Business Continuity Management (BCM): Unternehmen krisenfest machen
Business Continuity Management (BCM) ist der organisatorische Rahmen um kritische Geschäftsprozesse auch während und nach Krisen aufrechtzuerhalten. Dieser Artikel erklärt den BCM-Lifecycle nach ISO 22301, Business Impact Analysis (BIA), Recovery Strategies, Business Continuity Plans (BCP), Krisenmanagement-Strukturen und die Integration mit IT-Notfallmanagement und ISO 27001.
Inhaltsverzeichnis (5 Abschnitte)
Ransomware trifft. Rechenzentrum brennt. Schlüsselmitarbeiter fällt aus. Lieferant insolvent. In allen Fällen stellt sich die entscheidende Frage: Wie lange kann das Unternehmen noch funktionieren - und was ist der Plan? BCM gibt strukturierte Antworten auf diese Fragen, bevor die Krise eintritt.
BCM vs. Disaster Recovery vs. IT-Notfallmanagement
BCM (Business Continuity Management) ist der organisatorische Rahmen für alle Arten von Geschäftsstörungen. Fokus liegt auf der Aufrechterhaltung kritischer Geschäftsprozesse für die gesamte Organisation - nicht nur IT. Standard: ISO 22301. Umfasst BIA, BCP, Crisis Management, Kommunikation und Training.
Disaster Recovery (DR) ist die technische Wiederherstellung von IT-Systemen nach einem Ausfall und damit eine Teilmenge von BCM. Fokus liegt auf RTO/RPO-Zielen für IT-Systeme. Standard: ISO 27031 (IT für BCM).
IT-Notfallmanagement (BSI) sichert die Informationsverarbeitung nach BSI IT-Grundschutz. Incident Response ist eine Teilmenge und wird in das ISMS (ISO 27001, Klauseln 8.4 und 6.1) integriert.
Business Continuity Plan (BCP) ist das Dokument, das beschreibt wie bei einer Störung weitergemacht wird - mit Notfallorganisation, Eskalation, Kommunikation und Recovery-Schritten.
Crisis Management ist die Führungs- und Entscheidungsstruktur während einer Krise. Das Crisis Management Team (CMT) definiert, wer was entscheidet.
BCM-Lifecycle nach ISO 22301
ISO 22301:2019 strukturiert das Business Continuity Management System (BCMS) in mehrere Klauseln. Klausel 4 (Kontext) analysiert Stakeholder, definiert den BCMS-Scope und erfasst regulatorische und vertragliche Anforderungen. Klausel 6 (Planung) führt BIA und Risikoanalyse durch und setzt RTO/RPO-Ziele. Klausel 8 (Betrieb) ist das Kernstück mit BIA, Business Continuity Strategy, BCPs und Tests. Klausel 9 (Leistungsbewertung) umfasst interne Audits, Management Reviews und Metriken. Klausel 10 (Verbesserung) verarbeitet Lessons Learned in einem kontinuierlichen Verbesserungsprozess.
BCM-Implementierungs-Roadmap (6 Monate):
Monate 1-2 - Grundlagen: Scope des BCMS definieren, BCM-Policy verabschieden, BCM-Manager benennen, Crisis Management Team nominieren.
Monate 3-4 - BIA und Risiken: Business Impact Analysis durchführen, kritische Prozesse identifizieren, RTO/RPO-Ziele festlegen, Risikoanalyse für BCM-Ereignisse abschließen.
Monate 5-6 - Pläne und Tests: Business Continuity Plans schreiben, Kommunikationsplan erstellen, Tabletop Exercise durchführen, BCMS-Dokumentation vervollständigen.
Business Impact Analysis (BIA)
Die BIA ist der Kern von BCM. Sie beantwortet drei Fragen: Welche Prozesse sind wie kritisch? Wie lange können wir ohne sie auskommen? Was sind die Konsequenzen eines Ausfalls (finanziell, rechtlich, reputational)?
Die Datenerhebung erfolgt über Workshops und Interviews mit Prozessverantwortlichen. Für jeden Prozess werden erhoben: Beschreibung (Input, Verarbeitung, Output), benötigte Ressourcen (Personal, IT, Gebäude), Abhängigkeiten (vorgelagerte Prozesse, Lieferanten), Auswirkungen bei Ausfall über verschiedene Zeiträume, regulatorische Fristen und saisonale Kritikalitätsspitzen (Monatsende, Jahresende).
