Sie sind auf Seite 1von 75

Business Continuity Management

Evaluation von Softwareprodukten

Bachelor Thesis 2018

Auftraggeberschaft: Die Mobiliar – Versicherung & Vorsorge


Autor: Richard Künzi
Dozentin: Prof. Dr. Petra Asprion
Ort, Datum: Bern, 3. August 2018
Business Continuity Management
Evaluation von Softwareprodukten

Autor
Richard Künzi
Fachhochschule Nordwestschweiz FHNW, Institut für Wirtschaftsinformatik
Haldenstrasse 1, 3014 Bern
+41 58 221 12 63
richard.kuenzi@students.fhnw.ch

Dozentin
Prof. Dr. Petra Asprion
Fachhochschule Nordwestschweiz FHNW, Institut für Wirtschaftsinformatik
Peter Merian-Strasse 86, 4052 Basel
+41 61 279 17 48
petra.asprion@fhnw.ch

Auftraggeberschaft
Damian In-Albon
Die Mobiliar, Versicherungen & Vorsorge
Bundesgasse 35, 3001 Bern
+41 31 389 64 28
damian.in-albon@protekta-risikoberatung.ch

Bern, August 2018

2 | Richard Künzi Business Continuity Management


Ehrenwörtliche Erklärung
Ich versichere, dass ich die vorliegende Arbeit selbstständig und ohne Benutzung anderer als
der im Literaturverzeichnis angegebenen Quellen und Hilfsmittel angefertigt habe.

Die wörtlich oder inhaltlich den im Literaturverzeichnis aufgeführten Quellen und Hilfsmitteln
entnommenen Stellen sind in der Arbeit als Zitat bzw. Paraphrase kenntlich gemacht.

Diese Bachelor Thesis ist noch nicht veröffentlicht worden. Sie ist somit weder anderen
interessierten zugänglich gemacht noch einer anderen Prüfungsbehörde vorgelegt worden.

Bern, 3. August 2018

Richard Künzi

3 | Richard Künzi Business Continuity Management


Danksagung
An dieser Stelle möchte ich mich bei all denjenigen bedanken, die mich während der
Anfertigung dieser Bachelor Thesis unterstützt und motiviert haben.

Zuerst gebührt mein Dank Prof. Dr. Petra Asprion, die meine Bachelor Thesis betreut und
begutachtet hat. Für die hilfreichen Anregungen und die konstruktive Kritik bei der Erstellung
dieser Arbeit möchte ich mich herzlich bedanken.

Ein besonderer Dank gilt Damian In-Albon, denn ohne ihn hätte diese Arbeit nicht entstehen
können. Mein Dank gilt seiner Informationsbereitschaft und den interessanten und hilfreichen
Beiträgen und Antworten auf meine Fragen.

Richard Künzi

Bern, August 2018

4 | Richard Künzi Business Continuity Management


Management Summary
Business Continuity Management ist heute wichtig, insbesondere für regulierte Unternehmen.
Am Beispiel der Mobiliar einem stark regulierten Unternehmen wird eine Evaluation von
Business Continuity Management Softwareprodukten durchgeführt.
Die Mobiliar führt die Business Continuity Planung in einem umfangreichen Excel-Dokument.
Dieses Dokument entspricht nicht mehr den aktuellen Bedürfnissen und soll durch eine
automatisierte Lösung abgelöst werden.

Diese Studie befasst sich mit der Evaluation von Softwareprodukten, um eine passende
Software-Variante für die Mobiliar zu finden. Zu diesem Zweck wird eine systematische
Literaturrecherche durchgeführt. Darauf aufbauend wird untersucht, welche Angebote
verfügbar sind. Dabei richtet sich die Angebotsübersicht nach den Empfehlungen der Mobiliar
sowie einer Internetrecherche. Ziel ist es, eine Übersicht der verfügbaren Funktionen zu
erhalten. Diese soll dabei helfen, Bedürfnisse in der Anforderungsanalyse zu erkennen, die
anschliessend folgt. In Zusammenarbeit mit der Mobiliar sind Anforderungen aus dem
bestehenden Excel-Dokument hergeleitet worden. Zusätzlich wurden die
Mindestanforderungen, die der Schweizerische Versicherungsverband vorschreibt,
dokumentiert.
In der Marktanalyse wurde eine Recherche durchgeführt und die Ergebnisse wurden nach der
Top-down-Methode auf 6 potenzielle Anbieter reduziert.
Bei der Angebotsauswertung wurden diese mithilfe einer Nutzwertanalyse verglichen. Dabei
ist überprüft worden, welche Anbieter die Anforderungen aus der Phase Anforderungsanalyse
erfüllen konnten.

Das Ergebnis ist eine Tabelle mit Anbietern und der erreichten Punktzahl aus der
Nutzwertanalyse. Eine höhere Punktzahl bedeutet, dass die Anforderungen besser erfüllt
werden. Dabei konnte sich ‘DocSetMinder Notfallmanagement‘ mit 704 Punkten durchsetzen.
Der zweitplatzierte alive-IT mit 689 Punkten hat für das 4. Quartal 2018 bereits ein
umfangreiches Update angekündigt. Deshalb wird empfohlen, dass die Nutzwertanalyse für
alive-IT erneut durchgeführt wird.

5 | Richard Künzi Business Continuity Management


Inhaltsverzeichnis
1 Einleitung .................................................................................................................... 8
1.1 Ausgangslage ...................................................................................................... 9
1.2 Ziel....................................................................................................................... 9
1.3 Abgrenzung ........................................................................................................10
1.4 Methodenwahl ....................................................................................................11
1.5 Meilensteine .......................................................................................................13
2 Grundlagen ................................................................................................................14
2.1 Definitionen.........................................................................................................14
2.2 Business Continuity Management Hauptprozesse ..............................................15
2.3 Business Continuity Management nach ISO .......................................................16
2.4 Regulierung in der Schweiz ................................................................................19
2.4.1 Mindeststandards .................................................................................19
2.4.2 Empfehlungen ......................................................................................20
3 Anforderungsanalyse-Methoden ..............................................................................22
3.1 Definitionen.........................................................................................................23
3.2 Anforderungsanalyse nach ISO/IEC/IEEE ..........................................................26
3.2.1 Anforderungserhebung .........................................................................26
3.2.2 Anforderungsanalyse ............................................................................26
3.2.3 Verifikation und Validierung ..................................................................26
3.2.4 Anforderungsmanagement ...................................................................26
3.3 Anforderungsanalyse nach IIBA..........................................................................27
3.3.1 Anforderungsmanagement ...................................................................27
3.3.2 Anforderungserhebung .........................................................................27
3.3.3 Analyse und Dokumentation .................................................................27
3.3.4 Anforderungskommunikation ................................................................27
3.4 Anforderungsanalyse nach IREB ........................................................................28
3.4.1 Anforderungen ermitteln .......................................................................28
3.4.2 Anforderungen dokumentieren .............................................................28
3.4.3 Anforderungen prüfen und abstimmen ..................................................28
3.4.4 Anforderungen verwalten ......................................................................28
3.5 Auswahl ..............................................................................................................29
4 Marktanalyse-Methoden............................................................................................31
4.1 Bottom-up ...........................................................................................................31
4.2 Direct-Hit.............................................................................................................32
4.3 Top-down............................................................................................................33
4.4 Auswahl ..............................................................................................................34
5 Angebotsauswertungs-Methoden ............................................................................35
5.1 Nutzwertanalyse .................................................................................................35

6 | Richard Künzi Business Continuity Management


5.2 Prioritätenanalyse ...............................................................................................36
5.3 Quality-Function-Deployment..............................................................................37
5.4 Auswahl ..............................................................................................................38
6 Operationalisierung ..................................................................................................39
6.1 Identifizierte Anforderungen ................................................................................39
6.1.1 Mindestanforderungen nach FINMA .....................................................39
6.1.2 Lastenheft Mindeststandards nach FINMA ...........................................45
6.1.3 Unternehmensspezifische Anforderungen ............................................46
6.2 Marktanalyse ......................................................................................................48
6.2.1 Recherche ............................................................................................48
6.2.2 Ergebnis ...............................................................................................52
6.3 Angebotsauswertung ..........................................................................................54
6.4 Empfehlung ........................................................................................................55
7 Zusammenfassung und Ausblick ............................................................................57
Literaturverzeichnis ...........................................................................................................58
Abbildungsverzeichnis ......................................................................................................60
Tabellenverzeichnis ...........................................................................................................60
Anhang ................................................................................................................................61
A Top-down ........................................................................................................................61
B Workshop Gewichtung ...................................................................................................69
C Nutzwertanalyse .............................................................................................................71

7 | Richard Künzi Business Continuity Management


1 Einleitung

Es gibt viele Gründe, warum jede Organisation ein aktives Business Continuity Management
(BCM) Programm haben sollte/muss. In einigen Fällen resultiert die Initiative aus dem Druck,
auf die Empfehlungen und Forderungen der Wirtschaftsprüfer zu reagieren. Unabhängig
davon sollte BCM als integraler Bestandteil eines guten Managements betrachtet werden. Es
ist tollkühn für das Management, die Geschäftskontinuität nicht zu berücksichtigen. (Gallagher,
2003, p. 17)

BCM soll sicherstellen, dass kritische Geschäftsprozesse beim Eintreten von einem Ereignis
zeitnah fortgeführt oder wiederaufgenommen werden können; der Fokus liegt dabei auf den
Bedürfnissen des Unternehmens. Unter einem solchen Ereignis wird alles verstanden, was
zur Gefährdung der Geschäftstätigkeit des Unternehmens führen kann. (Erb, 2015, p. V)
Durch das Erkennen der geschäftskritischen Prozesse schützt BCM nicht nur das
Unternehmen, sondern es steuert auch einen Mehrwert zur Optimierung der Geschäftsabläufe
bei. (Supriadi & Sui Pheng, 2018, pp. 1–2)

Unter ‘Business Continuity Planning’ wird ein Teilprozess von BCM verstanden. Es bezieht
sich auf die Planung von präventiven und reaktiven Massnahmen. Diese Planung enthält die
Identifizierung und den Schutz kritischer Unternehmensprozesse und Ressourcen, die zur
Aufrechterhaltung eines akzeptablen Geschäftsniveaus erforderlich sind. Der ‘Business
Continuity Plan’ (BCP) stellt das Überleben des Unternehmens vor, während und nach einem
Ereignis sicher. (Snedaker, 2007, p. 3) Grundsätzlich wird versucht, die Auswirkungen von
einem Ereignis zu minimieren. Der BCP soll gewährleisten, dass im Ereignisfall ein
Unternehmen die Fähigkeit beibehält, seine Kundenbasis zu bedienen, seine Reputation zu
schützen und seine Rentabilität beizubehalten. (Supriadi & Sui Pheng, 2018, pp. 52–53)

Bisher gibt es verschiedene automatisierte Lösungen, die für die BCM-Implementierung


eingesetzt werden können. Ursprünglich wurde die automatisierte Software entwickelt, um die
eigentliche Entwicklung und Dokumentation von BC-Plänen zu unterstützen. Bevorzugt
wurden dabei Lösungen zur Automatisierung von Planungsfunktionen, wie zum Beispiel
Informationsupdates und Aktionspläne. In diesem Bereich wurde ein Grossteil der
Softwareprodukte gezielt eingesetzt und bildet nach wie vor einen hohen Anteil am Markt für
BCM-Software. Die Überlegung, möglichst viele der manuellen Prozesse zu entfernen, um den
Automatisierungsgrad zu erhöhen, wird als notwendig erachtet. (Supriadi & Sui Pheng, 2018,
p. 201)

8 | Richard Künzi Business Continuity Management


1.1 Ausgangslage

Am Beispiel der Mobiliar soll die Verwendung einer automatisierten Lösung für BCM
untersucht werden. Aktuell wird die BC-Planung der Mobiliar in einem umfangreichen Excel-
Dokument geführt; jedoch entspricht dies nicht mehr den aktuellen Bedürfnissen des
Unternehmens. Die Künftige Lösung soll durch Schnittstellen automatisierbar und Änderungen
nachvollziehbar dokumentieren. Der Entscheid und die damit verbundenen Auswahl und
Einführung einer passenden Software-Variante soll die künftige Grundlage für ein nachhaltiges
BCM der Mobiliar bilden.

1.2 Ziel

Das Ziel dieser Studie ist eine systematische Marktanalyse einer BCM-Software-Lösung. In
der Regel werden BC-Planungswerkzeuge als Gesamtpaket angeboten. Dabei wird
untersucht, welche Angebote von Software-Herstellern und Dienstleistern auf dem Markt
vorhanden sind. Diese werden kategorisiert und nach zu definierenden Anforderungen
bewertet. Die Kriterien der Mobiliar werden mit den ausgewählten Produkten der Marktstudie
abgeglichen. Als Ergebnis werden Empfehlungen formuliert, die als Entscheidungsgrundlage
für die Mobiliar dienen sollen.

9 | Richard Künzi Business Continuity Management


1.3 Abgrenzung

Diese Studie fokussiert insbesondere das Business Continuity Planning und bezieht sich somit
auf die Geschäftsfortführung und die Wiederherstellung des Normalzustands, worunter
verstanden wird, dass das Unternehmen wesentliche Aufgaben, wie die Fähigkeit, seine
Kundenbasis zu bedienen, seine Reputation zu schützen und seine Rentabilität beizubehalten.
In Abbildung 1 werden die wesentlichen Komponenten eines Business Continuity Plannings
im grün markierten Feld dargestellt.

Abbildung 1: Business Continuity Planning und Ereignisbewältigung (Andrist & In-Albon, 2016)

Das Business Continuity Planning ist die strategische Perspektive und versucht, die kritischen
Geschäftsprozesse aufrecht zu erhalten, wohingegen sich Crisis Management Planning auf
die Bewältigung konzentriert und den ursprünglichen Zustand wiederherzustellen versucht.
Nachdem ein Ereignis eingetreten ist, beginnt die maximal tolerierbare Ausfallzeit (MTA). Die
Länge des Zeitfensters wird in der ‘Continuity-Strategie‘ festgelegt.
Die Geschäftsfortführung beschreibt die geplanten Gegenmassnahmen, die notwendig sind,
um die Geschäftsprozesse weiterzuführen oder wiederaufzunehmen. Darin enthalten ist die
Art und Weise, wie die Unternehmensprozesse und Ressourcen aufrechterhalten werden. In
der Phase Recovery wird der Normalzustand wiederhergestellt.
Zu erwähnen ist, dass eine sogenannte Business Impact Analyse (BIA) zum Business
Continuity Planning gehört. Diese dient zur Identifikation der Zeitkritikalität der jeweiligen
Geschäftsprozesse, die im Ereignisfall relevant sind.
Diese Studie beinhaltet kein Konzept für die Inbetriebnahme der Software, sondern bezieht
sich ausschliesslich auf die Entwicklung einer Entscheidungsgrundlage für eine Software.

10 | Richard Künzi Business Continuity Management


1.4 Methodenwahl

Die Abbildung 2 zeigt die ausgewählten Methoden und die Reihenfolge der Schritte der Studie.

5
4 Angebots-
auswertung
Marktanalyse
3
Anforderungs-
analyse
2
Angebots-
übersicht

1
Literatur-
recherche

Abbildung 2: Methodendarstellung

1. Der Schwerpunkt vom ersten Teil dieser Studie ist die systematische Literaturrecherche.
Dies beinhaltet neben allgemein zugänglichen Werken auch interne Dokumente der
Mobiliar. Hierbei wird ein Grundverständnis für BCM aufgebaut und zudem die
Vorgehensweise bei der Mobiliar untersucht und dokumentiert.

2. Bei der Phase Angebotsübersicht wird untersucht, welche Angebote verfügbar sind. Die
Angebotsübersicht richtet sich nach Empfehlungen der Mobiliar und einer
Internetrecherche. Dabei werden Software-Hersteller, die Lizenzen verkaufen, sowie
Dienstleister, die ihre Software als Cloud-Dienstleistung anbieten, berücksichtigt. Das Ziel
dieser Phase ist es, eine Übersicht der angebotenen Funktionen zu erhalten, die dabei
helfen soll, Bedürfnisse in der Anforderungsanalyse zu erkennen.

3. Der dritte Teil bezieht sich auf die Anforderungen an die künftige Software. Alle
Anforderungen werden dokumentiert und die Gewichtung für den Variantenentscheid wird
bestimmt. Basierend auf dem zurzeit genutzten Excel-Dokument der Mobiliar, das
momentan als BCM Software genutzt wird, werden alle bestehenden Stärken und
Schwächen dokumentiert. Diese Phase wird mit dem Meilenstein MS-02 aus Tabelle 1
abgeschlossen.

11 | Richard Künzi Business Continuity Management


4. In der Marktanalyse wird untersucht, welche Produkte bereits existieren und welche
Anforderungen sie gemäss einem zu erstellenden Anforderungskatalog erfüllen. Dabei
werden Anbieter über eine Internetrecherche erschlossen und analysiert. Grundsätzlich
gibt es in Bezug auf den herbeizuführenden Auswahlentscheid drei Möglichkeiten: Ein
Produkt wird gekauft, die Software wird selbst entwickelt oder eine Cloud-basierte
Dienstleistung wird nach einem ‘Pay per Use’-Modell in Anspruch genommen.

5. Die Empfehlung einer Variante wird mittels einer Angebotsauswertungs-Methode


vorbereitet. Dabei werden Punkte für einzelne Kriterien zugewiesen und begründet, die
im Anschluss mit der Gewichtung aus der Anforderungsanalyse multipliziert und
zusammengezählt werden. Das Produkt mit der höchsten Punktzahl wird als Variante
vorgeschlagen und erläutert.

