17© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#6

Business-ContinuityManagement und Wissen

BCM in der Supply Chain

Was für die „Just-in-Time“-Produktion gilt, hat mittlerweile auch Einzug in Dienstleistungen und IT-Prozesse gehalten: die Abhängigkeit von einer Lieferkette (Supply-Chain). Erdbeben, Vulkanausbrüche (und in der Folge Aschewolken), Überschwemmungen, Tornados und politische Unruhen sind nur einige Beispiele, die in den letzten Jahren für erhebliche Verzögerungen, Liefereng-pässe und -ausfälle gesorgt haben.

73 % der Teilnehmer der Supply-Chain-Resi-lience-Studie 2012 des Business Continuity Institute haben angegeben, in den vorausgegangenen 12 Monaten mindestens eine Störung in der Lieferkette gehabt zu ha-ben, die zu Unterbrechungen im Unternehmen geführt hat [1] – 23 % der Befragten berichteten sogar über mehr als fünf Störungen im Betrachtungszeitraum. Als Haupt-ursachen der Unterbrechungen wurden IT-Ausfälle (52 % vs. 41 % in 2011), Wetterereignisse (48 % vs. 51 %) und Service-Ausfälle (35 % vs. 17 %) angegeben. Im Finanz-dienstleistungsbereich wurden IT- und Telekommummu-nikations-Ausfälle (45 %), Verletzung der Datensicherheit (13 %) und Ausfall eines Dienstleisters (11 %) sowie Wet-terereignisse (11 %) als wesentliche Ursachen benannt.

Liefernetzwerke

Lieferketten gliedern sich in die vorgelagerte Lieferkette, die konzern- und unternehmensinterne Lieferkette sowie die dem Unternehmen nachgelagerte Lieferkette zum Kunden – eine ganzheitliche Betrachtung umfasst zudem sowohl das mehrstufige Liefernetzwerk auf Zuliefererseite als auch das mehrstufige Liefernetzwerk zum Kunden. Für das BCM ist die Funktionsfähigkeit die-ser gesamten Konstruktion essenziell – bricht auch nur ein Glied in dieser Kette, kann dies zum Gesamtausfall führen.

Auch im Dienstleistungsbereich hat sich aus öko-nomischen Gründen die Zergliederung der Produktion

Von Matthias Hämmerle und Dr. Klaus-Rainer Müller, Frankfurt

Immer wieder haben in den vergangenen Jahren Naturkatastrophen die Fragilität internatio-

naler Lieferketten aufgezeigt und die Notwendigkeit einer Sicherung der Liefernetzwerke

gegen Unterbrechungen angemahnt. Dies gilt jedoch nicht nur für die Produktion, sondern

auch für Dienstleistungsunternehmen, die intensiv auf Outsourcing zurückgreifen – nicht

zuletzt sogar für das Finanzwesen. Für das Business-Continuity-Management (BCM) bedeutet

dies, Methoden und Techniken um ein Supply-Chain-Continuity-Management (SCCM) zu

erweitern.

in zum Teil tief gestaffelte Liefernetzwerke durchgesetzt: Unternehmensintern werden Services durch Shared-Service-Center für den gesamten Konzern zentral erbracht – zunächst vornehmlich für IT-Dienstleistungen haben sie sich mittlerweile für viele administrative Funktionen durchgesetzt (z. B. Personalverwaltung, Rechnungswesen etc.). Im Ergebnis entstehen – zum Teil hochkomplexe – unternehmensinterne Lieferungs- und Leistungsbezie-hungen, die in Form von Service-Level-Agreements (SLA) vereinbart werden.

Zudem hat sich auch eine Auslagerung von Sup-portprozessen im Rahmen des Outsourcings etabliert – etwa beim IT-Betrieb, der Telekommunikation (VoIP) oder sogar zentralen Wertschöpfungsprozessen wie Zahlungs-verkehr, Wertpapierabwicklung, Schadensbearbeitung, Reklamationen an spezialisierte Dienstleister et cetera.

Auch die Lieferkette zum Kunden entwickelt sich immer stärker zum verzweigten Netzwerk von Servicepart-nern – so sind etwa Prüfungs- und Beratungsleistungen für den B2B-Geschäftsabschluss häufig unabdingbar oder im Finanzwesen Intermediäre zwischengeschaltet, große Kapitalmarkttransaktionen nur in Konsortien abbildbar. Der Wertschöpfungsprozess ist auf das reibungslose Zusammenwirken aller dieser Rollen angewiesen! Und das schwächste Glied dieser Kette bestimmt letztlich die Robustheit (Resilience) des Ganzen.

