Business Continuity Management (BCM) nach ISO 22301 geht weit über den klassischen IT-Notfallplan hinaus. Während ein Notfallplan beschreibt, was zu tun ist, wenn ein bestimmtes Szenario eintritt, zielt ein BCM-System darauf ab, die Widerstandsfähigkeit eines Unternehmens gegenüber Unterbrechungen aller Art systematisch aufzubauen, zu testen und kontinuierlich zu verbessern. Cyberangriffe, Stromausfälle, kritische Personalausfälle, Lieferantenausfälle oder Schäden an Produktionsanlagen können jederzeit auftreten, und die Fähigkeit, den Betrieb in einer akzeptablen Zeit wieder aufzunehmen, entscheidet darüber, ob ein Unternehmen eine solche Krise überlebt oder nachhaltig beschädigt wird. Studien zeigen, dass ein erheblicher Anteil kleiner und mittlerer Unternehmen nach einem größeren Betriebsausfall ohne vorbereitete Notfallkonzepte den Betrieb dauerhaft einstellt. ISO 22301 bietet einen international anerkannten Rahmen, um BCM strukturiert einzuführen und nachweisbar zu betreiben. Dieser Beitrag erklärt den Aufbau des Standards, die zentralen Methoden und die häufigsten Umsetzungsfehler.
Redaktioneller Hinweis: Dieser Beitrag dient der allgemeinen Information. Für die unternehmensspezifische Umsetzung regulatorischer Anforderungen (z.B. DORA, KRITIS-Verordnung) empfiehlt sich die Beratung durch einen Fachspezialisten.
BCM und Notfallplan: Begriffe und Abgrenzungen
Im Sprachgebrauch werden die Begriffe Notfallplan, Disaster Recovery Plan (DRP) und Business Continuity Plan (BCP) häufig synonym verwendet, obwohl sie unterschiedliche Ebenen adressieren:
Ein IT-Notfallplan beschreibt die Reaktion auf spezifische IT-Ausfallszenarien, zum Beispiel den Ausfall eines Servers, einer Datenbankapplikation oder des gesamten Rechenzentrums. Er enthält Eskalationswege, Verantwortlichkeiten und technische Wiederherstellungsschritte.
Ein Disaster Recovery Plan (DRP) ist breiter angelegt und umfasst die technische Wiederherstellung der IT-Infrastruktur nach einem schwerwiegenden Ausfallereignis. Kennzahlen wie RTO (Recovery Time Objective, angestrebte Wiederherstellungszeit) und RPO (Recovery Point Objective, maximal tolerierbarer Datenverlust) sind zentrale Parameter des DRP.
Ein Business Continuity Plan (BCP) geht noch weiter und beschreibt, wie kritische Geschäftsprozesse während und nach einer Störung aufrechterhalten oder in einem reduzierten Notbetrieb weitergeführt werden. Er bezieht sich nicht nur auf IT-Systeme, sondern auch auf Personal, Gebäude, Lieferanten und Kommunikation.
Business Continuity Management (BCM) nach ISO 22301 ist der übergeordnete Managementrahmen, der sicherstellt, dass alle diese Pläne koordiniert entwickelt, gepflegt, getestet und verbessert werden. Es handelt sich um ein Managementsystem, das demselben Plan-Do-Check-Act-Zyklus (PDCA) folgt wie ISO 27001 (Informationssicherheit) oder ISO 9001 (Qualitätsmanagement).
Kernelemente eines BCM-Systems nach ISO 22301
ISO 22301 gliedert sich wie alle modernen ISO-Managementsystemstandards in die sogenannte High Level Structure (HLS) mit zehn Abschnitten. Die inhaltlich relevanten Kernelemente für die Praxis sind:
Business Impact Analysis (BIA)
Die Business Impact Analysis ist methodisch der wichtigste Schritt des gesamten BCM-Prozesses und gleichzeitig derjenige, der in der Praxis am häufigsten übersprungen oder unzureichend durchgeführt wird. Ziel der BIA ist es, zu bestimmen, welche Geschäftsprozesse für das Unternehmen kritisch sind, welchen finanziellen, reputativen und rechtlichen Schaden ein Ausfall dieser Prozesse verursachen würde und innerhalb welcher Maximalzeit ein Prozess wieder verfügbar sein muss (Maximum Tolerable Period of Disruption, MTPD).
