Beginnen wir nun die Reise durch mein Praktikum. Am ersten Arbeitstag erfuhr ich, dass ich für die InfoTec einen eine Business Impact Analyse erstellen durfte. Ziel einer Business Impact Analyse ist es die businesskritischen Geschäftsprozesse eines Unternehmens herauszufinden und ihre Kritikalität in Bezug auf Schadensausmaß und Ausfallzeit zu bewerten. Diese Daten liefern auch einen wesentlichen Input für das darauffolgende Risikomanagement, welches die Prozesse bezüglich Schadenswahrscheinlichkeit und Schadensausmaß bewertet. Das Bundesinstitut für Sicherheit in der Informationstechnologie (BSI) bietet zur Vorbereitung, Durchführung und Auswertung einer Business Impact Analyse Templates, die ich inhaltlich an die Anforderungen der InfoTec angepasst habe. Um zunächst einmal herauszufinden, welche Geschäftsprozesse businesskritisch sind habe ich einen Workshop mit der Geschäftsführung, sowie allen Business Unit Leitern geplant.
Innerhalb des Workshops wurde unter Verwendung von Metaplantafeln und Moderationskarten das Bild der kritischen Geschäftsprozesse der TUI InfoTec entwickelt. Der nächste Punkt auf der Agenda des Workshops war die Abstimmung der Schadensszenarien. Dabei wurden die vom BSI 100-4 Standard mitgelieferten generischen Schadensszenarien als Vorlage genommen. Die 5 Szenarien die im Rahmen der Business Impact Analyse bei der InfoTec in den Fokus rückten waren
- Beeinträchtigung der persönlichen Unversehrtheit,
- Finanzielle Auswirkung,
- Beeinträchtigung der Aufgabenerfüllung,
- Verstoß gegen Gesetze, Vorschriften und Verträge und
- Negative Innen- und Außenwirkung (Imageschaden).
Zu den 9 businesskritischen Geschäftsprozessen, die im Workshop identifiziert wurden, wurden Ansprechpartner zugeteilt. Mit diesen Ansprechpartnern habe ich im weiteren Verlauf des Projektes Interviews durchgeführt. Dazu wurde von jedem der 9 Prozesse das Schadensausmaß (gering, mittel, hoch bis sehr hoch) pro Schadensszenario (s. oben) in Bezug zur Zeit bestimmt. Bsp: Fällt die Telefonanlage eine Stunde aus, hat dies wenig Auswirkung auf Aufgabenerfüllung. Fällt die Anlage jedoch eine Woche aus, kann das dazu führen, dass Aufgaben nicht fristgereicht erledigt werden können. Dies ist dann mit einem höheren Schadensausmaß zu bewerten.