Zum Inhalt springen
SIKKER GmbH

Business Continuity Management: Geschäftsbetrieb absichern

Cyberangriff, Lieferkettenausfall oder Standortproblem: Business Continuity Management (BCM) sichert die Betriebskontinuität mit dokumentierten Notfallplänen, definierten Wiederanlaufzeiten und erprobten Abläufen.

Die SIKKER GmbH begleitet mittelständische Unternehmen beim Aufbau eines BCM nach ISO 22301, von der Business Impact Analyse bis zum getesteten Notfallplan.

Kostenlose Erstberatung BCM-Fahrplan ansehen

Was ist Business Continuity Management?

Business Continuity Management ist ein systematischer Ansatz, um die Fortführung kritischer Geschäftsprozesse bei Störungen sicherzustellen. Anders als rein reaktive Notfallmaßnahmen verfolgt BCM einen präventiven Ansatz: Es identifiziert Abhängigkeiten und Schwachstellen, bevor ein Ernstfall eintritt, und definiert vorab, wie der Geschäftsbetrieb aufrechterhalten oder wiederhergestellt wird.

Ein Business Continuity Plan dokumentiert die konkreten Schritte für den Krisenfall: Wer entscheidet, wer kommuniziert, welche Systeme zuerst wiederhergestellt werden, welche Ausweichlösungen greifen. Ohne einen solchen Plan sind Unternehmen im Ernstfall auf Improvisation angewiesen, was die Ausfallzeit verlängert und den Schaden vergrößert.

Der internationale Standard ISO 22301 definiert die Anforderungen an ein Business Continuity Management System (BCMS). Er ist kompatibel mit ISO 27001 und lässt sich in bestehende Managementsysteme integrieren.

BCM auf einen Blick

  • Ziel: Geschäftskontinuität bei Störungen sicherstellen
  • Standard: ISO 22301:2019
  • Kernelemente: BIA, Risikoanalyse, Notfallpläne, Tests
  • Regulatorik: NIS-2, KRITIS/BSIG, DORA, ISO 27001
  • Zielgruppe: Mittelstand, KRITIS-Betreiber, Finanzsektor, IT-Dienstleister
  • Ergebnis: Dokumentiertes BCMS mit getesteten Notfallplänen

Warum Unternehmen BCM brauchen

Betriebsunterbrechungen treffen Unternehmen jeder Größe. Die Frage ist nicht, ob eine Störung eintritt, sondern wann. Drei Szenarien aus der Beratungspraxis zeigen, warum ein Business Continuity Plan den Unterschied macht:

Cyberangriff und Ransomware

Ein Ransomware-Angriff verschlüsselt Ihre Systeme. Ohne BCM fehlen dokumentierte Wiederanlaufpläne, Backup-Strategien und Krisenkommunikation. Die Ausfallzeit steigt von Stunden auf Tage oder Wochen. Informationssicherheit →

Ausfall kritischer Dienstleister

Ein zentraler IT-Dienstleister oder Zulieferer fällt aus. BCM identifiziert diese Abhängigkeiten vorab und definiert Ausweichstrategien, bevor die eigene Lieferfähigkeit gefährdet ist. NIS-2 und Lieferkette →

Standortausfall

Ob Hochwasser, Brand oder Stromausfall: Wird ein Standort unbenutzbar, braucht Ihr Unternehmen sofort Alternativen. Ein Business Continuity Plan regelt Ausweichstandorte, Remote-Arbeit und die Priorisierung der Wiederherstellung.

Regulatorische Treiber für BCM

Business Continuity Management ist in mehreren Regelwerken verankert. Die NIS-2-Richtlinie fordert in §30 BSIG explizit Maßnahmen zur Aufrechterhaltung des Betriebs, einschließlich Backup-Management und Krisenmanagement. ISO 27001 verlangt Kontrollen für Informationssicherheit bei Störungen und IKT-Bereitschaft für Business Continuity. Für den Finanzsektor schreibt DORA umfassende IKT-Kontinuitätstests vor. Ein dokumentiertes BCM erfüllt diese Anforderungen und schafft gleichzeitig Nachweisfähigkeit gegenüber Aufsichtsbehörden und Geschäftspartnern.

ISO 22301: Der Standard für Business Continuity Management

ISO 22301 ist der international anerkannte Standard für Business Continuity Management Systeme. Er definiert einen strukturierten Rahmen für die Planung, Umsetzung und kontinuierliche Verbesserung von BCM in Organisationen jeder Größe und Branche.