Die BIA wird typischerweise als strukturiertes Interview mit den verantwortlichen Prozesseigentümern durchgeführt. Die Ergebnisse werden in einer Tabelle zusammengefasst, die für jeden kritischen Prozess den MTPD-Wert, den RTO-Wert (angestrebte Wiederherstellungszeit, die immer kleiner sein muss als MTPD) und die wesentlichen Ressourcenabhängigkeiten (IT-Systeme, Personal, Lieferanten, Räumlichkeiten) aufführt.
Risikobeurteilung
Auf Basis der BIA-Ergebnisse erfolgt eine Risikobeurteilung, die mögliche Bedrohungsszenarien für die kritischen Prozesse und ihre Ressourcen bewertet. Typische Szenarien umfassen IT-Ausfälle durch Cyberangriffe oder technisches Versagen, Ausfall von Schlüsselpersonal durch Krankheit oder Fluktuation, Ausfall kritischer Lieferanten, Gebäudeunverfügbarkeit durch Brand oder Naturereignisse sowie Energieversorgungsausfälle. Die Bewertung erfolgt nach Eintrittswahrscheinlichkeit und Schadensausmaß und mündet in einer Priorisierung der Szenarien, für die Continuity-Strategien entwickelt werden.
Business Continuity Strategien entwickeln
Für die priorisierten Szenarien werden Ausweichstrategien definiert. Diese können struktureller Natur sein (Ausweichstandort für den Notbetrieb, redundante Systeme, alternative Lieferanten) oder prozessualer Natur (manuelle Überbrückungsverfahren, priorisierter Ressourceneinsatz bei eingeschränkter Kapazität, Notfall-Kommunikationswege). Eine Strategie muss immer in Relation zu den RTO-Anforderungen der BIA bewertet werden: Wenn ein Prozess innerhalb von vier Stunden wiederhergestellt sein muss, sind Strategien, die einen Vorlauf von 24 Stunden erfordern, nicht geeignet.
Business Continuity Pläne dokumentieren
Die beschlossenen Strategien werden in konkreten Business Continuity Plänen dokumentiert. Ein BCP enthält typischerweise Auslösekriterien (wann wird der Plan aktiviert?), Eskalations- und Entscheidungswege (wer ruft den Notfall aus?), eine Kontaktliste der Schlüsselpersonen, konkrete Handlungsanweisungen für die ersten 24 bis 72 Stunden sowie Checklisten für die schrittweise Rückkehr in den Normalbetrieb. BCPs müssen kurz, eindeutig und auch unter Stress nutzbar sein. Lange Dokumente, die im Ernstfall nicht gefunden oder nicht verstanden werden, helfen nicht.
Übungen und Tests
ISO 22301 schreibt vor, dass BCM-Pläne regelmäßig durch Übungen überprüft werden müssen. In der Praxis unterscheidet man drei Übungsformate: Der Schreibtischtest (Tabletop Exercise) ist eine moderierte Diskussion eines Szenarios im Sitzungsraum ohne echte Systemeingriffe. Die Funktionsübung testet spezifische Komponenten des Plans, zum Beispiel das Failover auf einen Backup-Standort oder die Aktivierung des Notfallkommunikationssystems. Der Volltest (Full-Scale Exercise) simuliert den Ernstfall unter realen Bedingungen und ist aufwändiger, liefert aber die belastbarsten Erkenntnisse über tatsächliche Lücken im Plan.