12 | Richard Künzi Business Continuity Management


1.5 Meilensteine

Tabelle 1 zeigt die Meilensteine der Studie. Mit jedem Meilenstein wird ein Lieferobjekt erstellt,
die Zwischenergebnisse in Bezug auf das Lieferobjekt werden diskutiert/überprüft und
Entscheidungen hinsichtlich des weiteren Fortgangs werden getroffen. Diese Studie
beschreibt den Ablauf ab MS-02; denn MS-01 wurde in einer vorgelagerten Studie bereits
abgeschlossen.

ID Meilenstein Datum Beschreibung

MS-01 Abschluss und 22.05.2018 Im Proposal werden die Ziele und


Genehmigung Proposal Rahmenbedingungen der Studie definiert. Des
Weiteren wird das Vorgehen aufgezeigt. Das
Proposal wird von allen Beteiligten
unterschrieben und bestätigt.

MS-02 Literaturrecherche & 28.05.2018 Dieser Meilenstein schliesst die Phasen


Angebotsübersicht (als Literaturrecherche und Angebotsübersicht ab.
erstes Ergebnis) Dies beinhaltet Methoden zu BCM und
assoziierten regulatorischen Anforderungen.
Zusätzlich wird untersucht, welche Angebote
zu BCM existieren. Dadurch können bereits
vorhandene Funktionen in die
Anforderungsanalyse einbezogen werden.
Somit wird sichergestellt, dass auch
unbekannte Bedürfnisse erkannt und ggf.
berücksichtigt werden können.

MS-03 Anforderungsanalyse 04.06.2018 Mit diesem Meilenstein wird die


(bezogen auf die Anforderungsanalyse abgeschlossen. Die
Mobiliar) Anforderungen werden zusammen mit dem
Auftraggeber besprochen und bestätigt.

MS-04 Status-Meeting 05.06.2018 Im Status-Meeting werden die


Zwischenergebnisse überprüft und die
nächsten Schritte werden freigegeben. Hierbei
werden die Anforderungen und verfügbaren
Ressourcen klar definiert, um eine Variante zu
finden, die auch den Möglichkeiten entspricht.

MS-05 Marktanalyse und 16.07.2018 Die Marktanalyse ist abgeschlossen, nachdem


Angebotsauswertung eine Analyse der potenziellen Anbieter
(finales Ergebnis) dokumentiert wurde.

MS-06 Projektabschluss 06.08.2018 Mit der ausgewerteten Nutzwertanalyse und


ggf. einer Empfehlung wird die Studie
abgeschlossen. Zusätzlich zur Abgabe vom
Dokument wird eine Präsentation durchgeführt,
um die Ergebnisse zu präsentieren.

Tabelle 1: Meilensteine

13 | Richard Künzi Business Continuity Management


2 Grundlagen

In diesem Kapitel werden zuerst wesentliche Definitionen zu BCM dargestellt, danach werden
die vier Hauptprozesse des BCM erläutert. Anschliessend folgen der International
Organization for Standardization (ISO) Standard und die auf dem ISO-Standard basierende
Regulierung in der Schweiz.

2.1 Definitionen

Im Folgenden werden wesentliche Definitionen erklärt; als Quelle dient der Standard ISO
22301. Dieser Standard dient als Grundlage, weil der Schweizerische Versicherungsverband
(SVV) sich am ISO 22313 Standard orientiert. Die Reihenfolge orientiert sich am ISO-
Standard.

Business Continuity
Buisines Continuity bedeutet „strategic and tactical capability of the organization to plan for
and respond to incidents and business disruptions in order to continue business operations at
an acceptable predefined level“. (ISO 22313, 2012, p. 2)

Business Continuity Management


Business Continuity Management bedeutet “holistic management process that identifies
potential threats to an organization and the impacts to business operations of those threats, if
realized, might cause, and which provides a framework for building organizational resilience
with the capability for an effective response that safeguards the interests of its key
stakeholders, reputation, brand and value-creating activities”. (ISO 22313, 2012, p. 2)

Business Continuity Management System


Business Continuity Management System bedeutet “that part of the overall management
system that establishes, implements, operates, monitors, reviews, maintains and improves
business continuity”. (ISO 22313, 2012, p. 2)

Business Continuity Plan


Business Continuity Plan bedeutet “documented procedures that guide organizations to
respond, recover, resume, and restore to a pre-defined level of operation following disruption”.
(ISO 22313, 2012, p. 2)

Business Impact Analyse


Business Impact Analyse bedeutet “process of analyzing operational functions and the effect
that a disruption might have upon them”. (ISO 22313, 2012, p. 3)

14 | Richard Künzi Business Continuity Management


2.2 Business Continuity Management Hauptprozesse

Meist wird BCM in vier Hauptprozesse kategorisiert. Supriadi und Sui Pheng gehen auf BCM
als Gesamtprozess ein, während ISO 22313 sich auf die operative Umsetzung fokussiert. Die
Prozesse nach Supriadi und Sui Pheng sind unterteilt in ‘Initiierungsprozess’ (Initiierung des
BCM-Konzepts im Unternehmen), ‘Business Continuity Planning’, das einen BCP erstellt, die
‘Implementierung des BCP’ durch Testen und Üben und schliesslich die ‘Pflege und
Aktualisierung’ des BCP. Diese vier Prozesse lassen sich wiederum in sechs Phasen
unterteilen, die im Folgenden angeführt werden. (Supriadi & Sui Pheng, 2018, p. 51)
1. Projektinitiierung
Die grundlegende kritische Aktivität, die vor der Erstellung eines BCP erforderlich ist, ist
die Einholung der Genehmigung, Unterstützung und des Engagements der
Geschäftsleitung. Nach der Zusage durch das Management wird die erste Phase des BCP
die Festlegung der Ziele und Anforderungen des BCP umfassen.
2. Business Impact Analyse
Die Hauptziele der zweiten Phase beziehen sich auf die Datenerhebung und die
Überprüfung von Handlungsalternativen. Die Identifizierung und Auswertung dieser
Informationen ermöglicht es dem Management, Entscheidungen zu den kritischen
Aspekten des Kerngeschäfts zu treffen. Nach der Identifizierung der Risiken sollte eine
BIA durchgeführt werden.
3. Entwicklung des BCP
Zu den wesentlichen Punkten, die in dieser Phase behandelt werden müssen, gehören
die detaillierte Strategie und die Ziele des Plans, die Verwaltungsverfahren, die Bildung
eines BC-Committees und nachgelagerter Business Recovery Teams, die
Kommunikationswege, die Eskalationsbenachrichtigung und Planaktivierung, die
Festlegung von Szenarien für die Planausführung, die Erstellung von BC-
Planaufzeichnungen, die Speicherung, der Zugriff und das Budget.
4. Erstellen vom BCP
In dieser Phase geht es im Wesentlichen um die Erstellung des BCP. Folgende
Schlüsselthemen sind hierbei zu adressieren:
- Notfallmassnahmen zur Evakuierung, Dekantierung des Zugangs zu
Arbeitsbereichen und Zugang zur Dokumentation.
- Einrichtung einer Notrufleitstelle, Befehls- und Kontrollverfahren.
- Detailliertes Verfahren für Mitteilungen, Übertragung oder Benennung von
Befugnissen, und wichtige Stakeholder.
- Externer Support, Lieferantenverträge, Kontakte und Ressourcen.

15 | Richard Künzi Business Continuity Management


5. Testen und Üben vom BCP
Um die Wirksamkeit des BCP festzustellen, ist es unerlässlich, ein regelmässiges Test-
und Übungsprogramm zu implementieren. Zu den Hauptaktivitäten, die währenddessen
festzulegen sind, gehören die Vorbereitung des Übungsprogramms und der Ziele, die
Einzelheiten der Übungsszenarien und der Überwachungs- und Aufzeichnungsverfahren
sowie die Ermittlung des Schulungsbedarfs, der Kommunikationskanäle und die
Einweisung neuer Mitarbeiter.
6. Warten und Aktualisieren vom BCP
Nach Feststellung der Notwendigkeit von Tests und der Wahrscheinlichkeit, dass eine
beträchtliche Anzahl von Plänen nach der Testphase scheitern könnte, ist es
entscheidend, dass die gewonnenen Erkenntnisse und die dokumentierten Defizite in die
Pläne einfliessen.

2.3 Business Continuity Management nach ISO

Beim BCM geht es nach ISO 22313 darum, eine Organisation auf Störfälle vorzubereiten, die
diese sonst daran hindern könnten, ihre Ziele zu erreichen. (ISO 22313, 2012, p. vii)

Jeder Vorfall, ob gross oder klein, natürlich, zufällig oder vorsätzlich, hat das Potenzial, den
Betrieb der Organisation und deren Fähigkeit, Produkte und Dienstleistungen zu liefern,
erheblich zu stören. Aus diesem Grund wird eine sofortige Implementierung von BCM
empfohlen, falls dies noch nicht geschehen ist. Es soll der Organisation ermöglichen den
Betrieb wiederaufzunehmen, bevor unannehmbare Auswirkungen eintreten. (ISO 22313,
2012, p. viii)

Nach ISO 22313 umfasst BCM folgende Punkte:


a) „Identifizierung der wichtigsten Produkte und Dienstleistungen des Unternehmens;“
b) „Identifizierung der priorisierten Aktivitäten und Ressourcen, die für ihre Durchführung
erforderlich sind;“
c) „Bewertung der Bedrohungen dieser Aktivitäten und ihrer Abhängigkeiten;“
d) „Vorkehrungen für die Wiederaufnahme dieser Aktivitäten nach einem Zwischenfall zu
treffen; und „
e) „sicherstellen, dass diese Vorkehrungen unter allen Umständen wirksam sind.“
(ISO 22313, 2012, p. viii)

16 | Richard Künzi Business Continuity Management


Der internationale Standard für Business Continuity ISO 22313 bietet Leitlinien auf der
Grundlage von weltweiter Praxiserfahrung für Planung, Implementierung, Betrieb,
Überwachung, Überprüfung, Wartung und für eine kontinuierliche Verbesserung eines
dokumentierten Managementsystems. Dies soll Unternehmen helfen, sich auf Störungen
vorzubereiten, darauf zu reagieren und sich von diesen zu erholen. (ISO 22313, 2012, p. 1)

ISO 22313 ist allgemein gültig und gilt für alle Organisationen, die einen der folgenden Punkte
umsetzen möchten.
a) „Einrichtung, Implementierung, Wartung und Verbesserung eines BCMS;“
b) „die Einhaltung der Business-Continuity-Politik des Unternehmens sicherzustellen;
oder“
c) „eine Selbstbestimmung und Selbsterklärung zur Einhaltung dieser internationalen
Norm abzugeben.“
(ISO 22313, 2012, p. 1)

Der Standard ISO 22313 umfasst sieben Bereiche:

1. Organisation
Die Organisation sollte alle interessierten Parteien identifizieren, die für ihr Business Continuity
Managementsystem (BCMS) relevant sind und auf der Grundlage ihrer Bedürfnisse und
Erwartungen ihre Anforderungen bestimmen. Es ist entscheidend, nicht nur obligatorische und
festgelegte, sondern auch implizite Anforderungen zu identifizieren. (ISO 22313, 2012, p. 8)
2. Führung
Das Management sollte auf allen Ebenen sollte die Unterstützung für das BCMS deutlich
machen. Alle Managementebenen sollten Führungsstärke zeigen, indem sie die BC-Politik und
-ziele veranlassen, fördern und unterstützen. (ISO 22313, 2012, p. 12)
3. Planung
Das Top-Management sollte sicherstellen, dass angemessene Ziele für vereinbarte
Funktionen und Ebenen innerhalb der Organisation festgelegt werden. Sie können für
entscheidende Produkte und Dienstleistungen Mindestziele für die Geschäftskontinuität
bestimmen, die während einer Unterbrechung zur Erreichung der Geschäftsziele des
Unternehmens erforderlich sind. (ISO 22313, 2012, pp. 14–15)

17 | Richard Künzi Business Continuity Management


4. Unterstützung
Die Organisation sollte die für das BCMS benötigten Ressourcen ermitteln und bereitstellen.
Das Management hat die Verfügbarkeit der erforderlichen Ressourcen sichzuerstellen, um das
BCMS zu implementieren, zu kontrollieren und um die Ziele vom Top-Management zu
erreichen. (ISO 22313, 2012, p. 15)
5. Betrieb
Die Organisation sollte die operativen Aktivitäten bestimmen, planen, implementieren und
kontrollieren, die zur Erfüllung der BC-Politik und –Ziele erforderlich sind. Zusätzlich ist es
sinnvoll, ein BC-Programm einzurichten, um sicherzustellen, dass die BC-Vereinbarungen der
Organisation angemessen verwaltet und deren Wirksamkeit aufrechterhalten wird. (ISO
22313, 2012, p. 23)
6. Leistungsbewertung
Die Verfahren für die Durchführung und die Wirksamkeit des BCMS sollten die Festlegung von
Leistungskennzahlen, die Bewertung priorisierter Tätigkeiten, die Bestätigung der Einhaltung
von Anforderungen und die Verwendung dokumentierter Informationen zur Erleichterung
späterer Korrekturmassnahmen umfassen. (ISO 22313, 2012, p. 50)
7. Verbesserung
Die Organisation sollte Fehler erkennen und Massnahmen ergreifen, um sie zu kontrollieren,
einzudämmen und zu korrigieren, sich mit ihren Folgen auseinanderzusetzen und den
Handlungsbedarf zur Beseitigung ihrer Ursachen zu bewerten. Zudem ist es sinnvoll,
Verfahren einzuführen, um sicherzustellen, dass die Nichterfüllung einer Anforderung
rechtzeitig erkannt und kommuniziert wird. Diese Verfahren sollen ein weiteres Auftreten einer
Situation verhindern und helfen, die Ursachen zu identifizieren und zu beheben. (ISO 22313,
2012, p. 54)

18 | Richard Künzi Business Continuity Management


2.4 Regulierung in der Schweiz

In der Schweiz hat der SVV am 1. Oktober 2015 eine Selbstregulierung erlassen. Diese wird
von der Eidgenössische Finanzmarktaufsicht (FINMA) unterstützt und beaufsichtigt. Dabei
überprüft die FINMA, ob die beaufsichtigten Versicherungsunternehmen die vom SVV
definierten BCM-Mindeststandards einhalten.

Die Selbstregulierung durch den SVV orientiert sich am ISO 22313 Standard. BCM wird beim
SVV als unternehmensweiter Ansatz verstanden und soll die Überlebensfähigkeit und die
Aufrechterhaltung sowie Weiterführung der Geschäftstätigkeit bei ausserordentlichen
Ereignissen und Situationen sichern. BCM zielt demnach auf die Minimierung der finanziellen,
rechtlichen und reputationsbezogenen Auswirkungen ab. (Schweizerischer
Versicherungsverband SVV, 2015, pp. 1–2)

2.4.1 Mindeststandards

Die Mindeststandards umfassen fünf Kategorien:

1. Business Impact Analyse


In der BIA werden zeitkritische und bedeutsame Geschäftsprozesse und deren Ressourcen
identifiziert und ausgewiesen. Die Analyse berücksichtigt die Konsequenzen auf den Betrieb,
die Finanzen, die Reputation und die Compliance bei einem kompletten oder teilweisen
Ausfall. (Schweizerischer Versicherungsverband SVV, 2015, p. 6)

2. Business Continuity Strategie


Die Business Continuity Strategie
a) „definiert die maximal tolerierbaren Ausfallzeiten;“
b) „bezeichnet aufgrund der BIA diejenigen Geschäftsbereiche, die dem BCM
zugewiesen sind;“
c) „legt die grundsätzlichen Lösungsansätze im Ereignisfall fest;“
d) „legt den Umfang der Business Continuity Massnahmen für die Bereche Personal,
Facilities, Technik/Telekommunikation/Informatik und externe Dienstleister fest.“
(Schweizerischer Versicherungsverband SVV, 2015, p. 6)

19 | Richard Künzi Business Continuity Management


3. Business Continuity Massnahmen
Die Grundlage für die BC-Massnahmen bilden die BIA und die Vorgaben aus der BC-Strategie.
Die Massnahmen definieren das Vorgehen und die Mittel, die zur Überbrückung und
Wiederherstellung der Geschäftsprozesse benötigt werden. (Schweizerischer
Versicherungsverband SVV, 2015, p. 6)

4. Übungen und Tests


Ob die Fähigkeit zur Ereignisbewältigung besteht, kann mit Übungen und Tests überprüft
werden. Die Testergebnisse werden protokolliert und die Erkenntnisse werden bei den
Business Continuity Massnahmen berücksichtigt. (Schweizerischer Versicherungsverband
SVV, 2015, p. 6)

5. Operationalisierung und Führung


Das BCM muss im Unternehmen verankert und in der Governance-Struktur berücksichtigt
werden. Im Unternehmen müssen für die BC-Funktionen eine Organisation sowie Gremien für
die Bewältigung von Ereignissen definiert sein. (Schweizerischer Versicherungsverband SVV,
2015, p. 7)

2.4.2 Empfehlungen

Zusätzlich zu den Mindeststandards aus dem Unterkapitel 2.4.1 hat der SVV auch
Empfehlungen die als Hinweise und Hilfe bei der weiteren Ausgestaltung von BCM dienen.
(Schweizerischer Versicherungsverband SVV, 2015, p. 8)

Vorgaben an das Business Continuity Management


Im Bereich Technik/Telekommunikation/Informatik können die erforderliche Zeitspanne bis zur
Wiederherstellung der kritischen Geschäftsprozesse (Recovery Time Objective RTO) und der
maximal akzeptierte Datenverlust (Recovery Point Objective RPO) definiert werden.
(Schweizerischer Versicherungsverband SVV, 2015, p. 8)

Externe Dienstleistungen
Für den Ausfall von kritischen externen Dienstleistern und Lieferanten wird empfohlen,
Umgehungslösungen zu planen. (Schweizerischer Versicherungsverband SVV, 2015, p. 8)

Krisenmanagement
Das Unternehmen sollte ein Krisenmanagement und die entsprechende Krisenkommunikation
definieren. (Schweizerischer Versicherungsverband SVV, 2015, p. 8)

20 | Richard Künzi Business Continuity Management


Krisenkommunikation
Damit einem Unternehmen die Aufrechterhaltung von Glaubwürdigkeit und Vertrauen gelingt,
wird die Vorbereitung von Kommunikationskonzepten empfohlen. (Schweizerischer
Versicherungsverband SVV, 2015, p. 8)

Review des Business Continuity Managements


Es wird empfohlen, eine regelmässige Überprüfung der erstellten BCM-Dokumentation
durchzuführen, um zu kontrollieren, ob diese noch den BC-Vorgaben entspricht.
(Schweizerischer Versicherungsverband SVV, 2015, p. 9)

Übungen und Tests


Auf Grundlage der BIA sollte festgelegt werden, welche Geschäftsprozesse mit Übungen und
Tests überprüft werden. (Schweizerischer Versicherungsverband SVV, 2015, p. 9)

Berichterstattung
Es wird empfohlen, den verantwortlichen Funktionen in regelmässigen Abständen
stufengerechte Berichte mit dem Stand der Vorbereitung und den Ergebnissen aus Übungen
und Tests zuzustellen. (Schweizerischer Versicherungsverband SVV, 2015, p. 9)

21 | Richard Künzi Business Continuity Management


3 Anforderungsanalyse-Methoden

In diesem Kapitel werden Grundlagen zur Anforderungsanalyse dargestellt. Zuerst werden


wesentliche Definitionen zur Anforderungsanalyse dargestellt. Anschliessend folgen
Anforderungsanalyse-Methoden, die untersucht werden.