Der Standard folgt dem Plan-Do-Check-Act-Zyklus (PDCA), einem vierstufigen Prozess zur kontinuierlichen Verbesserung, und ist kompatibel mit anderen ISO-Managementsystemen. Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, können ein BCMS nach ISO 22301 effizient integrieren. Beide Standards teilen die gleiche High-Level-Struktur, was Doppelarbeit bei Dokumentation, internen Audits und Management-Reviews vermeidet.

Kernanforderungen der ISO 22301

Business Impact Analyse (BIA)

Identifikation kritischer Aktivitäten, Bewertung der Ausfallauswirkungen und Festlegung von Wiederherstellungsprioritäten.

Risikobeurteilung

Systematische Analyse von Bedrohungen, die zu Betriebsunterbrechungen führen können. Integration mit dem unternehmensweiten Risikomanagement.

Business Continuity Strategien und Pläne

Dokumentierte Verfahren für die Reaktion auf Störungen, die Aufrechterhaltung kritischer Prozesse und die Wiederherstellung des Normalbetriebs.

Tests und Übungen

Regelmäßige Überprüfung der Notfallpläne durch Simulationen, Tabletop-Übungen und technische Tests. Nur getestete Pläne sind im Ernstfall belastbar.

BCM-Aufbau: Ihr Fahrplan in fünf Schritten

Der Aufbau eines Business Continuity Management Systems folgt einem bewährten Vorgehen. Dieser Fahrplan eignet sich für Unternehmen, die BCM erstmals einführen, ebenso wie für Organisationen, die ein bestehendes Notfallkonzept systematisieren wollen.

  1. 1

    Business Impact Analyse (BIA)

    Welche Geschäftsprozesse sind kritisch? Wie lange darf ein Prozess maximal ausfallen, bevor der Schaden untragbar wird? Die BIA beantwortet diese Fragen und legt die Wiederanlaufzeiten (RTO) und maximal tolerierbaren Datenverluste (RPO) fest. Das Ergebnis ist eine priorisierte Liste aller schützenswerten Prozesse.

  2. 2

    Risikoanalyse

    Aufbauend auf der BIA analysieren wir, welche Bedrohungen die identifizierten kritischen Prozesse gefährden. Dazu gehören technische Ausfälle, Cyberangriffe, Personalengpässe, Lieferkettenunterbrechungen und Naturereignisse. Jedes Risiko wird nach Eintrittswahrscheinlichkeit und Schadenpotenzial bewertet.

  3. 3

    BCM-Strategie und Notfallpläne

    Aus BIA und Risikoanalyse leiten wir die passenden Kontinuitätsstrategien ab: Redundanzen, Ausweichstandorte, alternative Dienstleister, Backup-Konzepte. Für jeden kritischen Prozess entsteht ein dokumentierter Business Continuity Plan mit klaren Verantwortlichkeiten, Eskalationswegen und Kommunikationsregeln.

  4. 4

    Tests und Übungen

    Notfallpläne müssen getestet werden, um im Ernstfall zu funktionieren. Wir planen und begleiten Tabletop-Übungen, Simulationen und technische Recovery-Tests. Die Ergebnisse fließen direkt in die Verbesserung der Pläne ein. Regelmäßige Übungen schulen gleichzeitig die beteiligten Mitarbeitenden.

  5. 5

    Kontinuierliche Verbesserung

    BCM ist kein einmaliges Projekt. Änderungen in der IT-Landschaft, neue Geschäftsprozesse oder veränderte Bedrohungslagen erfordern regelmäßige Überprüfungen. Wir etablieren einen Review-Zyklus, der Ihr BCMS aktuell hält und mit den Anforderungen aus ISO 22301, NIS-2 oder ISO 27001 abgleicht.

Häufig gestellte Fragen

Wie lange dauert der Aufbau eines BCM?

Der Zeitrahmen hängt von Unternehmensgröße, Prozesskomplexität und bestehender Dokumentation ab. Typischerweise dauert die Ersterstellung eines BCM nach ISO 22301 zwischen sechs und zwölf Monaten: Business Impact Analyse und Risikoanalyse belegen die ersten drei bis vier Monate, Strategieentwicklung und Plandokumentation weitere zwei bis vier Monate, Tests und Schulungen runden den Aufbau ab. Bei bestehendem ISMS nach ISO 27001 verkürzt sich die Projektdauer spürbar.

Reicht unser bestehendes Notfallkonzept aus?