Dokumentenstruktur im BCM-System
| Dokument | Inhalt | Aktualisierungsrhythmus |
|---|---|---|
| BCM-Richtlinie | Geltungsbereich, Ziele, Verantwortlichkeiten auf Leitungsebene | Jährlich oder bei wesentlichen Änderungen |
| Business Impact Analysis | Kritische Prozesse, MTPD, RTO, RPO, Ressourcenabhängigkeiten | Jährlich und bei Prozessänderungen |
| Risikobeurteilung | Bedrohungsszenarien, Bewertungen, priorisierte Handlungsfelder | Jährlich und anlassbezogen |
| Business Continuity Plan (BCP) | Aktivierungskriterien, Eskalation, Handlungsanweisungen | Nach jeder Übung oder Änderung |
| Disaster Recovery Plan (DRP) | Technische Wiederherstellungsschritte für IT-Systeme | Bei jeder Systemänderung |
| Übungsprotokoll | Ergebnisse, Erkenntnisse, Maßnahmen aus Übungen und Tests | Nach jeder Übung |
RTO und RPO: Die entscheidenden Kennzahlen
Zwei Kennzahlen stehen im Mittelpunkt jeder BCM-Planung: Die Recovery Time Objective (RTO) gibt an, innerhalb welcher Zeit ein Prozess oder ein System nach einem Ausfall wieder verfügbar sein muss. Die Recovery Point Objective (RPO) definiert, welcher Datenverlust maximal tolerierbar ist, das heißt, wie alt die Daten des letzten Backups im Ernstfall sein dürfen.
Beide Werte werden in der BIA-Phase für jeden kritischen Prozess und jedes kritische System individuell festgelegt. Sie sind keine technischen Vorgaben, sondern betriebswirtschaftliche Anforderungen der Fachbereiche, die von der IT und den BCM-Verantwortlichen in technische Maßnahmen übersetzt werden müssen. Eine RTO von zwei Stunden für ein ERP-System erfordert eine hochverfügbare Infrastruktur oder ein vorbereitetes Failover-System. Eine RPO von null (kein Datenverlust) erfordert synchrone Datenspiegelung in Echtzeit, was erhebliche Infrastrukturkosten verursacht.
In vielen Mittelständlern werden RTO und RPO nicht systematisch erhoben, sondern nur implizit durch vorhandene Backup-Rhythmen definiert. Ein tägliches Backup bedeutet implizit eine RPO von bis zu 24 Stunden, was für viele Geschäftsprozesse inakzeptabel ist. Die explizite Festlegung und Überprüfung dieser Kennzahlen ist daher ein wesentlicher Mehrwert des BCM-Prozesses gegenüber einem reinen IT-Notfallplan.
Lieferketten und Drittparteien im BCM
Ein häufig unterschätzter Risikobereich betrifft die Abhängigkeit von externen Dienstleistern und Lieferanten. In vielen mittelständischen Unternehmen sind kritische Prozesse von einem oder wenigen spezialisierten Zulieferern oder Cloud-Dienstleistern abhängig, ohne dass deren Ausfallverhalten systematisch im BCM-System berücksichtigt wird. Ein Ausfall des Cloud-Anbieters für das ERP-System oder des Logistikdienstleisters für die Distributionskapazität kann einen eigenen, bestens vorbereiteten Notfallplan wirkungslos machen.
ISO 22301 empfiehlt daher, auch die Continuity-Fähigkeit kritischer Lieferanten und Dienstleister in die BCM-Betrachtung einzubeziehen. In der Praxis bedeutet das: Kritische Drittparteien werden identifiziert, vertragliche Anforderungen an deren BCM-Fähigkeit werden definiert (z.B. Vorlage eines Nachweises über regelmäßige BCM-Tests), und wo möglich werden alternative Bezugsquellen oder Ausweichlösungen vorbereitet. Die Einbeziehung von Lieferanten in Übungsszenarien (Combined Exercises) ist zwar aufwändig, liefert aber belastbare Erkenntnisse über die tatsächliche Resilienz der Lieferkette.
Cloud-Dienste stellen eine besondere Herausforderung dar, weil die Abhängigkeit von der Infrastruktur eines einzigen Anbieters (Single Cloud) im Ernstfall durch Multi-Cloud-Architekturen oder hybride Ansätze gemindert werden kann. Diese Entscheidung sollte von den BCM-Anforderungen aus der BIA getrieben werden, nicht allein von technischen oder wirtschaftlichen Präferenzen.