Um die Anforderungsanalyse systematisch und nach relevanten Standards durchzuführen,


wird die Vorgehensweise von drei relevanten und weltweit aktiven Organisationen, die sich im
Bereich der Anforderungsanalyse engagieren, untersucht. Die folgenden Organisationen
bieten zudem Zertifizierungen für ihre Verfahren an.
 Die ISO hat zusammen mit der International Electrotechnical Commission (IEC) und
dem Institute of Electrical and Electronics Engineers (IEEE) den Standard ‘29148-2011
- ISO/IEC/IEEE International Standard - Systems and software engineering -- Life cycle
processes --Requirements engineering’ veröffentlicht.
 Das International Institute of Business Analysis (IIBA) hat ein Handbuch für die
Unternehmensanalyse, die auch die Anforderungsanalyse beinhaltet, herausgegeben.
 Das International Requirements Engineering Board (IREB) ist eine unabhängige Non-
Profit-Organisation mit dem Ziel, Requirements Engineering und Business Analyse in
der Praxis zu verbessern.

Das Ergebnis aus der Anforderungsanalyse ist ein Lastenheft, das allgemein die
Anforderungsspezifikation beschreibt. Das Lastenheft beinhaltet noch keine Systemlösung,
sondern fokussiert sich einzig auf die Formulierung der Anforderungen. Die angestrebte
Lösung der Anforderungen wird im Pflichtenheft beschrieben. (Eigner, Roubanov, & Zafirov,
2014, p. 60)

22 | Richard Künzi Business Continuity Management


3.1 Definitionen

Die folgenden Definitionen stammen von den Organisationen aus Kapitel 3. Die kontinuierliche
Verbesserung der Anforderungsanalyse hat dazu geführt, dass verschiedene Organisationen
unterschiedliche Vorgehensweisen entwickelt haben. Durch die unterschiedliche Interpretation
der Anforderungsanalyse werden weitere dazugehörige Aspekte erkennbar. Somit ist es
gerechtfertigt, auch Definitionen von anderen Autoren festzuhalten.

Anforderungsanalyse
Definitionen für die Anforderungsanalyse, welche im Englischen als Requirements
Engineering bezeichnet wird:

Definition Autor
“interdisciplinary function that mediates between the domains of the (ISO/IEC/IEEE 29148, 2011,
acquirer and supplier to establish and maintain the requirements to be p. 6)
met by the system, software or service of interest”

„Das Requirements Engineering ist ein systematischer und (Klaus Pohl, 2011, p. 4)
disziplinierter Ansatz zur Spezifikation und zum Management von
Anforderungen mit den folgenden Zielen:
1. Die relevanten Anforderungen zu kennen, Konsens unter den
Stakeholdern über die Anforderungen herzustellen, die
Anforderungen konform zu vorgegebenen Standards zu
dokumentieren und die Anforderungen systematisch zu
managen.
2. Die Wünsche und Bedürfnisse der Stakeholder zu verstehen, zu
dokumentieren sowie die Anforderungen zu spezifizieren und zu
managen, um das Risiko zu minimieren, dass das System nicht
den Wünschen und Bedürfnissen der Stakeholder entspricht.“

(Eigner et al., 2014, p. 55)


„Requirements Engineering (dt. Anforderungsanalyse) bezeichnet
einen kooperativen, iterativen, inkrementellen Prozess zum Ermitteln,
Analysieren, Verstehen und Festlegen von Anforderungen.”

(Dick, Hull, & Jackson, 2017,


„Requirements engineering: the subset of systems engineering
p. 9)
concerned with discovering, developing, tracing, analyzing, qualifying,
communicating and managing requirements that define the system at
successive levels of abstraction.”

Tabelle 2: Definitionen Anforderungsanalyse

23 | Richard Künzi Business Continuity Management


Anforderung
Aufgrund der parallelen Entwicklung unterschiedlicher Standards, sind unterschiedliche
Definitionen der Anforderung entstanden. Folgende Definitionen sind von Standardisierung
Organisationen entwickelt worden:

Definition Autor
„statement which translates or expresses a need and its associated (ISO/IEC/IEEE 29148, 2011,
constraints and conditions“ p. 5)

1. “a condition or capability needed by a user to solve a problem or (ISO/IEC/IEEE 24765, 2017,


achieve an objective.” p. 308)
2. “a condition or capability that must be met or possessed by a
system, system component, product, or service to satisfy an
agreement, standard, specification, or other formally imposed
documents”
3. “a documented representation of a condition or capability as in
(1) or (2)”
4. “a condition or capability that must be met or possessed by a
system, product, service, result, or component to satisfy a
contract, standard, specification, or other formally imposed
document. Requirements include the quantified and
documented needs, wants, and expectations of the sponsor,
customer, and other stakeholders. “

“Beschaffenheit, Fähigkeit oder Leistung, die ein Produkt, Prozess Deutsche Institut für
oder die am Prozess beteiligte Person erfüllen oder besitzen muss, Normung DIN 69901-5 (DIN,
um einen Vertrag, eine Norm, eine Spezifikation oder andere, formell 2009, p. 6)
vorgegebene Dokumente zu erfüllen“

Tabelle 3: Definitionen Anforderung

24 | Richard Künzi Business Continuity Management


Stakeholder

Definition Autor
„individual or organization having a right, share, claim, or interest in a (ISO/IEC/IEEE 29148, 2011,
system or in its possession of characteristics that meet their needs and p. 6)
expectations“

„Gesamtheit aller Projektteilnehmer, -betroffenen und -interessierten, (DIN, 2009, p. 12)


deren Interessen durch den Verlauf oder das Ergebnis des Projekts
direkt oder indirekt berührt sind“

Tabelle 4: Definitionen Stakeholder

Lastenheft

Definition Autor
„Das Lastenheft enthält die Gesamtheit aller Forderungen an die (DIN, 2009, p. 9)
Lieferung und Leistungen eines Auftragnehmers.“

Tabelle 5: Definition Lastenheft

Pflichtenheft

Definition Autor
„vom Auftragnehmer erarbeitete Realisierungsvorgaben auf der Basis (DIN, 2009, p. 10)
des vom Auftraggeber vorgegebenen Lastenheftes“

Tabelle 6: Definition Pflichtenheft

25 | Richard Künzi Business Continuity Management


3.2 Anforderungsanalyse nach ISO/IEC/IEEE

ISO ist eine unabhängige, nichtstaatliche internationale Organisation mit einer Mitgliedschaft
in 160 nationalen Normungsgremien. Zusammen mit der IEC und der International
Telecommunication Union (ITU) bilden diese drei Organisationen die World Standards
Cooperation (WSC). (International Organization for Standardization, 2018)

Nach dem aktuellen Standard 29148-2011 von ISO/IEC/IEEE kann die Anforderungsanalyse
in folgende Bestandteile unterteilt werden:

3.2.1 Anforderungserhebung
Ziel in der Anforderungserhebung ist es, die Anforderungen an ein System zu definieren, das
den Stakeholdern die benötigten Dienstleistungen bereitstellen kann.
Die Anforderungsanalyse umfasst alle Stakeholder und deren Bedürfnisse, die während des
gesamten Lebenszyklus des Systems involviert sind. Die Ergebnisse werden dokumentiert
und beinhalten auch die beabsichtigte Interaktion. (ISO/IEC/IEEE 29148, 2011, p. 19)

3.2.2 Anforderungsanalyse
In der Anforderungsanalyse wird das Dokument mit der bedarfsorientierten Sicht aus der
Anforderungserhebung in eine technische Perspektive transformiert. Dieser Prozess stellt das
zukünftige System dar, dass den Anforderungen der Stakeholder entspricht. Daraus ergeben
sich messbare Systemanforderungen, die festlegen, welche Eigenschaften in welcher
Grössenordnung umgesetzt werden müssen, um die Anforderungen zu erfüllen.
(ISO/IEC/IEEE 29148, 2011, p. 27)

3.2.3 Verifikation und Validierung


Das Ziel des Verifizierungs- und Validierungsprozesses ist es, einen objektiven Nachweis
dafür zu erbringen, dass die vom System erbrachten Dienstleistungen den Anforderungen der
Stakeholder entsprechen. (ISO/IEC/IEEE 29148, 2011, pp. 34–36)

3.2.4 Anforderungsmanagement
Das Anforderungsmanagement umfasst diejenigen Aufgaben, die sich entwickelnden
Anforderungen und die damit verbundenen Kontext- und Historieninformationen aus den
Requirements Engineering-Aktivitäten zu erfassen und pflegen. In fast allen Fällen entwickelt
sich das Anforderungsverständnis im Laufe des Lebenszyklus weiter. Dies ist manchmal auf
Fehler in der Analyse zurückzuführen, ist aber häufig eine unvermeidliche Folge der
Veränderung der Bedingungen, wie etwa Auswirkungen auf die Umwelt, wie zum Beispiel
Veränderungen im Betriebsumfeld oder auf dem Markt, in den das System verkauft wird.
(ISO/IEC/IEEE 29148, 2011, p. 37)

26 | Richard Künzi Business Continuity Management


3.3 Anforderungsanalyse nach IIBA

Die IIBA ist ein gemeinnütziger Berufsverband für den Bereich der Unternehmensanalyse. IIBA
unterstützt die Anerkennung des Berufs und arbeitet daran, den globalen Standard für
Praktiken in den Bereichen der Geschäftsanalyse, Systemanalyse, Anforderungsanalyse,
Projektmanagement, Beratung und Prozessoptimierung zu fördern. (International Institute of
Business Analysis, 2018)

Die IBAA unterteilt die Anforderungsanalyse in folgende Kategorien:

3.3.1 Anforderungsmanagement

Das Anforderungsmanagement legt fest, welche Anforderungen an ein Projekt gestellt werden
und wie diese in Übereinstimmung mit den bestehenden Standards in der Organisation
durchgeführt werden. Zu den Aktivitäten gehören die Identifizierung von Schlüsselrollen, die
Auswahl von Anforderungsaktivitäten, die Verwaltung des Anforderungsumfangs und die
laufende Kommunikation des Status der Anforderungserfassung. (International Institute of
Business Analysis, 2006, p. 12)

3.3.2 Anforderungserhebung

Die Erhebung von Anforderungen ist eine zentrale Aufgabe in der Geschäftsanalyse. Da die
Anforderungen als Grundlage dienen, ist es entscheidend, dass die Anforderungen
vollständig, klar, korrekt und konsistent sind. Der Einsatz bewährter Mittel für deren Erhebung
trägt dazu bei, diese Qualitätsziele zu erreichen. (International Institute of Business Analysis,
2006, p. 13)

3.3.3 Analyse und Dokumentation

Ziel der Analyse und Dokumentation ist es, die Eigenschaften einer akzeptablen Lösung für
ein Geschäftsproblem zu definieren und zu beschreiben, damit der Lieferant ein klares
Verständnis dafür hat, wie es zu gestalten und umzusetzen ist. (International Institute of
Business Analysis, 2006, p. 13)

3.3.4 Anforderungskommunikation

Die Anforderungskommunikation ist eine kontinuierliche, iterative Aktivität, die parallel zur
Anforderungserhebung sowie Anforderungsanalyse und -dokumentation durchgeführt wird.
Sie beinhaltet die Präsentation, Kommunikation, Verifizierung und Genehmigung der
Anforderungen durch die Stakeholder und Umsetzer des Projekts. (International Institute of
Business Analysis, 2006, p. 13)

27 | Richard Künzi Business Continuity Management


3.4 Anforderungsanalyse nach IREB

Das IREB wurde 2006 gegründet. Dessen Mitglieder haben sich zusammengeschlossen, mit
der Vision, das Requirements Engineering auf ein professionelles Fundament zu stellen und
somit dieser Disziplin den Stellenwert und die Ausprägung zu geben, die ihrem Mehrwert für
die Industrie entspricht. (International Requirements Engineering Board (IREB), 2018)

Der IREB-Standard kann in folgende vier Kategorien unterteilt werden:

3.4.1 Anforderungen ermitteln

Das Ermitteln der Anforderungen ist eine der Haupttätigkeiten, wobei die Zusammenarbeit mit
den Stakeholdern ausschlaggebend ist. Die beidseitige Abstimmung von Rechten und
Pflichten muss im Vorfeld erfolgen, um die Stakeholder erfolgreich in den Ermittlungsprozess
einbinden zu können. (Klaus Pohl, 2011, p. 21,33-34)

3.4.2 Anforderungen dokumentieren

Informationen aus unterschiedlichen Quellen müssen dokumentiert werden, die in den


einzelnen Aktivitäten erarbeitet werden. Hierzu gehören Protokolle, Berichte und
Änderungsanträge. Die Hauptaufgabe ist es, die Anforderungen an das zu entwickelnde
System geeignet zu dokumentieren. (Klaus Pohl, 2011, p. 35)

3.4.3 Anforderungen prüfen und abstimmen

Das Prüfen und Abstimmen von Anforderungen soll sicherstellen, dass die ermittelten und
dokumentierten Anforderungen den festgelegten Qualitätskriterien genügen. Konflikte
zwischen Stakeholdern müssen identifiziert, analysiert und geeignet aufgelöst werden. (Klaus
Pohl, 2011, pp. 95, 117)

3.4.4 Anforderungen verwalten

Die Verwaltung von Anforderungen umfasst die Attributierung, die Priorisierung, die
Verfolgbarkeit, die Versionierung, das Änderungsmanagement und die Messung. Auf diese
Weise sind die Merkmale, Querverweise, Änderungen und die Art und Weise wie die Qualität
gemessen wird, dokumentiert. (Klaus Pohl, 2011, pp. 147–148)

28 | Richard Künzi Business Continuity Management


3.5 Auswahl

Bei den Methoden, die in Unterkapitel 3.2 bis 3.4 beschrieben wurden, ist die Erhebung der
Anforderungen ein zentrales Element. Tabelle 7 zeigt eine Zusammenfassung dieser
Techniken, die von allen drei vorgestellten Anforderungsanalyse-Methoden empfohlen
werden. Die Zusammenfassung orientiert sich am ISO 29148-2011 und wurde mit Aspekten
von IIBA und IREB ergänzt.

Technik Autoren
Analyse der Dokumentation (International Institute of
Die Dokumentanalyse ist ein Mittel, um Anforderungen an ein Business Analysis, 2006,
bestehendes System zu ermitteln, indem die vorhandenen p. 158; ISO/IEC/IEEE
Dokumentationen studiert wird und relevante Informationen 29148, 2011, p. 22;
identifiziert werden. Klaus Pohl, 2011, p. 30)
Diese Technik eignet sich besonders, wenn ein bestehendes
System aktualisiert werden muss und die Geschäftsregeln,
Entitäten und Attribute im neuen System aufgenommen werden
müssen.

Interview/Fragebogen (International Institute of


Im Interview oder im Fragebogen können durch offene und Business Analysis, 2006,
geschlossene Fragen Anforderungen ermittelt werden. Mithilfe p. 165; ISO/IEC/IEEE
von geschickten Fragen können unbewusste Anforderungen 29148, 2011, p. 22;
aufgedeckt werden. Im Interview kann gezieltes Nachfragen die Klaus Pohl, 2011, p. 28)
Antwort vervollständigen.

Beobachtung von Umgebungs- oder Arbeitsmustern (International Institute of


Die Beobachtung ist ein Mittel, um Details zu den aktuellen Business Analysis, 2006,
Umgebungs- oder Arbeitsmustern zu dokumentieren. Daraus p. 169; ISO/IEC/IEEE
ergeben sich die Arbeitsabläufe, potenzielle Fehler, Risiken und 29148, 2011, p. 22;
offene Fragen. Diese können danach verwendet werden, um Klaus Pohl, 2011, p. 31)
Anforderungen zu formulieren.