BIA-Ergebnisse:
- MTPD (Maximum Tolerable Period of Disruption): maximale Ausfallzeit, nach der irreversible Schäden entstehen
- RTO (Recovery Time Objective): wie schnell muss der Prozess wieder laufen - muss kleiner als MTPD sein
- RPO (Recovery Point Objective): wie alt dürfen die Daten nach Wiederherstellung sein - direkt abhängig von der Backup-Frequenz
| Prozess | MTPD | RTO | RPO | Kritikalität |
|---|---|---|---|---|
| Webshop/Online-Shop | 4h | 2h | 1h | KRITISCH |
| Lagerverwaltung | 1 Tag | 4h | 4h | HOCH |
| Buchhaltung | 1 Woche | 2 Tage | 1 Tag | MITTEL |
| HR-System | 2 Wochen | 1 Woche | 1 Tag | NIEDRIG |
| Webseite (statisch) | 1 Woche | 4h | 1 Tag | MITTEL |
Recovery Strategies werden basierend auf den BIA-Ergebnissen festgelegt: Ausweich-Arbeitsplätze (Homeoffice, Ausweichstandort beim Partner), manuelle Fallback-Prozesse (kritische Formulare auf Papier - "Wie haben wir das vor 20 Jahren gemacht?"), Alternativlieferanten (immer mit vorvereinbartem SLA) und IT-Recovery-Strategien nach Aufwand und Geschwindigkeit:
- Cold Standby: Backup-System existiert, muss noch aufgebaut werden (4-24 Stunden)
- Warm Standby: System läuft, aber nicht aktuell (1-4 Stunden Synchronisierung)
- Hot Standby: System läuft synchron, sofortige Übernahme (unter 1 Stunde)
- Active-Active: beide Systeme laufen produktiv (unter 15 Minuten, teuerste Option)
Business Continuity Plan (BCP)
Der BCP-Dokument enthält: Geltungsbereich und Aktivierungstrigger, Crisis Management Team mit Primär- und Stellvertreterkontakten (auch offline verfügbar!), Kommunikationsplan für interne und externe Kommunikation sowie prozessspezifische Recovery-Prozeduren.
Für jeden kritischen Prozess enthält der Plan: Beschreibung des Ausfallszenarios, Sofortmaßnahmen (erste Stunde), Kurzfristmaßnahmen (erste 24 Stunden), mittelfristige Wiederherstellung, Verantwortlichkeiten (wer macht was) und benötigte Ressourcen.
Crisis Management Team - Aktivierungsschwellen:
Level 1 (Incident): IT-Störung mit begrenzter Auswirkung, IT-Leiter und betroffene Abteilung lösen intern, kein CMT notwendig.
Level 2 (Business-Continuity-Ereignis): Mehrere Stunden Ausfall kritischer Prozesse, CMT wird informiert und ggf. aktiviert, CISO und COO werden einbezogen.
Level 3 (Krise): Mehr als 1 Tag Ausfall, externer Schaden oder Datenpanne, CMT vollständig aktiviert, Geschäftsführung einbezogen, täglich zwei Lagebesprechungen im Krisenstab.
CMT Erste Maßnahmen bei Aktivierung: Lagebild herstellen, Schadensausmaß einschätzen, Sofortmaßnahmen entscheiden (Notbetrieb aktivieren?), interne Kommunikation an alle Betroffenen und Logbuch führen (alle Entscheidungen dokumentieren - für Versicherung, Behörden und spätere Nachweise).
BCM-Tests und Übungen
Dokumentenreview (quartalsweise): BCP auf Aktualität prüfen - sind Kontaktdaten noch korrekt, Prozesse noch richtig beschrieben, Organisationsveränderungen eingearbeitet?
Tabletop Exercise (halbjährlich): CMT trifft sich, Moderator gibt Szenario vor ("Es ist Montag 08:00, Ransomware schlägt zu..."), Team diskutiert Entscheidungsprozesse ohne echte IT-Beteiligung. Dauer: 2-4 Stunden.
Functional Exercise (jährlich): Einzelne Prozeduren wirklich testen - DR-Plan mit echtem Failover auf Backup-Systeme, Kommunikationsplan mit echter Notfall-SMS-Kette.
Full Simulation Exercise (alle 2-3 Jahre): Vollständige Krisensimulation, ggf. ohne Vorankündigung, CMT wird aktiviert und alle Pläne ausgeführt. Aufwändig und teuer, aber wertvollstes Testergebnis.
Typisches Übungsszenario für Cyberangriff-BCM: "Ransomware trifft Produktionssystem. 09:00 Uhr Montagmorgen." Die zu beantwortenden Fragen: Wer wird wann informiert? Wie kommunizieren wir mit Kunden? Welcher Notbetrieb wird aktiviert? Ab wann sprechen wir mit der Presse? Wann melden wir bei BSI und LfDI?
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
3 Publikationen
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