Complianceanforderungen

In bestimmten Branchen sind bereits gesetzliche oder regulatorische Anforderungen einschlägig. Beispiels-weise ist für Finanzdienstleister – auch in ihrer besonderen Bedeutung als Teil der kritischen Infrastruktur („Kritis“ – www.kritis.bund.de) – die Sicherstellung der Lieferkette entsprechend geregelt: Das Kreditwesengesetz (§ 25a KWG, vgl. [2]) erfasst im Rahmen der besonderen organi-

18 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#6

satorischen Pflichten von Instituten auch die ordnungs-gemäße Geschäftsorganisation bei „wesentlichen Ausla-gerungen“ – Institute müssen für diese wesentlichen Aus-lagerungen risikoorientiert „angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden“ (siehe www.juris.de/purl/gesetze/KredWG_!_25a).

Das Risikomanagement eines auslagernden Fi-nanzinstituts muss die ausgelagerten Aktivitäten und Prozesse mit einbeziehen – die Wesentlichkeit einer Ausla-gerung ist im Rahmen einer Risikoanalyse zu bestimmen. Konkreter wird das in den „Mindestanforderungen an das Risikomanagement für Banken“ (MaRisk BA [3]) im „Allgemeinen Teil“ AT 9, für Investmentgesellschaften und Versicherer erfolgt dies in spezifischen Regelungen (InvMaRisk, MaRisk VA).

Eine Auslagerung im Sinne der MaRisk liegt vor, „wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienst-leistungen oder sonstiger institutstypischen Dienstleis-tungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden“ – Auslagerungen im Sinne der MaRisk erfassen demzufolge nur einen Ausschnitt der Lieferkette eines Finanzdienstleisters. Nicht berücksichtigt sind alle Leistungen, die ein Institut nicht selbst erbringen würde, also etwa nicht-bankfachliche Dienstleistungen und Un-terstützungsprozesse (z. B. Datenerfassung).

Sich bei der Notfallvorsorge für die gesamte Lie-ferkette (End to End) auf die wesentlichen Auslagerungen bestimmter Compliance-Kriterien zu beschränken, greift in der Regel zu kurz. Erst eine Business-Impact-Analyse (BIA) im Rahmen mit der expliziten Prüfung der Liefer-ketten verschafft eine solide Grundlage für das SCCM.

Standards und Good Practices

Passende Normen für das SCCM findet man so-wohl in Regelungen für das BCM als auch spezifischen Werken für das Outsourcing (s. u., vgl. Tab. 1). Good Practices des BCM liefern auf europäischer Ebene in erster Linie die „BCI Good Practice Guidelines 2010“ (bestellbar über www.thebci.org) – dieses ansonsten sehr gute BCM-Hilfsmittel bildet externe Dienstleister zwar als Ressource im BCM-Lebenszyklus ab, gibt aber leider keine spezi-fischen Hilfestellungen für das SCCM.

Branchenspezifische Regelungen auf deutscher, europäischer und internationaler Ebene ergänzen diese Standards – hierzu gehören beispielsweise die europawei-ten Regelungen zum Outsourcing für Finanzdienstleister, namentlich die „EBA Guidelines on Internal Governance“ [4] und die „CEBS Guidelines on Outsourcing“ [5].

Ein hilfreicher Standard für die Ausgestaltung der Zusammenarbeit mit internen und externen Partnern ist zudem der BS 11000 „Collaborative business relation-ships“ (www.bsigroup.de): Der weltweit erste Collabo-ration-Standard enthält ein gesamthaftes Framework zur Beschreibung der wesentlichen Funktionen, die in der in-ternen und externen Zusammenarbeit mit Dienstleistern, Lieferanten und Kunden zu beachten sind. Acht Kapitel beschreiben den gesamten Lebenszyklus der Zusammen-arbeit (Awareness, Knowledge, Internal Assessment, Part-ner Selection, Working Together, Value Creation, Staying Together, Exit Strategy) – BCM und Exit-Strategien werden vor allem in den Vorgehensmodellen des Teil 2 „Guide to implementing“ behandelt.