Workshops mit Brainstorming (International Institute of


Workshops mit Brainstorming eignen sich, um kreative Ideen zu Business Analysis, 2006,
einem Thema zu finden. Auf diese Weise werden oft Wünsche p. 156; ISO/IEC/IEEE
an das neue System aufgedeckt. 29148, 2011, p. 22;
Klaus Pohl, 2011, p. 29)

29 | Richard Künzi Business Continuity Management


Reverse Engineering (International Institute of
Mit dieser Technik wird das bestehende System analysiert. Es Business Analysis, 2006,
wird versucht herauszufinden, welche Funktionen das aktuelle p. 176; ISO/IEC/IEEE
System bietet. 29148, 2011, p. 22;
Klaus Pohl, 2011, p. 30)

Tabelle 7: Techniken zur Anforderungserhebung

Die Zusammenfassung aus Tabelle 7 veranschaulicht, welche Techniken bei der


Identifizierung der Anforderungen benutzt werden.

30 | Richard Künzi Business Continuity Management


4 Marktanalyse-Methoden

In diesem Kapitel wird beschrieben, welche Methoden für Marktanalysen in der Literatur
existieren. Ferner wird eine Methode ausgewählt, die für diese Studie angewandt wird. Um
eine möglichst neutrale Marktanalyse durchzuführen, wurden drei Marktanalyse-Methoden
untersucht und verglichen. Damit eine möglichst geeignete Lösung gefunden werden kann,
wird ein systematisches Vorgehen genutzt. Bei den folgenden Methoden werden die
Vorgehensweise, die Vorteile und die Nachteile beschrieben. Die drei wesentlichen Methoden
werden in alphabetischer Reihenfolge dokumentiert.

4.1 Bottom-up

Bei der Bottom-up-Methode werden bekannte oder problemlos zu findende


Anbieterunternehmen, durch folgende Verfahren ermittelt:
 Einbeziehen bekannter Unternehmen
 Internetrecherche mit Suchmaschinen
 Empfehlung durch Unternehmen oder Mitarbeiter
 Die Suche auf einer Messe, einer Tagung oder einer Veranstaltung

Die Gefahr bei diesem Verfahren ist, dass kein passender Anbieter gefunden wird. Diese
Methode ist abhängig davon, wie viel Marketing vom Anbieter betrieben wird. (Groß & Pfennig,
2017, p. 189)

Ein Beispiel kann aus dem Unterkapitel 4.3 abgeleitet werden. Der Unterschied liegt bei der
Anzahl an Anbietern, die zu Beginn in die Analyse einbezogen werden. Bei der Bottom-up-
Methode wird sich deren Anzahl auf eine einstellige oder eine niedrige zweistellige Nummer
beschränken.

31 | Richard Künzi Business Continuity Management


4.2 Direct-Hit

Bei diesem Verfahren wird versucht, mit dem ersten Anbieter eine geeignete Lösung zu finden.
In dieser Methodik wird nur ein Anbieter mit einem Lastenheft angeschrieben. Eine Alternative
kommt nur dann in Betracht, wenn der Anbieter eine zwingende Anforderung nicht erfüllen
kann. Dieses Verfahren wird oft genutzt, wenn die Auswahl eines Anbieters vom Management
politisch beeinflusst wird. Dadurch wird ein Projektabbruch unwahrscheinlich, selbst, wenn
Kosten, Termine oder Erfüllungsgrad nicht dem gewünschten Ergebnis entsprechen. Die
Wahrscheinlichkeit, dass bei dieser Anbieterauswahl nicht das beste Resultat erzielt wird, ist
deswegen verhältnismässig hoch. (Groß & Pfennig, 2017, pp. 190–191)

Ein Beispiel kann sein, dass sich das Management für die Zentralisierung der Lieferanten
einsetzt und somit deren Auswahl auf bestimmte Lieferanten eingrenzt.

32 | Richard Künzi Business Continuity Management


4.3 Top-down

Eine bessere Methodik ist das Top-down-Verfahren. Es besteht aus sieben Schritten und
reduziert die gesamte Anzahl von Anbieter auf einen Finalisten, mit dem ein Vertrag
geschlossen wird. Die Bedingung für dieses Verfahren ist es, die Anforderungen, nach denen
gefiltert werden soll zu bestimmen. (Groß & Pfennig, 2017, pp. 189–190)

Beispiel Top-down

Schritt Beschreibung Anzahl Anbieter


1 Verfügbare Anbieter und Lösungen 1600+
2 Lösungen im gewünschten Bereich 500+
3 Relevant nach geforderten Anforderungen 25
4 Versand einer Anfrage 10
5 Erhalt eines Angebotes 7
6 Auswahl der Finalisten 3
7 Vertragsabschluss 1
Tabelle 8: Beispiel Top-down-Verfahren

Die Schritte im Top-down-Verfahren:


1. Die gesamte Anzahl an Anbieter, die durch eine Recherche gefunden werden konnte.
2. Anzahl der Anbieter, die im gewünschten Bereich eine Lösung anbieten.
3. Nach einer genaueren Recherche verbleiben 25 Anbieter, die den generellen
Anforderungen entsprechen.
4. Zehn Anbieter werden auf Basis ihrer Referenzen, räumlichen Nähe oder ihrer
bisherigen Erfahrung mit einem Lastenheft angeschrieben.
5. Von den angeschriebenen zehn Anbietern, erhält das Unternehmen Angebote.
Mögliche Gründe sind: zu kleines/grosses Projekt, aktuell keine Ressourcen verfügbar
oder die gewünschte Anforderungen können nicht abgedeckt werden.
6. Nach Auswertung der Angebote werden die Anbieter eingeladen, um sich vorzustellen.
7. Der Vertrag wird mit dem gewünschten Anbieter abgeschlossen.
(Groß & Pfennig, 2017, pp. 189–190)

33 | Richard Künzi Business Continuity Management


Folgende Verfahren können angewendet werden, um möglichst alle Unternehmen auf dem
Markt zu finden (Groß & Pfennig, 2017, pp. 189–190):
 Öffentliche Ausschreibung publizieren
 Einbeziehen bekannter Unternehmen
 Internetrecherche mit Suchmaschinen
 Beratung durch Marktforschungsinstitute
 Publikationen von Marktforschungsinstituten
 Konkurrenzvergleiche von Unternehmen
 Empfehlung durch Unternehmen oder Mitarbeiter
 Die Suche auf einer Messe, einer Tagung oder einer Veranstaltung
 Einbeziehen von Vergleichsplattformen

4.4 Auswahl

Nach einem Vergleich der Vor- und Nachteile (Unterkapitel 4.1 bis 4.3) fällt die Wahl auf die
Top-down-Methode.

Begründung:
Im Vergleich zu Bottom-up zeichnet sich Top-down durch die umfassendere Ausgangsgrösse
aus. Dadurch ist die Wahrscheinlichkeit höher, eine geeignete Software zu finden. Mit dem
Top-down soll zudem sichergestellt werden, dass auch Anbieter mit vergleichsweise wenig
Marketing-Ressourcen in den Entscheidungsprozess einbezogen werden.

Gegenüber der Direct-Hit-Methode setzt sich Top-down durch, da bei dieser Methode durch
das Management kein Einfluss auf die Auswahl vorgenommen wird. Dadurch ist Top-down
neutraler und ermöglicht es, unterschiedliche Anbieter in die Auswahl miteinzubeziehen.
Zudem gewährleistet der Top-Down-Ansatz weitgehend, dass ein Anbieter ausgewählt wird,
der auch die Anforderungen bestmöglich erfüllt.

34 | Richard Künzi Business Continuity Management


5 Angebotsauswertungs-Methoden

In diesem Kapitel wird beschrieben, welche Methoden für die Angebotsauswertung in der
Literatur existieren. Ferner wird eine Methode ausgewählt, die für diese Studie angewandt
wird. Die Methode zur Auswertung der Angebote, die aus der Marktanalyse (Kapitel 4)
stammen,. ist qualitativ ausgerichtet, wobei die monetären Aspekte nicht in die
Entscheidungsfindung einbezogen werden. Die qualitative Bewertungsmethode eignet sich,
um die bestmögliche Lösung zu finden. (Koch, 2015, p. 97) Im Folgenden werden die drei
wesentlichen Methoden in alphabetischer Reihenfolge dokumentiert.

5.1 Nutzwertanalyse

Die Nutzwertanalyse ist ein vielseitig einsetzbares Werkzeug, das sich für
Auswahlentscheidungen eignet. Der Nutzwert ist ein subjektiver Wert, der dadurch bestimmt
wird wie die Anforderungen erfüllt werden. Das Ziel ist es, unterschiedliche
Lösungsalternativen in Abhängigkeit zu den Präferenzen des Entscheidungsträgers und dem
daraus abgeleiteten systematischen Zielsystem in eine Rangfolge zu bringen. Das Ergebnis
richtet sich nach dem Gesamtnutzwert. Die Variante mit dem höchsten Gesamtnutzwert
entspricht am besten den formulierten Anforderungen.
In die Nutzwertanalyse können qualitative und quantitative Kriterien einbezogen werden.
Quantitative Kriterien sollten nur einbezogen werden, wennes sich nicht um monetäre Kriterien
handelt, denn diese sind in einer gesonderten monetären Analyse zu bewerten. (Koch, 2015,
p. 97)

Vorteile
Die Nutzwertanalyse:
a) liefert eine verhältnismässig eine sachliche Bewertung verschiedener Varianten auf
Grundlage identischer Kriterien; und
b) stellt die Entscheidungen nachvollziehbar dar.

Nachteile
Die Nutzwertanalyse:
a) kann durch subjektive Bewertung beeinflusst werden; und
b) wird bei vielen Varianten unübersichtlich.

35 | Richard Künzi Business Continuity Management


5.2 Prioritätenanalyse

Bei der Prioritätenanalyse wird eine Rangfolge für mehrere unabhängige Anforderungen durch
die Gewichtung von deren Bedeutung gebildet. Mit einer Präferenzmatrix können die
Anforderungen in eine Rangordnung gebracht werden. Dabei wird jede einzelne Anforderung
in einer Präferenzmatrix mit jeder anderen Anforderung verglichen und je nach Bedeutung mit
0, 1 oder 2 Punkten bewertet, wobei 0 die niedrigste und 2 die höchste Bewertung darstellt.
Die Summe der Einzelbewertungen führt zu einer Aussage über das Gesamtgewicht der
Anforderung. (Koch, 2015, p. 99)

Vorteile
Die Prioritätenanalyse:
a) stellt komplexe Kriterien oder Anforderungen übersichtlich dar; und
b) gewährleistet die Nachvollziehbarkeit von Entscheidungen;
(Koch, 2015, p. 99)

Nachteile
Die Prioritätenanalyse:
a) kann durch subjektive Bewertung beeinflusst werden.
(Koch, 2015, p. 99)

36 | Richard Künzi Business Continuity Management


5.3 Quality-Function-Deployment

Quality-Function-Deployment (QFD) wurde in Japan entwickelt und entstand Ende der


sechziger Jahre als Methode oder Konzept zur Entwicklung von Produkten. Das „House of
Quality“ (HoQ) ist ein Bestandteil von QFD und ist ein Werkzeug, um Anforderungen mit
Qualitätsmerkamalen zu korrelieren. Oft wird bei der Anwendung vom QFD-Modell nur das
HoQ umgesetzt. (Maritan, 2014, p. 14)

Vorteile
Die QFD:
a) hilft, Kompromisse zwischen Kundenanforderungen und dem, was das Unternehmen
anbieten kann, zu finden;
b) verbessert die Markt-, Kunden- und Wettbewerbsanalyse deutlich; und
c) ermöglicht eine Reduzierung der Anlaufprobleme.
(Maritan, 2014, p. 20)

Nachteile
Die QFD:
a) kann durch subjektive Bewertung beeinflusst werden;
b) verursacht einen hohen Planungs- und Koordinationsaufwand;
c) benötigt zeit- und kostenintensive Diskussionen; und
d) der Erfolg hängt im Wesentlichen von der Qualität und Vollständigkeit der
Kundenanforderungen ab.
(Maritan, 2014, pp. 21–23)

37 | Richard Künzi Business Continuity Management


5.4 Auswahl

Nach einem Vergleich der Vor- und Nachteile (Unterkapitel 5.1 bis 5.3) fällt die Wahl auf die
Nutzwertanalyse.

Begründung:
Gegenüber der Prioritätenanalyse bietet die Nutzwertanalyse eine grössere Transparenz, da
bei der Prioritätenanalyse jede Anforderung mit allen anderen Anforderungen verglichen wird.
Dies führt bei zehn Anforderungen bereits zu 90 Vergleichen, die durchgeführt werden
müssen. Bei einer geringen Anzahl von Anforderungen im einstelligen Bereich wäre die
Prioritätenanalyse eine geeignete Methode gewesen.

Bei der QFD werden Anforderungen und die geforderte Qualität gegenübergestellt. Deshalb
ist sie besser geeignet, wenn Produkte verglichen werden sollen, bei denen bereits
sichergestellt ist, dass sie die Anforderungen erfüllen. Die QFD wird eingesetzt, wenn bei der
Nutzwertanalyse mehrere Anbieter eine ähnlich hohe Punktzahl erhalten. Auf diese Weise
kann die Qualität besser beurteilt werden.

38 | Richard Künzi Business Continuity Management


6 Operationalisierung

In diesem Kapitel werden die ausgewählten Methoden aus den Kapiteln 3, 4 und 5
angewendet, um eine Evaluation von BCM-Softwareprodukten durchzuführen. Hierfür wird
jeweils eine angemessene Methode ausgewählt und deren Anwendung wird begründet. Die
Analyse erfolgt entsprechend der ausgewählten Methode.

6.1 Identifizierte Anforderungen

Das Dokumentieren der Anforderungen ist ein Bestandteil der Anforderungsanalyse. Die
Vorgehensweisen aus Unterkapitel 3.2 bis 3.4 beschreiben diese Aktivität. Das Ergebnis aus
dem Erheben der Anforderungen von Stakeholdern und weiteren Quellen ist ein Lastenheft.
Dieses wird danach für die nachfolgende Marktanalyse und die Angebotsauswertung
verwendet.

Damit die Angebotsauswertung die Lösungsvorschläge in Unterkapitel 6.3 vergleichen kann,


müssen die Anforderungen priorisiert und gewichtet werden. Dies wird über eine
Kategorisierung der folgenden Wörter durchgeführt: (Eigner et al., 2014, p. 59)

 Muss: Diese Anforderung ist unverzichtbar.


 Soll: Diese Anforderung ist optional nach Abwägen von Kosten und Aufwand.
 Wunsch: Diese Anforderung ist kein wesentlicher Bestandteil.

Weiterhin ist der Erfüllungsgrad der Anforderung entscheidend. Dies kann durch harte und
weiche Anforderungen definiert werden. (Eigner et al., 2014, p. 58)

 Harte Anforderungen: Die Anforderung ist ganz oder gar nicht erfüllt.
 Weiche Anforderungen: Die Anforderung kann teilweise erfüllt sein.

6.1.1 Mindestanforderungen nach FINMA

In Unterkapitel 2.4 wird beschrieben, dass jedes von der FINMA beaufsichtigte
Versicherungsunternehmen die Mindestanforderungen nach SVV-Standard erfüllen muss.
Diese Anforderungen basieren auf einer vom SVV veröffentlichten Checkliste. Die in den
folgenden Tabelle 9 bis Tabelle 13 zusammengestellten Anforderungen beziehen sich
ausschliesslich auf Funktionen, die von einer Software abgebildet werden können. Diese sind
von den Mindestanforderungen nach SVV-Standard hergeleitet worden. Die Tabellen sind

39 | Richard Künzi Business Continuity Management


kategorisiert nach Anforderungen an die (1) BIA, (2) BC-Strategie, (3) BC-Massnahmen,
(4) Übungen und Tests und (5) Operationalisierung und Führung.

