCM Academy gaben von 70 Experten knapp 45 % an,
dass eine oder mehrere BCM relevante Störungen in ihrem Unternehmen im Jahr
2016 aufgetreten sind. Von diesen Störungen war in knapp der Hälfte der Fälle die
IT-Infrastruktur betroffen. Damit bildet die Unterbrechung durch IT-Störungen die
Spitze aller BCM relevanten Unterbrechungen. Weiterhin bewerteten die Befrag-
40
Vgl. Müller, Anna-Luisa (2014): Business Continuity Management bei Finanzdienstleistungsunternehmen,
HMD Praxis der Wirtschaftsinformatik, Jg. 51, Nr. 3 / 2014, Wiesbaden: Springer Fachmedien, S. 339-349
41
Vgl. Gierow, Hauke (2017): Merck musste wegen NotPetya-Angriff Medikamente leihen,
https://www.golem.de/news/pharmahersteller-merck-musste-wegen-notpetya-angriff-medikamente-leihen-
1710-130880.html [Abgerufen am 06.11.2017]
42
Vgl. Merck Sharp & Dohme - Merck Announces Third-Quarter 2017 Financial Results
http://investors.merck.com/news/press-release-details/2017/Merck-Announces-Third-Quarter-2017-
Financial-Results/default.aspx [Abgerufen am 17.11.2017]
43
Vgl. Erb, Simon (2015): Business Continuity Management in Outsourcing-Beziehungen, Wiesbaden: Sprin-
ger Fachmedien, S. 1
Business Continuity Management in Banken2. Grundlagen 18
ten den Ausfall der IT-Infrastruktur als kritischstes Szenario im Vergleich zum Aus-
fall von Personal, Gebäude, Dienstleister oder Produktion. Gleichzeitig wurde die
Wahrscheinlichkeit einer zukünftigen Cyberattacke auf das Unternehmen am
höchsten eingeschätzt. Kombiniert man die Kritikalität eines IT-Ausfalls mit der
vermuteten hohen Wahrscheinlichkeit für eine Cyberattacke, welche auch zu ei-
nem IT-Ausfall führen kann, wird offensichtlich, dass geeignete Notallpläne für den
Ausfall der IT-Infrastruktur erarbeitet werden müssen.44
Business Continuity Management (deutsch: Notfallmanagement) ist ein an den
kritischen Geschäftsprozessen orientierter, ganzheitlicher systematischer Prozess
zur Prävention und Bewältigung von plötzlichen, unvorhergesehenen negativen
Ereignissen, welche erhebliche Auswirkungen auf das Unternehmen hätten.45 Ziel
ist es das Gefahrenpotenzial von Risiken, in Bezug zur Kerngeschäftstätigkeit, zu
identifizieren und effektive präventive und reaktive Maßnahmen zu etablieren. Zu
beachten ist, dass BCM nicht darauf ausgelegt ist strategische Fehlplanung wie im
Fall Nokia aufzufangen, sondern nur plötzlich eintretende betriebsunterbrechende
Ereignisse. Das übergeordnete Ziel von BCM ist die Sicherstellung der Weiterfüh-
rung von geschäftskritischen Prozessen auf einem akzeptablen Niveau. Dazu
muss die ununterbrochene Verfügbarkeit von Schlüsselressourcen wie Personal,
IT-Systemen / Infrastruktur, Arbeitsplätzen und Dienstleistern gewährleistet wer-
den. Die Produktion ist in produzierenden Unternehmen ebenfalls eine Schlüssel-
ressource. Da in dieser Arbeit jedoch BCM anhand einer Bank dargestellt wird,
findet diese Ressource in dieser Arbeit keine weitere Beachtung. Sollte ein kriti-
scher Geschäftsprozess trotz Prävention unterbrochen worden sein, wird ein mög-
lichst schneller Wiederanlauf angestrebt.46 Mit dem Begriff Geschäftsprozess wer-
den nicht nur die tatsächlich wirtschaftlichen Prozesse bezeichnet, sondern alle
44
Vgl. BCM Academy (2017): Das BCM Barometer 2016/2017, S. 28 ff.
