NET 04/2021

41 www.net-im-web.de 04/21 Systematische Absicherung des Geschäfts Krisenfall sind spezielle Abteilungen und Personengruppen involviert. BeimAufbau des BCM-Systems bestand das Manage- ment-Board im Kern aus Vertretern der Bereiche Corporate Security, Technik, FacilityManagement, Customer Care und Finanzbereich. „Da heute viele wichtigeVo- dafone-Geschäftsprozesse von derTechnik abhängig sind, ist es wichtig, dass sowohl beim Aufbau als auch beim Betrieb des BCM-Systems die Technik maßgeblich beteiligt war und ist“, erläutert Oliver Harzheim. Galt es zu Beginn hauptsächlich alle geschäftskritischen Prozesse ausfindig zu machen, um diese bei dem BCM-Sys- tem zu berucksichtigen, werden heute eher Veränderungen und Entwicklungen in den verschiedenen Bereichen betrachtet. Audit- und Zertifizierungsverfahren Die Wirksamkeit des BCM-Systems und die damit verbundenenMaßnahmen gilt es in festgelegten Intervallen zu uberprufen. Nach Vorgaben der ISO 22301 setzt Vo- dafone zum einen interne Audits um, zum anderen werden durch TÜV-Rheinland- Auditoren, die das Unternehmen nach ISO 22301 zertifizierten, regelmäßige Audits durchgefuhrt. Bei dem aus zwei Teilen be- stehenden externen Auditverfahren schaut sich derTÜV-Rheinland-Auditor zunächst die Dokumente uber das BCM-System an und inwiefern diese die Normanforde- rungen erfullen. Dabei stehen u.a. Pläne wie z.B. Schulungs- und Notfallpläne, Ergebnisse der internen Audits und auch Ablauf sowie Ergebnisse von Notfall- und Wiederherstellungsubungen im Fokus. Einer der wichtigsten Pläne ist neben den Notfallplänen der Technik der überge- ordnete Krisenmanagementplan, dessen Funktionsfähigkeit Vodafone regelmäßig in Form von Live-Übungen pruft. EinMesskriterium fur dieWirk- samkeit stellt z.B. der Faktor Zeit dar. Wie lange braucht es, bis im Krisenfall die Datenlast von einer anderen Sammler- station ubernommen werden kann? Wie lange dauert der Schwenk auf einen ande- ren Technikstandort nach einem schwer- wiegenden Ausfall? Werden hier die zuvor definierten Zeitspannen im Rahmen der Live-Übung eingehalten? „Die mit diesen Steps verbundenenDokumente, Pläne und Ergebnisse schauen wir uns u.a. an, um sicherzugehen, dass die Normanforderun- gen erfullt werden und das Unternehmen bestrebt ist, mögliche Defizite zu erkennen, zu beseitigen und so den Reifegrad seines BCM-Systems zu erhöhen“, so Thomas Kloos, Auditor bei TÜV Rheinland. Der Blick von außen hat zudem den Vorteil, dass mitunter Entwicklungspotenziale erkannt werden, die das Unternehmen nicht imFokus hat. Zuweilen legen Unter- nehmen bei der Betrachtung ihres BCM- Systems den Schwerpunkt auf Prozesse, die hinzugekommen sind, und das Gegebene wird nicht mehr in dem Maße berück- sichtigt, wie es sinnvoll ist. Vor-Ort-Begehungen In der zweiten Stufe des Audits folgt die Vor-Ort-Begehung des TÜV-Rheinland- Auditors. Wichtige Technikstandorte wie z.B. die Sammlerstationen werden dabei berucksichtigt. In ihnen werden Infor- mationen verarbeitet, die via Funkmasten uber Kabelverbindungen ubertragen wur- den. Der Auditor pruft, welche physika- lischen Absicherungsmaßnahmen es fur diese Stationen gibt, wie im Ernstfall eine Alarmierung stattfindet undwie dieVerant- wortlichkeiten in der Alarmierungskette aussehen. Die zweite Stufe des Auditver- fahrens dient dazu, die Wirksamkeit des BCM-Systems festzustellen und inwiefern die in denDokumenten dargelegten Schrit- te sowie Prozesse gelebt werden und in der Anwendung funktionieren. Nach dem erfolgreichen Abschluss des Pruf- und Zer- tifizierungsverfahrens erfolgt in jährlichen Intervallen ein Überwachungsaudit, in dessen Rahmen stichprobenhaft uberpruft wird, ob die Wirksamkeit des Systems weiter aufrechterhalten wird, bevor vor Abschluss des dritten Zertifizierungsjahres ein Rezertifizierungsaudit stattfindet. Mit dem BCM-System nach ISO 22301 hat Vodafone – neben dem Informationssicherheitsmanagementsys- tem– eine wichtigeVorkehrung geschaffen, um mögliche Vorfälle und ihre Negativ- effekte möglichst gering zu halten oder gar komplett zu vermeiden. „Gefahren können heutzutage aus unterschiedlichsten Richtungen auf Unternehmen einwirken.Mit einemBCM- System können wir uns in verschiedenster Hinsicht besser auf Cybergefahren, Klima- veränderungen oder Pandemien einstellen und trotz dieser Einflussfaktoren unser Geschäft absichern“, erklärt Astrid Wie- sendorf abschließend. Auch hinsichtlich gesetzlicher Maßgaben, zukunftiger Rege- lungen und Kundenanforderungen sieht sichVodafone mit demBCM-Systemnach ISO 22301 sehr gut aufgestellt und kann seinen Sicherheitsanspruch gegenuber den verschiedenen Interessensgruppen trans- parent mit demTÜV-Rheinland-Zertifikat darlegen. www.tuv.com Einer der wichtigsten Pläne ist neben den Not- fallplänen der Technik der Krisenmanagementplan Mit einem BCM-System kann man sich besser auf Cybergefahren oder Pande- mien einstellen