1) Anforderungen an die BIA

BCM- Mindestanforderung Daraus hergeleitet


Element nach SVV Standard Anforderung
1.1 Wurden die wichtigen Geschäftsprozesse Das System ermöglicht es dem
(oder Geschäftsbereiche) für die geplante Benutzer Prozesse zu erfassen
BIA ausgewählt? und für jeden Prozess eine BIA
durchzuführen.
1.2 Wurden die mutmasslich zeitkritischen Siehe BCM-Element 1.1
Geschäftsprozesse (oder
Geschäftsbereiche) für die geplante BIA
ausgewählt?
1.3 Sind alle Geschäftsprozesse der Siehe BCM-Element 1.1
Wertschöpfungskette (oder
kundenrelevante Geschäftsbereiche)
berücksichtigt?
1.4 Wurden für die evaluierten Das System kann für jeden
Geschäftsprozesse die Auswirkungen Prozess die Kritikalität in der
eines Ausfalls auf der Zeitachse ermittelt? Zeitachse pro Periode individuell
abbilden.
1.5 Wurden die Auswirkungen/Konsequenzen Das System kann für jeden
auf folgende Bereiche geprüft? Prozess die Auswirkungen der
 den Betrieb der Unternehmung Bereiche Operation, Finanzen,
(Operation) Reputation und Compliance
 die Finanzen (Ertrag und Kosten) abbilden.
 die Reputation (Image)
 die Compliance (gesetzliche
und/oder vertragliche Implikationen)
1.6 Wurden die wesentlichen zwingenden Das System kann die Vorgänger-
Abhängigkeiten (Vorgänger-Prozesse und Prozesse und die Nachfolge-
die Nachfolge-Prozesse) der evaluierten Prozesse von Prozessen
Geschäftsprozesse ermittelt? abbilden.
1.7 Wird mindestens alle 3 Jahre ein Das System ermöglicht zu jeder
Reassessment der BIA durchgeführt? Zeit das neubewerten der BIA.
1.8 Wird bei neuen Produkten oder Keine Systemspezifischen
wesentlichen Veränderungen der Prozesse Anforderungen
geprüft, ob eine Anpassung der BIA
notwendig ist?
1.9 Wird bei der Einführung neuer Techniken Keine Systemspezifischen
geprüft, ob eine Anpassung der BIA Anforderungen
notwendig ist?
Tabelle 9: Anforderungen an die BIA

40 | Richard Künzi Business Continuity Management


2) Anforderungen an die BC-Strategie

BCM- Mindestanforderung nach SVV Standard Daraus hergeleitet


Element Anforderung
2.1 Wird die maximal tolerierbare Ausfallzeit für Keine Systemspezifischen
das Gesamtunternehmen durch die Anforderungen
Strategie festgelegt?
2.2 Werden die maximal tolerierbaren Das System kann für jeden
Ausfallzeiten für speziell zeitkritische Prozess die maximal tolerierbare
Geschäftsprozesse festgelegt? Ausfallzeit festlegen.
2.3 Werden die Geschäftsprozesse bezeichnet, Das System kann kritische
die vom BCM speziell bearbeitet werden Prozesse mit einer Markierung
müssen? oder Priorisierung versehen.
2.4 Sind, wo notwendig, grundsätzliche Im System können
Lösungsansätze vorgegeben? grundsätzliche Lösungsansätze
hinterlegt oder mit einem
Hyperlink verknüpft werden.
2.5 Ist der grundsätzliche Umfang von Im System kann der
Massnahmen im Bereich der Ressourcen grundsätzliche Umfang von
Personal, Facilities, Massnahmen hinterlegt oder mit
Technik/Telekommunikation/Informatik und einem Hyperlink verknüpft
externe Dienstleister wo notwendig werden.
definiert?
2.6 Sind die Geschäftsprozesse ohne Im System können Prozesse die
vorbereitete Business Continuity keine BCM Massnahmen
Massnahmen bezeichnet? benötigen ausgeschlossen
werden oder mit einem
entsprechenden Vermerk
markiert werden.
Tabelle 10: Anforderungen an die BC-Strategie

41 | Richard Künzi Business Continuity Management


3) Anforderungen an die BC-Massnahmen

BCM- Mindestanforderung nach SVV Standard Daraus hergeleitet


Element Anforderung
3.1 Sind die notwendigen Business Continuity Siehe BCM-Element 2.4
Massnahmen für die Geschäftsprozesse
gemäss Business Continuity Strategie
definiert?
3.2 Sind Vorgehen und Mittel zur Im System können die Mittel die
Überbrückung und Wiederherstellung der zur Überbrückung und
zeitkritischen Geschäftsprozesse und die Wiederherstellung benötigt
dazu notwendigen Ressourcen (Personal, werden, abgebildet werden.
Facilities,
Technik/Telekommunikation/Informatik,
externe Dienstleister) definiert?
3.3 Sind die für speziell zeitkritische Keine Systemspezifischen
Geschäftsprozesse verantwortlichen Anforderungen.
Mitarbeitenden instruiert und vorbereitet,
welche Massnahmen im Ereignisfall
umgesetzt werden müssen?
3.4 Sind die für zeitkritische Geschäftsprozesse Keine Systemspezifischen
verantwortlichen Mitarbeitenden informiert, Anforderungen.
wer im Ereignisfall was zu tun hätte?
3.5 Sind die Mitarbeitenden über allgemeine Keine Systemspezifischen
Business Continuity Massnahmen Anforderungen.
informiert?
Tabelle 11: Anforderungen an die BC-Massnahmen

42 | Richard Künzi Business Continuity Management


4) Anforderungen an Übungen und Tests

BCM- Mindestanforderung nach SVV Standard Daraus hergeleitet


Element Anforderung
4.1 Ist definiert, welche Gremien der Keine Systemspezifischen
Ereignisbewältigung Übungen Anforderungen.
durchzuführen haben?
4.2 Ist definiert, wie oft diese Übungen Das System kann den Zyklus von
stattzufinden haben? Übungen der einzelnen Prozesse
abbilden. Zusätzlich kann der
Zeitpunkt von der letzten
durchgeführten Übung hinterlegt
werden.
4.3 Ist definiert, welche Geschäftsprozesse ihre Das System kann Prozesse
Business Continuity-Massnahmen zu Markieren oder Kennzeichnen,
testen haben? die ihre BCM Massnahmen
testen müssen.
4.4 Ist definiert, wie oft diese stattzufinden Siehe BCM-Element 4.2
haben?
4.5 Werden Ergebnisse aus Übungen Das System kann Ergebnisse
aufgezeichnet und allfällige und Erkenntnisse aus Übungen
Verbesserungsmassnahmen definiert? für jeden Prozess hinterlegen
oder mit einem Hyperlink
verknüpfen.
4.6 Werden Verbesserungsmassnahmen aus Das System kann zu jedem
Übungen in Pendenzen- oder Prozess Pendenzen- oder
Aktivitätenlisten aufgenommen? Aktivitätenlisten hinterlegen oder
mit einem Hyperlink verknüpfen.
4.7 Werden Ergebnisse aus Business Siehe BCM-Element 4.6
Continuity Tests aufgezeichnet und
allfällige Verbesserungsmassnahmen
aufgenommen?
4.8 Werden Verbesserungsmassnahmen aus Siehe BCM-Element 4.6
Business Continuity Tests in Pendenzen-
oder Aktivitätenlisten aufgenommen?
Tabelle 12: Anforderungen an Übungen und Tests

43 | Richard Künzi Business Continuity Management


5) Anforderungen an die Operationalisierung und Führung

BCM- Mindestanforderung nach SVV Daraus hergeleitet Anforderung


Element Standard
5.1 Ist das Business Continuity Management Keine Systemspezifischen
im Unternehmen zum Beispiel in der Anforderungen.
Unternehmensstrategie oder in der
Geschäftspolitik verankert?
5.2 Ist festgelegt, welche Geschäftseinheit Keine Systemspezifischen
im Unternehmen für Business Continuity Anforderungen.
verantwortlich ist?
5.3 Ist eine geeignete Organisation für Keine Systemspezifischen
Business Continuity Funktionen und sind Anforderungen.
Gremien zur Ereignisbewältigung
definiert?
5.4 Welche Person ist für das Business Keine Systemspezifischen
Continuity Management verantwortlich? Anforderungen.
5.5 Hat der BCM Verantwortliche eine Keine Systemspezifischen
Funktionsbeschreibung mit Aufgaben, Anforderungen.
Kompetenzen und Verantwortlichkeiten?
5.6 Sind die verantwortlichen Keine Systemspezifischen
Funktionsträger entsprechend ihrer Anforderungen.
Funktionsbeschreibung ausgebildet?
5.7 Ist definiert, wer oder welches Organ die Keine Systemspezifischen
Vorgaben für das Business Continuity Anforderungen.
Management und die Ergebnisse
verabschiedet?
5.8 Ist definiert, wem wie häufig und in Keine Systemspezifischen
welchem Umfang Business Continuity Anforderungen.
Management Arbeiten und Ergebnisse
berichtet werden müssen?
5.9 Ist definiert, wem wie häufig und in Keine Systemspezifischen
welchem Umfang Ereignisse oder Fast- Anforderungen.
Ereignisse berichtet werden müssen?
Tabelle 13: Anforderungen an die Operationalisierung und Führung

44 | Richard Künzi Business Continuity Management


6.1.2 Lastenheft Mindeststandards nach FINMA

In diesem Unterkapitel sind Anforderungen, die im Unterkapitel 6.1.1 definiert wurden,


zusammengefasst. Die Anforderungen sind alle als ‘Muss‘ priorisiert und der Erfüllungsgrad
ist als ‘Hart‘ definiert, da sie jedes beaufsichtigte Schweizer Versicherungsunternehmen diese
erfüllen muss. Um künftig auf die Anforderungen referenzieren zu können, werden diese mit
einem Identifikator (ID, erste Spalte) versehen.

ID Anforderung Priorisierung Erfüllungsgrad


A01 Das System ermöglicht es dem Benutzer Prozesse zu Muss Hart
erfassen und für jeden Prozess eine BIA durchzuführen.
A02 Das System kann für jeden Prozess die Kritikalität in der Muss Hart
Zeitachse pro Periode individuell abbilden.
A03 Das System kann für jeden Prozess die Auswirkungen der Muss Hart
Bereiche Operation, Finanzen, Reputation und
Compliance darstellen.
A04 Das System kann die Vorgänger-Prozesse und die Muss Hart
Nachfolge-Prozesse von Prozessen abbilden.
A05 Das System ermöglicht zu jeder Zeit das Neubewerten der Muss Hart
BIA.
A06 Das System kann für jeden Prozess die maximal Muss Hart
tolerierbare Ausfallzeit festlegen.
A07 Das System kann kritische Prozesse mit einer Markierung Muss Hart
oder Priorisierung versehen.
A08 Im System können grundsätzliche Lösungsansätze Muss Hart
hinterlegt oder mit einem Hyperlink verknüpft werden.
A09 Im System kann der grundsätzliche Umfang von Muss Hart
Massnahmen hinterlegt oder mit einem Hyperlink verknüpft
werden.
A10 Im System können Prozesse, die keine BCM-Massnahmen Muss Hart
benötigen, ausgeschlossen werden oder mit einem
entsprechenden Vermerk markiert werden.
A11 Im System können die Mittel, die zur Überbrückung und Muss Hart
Wiederherstellung benötigt werden, abgebildet werden.
A12 Das System kann den Zyklus von Übungen der einzelnen Muss Hart
Prozesse abbilden. Zusätzlich kann der Zeitpunkt der
letzten durchgeführten Übung hinterlegt werden.
A13 Das System kann Prozesse markieren oder kennzeichnen, Muss Hart
die ihre BCM-Massnahmen testen müssen.
A14 Das System kann Ergebnisse und Erkenntnisse aus Muss Hart
Übungen für jeden Prozess hinterlegen oder mit einem
Hyperlink verknüpfen.
A15 Das System kann zu jedem Prozess Pendenzen- oder Muss Hart
Aktivitätenlisten hinterlegen oder mit einem Hyperlink
verknüpfen.
Tabelle 14: Lastenheft Mindeststandards nach FINMA

45 | Richard Künzi Business Continuity Management


6.1.3 Unternehmensspezifische Anforderungen

In diesem Unterkapitel werden unternehmensspezifische Anforderungen der Mobiliar


dokumentiert. Die Erhebung der Anforderungen erfolgte mit den Techniken aus Tabelle 7, die
im Unterkapitel 3.5 beschrieben sind. Weiter wurden die Priorisierung und der Erfüllungsgrad
in einem Workshop zusammen mit der Mobiliar erarbeitet. Das Ergebnis befindet sich in
Anhang B.
Das Lastenheft wird in zwei Tabellen aufgeteilt. Tabelle 15 beinhaltet allgemeine
Anforderungen an das System und Tabelle 16 fokussiert die BIA. Für die Mobiliar ist die BIA
ein zentrales Element der BCM-Software-Lösung. Die Anforderungen sind entsprechend der
Priorisierung und dem Erfüllungsgrad aus Unterkapitel 6.1 zugeordnet.

Allgemeine Anforderungen an das System


ID Anforderung Priorisierung Erfüllungsgrad
A16 Das System kann bestehenden Listen von Prozessen und Soll Weich
Applikationen im CSV-, XLSX- oder XML-Format in das
System importieren.
A17 Das System soll ein Prozess mit einem BCP verknüpfen: Soll Weich
 mit einer Möglichkeit, den BCP in das System
hochzuladen.
 mit einem Hyperlink auf den BCP in einem
externen System.
A18 Das System soll dem Benutzer ermöglichen, bestehende Wunsch Weich
Benutzernamen und Passwörter zur Authentifizierung zu
verwenden.
A19 Bereits dokumentierte IT-Arbeitsabläufe können im Wunsch Weich
System gespeichert oder über Hyperlinks zugänglich
gemacht werden.
Tabelle 15: Lastenheft - Anforderungen von der Mobiliar an das System

46 | Richard Künzi Business Continuity Management


Anforderungen an die BIA
ID Anforderung Priorisierung Erfüllungsgrad
A20 Formulare zur Datenerfassung der Informationen, die in Muss Hart
der BIA verwendet werden, können erstellt werden und
Schlüsselpersonen zugänglich gemacht werden.
A21 Informationen, die in der BIA dargestellt werden, können Muss Hart
im Dateiformat CSV, XLSX oder XML exportiert werden.
A22 Die vorhandene Zeitachse aus der bestehenden BIA von Muss Hart
1 Std., 4 Std., 12 Std., 1 Tag, 2 Tage, 1 Woche, 2 Wochen,
1 Monat und >1 Monat muss abgebildet werden können.
A23 Die Beurteilungskriterien der BIA müssen durch den Muss Hart
Benutzer im System erfasst werden können.
A24 Ein Verweis auf die Vorgänger- und Nachfolgeprozesse Muss Weich
muss im System abgebildet werden können.
A25 Die Spitzenzeiten von einem Prozess in der BIA kann im Muss Weich
System durch den Benutzer erfasst werden.
A26 Die Standortinformation, wo sich der Prozess befindet, Muss Weich
kann im System durch den Benutzer erfasst werden.
A27 Die Information, wie viele Arbeitsplätze für den Minimal- Muss Weich
und Normalbetrieb benötigt werden, kann im System durch
den Benutzer erfasst werden. Diese Information muss
zudem für jedes Zeitfenster aus der definierten Zeitachse
einzeln erfasst werden können.
A28 Das System soll dem Benutzer ermöglichen, speziell Muss Weich
benötigte Ressourcen für jede BIA zu erfassen.
A29 Das System soll dem Benutzer ermöglichen, auf Muss Weich
Anwendungen zu verweisen, die im System hinterlegt
sind.
A30 Das System soll dem Benutzer ermöglichen, für jede Muss Weich
verwiesene Anwendung die RTO (max. Ausfallzeit), die
RPO (max. Datenverlust) und eine Beschreibung zu
hinterlegen.
A31 Das System soll dem Benutzer ermöglichen, die Muss Weich
Schlüsselpersonen für jeden Prozess zu hinterlegen.
A32 Das System soll dem Benutzer ermöglichen, die Muss Weich
Lieferanten, die wesentliche Leistungen für den
Geschäftsprozess erbringen, zu hinterlegen. Zusätzlich
soll die Zeitkritikalität für jeden Lieferanten im Prozess
hinterlegt werden können.
Tabelle 16: Lastenheft - Anforderungen von der Mobiliar an die BIA

47 | Richard Künzi Business Continuity Management


6.2 Marktanalyse

Aus den Gründen, die im Unterkapitel 4.4 beschrieben sind, ist es empfehlenswert, für die
Marktanalyse das Top-down-Verfahren zu verwenden. Diese Methode empfiehlt sich, da u. a.
keine Management-Politischen Einflüsse die Auswahl einschränken. Im Vergleich mit dem
Bottom-up-Verfahren ist die Wahrscheinlichkeit grösser, mit dem Top-down-Verfahren einen
passenden Anbieter zu finden.

6.2.1 Recherche

In diesem Unterkapitel wird beschrieben, wie die Recherche im Top-down-Verfahren


durchgeführt wurde. Begonnen wurde mit einer Internetrecherche und dem Lesen von
Publikationen durch Marktforschungsinstitute. Anschliessend folgten Empfehlungen aus dem
Besuch einer Veranstaltung und Vergleichsplattformen wurden zur Ergänzung der Anbieter
eingesetzt.

Internetrecherche mit Suchmaschinen


Mit einer Internetrecherche können auch weniger bekannte Anbieter gefunden werden, wobei
sich die Qualität der Webseiten stark unterscheidet. Dies kann dazu führen, dass geeignete
Anbieter erst am Ende der Suchergebnisse stehen. Um keine Anbieter auszuschliessen, ist es
empfehlenswert, unterschiedliche Suchmaschinen zu nutzen und die Suchergebnisse von
mehreren Seiten zu betrachten. (Groß & Pfennig, 2017, p. 192)

Folgende Suchmaschinen wurden in der Recherche genutzt:


 www.google.com
 www.bing.com
 www.yandex.com
 www.duckduckgo.com
 www.yippy.com

48 | Richard Künzi Business Continuity Management


Folgende Schlüsselwörter wurden einzeln und in kombinierter Form bei der Suche genutzt:
Schlüsselwörter
Business Continuity Management
BCM
BCMS
Business Impact Analyse
BIA
IT Service Continuity
Notfallplanung
Software
Tool
Solution
ISO 22301
Tabelle 17: Liste der genutzten Schlüsselwörter für die Internetsuche

Publikationen von Marktforschungsinstituten


Publikationen von Marktforschungsinstituten können helfen, Anbieter zu finden, um diese in
den Auswahlprozess miteinzubeziehen. Da die Bedingungen für die Auflistung der Anbieter
nicht überall transparent sind, ist dieses Verfahren nur zu empfehlen, um eine Liste der
Anbieter zu ergänzen.