BCM-Normen

BS 25999-1 und BS 25999-2 weisen noch einen starken Innenbezug auf die Organisation auf: In allen Phasen des BCM-Lebenszyklus sind Anforderungen an die Einbeziehung der kritischen Dienstleister und Zulieferer beschrieben, besonders hinsichtlich der Identifikation kritischer Dienstleister im Rahmen der BIA und des BCM-Audits der Dienstleister.

Die beiden British Standards werden durch den im Mai 2012 veröffentlichten ISO-Standard 22301 „Societal security – Business continuity management systems – Requirements“ abgelöst. Er macht bereits durch seinen Titel deutlich, dass hier dem Umfeld der Organi-sation eine wesentlich höhere Bedeutung zugemessen wird: ISO 22301 führt hierzu die Rolle der „Interested Party“ ein, die alle Stakeholder des Unternehmens und die Lieferkette umfasst. Interested Parties finden in allen Phasen des BCM Berücksichtigung – und so schafft der Standard zumindest einen Anforderungskatalog für das SCCM. Die konkrete Ausgestaltung des „wie“ bleibt jedoch der noch zu veröffentlichenden ISO 22313 „Business continuity management systems – Guidance“ vorbehalten.

Von deutscher Seite liefert das Bundesamt für Sicherheit in der Informationstechnik mit seinem BSI 100-4 einen Standard für das Notfallmanagement [6]. Für Behörden ist er verbindlich und bildet für deutsche Un-ternehmen generell eine gute Umsetzungsanleitung für das BCM. Dem Outsourcing widmet BSI 100-4 ein eigenes Kapitel; Schwerpunkt sind hierbei Hinweise zu wichtigen Punkten, die bei der Vertragsgestaltung zu beachten sind sowie die Berücksichtigung des Outsourcing bei der Not-fallkonzeption.

SCCM-Erläuterungen

Ein umfassendes SCCM-Framework liefert das „Public Document“ des British Standards Institute

Business-ContinuityManagement und Wissen

19© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#6

PD 25222:2011 „Business conti-nuity management – Guidance on supply chain continuity“ (bestellbar über http://shop.bsigroup.com). Dieses erläuternde Dokument de-finiert einleitend die wesentlichen SCCM-Begrifflichkeiten und stellt die Bedeutung des Continuity-Managements für die Sicherung der Liefernetzwerke dar. Für die SCCM-Umsetzung gibt es einen konkreten Handlungsrahmen vor, der sich am BCM-Lifecycle des BS 25999 und der Good-Practice-Guidelines des BCI orientiert. So lässt sich SCCM sehr gut in ein bestehendes BCM-System einbinden.

Das Konzept sieht die fol-genden Schritte in der Umsetzung vor:

Management-Buy-in, Analyse der Supply-Chain

(Festlegung des Scopes, Verständnis der Supply- Chain, Identifikation der kritischen Dienstleister),

Festlegung von Strategien, Weiterentwicklung und

laufender Betrieb sowie die Entwicklung einer lang-fris-

tigen Resilience-Strategie.

Framework fürs SCCM

Nachfolgend wird basierend auf dem BCM-Lifecycle ein metho-disches Vorgehen zur SCCM-Imple-mentierung skizziert (vgl. Abb. 1). Die Orientierung am BCM erleichtert die Integration in ein bestehendes Business-Continuity-Management-System und ermöglicht die einfache Transformation in den PDCA-Zyklus der Zertifizierungs-Standards.

SCCM-Programm-Manage-ment und Awareness

Gegenstand des SCCM-Pro-gramm-Managements sind die Im-plementierung einer Organisation, von Prozessen für das SCCM sowie einer angemessenen Governance-Struktur – dokumentiert in einer SC-

Abbildung 1:SCCM-Lifecycle auf Basis des BCM-Zyklus

CM-Policy. SCCM entsteht nicht auf der „grünen Wiese“, daher ist die De-finition der Schnittstellen zu angren-zenden Bereichen elementar: Hierzu gehören beispielhaft Einkaufsab-teilungen, Vertriebsorganisation, Recht und Risikomanagement. Die Anbindung an die Unternehmens-strategie und das Commitment des Managements ist über eine SCCM-Policy sicherzustellen. Die zentralen Prozesse des SCCM bestehen aus den „technischen Disziplinen“ Analyse der Supply-Chain, Supply-Chain-Strategie, Implementierung sowie „Tests, laufende Aktualisierung und Monitoring“ (vgl. Abb. 1). Zudem sind die Einbindung in die Unterneh-menskultur und Awareness-Bildung für das SCCM als dauerhafter Prozess vorzusehen – letztlich bedeutet dies, dass alle relevanten Rollen die Be-deutung des SCCM kennen und in ihren Entscheidungsprozessen mit berücksichtigen.