BCM und regulatorische Anforderungen
Für bestimmte Branchen und Unternehmensgrößen ist BCM nicht nur Best Practice, sondern regulatorische Anforderung. Die DORA-Verordnung (Digital Operational Resilience Act) der EU verpflichtet Finanzinstitute und ihre kritischen IKT-Dienstleister ab 2025 zu umfassenden Maßnahmen der digitalen operationalen Resilienz, einschließlich Continuity-Tests. Die KRITIS-Sektoren-Anforderungen gemäß BSI-Gesetz verpflichten Betreiber kritischer Infrastrukturen zur Umsetzung von Mindestsicherheitsstandards, die auch BCM-Komponenten umfassen. Unternehmen, die als Zulieferer für Großkonzerne tätig sind, sehen sich zunehmend mit vertraglichen Anforderungen zu BCM-Nachweisen konfrontiert, die aus den Lieferkettensorgfaltspflichten ihrer Kunden resultieren.
„Ein Notfallplan, der nie geübt wurde, ist kein Notfallplan. Er ist ein Dokument mit unbekannten Lücken, die genau dann sichtbar werden, wenn man keine Zeit mehr hat, sie zu schließen.“Einschätzung eines BCM-Beraters mit langjähriger Erfahrung in der Mittelstandsberatung
Häufige Fehler und Stolperfallen
Der häufigste Fehler ist das Verwechseln von Dokumentation mit Vorbereitung. Viele Unternehmen erstellen umfangreiche BCM-Dokumente, ohne diese jemals zu testen. Pläne, die nicht geübt werden, enthalten mit hoher Wahrscheinlichkeit Fehler in Kontaktdaten, Zuständigkeiten oder technischen Schritten, die erst im Ernstfall auffallen.
Ein zweiter Fehler ist die fehlende Aktualisierung der Pläne nach Systemänderungen, Umstrukturierungen oder Personalwechseln. BCM-Dokumente haben eine kurze Halbwertszeit in dynamischen Organisationen und müssen aktiv gepflegt werden, zum Beispiel durch jährliche Review-Zyklen und anlassbezogene Aktualisierungen bei wesentlichen Änderungen.
Drittens wird BCM zu häufig ausschließlich als IT-Thema behandelt und in der IT-Abteilung verortet. Ein funktionsfähiges BCM-System erfordert jedoch die aktive Beteiligung der Fachbereiche, insbesondere für die BIA und für die Entwicklung von Notfallverfahren, die auch ohne vollständige IT-Unterstützung funktionieren.
Schließlich wird der Personalaspekt unterschätzt. Wenn Schlüsselpersonen, die im Ernstfall entscheidend sind, das Unternehmen verlassen oder erkranken, sind BCM-Pläne, die auf wenige Einzelpersonen abgestimmt sind, wertlos. Eine regelmäßige Überprüfung, ob Vertretungsregelungen und Eskalationskontakte noch aktuell sind, gehört zu den wichtigsten Routineaufgaben im BCM. Besonders in kleineren Unternehmen, in denen eine Person mehrere kritische Funktionen gleichzeitig ausfüllt, ist die explizite Dokumentation von Vertretungskompetenzen ein nicht zu unterschätzender Resilienzfaktor.
Checkliste: BCM-Einführung in 6 Phasen
- Phase 1: Scope und Governance festlegen. Geltungsbereich des BCM-Systems definieren, BCM-Verantwortliche benennen, Managementbeauftragung dokumentieren.
- Phase 2: Business Impact Analysis durchführen. Kritische Prozesse identifizieren, MTPD, RTO und RPO festlegen, Ressourcenabhängigkeiten erfassen.
- Phase 3: Risikobeurteilung erstellen. Bedrohungsszenarien bewerten, Prioritäten ableiten, Handlungsbedarfe dokumentieren.