In einer Publikation von Gartner Inc. werden 14 Unternehmen bewertet, die eine Software für
BCM anbieten. (Gartner, 2018)

Empfehlung durch Unternehmen oder Mitarbeiter


Empfehlungen ersetzen keine Recherche, diese können aber verwendet werden, um die Liste
aller Anbieter zu ergänzen. Hierbei sollte darauf geachtet werden, dass die Empfehlung neutral
betrachtet wird und kein Einfluss auf den Entscheidungsprozess genommen wird. (Groß &
Pfennig, 2017, p. 192)

Durch eine Empfehlung vom Auftraggeber bin ich auf den Blog von Matthias Hämmerle
aufmerksam geworden, wo eine Liste mit 72 BCM-Software-Anbietern publiziert wurde.
(Hämmerle, 2018)

49 | Richard Künzi Business Continuity Management


Die Suche auf einer Messe, einer Tagung oder einer Veranstaltung
Der Besuch einer Anbieterveranstaltung ist nicht zu empfehlen, da diese nicht neutral ist. Der
Informationsgehalt und die Qualität können daher stark variieren und sind somit nicht
vergleichbar. Eine Alternative ist der Besuch einer Messe oder einer Tagung, da dabei parallel
mehrere Anbieter verglichen werden können. Jedoch ist auch dieses Verfahren nur geeignet
um sich einen Überblick über den Markt zu verschaffen, denn bei einer Messe sind nicht alle
Anbieter präsent und auch in diesem Fall ist der Informationsgehalt unterschiedlich. (Groß &
Pfennig, 2017, pp. 191–192)

Einbeziehen von Vergleichsplattformen


Eine breite Masse von Anbietern kann über Informationsplattformen gefunden werden. Ein
Nachteil kann dabei allerdings die geringe Informationstiefe sein. Um im ersten Schritt
überhaupt erst einmal Anbieter zu finden, ist dies ein geeignetes Verfahren.
Alternativ können Marktrechercheplattformen verwendet werden, denn dies ist eines der
genausten Verfahren in der Voranalyse. Dabei werden vordefinierte auswertbare Kriterien
festgelegt. Auf Basis dieser Kriterien werden danach passende Produkte gesucht und
gegenübergestellt. Der Nachteil bei diesem Verfahren ist die Anzahl der auswertbaren
Kriterien, die festgelegt werden können. Zusätzlich ist es möglich, dass Nischenprodukte
aufgrund ihrer eingeschränkten Funktionalität nicht gefunden werden. (Groß & Pfennig, 2017,
p. 192)

Nicht angewendete Verfahren


Die folgenden Verfahren wurden in dieser Studie nicht eingesetzt. Die Begründung dafür folgt
nach den genannten Verfahren.

Öffentliche Ausschreibung publizieren


Durch die begrenzten Möglichkeiten in dieser Studie, war es dem Autor nicht möglich, eine
öffentliche Ausschreibung einzusetzen. Zudem war nicht sicher, wie viele Anbieter auf die
Ausschreibung aufmerksam werden und eine Bewerbung in Betracht ziehen würden.

Einbeziehen bekannter Unternehmen


Es waren zu Beginn der Recherche keine Anbieter bekannt.

50 | Richard Künzi Business Continuity Management


Beratung durch Marktforschungsinstitute
Durch die begrenzten Ressourcen in dieser Studie, konnte kein Marktforschungsinstitut
beauftragt werden, um eine Recherche durchzuführen. Diese hätte jedoch ergänzend zur
eigenen Recherche genutzt werden können.

Konkurrenzvergleiche von Unternehmen


Keines der Unternehmen hat einen Konkurrenzvergleich für sein Produkt veröffentlicht.

51 | Richard Künzi Business Continuity Management


6.2.2 Ergebnis

Insgesamt wurden 424 Produkte gefunden, wovon sechs Anbieter die Anforderungen der
Schritte eins bis fünf (siehe Unterkapitel 4.3) aus dem Top-down-Verfahren erfüllen. Das
bedeutet, dass die gewünschte Funktionalität für die BIA und die Risikoanalyse gegeben ist.
Im Anhang A ist die Liste der gefundenen Anbieter angeführt. In Tabelle 18 werden die
ausgewählten Anbieter und deren Produkte angeführt. Die Gesamtschau der durchgeführten
Schritte der Top-down-Analyse befindet im Anhang 2.

Die Anbieter aus Tabelle 18 haben die Schritte eins bis fünf erfolgreich durchlaufen und
werden somit in die Nutzwertanalyse einbezogen.

Produkt Unternehme Land Kurzbeschreibung


n
Abriska Ultima Risk Vereinigtes „Ultima Risk Management (URM) Limited
Management Königreich bietet qualitativ hochwertige,
Limited kostengünstige und massgeschneiderte
Beratung und Schulung in den Bereichen
Business Continuity und
Risikomanagement.“ (Ultima Risk
Management Ltd., n.d.)
ACG-BCM- Automation Deutschland „Wir sind Spezialisten für Business
Tool Consulting Continuity Management und
Group GmbH Krisenmanagement bei Betreibern
Kritischer Infrastrukturen. Unsere Berater
verfügen über langjährige
Praxiserfahrung aus Linien- und
Beratungstätigkeit – auch in den
Nachbardisziplinen
Informationssicherheits- und IT Service
Continuity Management.“ (Automation
Consulting Group GmbH, 2018)
alive-IT Controllit AG Deutschland „das flexibelste BCM- und ITSCM-
Business Produkt das heute am Markt erhältlich
Continuity ist. Die Grundidee unseres Systems ist
Framework die umfassende Unterstützung der BCM-
/ ITSCM- / Krisenmanagement-Aufgaben
und die Vermeidung von doppelter
Datenpflege durch automatisierte
Schnittstellen.“ (Controllit AG, n.d.)

52 | Richard Künzi Business Continuity Management


Beluga Finanzinform Schweiz „webbasiertes BCM-Portal, das dazu
atik GmbH dient, FINMA- und BaFin-konforme
Notfallpläne (Business Continuity Plans /
Disaster Recovery / ITSCM) zu erstellen
und jederzeit aktuell zu halten.“
(Finanzinformatik IT GmbH, n.d.)

DocSetMinder GRC Partner Deutschland Ihr Produkt basiert auf dem BSI-
Notfallmanage GmbH Standard 100-4 Notfallmanagement, ISO
ment 22301 und BCI-GPG und bildet die
Methodik zur Etablierung eines
adäquaten Notfallmanagementsystems
im Unternehmen ab. (WMC Wüpper
Managment Consulting GmbH, 2018)

TopEase BCM Business- Schweiz „TopEase® ist eine Business Mapping-


/ BIA Monitor DNA und Planungssoftware, die Daten über
Solutions die Organisation wie Prozesse,
GmbH Personen, Infrastruktur, Produkte,
Verträge und Compliance-
Verpflichtungen in einer einzigen,
hochgradig interaktiven Software
svereint.“ (Business-DNA Solutions
GmbH, 2014, p. 3)

Tabelle 18: Ergebnis Marktanalyse

53 | Richard Künzi Business Continuity Management


6.3 Angebotsauswertung

Die Nutzwertanalyse zeichnet sich durch eine sachliche Bewertung aus; die Gründe dafür
wurden im Unterkapitel 5.4 bereits dargelegt. Durch die Reduzierung der möglichen Varianten
mit dem Top-down-Verfahren (Unterkapitel 4.3), kann der Nachteil bezüglich der
eingeschränkten Übersicht vernachlässigt werden.

Gewichtung
Die Gewichtung der Anforderungen wurde zusammen mit der Mobiliar in einem Workshop am
25. Juni 2018 gemeinsam mit Damian In-Albon erarbeitet. Dabei wurde besprochen, welche
Anforderungen wie gewichtet werden sollen. Die zugewiesenen Werte entsprechen der
Priorisierung aus dem Unterkapitel 6.1. Die Ausnahme bilden die Anforderungen der FINMA
aus dem Unterkapitel 6.1.2, denn diese erhalten alle den Wert 10, da sie unabdingbar sind.
Folgende Gewichtung wurde festgelegt:

 Priorisierung Wunsch erhält eine Gewichtung zwischen 1 und 3.


1 bedeutet eine niedrige Gewichtung, während 3 eine hohe Gewichtung bezeichnet.
 Priorisierung Soll erhält eine Gewichtung zwischen 4 und 6.
4 bedeutet eine niedrige Gewichtung, während 6 eine hohe Gewichtung bezeichnet.
 Priorisierung Muss erhält eine Gewichtung zwischen 7 und 9.
7 bedeutet eine niedrige Gewichtung, während 9 eine hohe Gewichtung bezeichnet.

Die Ergebnisse des Workshops befinden sich in Anhang B.

54 | Richard Künzi Business Continuity Management


6.4 Empfehlung

Die Ergebnisse der Nutzwertanalyse sind in Tabelle 19 dargestellt. Daraus ergibt sich, dass
‘DocSetMinder Notfallmanagement‘ die höchste Punktezahl erreicht hat.

Produkt Gesamtpunktzahl aus der Nutzwertanalyse


Abriska 658
ACG-BCM-Tool 652
alive-IT Business Continuity Framework 689
Beluga 563
DocSetMinder Notfallmanagement 704
TopEase BCM / BIA Monitor 577
Tabelle 19: Ergebnis Nutzwertanalyse (in alphabetischer Reihenfolge)

Die Ausrichtung von ‘DocSetMinder Notfallmanagement‘ auf Basis von ISO 22301 hat bei den
Mindestanforderungen nach FINMA (Unterkapitel 6.1.2) die höchste Punktzahl erreicht. Weiter
konnten die unternehmensspezifischen Anforderungen (Unterkapitel 6.1.3) im Bereich der BIA
weitgehend erfüllt werden und zwar durch die hochgradige Individualisierbarkeit der Software.
Somit ist dieses Produkt für die Mobiliar zu empfehlen.

Restriktion: Die Empfehlung zugunsten von ‘DocSetMinder Notfallmanagement‘ basiert auf


den Daten bis zum, 31.07.2018. Aus Interviews/Datenerhebung ist jedoch bekannt, dass alive-
IT voraussichtlich zum 4. Quartal 2018 eine überarbeitete Version veröffentlicht. Aufgrund der
geringen Differenz der Gesamtpunktzahl zu alive-IT, ist es empfehlenswert, eine
Neubewertung durchzuführen.

55 | Richard Künzi Business Continuity Management


Im Folgenden sind die Details der Nutzwertanalyse für das empfohlene Produkt ‘DocSetMinder
Notfallmanagement‘:

DocSetMinder Notfallmanagement
Anforderung Erhaltene Begründung Gewichtung Erhaltene Punkte *
Punkte (Max. 10) Gewichtung
(Max. 3) (Max. 804)
A01 3 10 30
A02 3 10 30
A03 3 10 30
A04 3 10 30
A05 3 10 30
A06 3 10 30
A07 3 10 30
A08 3 10 30
A09 3 10 30
A10 3 10 30
A11 1 Als Text Beschreibung möglich 10 10
A12 3 10 30
A11 3 Als Text Beschreibung möglich 10 10
A14 3 10 30
A15 3 10 30
A16 3 Import & Schnittstelle 10 30
A17 3 Können Revisionssicher hinterlegt 2 6
werden
A18 3 9 27
A19 3 9 27
A20 3 4 12
A21 3 Import & Schnittstelle 5 15
A22 3 2 6
A23 3 9 27
A24 3 8 24
A25 1 Als Text Beschreibung möglich 9 9
A26 1 Als Text Beschreibung möglich 7 7
A27 1 Als Text Beschreibung möglich 7 7
A28 1 Als Text Beschreibung möglich 7 7
A29 3 8 24
A30 3 8 24
A31 3 Verweis auf Benutzer aus der Active 7 21
Directory Synchronisation
A32 3 7 21
Total: 704
Tabelle 20: Nutzwertanalyse DocSetMinder Notfallmanagement

Neben dem gewählten Produkt findet sich die gesamte Nutzwertanalyse zu allen Produkten
aus Tabelle 18 im Anhang C.

56 | Richard Künzi Business Continuity Management


7 Zusammenfassung und Ausblick

In diesem Kapitel werden die bedeutendsten Unterkapitel zusammengefasst, gefolgt von


einem Ausblick.

Zusammenfassung:
Im Kapitel Einleitung (Kapitel 1) wird die Ausgangslage geschildert und das Ziel dieser Studie
wird festgelegt. Weiter werden die Rahmenbedingungen bestimmt und es wird definiert, nach
welcher Methode vorgegangen werden soll.
Das Kapitel Grundlagen (Kapitel 2) befasst sich mit den Grundlagen von BCM. Dazu gehört
der ISO-Standard, der auch als Referenz für die Regulierungen innerhalb der Schweiz gilt.
Das Kapitel Anforderungsanalyse-Methoden (Kapitel 3) stellt drei relevante Organisationen
vor, die weltweit aktiv sind und sich im Bereich der Anforderungsanalyse engagieren. Eine
Zusammenfassung der Techniken (Tabelle 7) zum Erheben der Anforderungen ist das
Ergebnis dieses Kapitels. Diese Methoden wurden genutzt, um die Regulierungen der Schweiz
sowie die spezifischen Anforderungen der Mobiliar zu erfassen und dokumentieren.
Das Kapitel Marktanalyse-Methoden (Kapitel 4) beleuchtet drei Verfahren, die genutzt werden,
um einen geeigneten Anbieter zu finden. Dabei kann sich Top-down durchsetzen. Das
Ergebnis ist eine Auswahl von Anbietern, die bei der Nutzwertanalyse miteinander verglichen
werden.
Das Kapitel Angebotsauswertungs-Methoden (Kapitel 5) analysiert drei Bewertungsverfahren,
die genutzt werden, um die bestmögliche Lösung zu finden. Die Nutzwertanalyse setzt sich
hierbei durch. Das Ergebnis ist die Tabelle 19, bei der sich ‘DocSetMinder Notfallmanagement’
als Empfehlung profiliert.
Das Kapitel Operationalisierung (Kapitel 6) beschreibt die Durchführung der einzelnen
Methoden, die als passend empfunden werden. Zudem wird die Empfehlung im Unterkapitel
6.4 beschrieben.

Ausblick:
Aufgrund der geringen Punktedifferenz von ‘DocSetMinder Notfallmanagement’ zu alive-IT in
Tabelle 20 wäre es empfehlenswert, die überarbeitete Version von alive-IT im 4. Quartal 2018
abzuwarten und dann die Nutzwertanalyse erneut durchzuführen.
Falls eine Eigenentwicklung in Betracht gezogen wird, könnte ein Softwarehersteller auf
Grundlage vom Lastenheft aus den Unterkapiteln 6.1.2 bis 6.1.3 ein Pflichtenheft erstellen.

57 | Richard Künzi Business Continuity Management


Literaturverzeichnis

Andrist, A., & In-Albon, D. (2016). Handbuch für das Krisen- und Business, 2016(August).
Automation Consulting Group GmbH. (2018). ACG BCM - Home. Retrieved August 3, 2018,
from https://www.acg-bcm.de/
Business-DNA Solutions GmbH. (2014). Leading German securities services bank
automates business continuity management for D-SIFI compliance. Retrieved from
www.business-dna.ch
Controllit AG. (n.d.). alive-IT Business Continuity Framework. Retrieved July 23, 2018, from
https://www.controll-it.de/de/software-de
Dick, J., Hull, E., & Jackson, K. (2017). Requirements Engineering.
https://doi.org/10.1007/978-3-319-61073-3
DIN. (2009). DIN 69901-5 Projektmanagement - Projektmanagementsysteme - Teil 5:
Begriffe.
Eigner, M., Roubanov, D., & Zafirov, R. (2014). Modellbasierte virtuelle Produktentwicklung.
https://doi.org/10.1007/978-3-662-43816-9
Erb, S. (2015). Business Continuity Management in Outsourcing- Beziehungen (Vol. 7).
Finanzinformatik IT GmbH. (n.d.). BELUGA - web-basiertes Business Continuity
Management System. Retrieved July 23, 2018, from
http://www.finanzinformatik.ch/index.php/de/beluga-de#
Gallagher, M. (2003). Business Continuity Management: How to Protect Your Company from
Danger. Prentice Hall, 1–167. https://doi.org/10.4135/9781452275956.n27
Gartner, I. (2018). Business Continuity Management (BCM) Planning Software Reviews.
Retrieved July 9, 2018, from https://www.gartner.com/reviews/market/business-
continuity-management-planning-solutions
Groß, C., & Pfennig, R. (2017). Professionelle Softwareauswahl und -einführung in der
Logistik. https://doi.org/10.1007/978-3-658-14727-3
Hämmerle, M. (2018). BCM Tools. Retrieved July 9, 2018, from https://www.bcm-
news.de/bcm-tools/
International Institute of Business Analysis. (2006). A Guide to the Business Analysis Body of
Knowledge. Career: Analysis and Design, 1–329.
International Institute of Business Analysis. (2018). About IIBA. Retrieved July 8, 2018, from
http://www.iiba.org/About-IIBA.aspx
International Organization for Standardization. (2018). All about ISO. Retrieved July 21,
2018, from https://www.iso.org/about-us.html
International Requirements Engineering Board (IREB). (2018). IREB in Kurzform. Retrieved

58 | Richard Künzi Business Continuity Management


July 8, 2018, from https://www.ireb.org/de/about/basics/
ISO/IEC/IEEE 24765. (2017). ISO/IEC/IEEE 24765:2017(E) - ISO/IEC/IEEE International
Standard - Systems and software engineering--Vocabulary, 24765.
ISO/IEC/IEEE 29148. (2011). ISO/IEC/IEEE 29148: Systems and software engineering —
Life cycle processes — Requirements engineering. ISO/IEC/IEEE 29148. IEEE.
https://doi.org/10.1109/IEEESTD.2011.6146379
ISO 22313. (2012). ISO 22313:2012 Societal security - Business continuity management
systems - Guidance. Retrieved from
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50050
Klaus Pohl, C. R. (2011). Basiswissen Requirements Engineering. … " Certified Professional
for Requirements Engineering. dpunkt.verlag GmbH.
Koch, S. (2015). Methoden des Prozessmanagements.
https://doi.org/https://doi.org/10.1007/978-3-662-44450-4_2
Maritan, D. (2014). Practical Manual of Quality Function Deployment.
https://doi.org/https://doi.org/10.1007/978-3-319-08521-0_1
Schweizerischer Versicherungsverband SVV. (2015). Business Continuity Management
(BCM) für Versicherungsunternehmen in der Schweiz – Mindeststandards und
Empfehlungen, 12. Retrieved from https://www.svv.ch/sites/default/files/2017-
11/business-continuity-management-svv-de-2015.pdf
Snedaker, S. (2007). Business continuity and disaster recovery for IT professionals. Director
(Vol. 15).
Supriadi, L. S. R., & Sui Pheng, L. (2018). Business Continuity Management in Construction.
https://doi.org/10.1007/978-981-10-5487-7
Ultima Risk Management Ltd. (n.d.). About Ultima Risk Management. Retrieved August 3,
2018, from http://www.ultimariskmanagement.com/about-urm/
WMC Wüpper Managment Consulting GmbH. (2018). GRC-Software. Retrieved July 23,
2018, from https://wmc-direkt.de/grc-isms-software/qsec/