https://www.bcmacademy.de/media/bcma.de/Abbildungen/Survey%20BCM%20Barometer/Bericht_2016_20
17.pdf [Abgerufen am 18.11.2017]
45
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S.4
46
Vgl. Müller, Anna-Luisa 2014, S. 3
Business Continuity Management in Banken2. Grundlagen 19
Prozesse die zur Erfüllung der Geschäftstätigkeit benötigt werden.47 BCM stellt ein
Rahmenwerk für die Widerstandsfähigkeit gegen geschäftsunterbrechende Risi-
ken bereit. Richtig implementiert sichert es die Leistungsfähigkeit des Unterneh-
mens und somit die Zielerreichung auch während und nach Vorfällen. Die Interes-
sen der Stakeholder, Reputation, die Marke und die Wertschöpfung werden ge-
schützt.48
Sobald ein Unternehmen eine Unternehmensstrategie formuliert hat, sollte aus
dieser eine Risikostrategie abgeleitet werden. Diese Risikostrategie gibt Auskunft
über die Risikoneigung des Unternehmens, auch Risikoappetit genannt. Dort wird
generell festgelegt, ob das Unternehmen eher bereit ist Risiken einzugehen oder
möglichst zu vermeiden (siehe Kapitel 2.1.1).
Im ersten Schritt ist eine Leitlinie zum Business Continuity Management zu formu-
lieren. In der Leitlinie werden generelle Grundsätze des BCM-Systems im Unter-
nehmen festgelegt. Warum ein BCM im Unternehmen eingeführt wird, welcher
Zielsetzung und Vorgehensmodell es folgt, den Geltungsbereich (engl. Scope)
innerhalb des Unternehmens, die Aufbauorganisation, in der die Rollen und Ver-
antwortlichkeiten festgelegt werden, die Ablauforganisation für den Normalbetrieb
und Not-/Krisenbetrieb, die rechtlichen Rahmenbedingungen und die Schnittstel-
len zu weiteren Managementsystemen wie z.B. dem Gebäudemanagement oder
dem Informationssicherheitsmanagement. Diese Leitlinie muss aufgrund der weit-
reichenden Konsequenzen für das Unternehmen von der obersten Leitungsebene
freigegeben werden. Nur durch eine aktive Unterstützung durch die Führungsebe-
ne kann ein BCMS erfolgreich implementiert werden. In der Regel wird die Ver-
47
Vgl. BSI: Umsetzungsrahmenwerk Notfallmanagement - Rahmenwerk zur Etablierung eines Notfallmana-
gements auf Basis des BSI-Standards 100-4, Version 1.0, S. 5
48
Vgl. PWC (2017): Business Continuity Management (BCM) https://www.pwc.de/de/strategie-organisation-
prozesse-systeme/business-continuity-management.html [Abgerufen am 15.11.2017]
Business Continuity Management in Banken2. Grundlagen 20
antwortung für das BCM an einen Business Continuity Manager delegiert. Die Ge-
samtverantwortung verbleibt jedoch immer bei der Unternehmensleitung. 49
Der BC-Manager, auch Notfallbeauftragter genannt, ist für die Erstellung, Umset-
zung, Pflege und Betreuung des BCMS und der zugehörigen Dokumente verant-
wortlich. Das BCM kann dabei in die Bereiche der präventiven Notfallvorsorge und
der reaktiven Notfallbewältigung unterteilt werden.50 Unterstützt wird er dabei je
nach Unternehmensgröße von Notfallkoordinatoren und ggf. dem Notfallvorsor-
geteam.51 Notfallkoordinatoren sind geschulte Mitarbeiter die den BC-Manager
unterstützen. Die Notfallkoordinatoren sind in größeren Unternehmen einer kriti-
schen Organisationseinheit zugewiesen und verantworten dort die in Kooperation
mit dem BC-Manager entwickelten Maßnahmen und Aufgaben des BCM-
Prozesses. Durch ihre Einbindung in einzelne Organisationseinheiten haben sie
ein tieferes fachliches Verständnis für die Abläufe in der jeweiligen Organisations-
