Zum Hauptinhalt springen

Business Impact Analysis - Business Impact Level (BIL)

BIA - Geschäftsauswirkungsanalyse als Bestandteil des Risikomanagements und der Notfallplanung

image-20240702141136763

::: info BIL

Der Business Impact Level gibt an, wie gravierend die Auswirkungen einer Störung oder eines Ausfalls eines bestimmten Geschäftsprozesses oder eines IT-Dienstes für ein Unternehmen sind.

:::

IT-Business Impact Level (BIL) beschreibt die verschiedenen Ebenen der Geschäftsauswirkungsanalyse in der IT. Die BIA ist ein zentraler Bestandteil des Risikomanagements und der Notfallplanung. Sie hilft dabei, die kritischen Geschäftsprozesse zu identifizieren, deren Abhängigkeit von IT-Systemen zu verstehen und die Auswirkungen von Ausfällen oder Störungen zu bewerten.

Was misst der BIL?

Der BIL bewertet die potenziellen Konsequenzen eines Ereignisses, wie z.B.:

  • Finanzielle Auswirkungen: Entgangene Einnahmen, zusätzliche Kosten für die Wiederherstellung
  • Reputationsschäden: Verlust von Kundenvertrauen, negative Publicity
  • Compliance-Risiken: Nichteinhaltung gesetzlicher Vorschriften
  • Gesundheitliche Risiken: Gefährdung von Mitarbeitern oder Kunden
  • Umweltschäden: Negative Auswirkungen auf die Umwelt

Warum ist der BIL wichtig?

  • Priorisierung: Der BIL hilft dabei, die kritischen Geschäftsprozesse und IT-Komponenten zu identifizieren, die im Falle eines Ausfalls höchste Priorität bei der Wiederherstellung haben.
  • Ressourcenallokation: Unternehmen können ihre Ressourcen gezielt auf die Bereiche konzentrieren, die am empfindlichsten auf Störungen reagieren.
  • Notfallplanung: Der BIL ist die Grundlage für die Erstellung effektiver Notfallpläne.
  • Risikobewertung: Er unterstützt bei der Bewertung von Risiken und der Entwicklung geeigneter Maßnahmen zur Risikominderung.

Wie wird der BIL bestimmt?

Die Bestimmung des BIL erfolgt in der Regel im Rahmen einer Business Impact Analyse (BIA). Dabei werden folgende Faktoren berücksichtigt:

  • Wiederherstellungspunktziel (RPO): Wie viel Datenverlust kann das Unternehmen tolerieren?
  • Wiederherstellungszeitziel (RTO): Wie schnell muss ein Prozess oder eine IT-Komponente wiederhergestellt werden?
  • Kosten des Ausfalls: Welche finanziellen Folgen hat ein Ausfall?
  • Reputationsrisiko: Wie hoch ist das Risiko für den Ruf des Unternehmens?
  • Compliance-Risiko: Welche gesetzlichen oder regulatorischen Anforderungen sind betroffen?

Business Impact Level

Hier sind die typischen IT-BIA Levels:

  1. BIL-1 - Kritikalitätsstufe 1 (Criticality Level 1):
    • Beschreibung: Prozesse und Systeme, die für den sofortigen Geschäftsbetrieb unverzichtbar sind. Ein Ausfall hätte schwerwiegende Auswirkungen auf das Unternehmen und könnte zu erheblichen finanziellen Verlusten, Rufschädigung oder regulatorischen Sanktionen führen.
    • Beispiele: Finanztransaktionssysteme, Kundendatenbanken, Echtzeit-Kommunikationssysteme.
    • Erholungszeit: Sehr kurze Erholungszeit (Minuten bis Stunden).
  2. BIL-2 - Kritikalitätsstufe 2 (Criticality Level 2):
    • Beschreibung: Prozesse und Systeme, die für den täglichen Geschäftsbetrieb wichtig sind. Ein Ausfall würde erhebliche, aber nicht katastrophale Auswirkungen haben und könnte zu moderaten finanziellen Verlusten und operativen Unterbrechungen führen.
    • Beispiele: E-Mail-Systeme, Buchhaltungssysteme, interne Kommunikationsplattformen.
    • Erholungszeit: Kurze Erholungszeit (Stunden bis maximal ein Tag).
  3. BIL-3 - Kritikalitätsstufe 3 (Criticality Level 3):
    • Beschreibung: Prozesse und Systeme, die für den langfristigen Geschäftsbetrieb wichtig sind. Ein Ausfall hätte moderate Auswirkungen und könnte zu geringen finanziellen Verlusten und operativen Unannehmlichkeiten führen.
    • Beispiele: Personalinformationssysteme, allgemeine Dateispeicherung, Berichtssysteme.
    • Erholungszeit: Mittlere Erholungszeit (einige Tage).
  4. BIL-4 - Kritikalitätsstufe 4 (Criticality Level 4):
    • Beschreibung: Prozesse und Systeme, die für den Geschäftsablauf unterstützend sind. Ein Ausfall hätte geringe oder vernachlässigbare Auswirkungen und könnte zu minimalen finanziellen Verlusten und geringfügigen operativen Unterbrechungen führen.
    • Beispiele: Archivsysteme, interne Dokumentationssysteme, weniger kritische Support-Systeme.
    • Erholungszeit: Längere Erholungszeit (mehrere Tage bis Wochen).
  5. BIL-5 - Kritikalitätsstufe 5 (Criticality Level 5):
    • Beschreibung: Prozesse und Systeme, die für den Geschäftsbetrieb nicht kritisch sind. Ein Ausfall hätte keine nennenswerten Auswirkungen auf das Unternehmen.
    • Beispiele: Historische Datenarchive, nicht geschäftsrelevante Applikationen.
    • Erholungszeit: Sehr lange Erholungszeit (Wochen oder länger).

Diese Ebenen der IT-BIA helfen dabei, die Priorisierung von Ressourcen für Notfallmaßnahmen und die Planung von Wiederherstellungsstrategien zu strukturieren. Durch die Klassifizierung der Geschäftsprozesse und Systeme nach ihrem Kritikalitätsgrad können Unternehmen sicherstellen, dass sie auf mögliche Ausfälle vorbereitet sind und angemessene Maßnahmen ergreifen, um die Auswirkungen zu minimieren.

image-20240702140824814

Bildquelle = Internet

IT-Service-Klassifizierungen im Kontext von ISO 27000

Die ISO 27000-Reihe definiert keine expliziten Klassifizierungen für IT-Services. Stattdessen bietet sie einen Rahmen, um ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, das auf die spezifischen Bedürfnisse einer Organisation zugeschnitten ist.

Obwohl die ISO 27001 keine vorgefertigten Klassifizierungen liefert, können IT-Services nach verschiedenen Kriterien eingeteilt werden, um die Sicherheit besser zu managen:

  • Kritikalität:
    • Kritische Services: Dienste, deren Ausfall erhebliche Auswirkungen auf den Geschäftsbetrieb hätte (z.B. E-Mail, ERP-System).
    • Wichtige Services: Dienste, deren Ausfall zu Störungen im Betrieb führen würde, aber nicht unmittelbar existenzbedrohend ist.
    • Unterstützende Services: Dienste, deren Ausfall den Betrieb nicht unmittelbar beeinträchtigt.
  • Sensibilität der Daten:
    • Hochsensible Daten: Persönliche Daten, Geschäftsgeheimnisse, etc., die einen hohen Schutzbedarf haben.
    • Mäßig sensible Daten: Daten, deren Verlust zu finanziellen oder reputativen Schäden führen kann.
    • Weniger sensible Daten: Daten, deren Verlust keine gravierenden Folgen hat.

Obwohl die ISO 27001 keine vorgefertigten Klassifizierungen für IT-Services bietet, ist eine solche Klassifizierung ein wertvolles Instrument für ein effektives Informationssicherheits-Management. Durch eine sinnvolle Einteilung können Unternehmen ihre IT-Services besser schützen und die Risiken minimieren.