3.3.6 Analyse durchführen
Wenn Schadenskategorien und -szenarien, Bewertungsperioden und die Strategien zur Behandlung besonderer Termine und Ereignisse festgelegt sind, kann die Schadensanalyse durchgeführt werden. Dies bedeutet, dass für alle zu untersuchenden Geschäftsprozesse
- die jeweiligen Prozessverantwortlichen, Mitglieder der Leitung oder andere kompetente Personen den möglichen Schaden mit Hilfe der Schadenskategorien für die zu betrachtenden Bewertungsperioden und Schadensszenarien einschätzen,
- die Ergebnisse dieser Untersuchungen systematisch zusammengestellt und dokumentiert werden.
Es obliegt dem Notfallbeauftragten, diese Aktivitäten zu koordinieren.
Dokumentation der Schadensanalyse: Einzelprozess
Zur Dokumentation der Schadensanalyse sind einige formale Angaben unerlässlich. Dazu gehören insbesondere
- die genaue Bezeichnung des Prozesses und der zuständigen Organisationseinheit,
- die Namen und Funktionen der an der Schadensanalyse beteiligten Personen sowie
- das Datum der Erhebung.
Der Schadensverlauf kann in tabellarischer Form übersichtlich dargestellt werden.
Beispiel
Als Beispiel nachfolgend die Schadensanalyse für den Prozess Aufbereitung Recycling-Materialien bei der RECPLAST GmbH. Dieser dient dazu, aus gebrauchtem Verpackungsmaterial Regranulate zu gewinnen, die anschließend als Ausgangsmaterial für die Recycling-Produkte des Unternehmens genutzt werden können. Insgesamt sind die Anforderungen an die Verfügbarkeit dieses Prozesses weniger hoch, da
- das Unternehmen auf einen Lagerbestand an erzeugten Regranulaten achtet, mit dem auch ein mehrtägiger Ausfall des Prozesses überbrückt werden kann, und außerdem
- bei Bedarf für die Fertigung erforderliche Regranulate kurzfristig zugekauft werden können.
Diese Absicherungen sind bereits in die Verfahrensbeschreibungen für den Normalbetrieb aufgenommen worden.
Prozess: Aufbereitung Recycling-Materialien
Organisationseinheit: Fertigung
Bearbeiter: P. Muster (Notfallbeauftragter)
Interviewpartner: M. Müller (Abteilungsleiter)
| Schadensszenario | Schaden nach Bewertungsperiode | Anmerkungen | ||||
|---|---|---|---|---|---|---|
| 12 Std. | 1 Tag | 3 Tage | 7 Tage | 28 Tage | ||
| finanzielle Auswirkungen | 1 | 1 | 1 | 1 | 2 | Wenn in größerem Umfang Regranulate zugekauft werden müssen, entstehen hohe Mehrkosten |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | 1 | 1 | 1 | 1 | 1 | Solange Regranulate zugekauft werden können, werden Verträge nicht verletzt. |
| Beeinträchtigung der Aufgabenerfüllung | 1 | 1 | 1 | 1 | 1 | Der Zukauf beeinträchtigt auch langfristig die Abläufe im Unternehmen nicht stark. |
| negative Innen- und Außenwirkung | 1 | 1 | 1 | 2 | 2 | Längere Ausfälle wirken sich negativ auf die Motivation der Mitarbeiter aus. |
Dokumentation der Schadensanalyse: Prozessübersicht
Die ermittelten Schadensbewertungen für die Einzelprozesse können Sie in einer Gesamtübersicht über alle Geschäftsprozesse zusammenführen, um die Prozesse für deren Wiederanlauf leichter priorisieren zu können. Die folgende Tabelle gibt ein Beispiel. Sie berücksichtigt noch drei weitere Prozesse bei der RECPLAST GmbH,
und zwar:
- Fertigung Endprodukte
An die Verfügbarkeit dieses Kernprozesses des Unternehmens werden hohe Anforderungen gestellt. Ein mehr als 24-stündiger Ausfall kann unmittelbare Einnahmeausfälle bewirken. Bei bestimmten Auftraggebern drohen ferner Konventionalstrafen und die Abwanderung zur Konkurrenz.
- IT-Wartung
Dieser unterstützende Prozess, der für die Pflege aller Client-Systeme im Unternehmen (mit Ausnahme der Anlagensteuerungen) zuständig ist, hat als Querschnittsaufgabe eine große Bedeutung für nahezu alle Unternehmensprozesse und daher ein höheres Schadenspotenzial. - Server-Betrieb
Auch dieser Prozess hat aufgrund der Bedeutung der mit Hilfe der verschiedenen Servern betriebenen Anwendungen (E-Mail, Finanzbuchhaltung, ERP, Dateiablage usw.) insgesamt eine hohe Kritikalität für das Unternehmen.
| Prozess | Schadensszenario | Schaden nach Bewertungsperiode | ||||
|---|---|---|---|---|---|---|
| 12 Std. | 1 Tag | 3 Tage | 7 Tage | 28 Tage | ||
| Aufbereitung Recycling-Materialien | finanzielle Auswirkungen | 1 | 1 | 1 | 1 | 2 |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | 1 | 1 | 1 | 1 | 1 | |
| Beeinträchtigung der Aufgabenerfüllung | 1 | 1 | 1 | 1 | 1 | |
| negative Innen- und Außenwirkung | 1 | 1 | 1 | 2 | 2 | |
| Summe | 4 | 4 | 4 | 5 | 6 | |
| Fertigung Endprodukte | finanzielle Auswirkungen | 1 | 2 | 3 | 4 | 4 |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | 1 | 1 | 1 | 2 | 3 | |
| Beeinträchtigung der Aufgabenerfüllung | 2 | 2 | 3 | 3 | 4 | |
| negative Innen- und Außenwirkung | 1 | 1 | 2 | 2 | 3 | |
| Summe | 5 | 6 | 9 | 11 | 14 | |
| IT-Wartung | finanzielle Auswirkungen | 1 | 1 | 2 | 3 | 3 |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | 1 | 1 | 1 | 2 | 3 | |
| Beeinträchtigung der Aufgabenerfüllung | 1 | 2 | 2 | 3 | 3 | |
| negative Innen- und Außenwirkung | 1 | 1 | 2 | 3 | 3 | |
| Summe | 4 | 5 | 7 | 11 | 12 | |
| Server-Betrieb | finanzielle Auswirkungen | 1 | 2 | 3 | 4 | 4 |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | 1 | 1 | 1 | 1 | 2 | |
| Beeinträchtigung der Aufgabenerfüllung | 1 | 2 | 3 | 4 | 4 | |
| negative Innen- und Außenwirkung | 1 | 1 | 2 | 3 | 4 | |
| Summe | 4 | 6 | 9 | 12 | 14 | |
- Kurz-URL:
- https://www.bsi.bund.de/dok/6611508