einheit. Das Notfallvorsorgeteam besteht aus Experten die in beratender Form den
BC-Manager oder die Notfallkoordinatoren bei fachlichen Fragen temporär unter-
stützen. Ein Beispiel hierfür kann ein Brandschutzexperte sein.52
2.1.2.1 Präventive Maßnahmen
Das wichtigste Werkzeug zur Identifikation von kritischen Geschäftsprozessen und
der zugehörigen Ressourcen im Rahmen von BCM ist die Business Impact Analy-
se (BIA). Mit Hilfe dieser Analyse werden Geschäftsprozesse identifiziert deren
Unterbrechung eine Unterbrechung des Geschäftsbetriebs des gesamten Unter-
nehmens zur Folge hätte.53 Zu beachten ist eine steigende Komplexität und Inter-
dependenzen zwischen IT-Systemen im Unternehmen und außerhalb, welche zu
49
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S.15 f. und S. 24
50
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 17
51
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 58
52
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 19
53
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 28
Business Continuity Management in Banken2. Grundlagen 21
einer größeren Angriffsfläche für IT-Risiken führt. Kunden erwarten einen jederzeit
verfügbaren Service der die Grundlage für die Kundenloyalität und Reputation des
Unternehmens bildet. Aus diesem Anspruch heraus ergeben sich deutlich verrin-
gerte Wiederherstellungszeiten.54 Aus einer Unterbrechung der Geschäftstätigkeit
kann sich ein hoher Schaden in Form von finanziellen Verlusten, Verstößen gegen
Gesetzte, Verträge oder Vorschriften oder Schaden der Reputation ergeben (siehe
Kapitel 2.1.1).
In der BIA wird der Schaden über verschiedene Zeitperioden bewertet. Die
Schwelle, bei deren Überschreitung ein Schaden als kritisch oder nicht mehr tole-
rierbar ist, legt jedes Unternehmen individuell fest. Abhängig ist die Schwelle unter
anderem vom Gesamtumsatz, der Größe des Unternehmens, vertraglichen Ver-
einbarungen oder Ähnlichem. Wird ein Prozess als kritisch bewertet vererbt er
diesen Status an alle abhängigen Prozesse und Ressourcen.55 Eine ausführliche
Business Impact Analyse wird in Kapitel 3 an einem Geschäftsprozess durchge-
führt.
„Kritisch“ im Sinne von BCM bedeutet, dass der Wiederanlauf des identifizierten
Prozesses „zeitkritisch“ ist. Beim Wiederanlauf nach einem geschäftsunterbre-
chenden Ereignis werden kritische Prozesse priorisiert. Als „unkritisch“ bewertete
Prozesse werden nachrangig behandelt, was jedoch nicht bedeutet, dass sie
grundsätzlich unwichtig für das Unternehmen sind.56
Auf Basis der Informationen aus der BIA wird eine auf den Unternehmensbedarf
abgestimmte Kontinuitätsstrategie erarbeitet. In der Kontinuitätsstrategie wird der
Rahmen für die Auswahl der präventiven Maßnahmen und Investitionen gesetzt.
54
Vgl. Drechsler, Dirk (2017): Vorlesung Business Continuity und Disaster Recovery, Offenburg: Hochschule
Offenburg, S. 89
55
Vgl. PWC 2017, Business Continuity Management (BCM)
56
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 28
Business Continuity Management in Banken2. Grundlagen 22
Die Grundlage zur Umsetzung der Strategie bildet dabei das Notfallvorsorgekon-
zept.57
Das Notfallvorsorgekonzept stellt die Ausgangssituation im Unternehmen dar und
umfasst alle organisatorischen und konzeptuellen Aspekte, sowie alle Maßnah-
men und Tätigkeiten, die nicht zur direkten Bewältigung eines Notfalls beitragen.