59 | Richard Künzi Business Continuity Management


Abbildungsverzeichnis
Abbildung 1: Business Continuity Planning und Ereignisbewältigung (Andrist & In-Albon,
2016) ....................................................................................................................................10
Abbildung 2: Methodendarstellung .......................................................................................11

Tabellenverzeichnis
Tabelle 1: Meilensteine.........................................................................................................13
Tabelle 2: Definitionen Anforderungsanalyse .......................................................................23
Tabelle 3: Definitionen Anforderung .....................................................................................24
Tabelle 4: Definitionen Stakeholder ......................................................................................25
Tabelle 5: Definition Lastenheft ............................................................................................25
Tabelle 6: Definition Pflichtenheft .........................................................................................25
Tabelle 7: Techniken zur Anforderungserhebung .................................................................30
Tabelle 8: Beispiel Top-down-Verfahren ...............................................................................33
Tabelle 9: Anforderungen an die BIA ....................................................................................40
Tabelle 10: Anforderungen an die BC-Strategie ...................................................................41
Tabelle 11: Anforderungen an die BC-Massnahmen ............................................................42
Tabelle 12: Anforderungen an Übungen und Tests ..............................................................43
Tabelle 13: Anforderungen an die Operationalisierung und Führung ....................................44
Tabelle 14: Lastenheft Mindeststandards nach FINMA.........................................................45
Tabelle 15: Lastenheft - Anforderungen von der Mobiliar an das System .............................46
Tabelle 16: Lastenheft - Anforderungen von der Mobiliar an die BIA ....................................47
Tabelle 17: Liste der genutzten Schlüsselwörter für die Internetsuche .................................49
Tabelle 18: Ergebnis Marktanalyse.......................................................................................53
Tabelle 19: Ergebnis Nutzwertanalyse (in alphabetischer Reihenfolge) ................................55
Tabelle 20: Nutzwertanalyse DocSetMinder Notfallmanagement .........................................56
Tabelle 21: Grundgesamtheit Anbieter .................................................................................67
Tabelle 22: Kontaktierte Anbieter .........................................................................................68
Tabelle 23: Gewichtung Allgemeine Anforderungen an das System .....................................69
Tabelle 24: Gewichtung Anforderungen an die BIA ..............................................................70
Tabelle 25: Nutzwertanalyse Abriska....................................................................................71
Tabelle 26: Nutzwertanalyse ACG-BCM-Tool .......................................................................72
Tabelle 27: Nutzwertanalyse alive-IT Business Continuity Framework .................................73
Tabelle 28: Nutzwertanalyse Beluga ....................................................................................74
Tabelle 29: Nutzwertanalyse TopEase BCM / BIA Monitor ...................................................75

60 | Richard Künzi Business Continuity Management


Anhang

Im Anhang befindet sich die gesamte Top-down-Analyse (Anhang A), die Informationen zum
Workshop zur Gewichtung der Anforderungen (Anhang B) und die gesamte Nutzwertanalyse
zu allen Anbietern (Anhang C).

A Top-down

Die Bestimmung der Grundgesamtheit ist der erste Schritt beim Top-down-Verfahren. Die
Grundgesamtheit aller Softwareprodukte betrug 424 nach der Recherche aus dem
Unterkapitel 6.2.1. Die Reduktion erfolgte im zweiten Schritt nach der Funktion einer
Risikoanalyse und im dritten Schritt ob eine BIA durchgeführt werden kann. Dadurch konnte
die Anzahl an Anbietern auf 17 reduziert werden.

Nummer Produkt Firma BIA Risikoanalyse


1 360factors 360factors X
2 8folios Seattle Software Works X
3 A1 Tracker A1 Enterprise
4 Abriska Ultima Risk Management X X
5 ACG-BCM-Tool ACG Automation Consulting Group GmbH X X
6 ACL for Risk Management ACL Services X
7 Active Risk Manager Sword Active Risk X
8 Active@ LSoft Technologies
9 Airsweb Risk Assessment Airsweb X
10 Alcea RiskMgr Alcea Technologies X
11 alive-IT Business Continuity Controllit AG X X
Framework
12 Allegro Horizon Allegro Development
13 AMLcheck RiskMS X
14 Analytica Lumina Decision Systems
15 ARC Cyber Risk Management Aloka X
16 Archer BCM Archer Technologies X
17 ARUTEL TAS Telefonbau Arthur Schwabe GmbH &
Co. KG
18 Ascent AUTOBCM Ascent Technology Consulting X
19 Aspect CTRM Aspect Enterprise Solutions X
20 Assurance Continuity Manager Sungard Availability Services X
21 AuditComply AuditComply X
22 Auditor Garland Heart Management Group X
23 Auditor Enterprise Ecora Software
24 AuditPro Compliance Strategies
25 Audits.io Plan Brothers
26 Azilon Compliance Manager Azilon
27 BarnOwl BarnOwl X
28 BASIX4 BIA BASIX4 X
29 BC in the Cloud BC in the Cloud X
30 BCM Pro INONI Ltd. (U.K.)
31 BCMfort BCMfort
32 BCMS² Continuity² X
33 beluga Finanzinformatik GmbH X X
34 BIPs-POD Capital Continuity
35 BKF Recovery Software Aryson Technologies
36 Blueprint OneWorld Blueprint OneWorld
37 Borealis Application Borealis
38 BounceBack Ultimate CMS Products
39 BowTieServer CGE Risk Management Solutions X

61 | Richard Künzi Business Continuity Management


40 Business Continuity Data protection solution X
41 Business Continuity Management xMatters X
42 Business Continuity Management MetricStream X
43 Business Continuity Management Ba- RiskRhino X
PRO
44 Business Continuity Maturity Model Virtual Corporation X
45 Business Impact Analysis Template Rothstein Catalog X
46 Business Protector Business Protection Systems International X
47 Business Risk Management digital-media-lab X
48 BWise BWise
49 C2P Compliance and Risks X
50 CA ARCserve High Availability CA Technologies
51 CAPT - Continuity Action Planning INFO AG X
Tool
52 Captain Optimizer Softarama
53 Carbonite Carbonite
54 Catalyst BCM Software Avalution Consulting X
55 CENARIO® situation Cenario solutions GmbH
56 CertFocus CertFocus
57 Checkit Certainty Software
58 Citicus ONE Citicus X X
59 CLAIMS TRAGHM Information Solutions
60 ClearView BIS-Web
61 CloudEndure CloudEndure
62 CloudEye Cloudnosys
63 Cloudfinder eFolder
64 Cloudiway Cloudiway
65 Cohesity Cohesity
66 Commodity XL Triple Point Technology
67 Compliance & Cybersecurity Platform conformio
68 Compliance Management Solution ComplyWorks
69 Compliance Master Compliance Master International
70 ComplianceWatch RiskWatch X
71 CompliantPro Siemens IBS QMS
72 Conrep Conrep
73 Continuity Engine Neverfail
74 Continuity Patrol Perpetuuiti
75 Continuous Data Protection Continuum
76 Continuum BCP BDA Global
77 Convercent Convercent
78 Corax Corax
79 Corporate Storegate
80 COSHH365 Sevron Safety Solutions
81 Courion Core Security
82 CRAMM Business Continuity Tool Siemens
83 CRCM Convis
84 Crisis Trainer 4C Strategies
85 Criticall criticall
86 CRS Risk Corporate Risk Systems X
87 Cura Assessor CURA Software
88 CUSTODiOS Verismo GmbH und Ingenieurbüro Götsch
AG
89 CYA SmartRecovery CYA Technologies
90 Dakota Metrics Dakota Software
91 Damstra TWMS Damstra
92 Data Deposit Box Acpana Business Systems
93 Data Loss Prevention Suite RSA Security
94 Data Protector GlobalARK
95 Data Recovery Software Recover Data
96 Data Recovery Software RecoveryTools
97 Dataview360 GDS Link
98 DATBar DATABarracks
99 Datos IO Datos IO
100 Datto Datto
101 DBF Doctor Astersoft
102 Dbvisit Standby Avisit Solutions
103 DCDR Tarjuman

62 | Richard Künzi Business Continuity Management


104 Dead Man's Snitch Collective Idea
105 Degoo Degoo
106 DEMiOS Verismo GmbH und Ingenieurbüro Götsch
AG
107 DERDACK Enterprise Alert Derdack
108 Diligent Boards Diligent
109 Disaster Recovery Manager Flexas Ltd.
110 Disaster Recovery System TAMP Systems
111 DiskStation Synology
112 DocSetMinder - Notfallmanagement GRC Partner GmbH X X
113 Double-Take Vision Solutions
114 DPL 9 Enterprise Syncopation
115 Drive Vaccine Horizon Datasys
116 Druvaa inSync Druvaa Software
117 DXi Quantum
118 easy2comply Dynasec Ltd.
119 EasyRecovery Kroll Ontrack
120 eBRP Toolkit eBRP X
121 EcoSystem EM for IT enov8
122 EdegSafe DataMills
123 eEMS ProfitStars
124 Effcon (Effective-Control) Effcon
125 elementec::bcm elementec GmbH
126 EMERCOS EMERCOS Alarmierungssysteme GmbH
127 EMEX EHS Solution Emex
128 Emissions View Lakes Environmental
129 emXcube R. PANROK & PARTNER GmbH X X
130 Enterprise Alert® Derdack GmbH
131 Enterprise Risk Manager Incom X
132 Enterprise-level VPS Solutions ConsolePark
133 Enviance EHS Management Enviance
134 EnviroSuite Pacific Environment
135 eQstats eQstats
136 ErLogix BCM System Logix Corp.
137 ERMSIM Risk Manager Interactive Design Labs X
138 eRunbook novaratio
139 eSecurus NonVerba
140 Essential ERM Tracker Networks
141 Everbridge IM/ENS/MNS Everbridge X
142 EVIDENCE Funk RMCE GmbH X X
143 Exchange EDB Recovery Shoviv Software
144 Exchange EDB Recovery Voimakas Software
145 Exonaut RIM 4C Strategies
146 Explorer Risk Insights X
147 Express BCP Disaster Recovery Services
148 eZ-Planner eBRP X
149 FACT24 F24 AG
150 Factonomy Resilience Factonomy Ltd. X X
151 FairchildApp Fairchild Consulting
152 Fast Track Fast Track
153 Feedzai DS Feedzai
154 FleetDefense AlertDriving
155 Frontline Live Continuity Logic
156 Fusion Fusion Risk Management X
157 Fusion CTRM Fendahl Technology
158 Fusion Framework System Fusion Risk Management X
159 Geo-Replicator iOra Software
160 Global Models Risk Management Solutions X
161 Go.Recover Data Center Rothstein Catalog
162 GoodSync Siber Systems
163 GRBackPro GRSoftware
164 GRC Toolbox Pro Swiss GRC
165 Greenstone SupplierPortal Greenstone
166 Groups SpiderOak
167 GT Recovery Hangzhou KuaiYi Technology
168 GUARDEAN RiskSuite SHS VIVEON X
169 HANDS HQ HANDSHQ

63 | Richard Künzi Business Continuity Management


170 Hetman Partition Recovery Hetman Software
171 Hiperos 3PM Hiperos
172 HiScout GRC Suite - HiScout BCM HiScout GmbH X X
173 HSEQ Manager Xcetra
174 HyperIP NetEx Software
175 IBOS- ORMS Decision Support Systems
176 IBS Agilos
177 Identity Resolution Engine Infoglide Software
178 IDrive IDrive
179 Ignyte Assurance Platform Igntyte Assurance Platform
180 IMCD Contingenz Corp.
181 iModus Vocal
182 ImpactAware Brellion Continuity Ltd.
183 ImpactAware TexoNet
184 INDART Professional Contechnet Ltd. X
185 Info Exchange Alcumus Group
186 INFONEA® Solutions - BCM/ISRM Comma Soft AG X X
Platform
187 Infor Risk & Compliance Infor X
188 Inkling Markets Inkling
189 Inoni Inoni
190 INONI BCM (Pro) Software INONI
191 inSync Druva
192 IntegrityNext Integrity Next
193 Invantive Control for Excel Invantive
194 IRAM-Tools Information Security Forum ISF
195 IRIS Business Architect Benchmark Consulting
196 IRIS Intelligence IRIS Intelligence
197 iRISK 4Tune Engineering X
198 ISMS.online Alliantist
199 ISNetworld ISN Software
200 Isolocity Isolocity
201 IsoMetrix Metrix Software Solutions
202 iTrak iView Systems
203 JaBack Hitek Software
204 JESI JESI Management Solutions
205 Job Hazard Analytics Alliant
206 Jobarix Maerix
207 JSEAsy JSEAsy
208 Kaseya VSA Kaseya
209 kaygo alert kaygo GmbH
210 Kernel Nucleus Technologies
211 Keylight LockPath
212 KingsBridge SHIELD KingsBridge
213 KLUSA OPUS Gmbh
214 KRC - Solution KEISDATA
215 KTools Data Recovery KTools Software
216 KTQ-Sicherheit-ROGSI/DMS ROG GmbH
217 Kuali Ready Kuali
218 Lacima Analytics Lacima
219 LDRPS SunGard Availability Services
220 Libryo Libryo
221 Linus Revive Linus
222 Litera Ekta Litera
223 LogicManager ERM LogicManager
224 M² Bridgei2i
225 Maclear eGRC Suite Maclear
226 Macrium Reflect Paramount Software
227 MasterControl Risk Analysis MasterControl X
228 Mataco Savant Limited (UK)
229 MAUS Health & Safety Management MAUS Business Systems
System
230 Merlin Project ProjectWizards
231 MERP-Manager ADRIA EXPERT
232 MetricStream Risk Management MetricStream X
233 MiniTool Power Data Recovery MiniTool
234 MinotaurCloud Neural Technologies

64 | Richard Künzi Business Continuity Management


235 MissionMode SilkRoad technology
236 Mitigator, EverSafe Evergreen Data Continuity
237 ModelRisk Vose Software X
238 modusCloud Vircom
239 MQ1 CEBOS
240 MyComplianceOffice MyComplianceOffice
241 myCOOP COOP Systems
242 myosh Safety Software myosh
243 NAKIVO NAKIVO
244 Neustar UltraDNS Neustar
245 Nexetic Nexetic
246 Noggin Noggin
247 NORIZZK.COM NORIZZK.COM
248 NovaStor DataCenter NovaStor
249 NTP Software File Auditor NTP Software
250 NTP Software VFM NTP Software
251 Numerix Numerix
252 N'Vizion Sobha Renaissance Information
Technology
253 OneSoft Connect OneSoft Connect
254 Online Risk Assessment Ignition Risk Management X
255 onQ QuorumLabs
256 Onspring Continuity & Recovery Onspring X
257 Oodit Riskplan Oodit X
258 OpsPlanner Paradigm Solutions
259 Optial SmartStart Optial
260 Optimiso Optimiso Group
261 OptiRisk® Business Continuity RM Risk Management AG - Security & Risk X X
Management Consultants
262 Opture ERM OPTURE
263 Oracle GRC Oracle
264 Orbit eSolutions X X
265 Orcanos ALM and QMS Orcanos
266 Paisley GRC Thomson Reuters
267 Pandemic Prep and Response Plan Rothstein Catalog
268 PARAD Danet / Devoteam
269 Paragon Sungard
270 Paragon Protect & Restore Paragon Software Group
271 ParaSolution Premier Continuum
272 Parasolution Premier Continuum
273 PeerSync Peer Software
274 PEMAC Care PEMAC
275 Permit Vision eVision Industry Software
276 Phinity Phinity
277 Pims Risk Management Omega X
278 Plan AHEAD Exercise Software Rothstein Catalog
279 Polarion REQUIREMENTS Siemens PLM Software
280 PowerSeller Associated Software Consultants
281 PRC Enterprise Risk Register Project Risk Consultants X
282 Preparis Preparis
283 Prevalent Prevalent
284 PreVision EISENBURG Solutions
285 Probax Control Probax
286 ProcessBolt ProcessBolt
287 ProcessGene GRC Software Suite ProcessGene
288 ProductionQC Cogent QC Systems
289 pro-HSE proFound
290 Project Risk Manager Shuttleworth Consulting Services X
291 Proteus GRCyber Proteus-Cyber
292 Provenir Platform Provenir
293 PST Recovery SysInfoTools Software
294 PST Recovery Software Perfect Data Solutions
295 QSEC Suite IT GRC und Enterprise WMC Wüpper Managment Consulting X X
Edition GmbH
296 Quantate Project Quantate
297 Quantifi Quantifi
298 Quantivate Business Continuity Quantivate X

