Mit Business Impact Analyse Unternehmen stärken

Artikel von Nico Wördenweber·3. Januar 2025

Eine Business Impact Analyse (BIA) ist ein wesentlicher Bestandteil im Business Continuity Management in Unternehmen. Sie hilft, die kritischen Prozesse und Systeme zu identifizieren, die für den Unternehmenserfolg unerlässlich sind. In diesem Blog werfen wir zunächst einen Blick auf die grundlegenden Prinzipien der BIA. Anschließend betrachten wir, wie sie speziell im Kontext der ISO/IEC 27001:2022 angewandt wird.

Der Inhalt im Überblick

Grundlagen der Business Impact Analyse

Die Business Impact Analyse dient dazu, die potenziellen Auswirkungen von Störungen auf die Geschäftsprozesse eines Unternehmens zu bewerten. Ziel ist es, die Abhängigkeiten zwischen Prozessen, Ressourcen, Systemen und anderen potenziellen Einflussfaktoren zu verstehen. Dabei wird untersucht, welche Prozesse für das Unternehmen kritisch sind und welche Ressourcen benötigt werden, um diese Prozesse aufrechtzuerhalten.

Neben der intrinsischen Motivation des Unternehmens, resilienter zu werden, gibt es auch externe Einflüsse, die die Durchführung einer BIA erfordern können. So ist die Kontinuität der Geschäftsprozesse eine Anforderung der NIS-2 Richtlinie und die Durchführung einer BIA indirekt auch eine der Anforderungen der ISO 27001.

Fokus auf IKT-Systeme in der ISO/IEC 27001:2022

Im Kontext eines ISMS nach ISO 27001 führen Unternehmen häufig eine BIA durch. Diese dient dazu, die IKT-Systeme zu identifizieren, die für die Unternehmensprozesse essenziell sind. Die Norm fordert in Maßnahme 5.30, dass die Verfügbarkeit und Wiederherstellbarkeit der IKT-Systeme innerhalb der tolerablen Ausfallzeiten der verbundenen Prozesse liegen.

Warum sind IKT-Systeme so wichtig?

IKT-Systeme sind das Rückgrat moderner Geschäftsprozesse. Ein Ausfall dieser Systeme kann weitreichende Auswirkungen auf die gesamte Prozesskette haben. Beispiel: Fällt ein zentrales ERP-System aus, können Produktions-, Logistik- und Finanzprozesse gleichzeitig beeinträchtigt werden. Die ISO 27001 hilft, durch gezielte Maßnahmen sicherzustellen, dass kritische IKT-Systeme robust und widerstandsfähig sind.

Festlegung der Ausfallzeiten

Ein essenzieller Schritt der BIA ist die Bewertung der maximal tolerierbaren Ausfallzeit (Maximum Tolerable Period of Disruption, MTPD) für jedes IKT-System basierend auf den Anforderungen der zugrunde liegenden Prozesse. Diese Bewertung hilft, Prioritäten bei der Risikominimierung zu setzen. Systeme mit einer besonders kurzen MTPD erfordern meist höhere Investitionen in Redundanz und Sicherheit.

Hier muss berücksichtigt werden, dass das ERP-System aus obigem Beispiel eventuell in der Logistik nur wöchentlich verwendet wird, wohingegen die Fertigung täglich darauf zugreifen muss. Hieran zeigt sich, dass die Verfügbarkeitsanforderung des ERP-Systems falsch eingeschätzt werden könnte, wenn man nur die Logistik betrachten würde.

Prozessketten und ihre Abhängigkeiten

Ein wesentlicher Aspekt der BIA ist die Analyse der Prozessketten und ihrer Abhängigkeiten. In vielen Unternehmen sind Prozesse nicht isoliert, sondern eng miteinander verknüpft. Die Identifikation dieser Abhängigkeiten ist entscheidend, um die Auswirkungen eines Ausfalls zu verstehen.

IKT-Systeme als Schlüsselfaktor

In der Praxis zeigt sich oft, dass bestimmte IKT-Systeme eine übergeordnete Rolle spielen. Diese sogenannten Schlüsselsysteme müssen besonders geschützt werden. Die ISO 27001 fordert deshalb nicht nur eine Analyse, sondern auch die Umsetzung von Maßnahmen und eine kontinuierliche Überwachung dieser Systeme, um Risiken frühzeitig zu erkennen.

Den Fokus nicht zu eng setzen

Maßnahme 5.30 der ISO 27001:2022 konzentriert sich zwar namentlich auf die IKT-Systeme, aber im Hinblick auf das Schutzziel „Verfügbarkeit“ geht es im ISMS nicht nur um diese Systeme. Ein ISMS sollte auch sicherstellen, dass die Unternehmensprozesse als zentraler Wert geschützt werden.