Analyse der Supply-Chain

Diese Phase ist der wesent-liche Ausgangspunkt zur Umsetzung eines SCCM; ihre Ziele sind die Identifikation kritischer Dienstleister sowie die Analyse der Risiken für die Supply-Chain im Rahmen eines laufenden Risk-Assessments. Bei der

Identifikation der kritischen Dienst-leister in der Wertschöpfungskette ist die BCM-Business-Impact-Analyse (BIA) eine wesentliche Informa-tionsquelle, da in ihrem Rahmen die kritischen Zusammenhänge der Wertschöpfungskette erhoben werden. Neben der Analyse der Abhängigkeiten der Prozesse von Dienstleistern ermittelt die BIA auch die maximal zu akzeptierenden Ausfallzeiten für die Ressourcen (Recovery-Time-Objective, RTO). Die BIA kann für das SCCM daher die Zeitkritikalität für die Prozesse bezogen auf die Dienstleister liefern (vgl. Abb. 2).

Neben der BIA sind jedoch

auch weitere Kriterien heranzuzie-hen – die „Supply Chain Resilience

Tabelle 1:Relevante Normen und Standards zum SCCM

Norm Inhalte zum Supply ChainContinuity Management

BS 2599-1,BS 25999-2

• BCM-Standard(zertifizierbar)

• BritishStandardsBSi

• BetrachtungkritischerDienstleister alsRessourceimBCM-Lifecycle

ISO 22301• BCM-Standard(zertifizierbar)

• ISO

• Supply-ChainwirdinderRolle „InterestedParty“durchgehend berücksichtigt

BSI-Standard100-4

• BCM-Standard (nichtzertifizierbar)• BundesamtfürSicherheitin derInformationstechnikBSI

• Outsourcingwirdineinemeigenen Kapitel“Outsourcingund Notfallmanagement”behandelt

BCIGoodPracticeGuidelines2010

• GoodPracticesfürBCMdes BusinessContinuityInstitute BCI

• BetrachtungkritischerDienstleister alsRessourceimBCM-Lifecycle

BSI 11000

• Collaborativebusiness relationships• BCM-Standard(zertifizierbar)• BritishStandardsBSi

• Risiko-undBusiness-Continuity- Managementimgesamten LebenszyklusdesPartner- Management

PD25222:2011

• GoodPracticeSupplyChain ContinuityMgt. (nichtzertifizierbar)• BritishStandardsBSi

• Supply-ChainwirdinderRolle „InterestedParty“durchgehend berücksichtigt

20 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#6

Business-ContinuityManagement und Wissen

Abbildung 2:Dependenzenana-

lyse im Rahmen der Business-Impact-Analyse des BCM

(das Recovery-Time-Object – ROT

– bezeichnet die maximal tolerier-bare Ausfallzeit)

Survey 2011“ des BCI hat hier die folgenden Punkte identifiziert:

Reputational Impact (57 %), Financial Impact of

Non-Supply over a Period of Time (54 %),

Regulatory Impact (50 %), Availability of other

Suppliers (50 %), Spend (49 %), Location of Supplier (43 %), Key People / Knowledge

involved (41 %), Bespoke Nature of Product /

Service supplied (37 %), Speed of change to

alternative Supplier (35 %), Interdependencies with

other Suppliers (28 %),

Maturity of the Industry (21 %).