Diese Maßnahmen haben zum Ziel:
den Schaden und / oder die Eintrittswahrscheinlichkeit von Risiken zu redu-
zieren und damit die Widerstandsfähigkeit des Unternehmens gegenüber
kritischen Ereignissen zu erhöhen
eine schnelle und strukturierte Reaktion auf einen Vorfall zu ermöglichen
um die Dauer der Störung zu verkürzen58
Im Zusammenhang zur Widerstandsfähigkeit eines Unternehmens gegenüber Not-
fällen und Krisen spricht man auch von „Organisationaler Resilienz“. Eine erhöhte
Widerstandsfähigkeit ermöglicht dem Unternehmen mit plötzlich auftretenden Ver-
änderungen umzugehen.59
Während die Kontinuitätsstrategie den Rahmen für die Auswahl von präventiven
Maßnahmen setzt, wird in dem Notfallvorsorgekonzept ein konkreter Rahmen de-
finiert in dem festgelegt wird, wie die Fähigkeit zur Geschäftsfortführung in einem
Notfall hergestellt, aufgebaut und überwacht werden soll. Es wird beschrieben wie
das BCM in das Unternehmen eingebunden und wie eine effektive Kontrolle und
Steuerung gewährleistet wird.60
Konkret soll eine gemeinsame Grundlage für das Verständnis der Ziele und Maß-
nahmen des BCM geschaffen werden. Es soll abgrenzt werden ab wann ein Prob-
57
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S.11
58
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 57
59
Vgl. Rühl, Uwe (2017): Organizational Resilience – Die Widerstandsfähigkeit ausbauen,
https://www.3grc.de/bcm/organizational-resilience/ [Abgerufen am 27.11.2017]
60
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 58
Business Continuity Management in Banken2. Grundlagen 23
lem ein BCM relevantes Ereignis darstellt und welche Art von Problemen innerhalb
der täglichen Routine behandelt werden. Die Aufbau- und Ablauforganisation mit
Zuständigkeiten, Kompetenzen zur Vorsorge und Bewältigung von Notfällen muss
beschrieben werden und wie das BCM in relevante Geschäftsprozesse integriert
wird.
Die Notfallszenarien Personalausfall, IT-Ausfall, Ausfall eines Dienstleisters, Ge-
bäudeausfall und deren allgemeine Auswirkungen müssen im Notfallkonzept fest-
gehalten sein. Kritischen Geschäftsprozesse und das geforderte Wiederanlaufni-
veau sowie die Priorität der einzelnen Prozesse sollten ebenfalls aufgelistet sein.
Ergänzend sollte eine Aufstellung der Kosten der Notfallvorsorge und die verblei-
benden Restrisiken erstellt werden.
Hinzu kommen grundsätzlich vorhandene Ausweichstandorte bzw. Notfallarbeits-
plätze und die Anforderungen an diese. Ein generelles Verfahren zur Alarmierung
von Mitarbeitern im Notfall und die Beschreibung von Risiko reduzierenden Maß-
nahmen wie Datensicherungen oder Brandschutzkonzept. Falls solche Maßnah-
men Überschneidungen zu anderen Managementsystemen aufweisen kann auch
auf bereits vorhandene Konzepte verwiesen werden.
Nur durch sensibilisierte Mitarbeiter ist ein effektives BCM möglich. Durch auf-
merksame Mitarbeiter können sich abzeichnende Notfälle und Krisen früher er-
kannt werden und so die Auswirkungen auf das Unternehmen begrenzt werden.