In diesem Sinne lohnt der Blick auf andere Abhängigkeiten und Einflussfaktoren, bspw. externe Dienstleister und Lieferanten, und kann „Aha-Momente“ bewirken – und eine Änderung von Service-Level Agreements erfordern.

Den Mehrwert der Business Impact Analyse erkennen

Die Durchführung einer Business Impact Analyse im Rahmen der ISO/IEC 27001:2022 bietet erhebliche Vorteile. Unternehmen erhalten nicht nur einen klaren Überblick über kritische Prozesse, sondern identifizieren gleichzeitig solche Systeme, deren Ausfall den Stillstand mehrerer Prozesse verursachen würden. Damit können Ausfallrisiken gezielt behandelt und die Betriebssicherheit nachhaltig erhöht werden.

Durch die Fokussierung auf IKT-Systeme und die Verknüpfung mit Prozessketten wird die BIA zu einem unverzichtbaren Instrument für jedes Unternehmen, das seine IT-Sicherheit optimieren möchte. Die Investition in eine fundierte BIA zahlt sich durch gesteigerte Resilienz und langfristige Wettbewerbsfähigkeit aus.

- Business Impact Analyse
  Kennzahlen und KPIs im ISMS und DSMSFachbeitrag·11. Oktober 2024
- BCM: Die Existenz des Unternehmens schützenFachbeitrag·28. April 2023
Mehr zum Thema
- ISMS
  NIS-2: Anforderungen für Anbieter digitaler Dienste (Teil 2)Fachbeitrag·8. November 2024
- NIS-2: Anforderungen für Anbieter digitaler Dienste (Teil 1)Fachbeitrag·1. November 2024
- Kennzahlen und KPIs im ISMS und DSMSFachbeitrag·11. Oktober 2024
Mehr zum Thema
- ISO 27001
  Kostenloses Webinar zur neuen ISO 27001:2022News·6. März 2024
- ISO 27002: Auswirkungen auf die InformationssicherheitFachbeitrag·23. September 2022
- Aufbau eines ISMS – Kontinuierlicher Verbesserungsprozess (PDCA)Fachbeitrag·22. Juli 2022
Mehr zum Thema
- NIS 2
  NIS-2: Anforderungen an die InformationssicherheitFachbeitrag·10. Mai 2024
- Positionspapier zum Umsetzungsgesetz der NIS-2-RichtlinieFachbeitrag·28. November 2023
- Umsetzung der NIS-2-Richtlinie in DeutschlandFachbeitrag·4. August 2023
Mehr zum Thema
- Verfügbarkeit
  Mindestanforderung an ein Backup-Konzept als TOM laut HBDIFachbeitrag·5. Februar 2024
- Informationstechnik (IT): Was ist das und was fällt darunter?Fachbeitrag·13. Mai 2023
- IT-Schutzziele: Die Verfügbarkeit von Systemen & DatenFachbeitrag·17. Februar 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Name	Borlabs Cookie
Anbieter	intersoft consulting services AG, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Datenschutzerklärung	https://www.dr-datenschutz.de/datenschutzerklaerung/
Host(s)	www.intersoft-consulting.de
Cookie Name	borlabs-cookie
Cookie Laufzeit	12 Monate

Name	Rating
Anbieter	intersoft consulting services AG
Zweck	Identifizierung des Nutzers zur Verhinderung von Mehrfachbewertungen.
Datenschutzerklärung	https://www.dr-datenschutz.de/datenschutzerklaerung/
Host(s)	www.dr-datenschutz.de
Cookie Name	wp-gdrts-log
Cookie Laufzeit	12 Monate

Name	VG Wort
Anbieter	Verwertungsgesellschaft WORT
Zweck	Messung von Zugriffen auf Texte, um die Kopierwahrscheinlichkeit zu erfassen.
Datenschutzerklärung	https://www.dr-datenschutz.de/datenschutzerklaerung/
Host(s)	vg07.met.vgwort.de
Cookie Name	srp
Cookie Laufzeit	Aktuelle Session

Akzeptieren	Matomo
Name	Matomo
Anbieter	intersoft consulting services AG
Zweck	Matomo ist ein Script zur Webanalyse. Die im Cookie erfassten Nutzungsinformationen (einschließlich Ihrer gekürzten IP-Adresse) werden an unseren Server übertragen und zu Nutzungsanalysezwecken gespeichert. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Datenschutzerklärung	https://www.dr-datenschutz.de/datenschutzerklaerung/
Cookie Name	_pk_id, _pk_ses, _pk_ref
Cookie Laufzeit	12 Monate