65 | Richard Künzi Business Continuity Management


299 QuantRisk System Quantrisk X
300 Quick Risk Matrix Riskfiniti X
301 Radia Accelerite
302 RapidReach Enera
303 ReadiNow ReadiNow
304 ReadySuite Agility Recovery Solutions
305 ReclaiMe Pro ReclaiMe Data Recovery
306 RecordLion RecordLion
307 recoverEASE Risk Mitigator Global Magnitude X
308 Recovery Express IBM Corp.
309 Recovery Planner RecoveryPlanner.com
310 Reflection Enterprise Riptide Software
311 Replication Manager Hitachi Data Systems
312 Resilience Expert Techweavers
313 ResilienceONE Strategic BCP
314 RestoreIT FarStone Technology
315 Retrospect Retrospect
316 Revive ContinuitySA
317 Ringstor Enterprise Data Backup & Ringstor
Recovery
318 Riscomatic UnuSoftware
319 Risk Analysis Mind Tools X
320 Risk Assessment Management ProcessMAP X
321 Risk Management Weyerhaeuser NR X
322 Risk Management Ba-PRO RiskRhino X
323 Risk Management Software Cority X
324 Risk Management Software Resolver X
325 Risk Management Studio Stiki X
326 Risk Manager Northwest Controlling X
327 Risk Radar MITRE X
328 Risk Radar Pro-Concepts X
329 Risk Wizard Risk Wizard X
330 riskcloud.NET PAN Software X
331 RiskDynamic RiskSpan X
332 RiskEnvision Ebix X
333 RiskGap KdZen X
334 Risklynx Gadfly X
335 RiskNet Vistair Systems X
336 Riskonnect Riskonnect X
337 RiskTrak RiskTrak International X
338 RiskView Meercat X
339 RiskXP AQ2 Technologies X
340 Risky Project Intaver Institute X
341 RKdB Softtech Solutions Australia
342 RMS VinciWorks
343 Robot HelpSystems
344 ROGSI/DMS ROG GmbH X X
345 RPX RecoveryPlanner
346 rReplikator rReplikator
347 RSA Archer Business Resiliency Dell Technologies (RSA) X X
348 Rsam Platform Rsam
349 R-Studio R-Tools Technology
350 SafeStor UbisStor
351 SafeToGo MagnaTech
352 SAS Enterprise Risk Management SAS Institute
353 SBAdmin Storix
354 School Crisis Continuity Template Rothstein Catalog X
355 Search and Recover 2 iolo technologies
356 Seccom Weiß & Weiß
357 Second Copy Centered Systems
358 SecureAware neupart
359 Seerene Seerene
360 send word now send word now
361 ServiceNow Security Operations ServiceNow
362 Shadow Planner ICM Continuity (UK)
363 ShadowProtect StorageCraft Technology
364 Share911 Emergency Messenger OnScene Technologies

66 | Richard Künzi Business Continuity Management


365 SILKROAD ALM NSE Technology
366 Silver Bullet Risk SBR
367 SimpRisk PVA Digital Systems
368 SkyVault Runwell Solutions
369 SLM Mangan Software Solutions
370 SmartSolve Pilgrim Quality Solutions
371 SnapFlux Oraise
372 SnapShooter SnapShooter
373 SoftExpert Excellence Suite (SE Suite) softexpert
374 SoftRewind Anovasoft
375 Solver SDK Frontline Systems
376 SOS ServerSave Infrascale
377 SpareSync Fogsoft
378 SPHERAes EsseQuamVideri
379 StableMetrics Intuitive Allocations
380 StandardFusion Fireloft
381 Standards & Legal Platform Standards & Legal
382 Stellar Phoenix SQL Database Repair Stellar Data Recovery
383 Storage and Backup Rackspace
384 Storagepipe Fastback DR Storagepipe Solution
385 STREAM Acuity Risk Management
386 SURE Qualify BROWZ
387 Sustainable Planner Virtual Corp.
388 Sustainable Planner Virtual Corporation
389 Sustrana Sustrana
390 Symbiant Tracker Symbiant
391 Synergi Life DNV GL
392 TeamMate Audit Management Wolters Kluwer
393 The Allovance Method Allovance Method
394 The CyberStrong Platform CyberSaint Security
395 The Planning Portal Avalution Consulting
396 The Risk Management Center Succeed Management Solutions
397 Tivoli Business Continuity Process IBM
Manager
398 Toolkit BCM eBRP Solutions X
399 TopEase BCM / BIA Monitor Business-DNA Solutions GmbH X X
400 Traklight Traklight
401 TrustMAPP Secure Digital Solutions
402 Undelete Condusiv Technologies
403 Upsafe Upsafe
404 UXRisk Proactima
405 Veeam Availability Suite Veeam
406 Vembu BDR Vembu Technologies
407 Vendor Cloud ProcessUnity
408 VendorLink VendorLink
409 Veoci Veoci
410 Veritas Resiliency Platform Veritas Technologies
411 VFI 21st Century Software
412 ViceVersa PRO TGRMN Software
413 ViClarity ViClarity
414 VigiTrust VigiTrust
415 VisiumKMS Rolls-Royce Controls and Data Services
416 Way We Do Way We Do
417 Web Planner Express Waypoint Advisory Services
418 Xyea Xyea
419 Yields.io Yields.io
420 Zerto Virtual Replication Zerto
421 ZEVA CodeLynx
422 Zoolz Genie9
423 ZYGHT HSEQ technology ZYGHT
Tabelle 21: Grundgesamtheit Anbieter

67 | Richard Künzi Business Continuity Management


Die Anbieter aus Tabelle 22 bieten sowohl ein Risikomanagement und eine Business Impact
Analyse. Im vierten Schritt wurden alle Anbieter kontaktiert, wobei sechs geantwortet haben.
Nummer Produkt Firma Kontakt

4 Abriska Ultima Risk Management In Nutzwertanalyse


miteinbezogen

5 ACG-BCM-Tool ACG Automation Consulting Group In Nutzwertanalyse


GmbH miteinbezogen

11 alive-IT Business Controllit AG In Nutzwertanalyse


Continuity Framework miteinbezogen

33 beluga Finanzinformatik GmbH In Nutzwertanalyse


miteinbezogen

58 Citicus ONE Citicus Keine Antwort

112 DocSetMinder - GRC Partner GmbH In Nutzwertanalyse


Notfallmanagement miteinbezogen

129 emXcube R. PANROK & PARTNER GmbH Keine Antwort

142 EVIDENCE Funk RMCE GmbH Keine Antwort

150 Factonomy Resilience Factonomy Ltd.

172 HiScout GRC Suite - HiScout GmbH Keine Antwort


HiScout BCM

186 INFONEA® Solutions - Comma Soft AG Keine Antwort


BCM/ISRM Platform

261 OptiRisk® Business RM Risk Management AG - Security & Keine Antwort


Continuity Management Risk Consultants

264 Orbit eSolutions Keine Antwort

295 QSEC Suite IT GRC und WMC Wüpper Managment Consulting Keine Antwort
Enterprise Edition GmbH

344 ROGSI/DMS ROG GmbH Kein BIA Modul


mehr

347 RSA Archer Business Dell Technologies (RSA) Keine Antwort


Resiliency

399 TopEase BCM / BIA Business-DNA Solutions GmbH In Nutzwertanalyse


Monitor miteinbezogen

Tabelle 22: Kontaktierte Anbieter

68 | Richard Künzi Business Continuity Management


B Workshop Gewichtung

Die Gewichtung der Anforderungen wurde zusammen mit der Mobiliar in einem Workshop
am 25. Juni 2018 zusammen mit Damian In-Albon erarbeitet. In Tabelle 23 bisTabelle 24 bis
25 sind die Ergebnisse ersichtlich.

Allgemeine Anforderungen an das System


ID Anforderung Priorisierung Erfüllungsgrad Gewichtung
A17 Das System kann bestehenden Listen von Soll Weich 4
Prozessen und Applikationen im CSV-,
XLSX- oder XML-Format in das System
importieren.
A18  Das System soll ein Prozess mit Soll Weich 5
einem BCP verknüpfen:
A19 mit einer Möglichkeit, den BCP in das Wunsch Weich 2
System hochzuladen.
A20 mit einem Hyperlink auf den BCP in einem Wunsch Weich 2
externen System.
Tabelle 23: Gewichtung Allgemeine Anforderungen an das System

69 | Richard Künzi Business Continuity Management


Anforderungen an die BIA
ID Anforderung Priorisierung Erfüllungsgrad Gewichtung
A21 Formulare zur Datenerfassung der Muss Hart 9
Informationen, die in der BIA verwendet
werden, können erstellt werden und
Schlüsselpersonen zugänglich gemacht
werden.
A22 Informationen, die in der BIA dargestellt Muss Hart 9
werden, können im Dateiformat CSV, XLSX
oder XML exportiert werden.
A23 Die vorhandene Zeitachse aus der Muss Hart 9
bestehenden BIA von 1 Std., 4 Std., 12 Std.,
1 Tag, 2 Tage, 1 Woche, 2 Wochen, 1 Monat
und >1 Monat muss abgebildet werden
können.
A24 Die Beurteilungskriterien der BIA müssen Muss Hart 9
durch den Benutzer im System erfasst
werden können.
A25 Ein Verweis auf die Vorgänger- und Muss Weich 8
Nachfolgeprozesse muss im System
abgebildet werden können.
A26 Die Spitzenzeiten von einem Prozess in der Muss Weich 7
BIA kann im System durch den Benutzer
erfasst werden.
A27 Die Standortinformation, wo sich der Prozess Muss Weich 7
befindet, kann im System durch den Benutzer
erfasst werden.
A28 Die Information, wie viele Arbeitsplätze für Muss Weich 7
den Minimal- und Normalbetrieb benötigt
werden, kann im System durch den Benutzer
erfasst werden. Diese Information muss
zudem für jedes Zeitfenster aus der
definierten Zeitachse einzeln erfasst werden
können.
A29 Das System soll dem Benutzer ermöglichen, Muss Weich 7
speziell benötigte Ressourcen für jede BIA zu
erfassen.
A30 Das System soll dem Benutzer ermöglichen, Muss Weich 8
auf Anwendungen zu verweisen, die im
System hinterlegt sind.
A31 Das System soll dem Benutzer ermöglichen, Muss Weich 8
für jede verwiesene Anwendung die RTO
(max. Ausfallzeit), die RPO (max.
Datenverlust) und eine Beschreibung zu
hinterlegen.
A32 Das System soll dem Benutzer ermöglichen, Muss Weich 7
die Schlüsselpersonen für jeden Prozess zu
hinterlegen.
A33 Das System soll dem Benutzer ermöglichen, Muss Weich 7
die Lieferanten, die wesentliche Leistungen
für den Geschäftsprozess erbringen, zu
hinterlegen. Zusätzlich soll die Zeitkritikalität
für jeden Lieferanten im Prozess hinterlegt
werden können.
Tabelle 24: Gewichtung Anforderungen an die BIA

70 | Richard Künzi Business Continuity Management


C Nutzwertanalyse

Die Analyse der Anbieter in den Tabellen 26 bis 29 bezieht sich auf die Anbieter die beim
Top-down-Verfahren (Anhang A) übriggeblieben sind.

Abriska
Anforderung Erhaltene Begründung Gewichtung Erhaltene Punkte *
Punkte (Max. 10) Gewichtung
(Max. 3) (Max. 804)
A01 3 10 30
A02 3 10 30
A03 3 10 30
A04 3 10 30
A05 3 10 30
A06 3 10 30
A07 1 Als Text Beschreibung möglich 10 10
A08 3 10 30
A09 3 10 30
A10 3 10 30
A11 1 Als Text Beschreibung möglich 10 10
A12 3 10 30
A13 3 10 30
A14 3 10 30
A15 3 10 30
A16 1 Ein Berater kann die Informationen 10 10
initial importieren
A17 3 2 6
A18 3 9 27
A19 3 9 27
A20 3 4 12
A21 1 Ein Berater kann die Informationen 5 5
initial importieren
A22 3 2 6
A23 3 9 27
A24 1 Als Text Beschreibung möglich 8 8
A25 3 9 27
A26 3 7 21
A27 1 Als Text Beschreibung möglich 7 7
A28 3 7 21
A29 1 Als Text Beschreibung möglich 8 8
A30 1 Als Text Beschreibung möglich 8 8
A31 3 7 21
A32 1 Als Text Beschreibung möglich 7 7
Total: 658
Tabelle 25: Nutzwertanalyse Abriska

71 | Richard Künzi Business Continuity Management


ACG-BCM-Tool
Anforderung Erhaltene Begründung Gewichtung Erhaltene Punkte *
Punkte (Max. 10) Gewichtung
(Max. 3) (Max. 804)
A01 3 10 30
A02 3 10 30
A03 3 10 30
A04 3 10 30
A05 3 10 30
A06 1 Als Text Beschreibung möglich 10 10
A07 1 Als Text Beschreibung möglich 10 10
A08 1 Als Text Beschreibung möglich 10 10
A09 1 Als Text Beschreibung möglich 10 10
A10 3 Prozessansichten können erstellt 10 30
werden
A11 3 10 30
A12 3 10 30
A13 1 Als Text Beschreibung möglich 10 10
A14 3 10 30
A15 1 Als Text Beschreibung möglich 10 10
A16 3 10 30
A17 3 2 6
A18 3 9 27
A19 3 9 27
A20 3 4 12
A21 3 5 15
A22 3 2 6
A23 3 9 27
A24 3 8 24
A25 1 Als Text Beschreibung möglich 9 9
A26 3 7 21
A27 3 Ressourcen wie z.B. Räumlichkeiten 7 21
können erfasst werden
A28 3 7 21
A29 3 8 24
A30 3 8 24
A31 3 7 21
A32 1 Als Text Beschreibung möglich 7 7
Total: 652
Tabelle 26: Nutzwertanalyse ACG-BCM-Tool

72 | Richard Künzi Business Continuity Management


alive-IT Business Continuity Framework
Anforderung Erhaltene Begründung Gewichtung Erhaltene Punkte *
Punkte (Max. 10) Gewichtung
(Max. 3) (Max. 804)
A01 3 10 30
A02 3 10 30
A03 3 10 30
A04 3 10 30
A05 3 10 30
A06 3 10 30
A07 3 10 30
A08 3 10 30
A09 3 10 30
A10 3 10 30
A11 3 10 30
A12 1 Als Text Beschreibung möglich 10 10
A13 3 10 30
A14 3 10 30
A15 3 10 30
A16 1 Einmaliger Import durch den Support 10 10
A17 3 Eigene Benutzerverwaltung 2 6
A18 0 Eigene Benutzerverwaltung 9 0
A19 1 Daten müssten Manuell übertragen 9 9
werden
A20 3 4 12
A21 1 Einmaliger Import durch den Support 5 5
A22 0 Nicht möglich 2 0
A23 3 9 27
A24 3 8 24
A25 3 9 27
A26 1 Als Text Beschreibung möglich 7 7
A27 3 7 21
A28 3 7 21
A29 3 8 24
A30 3 8 24
A31 3 7 21
A32 3 7 21
Total: 689
Tabelle 27: Nutzwertanalyse alive-IT Business Continuity Framework

73 | Richard Künzi Business Continuity Management


Beluga
Anforderung Erhaltene Begründung Gewichtung Erhaltene Punkte *
Punkte (Max. 10) Gewichtung
(Max. 3) (Max. 804)
A01 3 10 30
A02 3 10 30
A03 3 10 30
A04 3 10 30
A05 3 10 30
A06 1 Als Text Beschreibung möglich 10 10
A07 1 Als Text Beschreibung möglich 10 10
A08 1 Als Text Beschreibung möglich 10 10
A09 3 10 30
A10 3 10 30
A11 1 Nicht erfassen oder als Text 10 10
Beschreibung möglich
A12 1 Als Text Beschreibung möglich 10 10
A13 3 10 30
A14 3 10 30
A15 3 10 30
A16 2 Einmaliger Import 10 20
A17 3 2 6
A18 3 9 27
A19 3 9 27
A20 3 4 12
A21 2 Einmaliger Import 5 10
A22 0 Nicht möglich 2 0
A23 3 9 27
A24 3 8 24
A25 1 Als Text Beschreibung möglich 9 9
A26 1 Als Text Beschreibung möglich 7 7
A27 1 Als Text Beschreibung möglich 7 7
A28 1 Als Text Beschreibung möglich 7 7
A29 1 Als Text Beschreibung möglich 8 8
A30 1 Als Text Beschreibung möglich 8 8
A31 1 Als Text Beschreibung möglich 7 7
A32 1 Als Text Beschreibung möglich 7 7
Total: 563
Tabelle 28: Nutzwertanalyse Beluga

74 | Richard Künzi Business Continuity Management


TopEase BCM / BIA Monitor
Anforderung Erhaltene Begründung Gewichtung( Erhaltene Punkte *
Punkte Max. 10) Gewichtung
(Max. 3) (Max. 804)
A01 3 10 30
A02 3 10 30
A03 3 10 30
A04 3 10 30
A05 3 10 30
A06 1 Als Text Beschreibung möglich 10 10
A07 1 Als Text Beschreibung möglich 10 10
A08 1 Als Text Beschreibung möglich 10 10
A09 1 Als Text Beschreibung möglich 10 10
A10 1 Der Name vom Prozess muss 10 10
geändert werden
A11 3 10 30
A12 3 10 30
A13 1 Als Text Beschreibung möglich 10 10
A14 1 Als Text Beschreibung möglich 10 10
A15 1 Als Text Beschreibung möglich 10 10
A16 2 Einmaliger Import 10 20
A17 2 Als Hyperlink möglich 2 4
A18 3 9 27
A19 2 Als Hyperlink möglich 9 18
A20 3 4 12
A21 3 5 15
A22 3 2 6
A23 3 9 27
A24 3 8 24
A25 1 Als Text Beschreibung möglich 9 9
A26 1 Als Text Beschreibung möglich 7 7
A27 1 Als Text Beschreibung möglich 7 7
A28 3 7 21
A29 3 8 24
A30 3 8 24
A31 3 7 21
A32 3 7 21
Total: 577
Tabelle 29: Nutzwertanalyse TopEase BCM / BIA Monitor

75 | Richard Künzi Business Continuity Management

Das könnte Ihnen auch gefallen