- Phase 4: Continuity-Strategien entwickeln. Ausweichstrategien je Szenario und je kritischem Prozess konzipieren, Umsetzbarkeit prüfen.
- Phase 5: Pläne dokumentieren und schulen. BCP und DRP erstellen, Schlüsselpersonen schulen, Pläne an erreichbaren Orten hinterlegen (auch offline).
- Phase 6: Übungen durchführen und verbessern. Jährlich mindestens einen Schreibtischtest, alle zwei bis drei Jahre einen Funktionstest, Erkenntnisse in Planverbesserungen umsetzen.
FAQ
Was ist der Unterschied zwischen ISO 22301 und BSI-Standard 200-4? ISO 22301 ist ein international anerkannter, zertifizierbarer Standard für Business Continuity Management. Der BSI-Standard 200-4 ist eine deutsche Richtlinie des Bundesamts für Sicherheit in der Informationstechnik, die speziell für den deutschen Markt entwickelt wurde und methodisch detailliertere Handlungsempfehlungen enthält. Beide Standards folgen einem ähnlichen PDCA-Ansatz und sind inhaltlich kompatibel. Für eine internationale Zertifizierung oder Nachweispflicht gegenüber Großkunden ist ISO 22301 die maßgebliche Referenz. Muss ein Mittelständler sein BCM-System nach ISO 22301 zertifizieren lassen? Eine formale Zertifizierung ist nicht zwingend erforderlich, sofern keine regulatorischen oder vertraglichen Pflichten dazu bestehen. Viele Mittelständler nutzen ISO 22301 als Orientierungsrahmen, ohne eine externe Zertifizierung anzustreben. Der Nutzen des Standards liegt im strukturierten Vorgehen und in der Vollständigkeit der Anforderungen, nicht primär im Zertifikat. Was ist eine Business Impact Analysis und wie lange dauert sie? Die Business Impact Analysis (BIA) ist eine strukturierte Methode zur Bestimmung kritischer Geschäftsprozesse und der Konsequenzen ihres Ausfalls. In einem mittelständischen Unternehmen mit 20 bis 50 relevanten Prozessen dauert eine vollständige BIA in der Regel zwei bis vier Wochen, einschließlich Vorbereitung, Interviews und Auswertung. Wie oft müssen BCM-Pläne getestet werden? ISO 22301 schreibt keine feste Mindesthäufigkeit vor, fordert aber dass Übungen in geplanten Abständen stattfinden. Als Orientierung hat sich in der Praxis ein jährlicher Schreibtischtest für alle kritischen Pläne und ein Funktionstest alle zwei Jahre bewährt. Nach wesentlichen Änderungen (neue Systeme, neue Standorte, Umstrukturierungen) sollte anlassbezogen geübt werden. Was gehört in einen Business Continuity Plan? Ein BCP enthält: Aktivierungskriterien und Entscheidungsweg, Kontaktliste der Schlüsselpersonen (mit Vertreterregelungen), Beschreibung des Notbetriebsverfahrens je kritischem Prozess, Ressourcenliste (Ausweichstandort, Notfallequipment, Offline-Daten), Kommunikationsplan für interne und externe Kommunikation sowie Rückkehrprozess in den Normalbetrieb. Ein BCP sollte maximal zehn bis zwanzig Seiten umfassen, damit er im Ernstfall tatsächlich genutzt wird. Wie unterscheidet sich BCM von einem IT-Notfallplan? Ein IT-Notfallplan beschreibt die technische Reaktion auf spezifische IT-Ausfallszenarien. BCM ist umfassender und bezieht alle Ressourcen ein, die für kritische Geschäftsprozesse benötigt werden: Personal, Räumlichkeiten, Technologie und Lieferanten. BCM beinhaltet den IT-Notfallplan, geht aber weit darüber hinaus.
Verwandte Themen
- Cybersecurity-Strategie: Prävention, Erkennung und Reaktion im Mittelstand
- Datenschutz und DSGVO: Technische und organisatorische Maßnahmen
- IT-Compliance im Unternehmen: Anforderungen und Umsetzungsstrategien