Im Rahmen eines Risk-Assessments sind überdies die wesentlichen Risiken auf die Wert-schöpfungskette zu analysieren und, sofern erforderlich, zu mitigieren (vgl. Tab. 2). Ungeplante ITK-Aus-fälle (52 %) und Wetterereignisse (48 %) waren nach Erkenntnissen der Teil-nehmer der „BCI Supply Chain Resilience Studie 2012“ die Haupt-ursachen für Unterbrechungen in der Lieferkette. Mit großem Abstand folgten Serviceausfälle von Dienst-leistern (32 %). Branchenspezifisch zeigt die Studie jedoch ein anderes Bild für die Ursachen: Im Finanz-

Tabelle 2:Risiken der

Supply-Chain

Risikokategorien Ausprägungen

Rechtsrisiken • Betriebsschließungen • EinstweiligeVerfügungen

PolitischeRisiken • PolitischeInstabilität/Unruhen • Grenzschließungen • ZölleundTarife • Aus-undEinfuhrbestimmungen • Gesetzesänderungen

Betriebswirtschaftliche • InsolvenzdesLieferantenRisiken • Übernahmen/Zusammenschlüsse • ÄnderungenimProduktionsprogramm • Lieferunterbrechunginderdavorliegenden Lieferkette(TierTwo)

TechnischeRisiken • TechnischeStörungen/Ausfälle • IT-Ausfälle • Mitarbeiterausfälle • Qualitätsprobleme/Produktrückruf • Kontamination

Umweltrisiken • Naturkatastrophen • Klima/Wetter • Pandemien/Epidemien • UnterbrechungvonTransport/Verkehr

SozialeRisiken • Streik • Sabotage • KriminelleHandlungen,Terrorismus,Piraterie

dienstleistungsbereich waren bei-spielsweise ungeplante IT-Ausfälle, Datenverlust und Dienstleisteraus-fälle die Top-3-Risiken, während sich in der Produktion vor allem Wechselkurse, Energie und Wetter als Ursachen gezeigt haben.

Zur Mahnung: 61 % der Unterbrechungen in der Lieferkette wurden der Studie zufolge durch ei-nen Tier-1-Dienstleister verursacht, 32 % durch Tier-2-Dienstleister und 7 % auf der dritten Ebene der Dienst-leisterbeziehungen. Es reicht also nicht aus, nur die direkt beauftragten Dienstleister in seine Risikobetrach-tung einzubeziehen.

SSCM-Strategien

Für Risikostrategien im SSCM bestehen die folgenden Optionen:

Akzeptieren der Risiken (z. B. bei geringen Risiken),

Vermindern der Risiken durch Maßnahmen,

Übertragen der Risiken (auf Versicherungen oder Dienstleister) sowie

Vermeidung der Risiken (z. B. durch Verzicht auf Produkte oder Dienst- leistungen).

Anforderungen des SCCM müssen bereits sehr früh bei der Vertrags-gestaltung mit Dienstleistern be-rücksichtigt werden. Hierzu zählen Anforderungen an die Ausgestaltung des BCM des Dienstleisters, eine Ab-stimmung von Notfall- und Krisen-managementkonzepten, Prüf- und Einsichtrechte für das BCM sowie gewünschte Zertifizierungen. Zudem sind Berichts- und Meldewesen für die laufende Dienstleisterbeziehung, aber auch für Notfälle und Krisen beim Dienstleister und Auftraggeber festzulegen – hierzu zählt nicht zu-letzt die Definition von Eskalations-stufen (z. B. Störung, Notfall, Krise), da diese nicht einheitlich verwendet werden (vgl. Kap. 10 in [6]).

21© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2012#6

Implementierung

Grundlage für den Übergang eines SCCM in den laufenden Betrieb sind die in der SCCM-Policy geregel-ten Vorgaben für Organisation und Prozesse. Zum laufenden Betrieb ge-hört die Umsetzung der festgelegten SCCM-Strategien für die Dienstleister, das laufende SCCM-Berichtswesen sowie regelmäßige Überprüfungen/Audits bei den Dienstleistern (vgl. Tab. 3). Die beispielsweise im Finanz-dienstleistungsbereich regulatorisch vorgeschriebene Abstimmung der Notfallkonzepte gehört ebenso dazu wie Einrichtung, Pflege und Tests von Alarmierungs- und Kommunikati-onswegen bei Störungen, Notfällen und Krisen. Eine Abstimmung der Notfallkonzepte muss gegebenenfalls auf mehreren Ebenen erfolgen – ihr Umfang hängt von der Kritikalität des Dienstleisters ab.