Viele Unternehmen haben IT-Wiederanlaufpläne oder Brandschutzkonzepte, aber kein umfassendes BCM. Ein strukturiertes BCM geht darüber hinaus: Es betrachtet alle geschäftskritischen Prozesse, definiert Wiederanlaufzeiten, regelt Verantwortlichkeiten im Krisenfall und wird regelmäßig getestet. Eine Gap-Analyse zeigt, welche Bausteine vorhanden sind und wo Ergänzungen nötig sind, um Anforderungen aus NIS-2, ISO 22301 oder Kundenverträgen zu erfüllen.

Was ist der Unterschied zwischen BCM und Disaster Recovery?

Disaster Recovery (DR) konzentriert sich auf die Wiederherstellung von IT-Systemen und Daten nach einem Ausfall. Business Continuity Management geht darüber hinaus: Es betrachtet alle geschäftskritischen Prozesse, nicht nur die IT. BCM umfasst organisatorische Maßnahmen, Kommunikationspläne, alternative Arbeitsplätze und die Aufrechterhaltung des Geschäftsbetriebs während einer Krise. DR ist ein wichtiger Baustein innerhalb eines umfassenden BCM.

Was ist ISO 22301?

ISO 22301:2019 ist der internationale Standard für Business Continuity Management Systeme (BCMS) und definiert Anforderungen an Planung, Aufbau, Umsetzung und kontinuierliche Verbesserung. Die High-Level-Struktur stimmt mit ISO 27001 überein, was integrierte Managementsysteme ermöglicht. Eine Zertifizierung weist gegenüber Kunden, Partnern und Aufsichtsbehörden systematische Vorsorge nach.

Für wen ist Business Continuity Management Pflicht?

Eine gesetzliche BCM-Pflicht besteht für Betreiber kritischer Infrastrukturen (KRITIS) nach dem BSI-Gesetz, für Unternehmen im Anwendungsbereich der NIS-2-Richtlinie (§30 BSIG fordert explizit Business Continuity) und für Finanzunternehmen unter DORA. Darüber hinaus verlangen viele Branchenstandards, Kundenverträge und Versicherungsbedingungen ein dokumentiertes BCM. Auch ohne gesetzliche Pflicht ist BCM für jedes Unternehmen sinnvoll, dessen Geschäftsbetrieb von funktionierenden Prozessen und IT-Systemen abhängt.

Wie hängen BCM und ISO 27001 zusammen?

ISO 27001 enthält in Annex A die Kontrollen A.5.29 (Informationssicherheit bei Störungen) und A.5.30 (IKT-Bereitschaft für Business Continuity). Diese Kontrollen fordern, dass Unternehmen Kontinuitätsanforderungen definieren und Wiederherstellungspläne für ihre Informationsverarbeitung vorhalten. Ein ISMS nach ISO 27001 legt damit die Grundlage für BCM im Bereich der Informationssicherheit. ISO 22301 erweitert diesen Ansatz auf alle Geschäftsprozesse.

Wie funktioniert eine Business Impact Analyse?

Die Business Impact Analyse (BIA) identifiziert alle geschäftskritischen Prozesse und bewertet die Auswirkungen eines Ausfalls über die Zeit. Für jeden Prozess werden maximal tolerierbare Ausfallzeit (MTPD), Wiederanlaufzeit (RTO) und maximal tolerierbarer Datenverlust (RPO) bestimmt. Das Ergebnis priorisiert alle weiteren BCM-Maßnahmen und Wiederanlaufpläne.

Verwandte Leistungen

BCM steht nicht isoliert. Diese Leistungen ergänzen den Aufbau eines Business Continuity Management Systems.

ISMS & ISO 27001

ISO 27001 fordert Kontinuitätsplanung als Teil der Informationssicherheit. Wir verbinden ISMS-Aufbau und BCM zu einem integrierten Managementsystem.

Mehr erfahren

Risikomanagement

Risikoanalyse ist die Grundlage jedes BCM. Wir identifizieren Bedrohungen, bewerten Eintrittswahrscheinlichkeiten und leiten Maßnahmen ab.

Mehr erfahren

Informationssicherheit

Business Continuity ist ein zentraler Baustein der Informationssicherheit. Unsere Beratung verbindet beide Disziplinen.

Mehr erfahren

Betriebskontinuität sicherstellen

Wie gut ist Ihr Unternehmen auf Betriebsunterbrechungen vorbereitet? In einem unverbindlichen Erstgespräch analysieren wir Ihren Status quo und skizzieren erste Schritte zum BCM.

Jetzt Erstberatung anfragen