Im Ernstfall gilt für Betreiberinnen und Betreiber von kritischen Infrastrukturen noch mehr als für jedes andere Unternehmen: The show must go on – oder frei übersetzt, das Geschäft muss weitergehen. Das Thema Business Continuity Management (BCM) ist durch die Pandemie, den Ukraine-Krieg und die dadurch mögliche Strommangellage deutlich stärker in den Fokus von Geschäftsleitungsgremien und Risk Managerinnen der gesamten Wirtschaft gerückt als auch schon. Denn, auch wenn Risiken immer Risiken bleiben – und hoffentlich nie eintreten – lohnt sich BCM für alle Unternehmen.
BCM-Standards als Orientierungshilfe
Bei Swisscom, per Definition eine Betreiberin von kritischen Infrastrukturen, ist das Thema BCM bereits seit Jahren verstärkt im Fokus des Managements. «In den vergangenen Monaten haben wir festgestellt, dass die Aufmerksamkeit für dieses nun auch bei Kunden gestiegen ist», stellt Jennifer Ebling, Head Business Continuity Management, fest. Und auch die Mitarbeiterinnen und Mitarbeiter hätten hierzu Fragen gestellt.
Grundsätzlich orientiert sich das BCM der Swisscom am ISO-Standard 22301 sowie an den nationalen und den europäischen Bestimmungen für kritische Infrastrukturen. Aus der täglichen Arbeit weiss die Expertin aber, dass die erarbeiteten Konzepte und definierten Strukturen anhand von Übungen und Tests laufend überprüft werden müssen, damit sie sich bei einer ernsthaften Bedrohung oder eines Ausfalles auch wirklich bewähren.
Swiss GRC Day 2023
Am 3. Mai 2023 findet im Radisson Blue, Zürich Airport, der Swiss GRC Day 2023 statt. Neben der Business Continuity-Expertin Jennifer Ebling werden weitere hochkarätige Speaker über aktuelle GRC-Trends wie Resilienz, Third Party Risk Management, integriertes GRC oder den Einfluss des Metaverse auf Risk & Compliance Manager berichten. Das vollständige Programm sowie Anmeldemöglichkeiten finden Sie hier.
Notfallabläufe regelmässig schulen
Angesiedelt ist das BCM beim Telekomanbieter bei der Geschäftseinheit Group Security. «BCM erfordert eine interdisziplinäre Arbeitsweise und wir stehen im steten Austausch mit dem Senior Management und den verschiedensten Unternehmensbereichen.» Regelmässigen Austausch pflegt Swisscom als Betreiberin einer kritischen Infrastruktur auch mit den Behörden, wie beispielsweise dem Bundesamt für Bevölkerungsschutz. Gutes zu tun und darüber zu sprechen, sei zentral. «Im Elfenbeinturm zu sitzen und Konzepte zu schreiben, die nicht bekannt sind oder gelebt werden, bringt nichts. Die Mitarbeitenden und Verantwortlichen werden deshalb regelmässig für das Thema sensibilisiert und für Notfallabläufe geschult.» Ein Unternehmen auf Störungen vorzubereiten, sei nur möglich, wenn BCM Teil des daily business ist.
BCM erfordert eine interdisziplinäre Arbeitsweise.
Jennifer Ebling, Head Business Continuity Management, Swisscom
Redundanz auf allen Ebenen ist zentral
Aus der Sicht von Jennifer Ebling gibt es für Swisscom nicht DEN Supergau, sondern verschiedene Szenarien, die den Betrieb ernsthaft stören können. «Flächendeckende Netzausfälle, Cyberangriffe oder ein Blackout sind mögliche Vorkommnisse, die wir auf dem Radar haben und auf die wir uns vorbereiten».
Grundsätzlich orientiert man sich bei der Swisscom an den verschiedenen Ressourcen, die ausfallen können. Dazu zählen das Personal, die IT, Dienstleister sowie Gebäude. «Beim Personal schauen wir, dass wichtige Rollen doppelt besetzt und Teams an verschiedenen Standorten präsent sind oder Arbeiten übernehmen können.» Redundanz und unterschiedliche Standorte sind auch in Sachen IT zentral. Bei den Dienstleistern wird geprüft, ob man auf diesen im Incidentfall verzichten kann oder ein alternativer Anbieter zum Tragen kommt. «Je nach Situation nehmen wir beispielsweise auch ein Insourcing vor». In Sachen Gebäude gilt, dass die Mitarbeitenden von zu Hause oder an alternativen Standorten arbeiten können müssen.