Test, Aktualisierung,Monitoring

Die Funktionsfähigkeit der SCCM-Konzepte lässt sich letzt-lich erst durch Tests und Übungen überprüfen und nachweisen – diese sollten sowohl Notfälle beim Dienst-leister, Notfälle beim Auftraggeber als auch Katastrophen mit gemeinsamer Betroffenheit umfassen. Alarmie-rungs- und Eskalationsverfahren sowie die hierfür eingesetzten Tools sollte man regelmäßig testen und auf Aktualität der Kontaktdaten hin prüfen. Regelmäßige „Jour Fixes“ mit den kritischen Dienstleistern fördern zudem die Zusammenarbeit und das gemeinschaftliche Denken und Handeln.

Audits von Wirtschafts-prüfungsgesellschaften und Bera-tungsunternehmen oder auch Zer-tifizierungen nach internationalen Standards geben darüber hinaus Hinweise auf den Reifegrad des BCM-Systems von Dienstleistern. Sie ersetzen jedoch nicht die bila-terale Zusammenarbeit, da solche Audits und Zertifizierungen in der

Regel keine konkreten Hinweise auf die spezifischen Auswirkungen von Ausfällen auf die eigene Dienstleis-tungsbeziehung geben.

Fazit

Supply-Chain-Continuity-Management (SCCM) ist eine junge Disziplin, die angesichts des zuneh-menden Outsourcings in allen Bran-chen eine wachsende Bedeutung gewinnt. Viele Ereignisse der letzten Jahre (z. B. Fukushima, Thailand-Überschwemmungen, Aschewol-ken) haben die Notwendigkeit der Weiterentwicklung dieses Themas für alle Branchen aufgezeigt. Teils erfordern bereits gesetzliche und regulatorische Normen seine Orga-nisation und entsprechende Prozesse – auch bei externen Audits gerät SCCM zunehmend in den Fokus der Prüfungen. Standards und Good Practices für seine konkrete Umset-zung liegen jedoch erst rudimentär vor und müssen aus der Praxis heraus fortentwickelt werden. ■

Matthias Hämmerle übernimmt bei der Automation Consulting Group (ACG) GmbH in Frankfurt ab Januar 2013 die Leitung des neu gegründeten „Com-petence Center Business Continuity Management“. Dr. Klaus-Rainer Müller, der bisher auch für BCM verantwortlich war, spezialisiert sich künftig auf die Themen IT-Sicherheit, Sourcing und Provider-Management.

Tabelle 3:Abstimmung des SSCM mit Dienst-leistern

Alarmierungund • AbstimmungvonBegrifflichkeiten:Eskalation Definitionvon„Störung“,„Problem“,„Ausfall“, „Notfall“,„Krise“,„K-Fall“ • DokumentationderAnsprechpartnerund Kommunikationsdaten • FestlegungderMeldewege • De-Eskalation

Krisenmanagement • AbstimmungderKrisenstabsorganisationen • FestlegunggegenseitigerTeilnahmeoder Informationsaustausch

Notfallkonzepte • BeidseitigeAbstimmungderNotfallkonzepte (Handlungsoptionenund-verfahren)

Geschäftsfortführungs- • AbstimmungvonNotfallplänenundWiederanlaufpläne

Test-undÜbungspläne • AbstimmungderTest-undÜbungspläne (inhaltlichundzeitlich) • AbstimmungvonBegrifflichkeiten

Literatur

[1] Business Continuity Institute (BCI), Supply Chain Resilience 2012, www.thebci.org/index.php?option=com_content&view=article&id=341&Itemid=201

[2] Sonja Mohr, Outsourcing nach Bankenart, § 25a KWG als Grund-lage für sichere IT-Dienstleistungen, <kes> 2005#6, S. 85

[3] Bundesanstalt für Finanzdienst-leistungsaufsicht (BaFin), Mindestan-forderungen an das Risikomanage-ment (MaRisk BA), www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1011_ba_ma-risk.html

[4] European Banking Authority (EBA), Guidelines on Internal Gover-nance (GL 44), www.eba.europa.eu/Publications/Guidelines.aspx

[5] Committee of European Banking Supervisors (CEBS), Guidelines on Outsourcing, www.eba.europa.eu/getdoc/f99a6113-02ea-4028-8737-1cdb33624840/GL02Outsourcing-Guidelines-pdf.aspx

[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Stan-dard 100-4: Notfallmanagement, www.bsi.bund.de/ContentBSI/Pu-blikationen/BSI_Standard/it_grund-schutzstandards.html