Daher gehört auch ein Sensibilisierungs- und Schulungskonzept zu einer effekti-
ven Notfallvorsorge.61 Nur durch kontinuierliche Überprüfung und Verbesserung
mithilfe von Tests und Übungen, Self Assesments und unabhängigen Audits kön-
nen vorhandene Schwachstellen identifiziert und die Wirksamkeit und Effizienz
des BCMS gewährleistet werden. Die Implementierung und Aufrechterhaltung ei-
nes BCMS ist ein kontinuierlicher Prozess, der dem Prinzip der Planung (Plan),
61
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 59 f.
Business Continuity Management in Banken2. Grundlagen 24
Durchführung (Do), Prüfung (Check) und Verbesserung (Act) folgt. Grafisch ist das
PDCA-Modell in der Abbildung 4: PDCA-Modell des BCM-Prozesses dargestellt.62
Um das Notfallkonzept möglichst kompakt und verständlich zu halten kann es ge-
mäß den Bedürfnissen der einzelnen Zielgruppen auch in einzelne Module aufge-
teilt werden.63
64
Abbildung 4: PDCA-Modell des BCM-Prozesses
62
Vgl. PWC 2017, Business Continuity Management (BCM)
63
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 60
64
International Organization for Standardization (ISO) 22301:2012 : Sicherheit und Schutz des Gemeinwe-
sens – Business Continuity Management Systems – Leitlinie, S. 6
Business Continuity Management in Banken2. Grundlagen 25
2.1.2.2 Reaktive Maßnahmen
Für das nach den präventiven Maßnahmen verbliebene Restrisiko müssen reakti-
ve Pläne zur Aufrechterhaltung der Geschäftstätigkeit im Notfall entwickelt werden.
Diese Pläne treten in Kraft nachdem die Schwelle zu einem Notfall gegenüber ei-
ner Störung überschritten wurde. Die Abgrenzung der Begriffe Störung, Notfall,
Krise und Katastrophe befindet sich in Kapitel 2.1.2.3.
Der Business Continuity Plan (BCP), im deutschen Sprachraum auch Geschäfts-
fortführungsplan genannt, ist auf die Aufrechterhaltung der kritischen Geschäfts-
prozesse im Notfall ausgelegt. Darin sind Maßnahmen und Ressourcen zur Her-
stellung und Sicherstellung des Notbetriebs, Rückführung in den Normalbetrieb
und Bearbeitung eventuell anfallender Nacharbeiten. Ein Geschäftsfortführungs-
plan kann für einzelne Prozesse, Organisationseinheiten oder als ein übergreifen-
der Plan entworfen werden.65 Sofortmaßnahmen wie die Rettung von Personen
oder die Brandbekämpfung werden noch vor Einleitung der Notfallmaßnahmen
aus dem BCP ergriffen. Personenschäden gilt es unbedingt zu vermeiden und be-
sitzen immer Priorität gegenüber anderen Schäden.66 In den Notfallplänen werden
Maßnahmen zur Reduzierung der Folgen eines eingetretenen Risikos festgelegt.
Die Ursache, welche den Eintritt ermöglichte ist für Notfallpläne irrelevant. Die Ur-
sache wird erst nach der Bewältigung eines Notfalls ermittelt und fließt in den Ver-
besserungsprozess des BCMS ein.67
Dabei ist zu beachten, dass der BCP mehr als ein technischer Wiederanlaufplan
für IT-Systeme ist. Die Wiederherstellung der IT-Infrastruktur wird als „Disaster
Recovery“ bezeichnet, jedoch ist das Ziel des BCP eine sog. „Business Recovery“
in einem akzeptablen Zeitrahmen. Unter „Business Recovery“ wird eine Wieder-
65
Vgl. Königs 2017, S. 310
66
Vgl. BSI-Standard 100-4 – Notfallmanagement (2008), S. 68
67
Vgl. Deutsches Institut für Interne Revision e.V. (DIIR) (2012): Handbuch Arbeits- und Unternehmenssi-
cherheit in Kreditinstituten, 3., völlig neu bearbeitete und erweiterte Auflage, Berlin: Erich Schmidt Verlag, S.
137
Business Continuity Management in BankenSie können auch lesen
