Business Continuity Management (BCM) stellt sicher, dass kritische Geschäftsprozesse auch bei Ausfällen und Katastrophen aufrechterhalten werden. Es ist integraler Bestandteil moderner Unternehmensführung und wird durch ISO 22301 und NIS2 gefordert.
Was ist Business Continuity Management
BCM ist ein ganzheitliches Managementsystem zur Sicherstellung der Geschäftskontinuität bei Störungen, Krisen und Katastrophen. Es identifiziert kritische Prozesse, bewertet ihre Abhängigkeiten und definiert Wiederherstellungsstrategien. Grundlage: ISO 22301. Ziel: Minimierung von Ausfallzeiten und Schäden.
Was ist der Unterschied zwischen BCM und Notfallplanung
Notfallplanung ist reaktiv — was tun wenn etwas passiert. BCM ist proaktiv — welche Prozesse sind kritisch, wie können sie aufrechterhalten werden, wie werden sie getestet. BCM ist umfassender: es schließt Prävention, Reaktion und Wiederherstellung ein. Notfallpläne sind ein Teilbestandteil von BCM.
Was ist eine Business Impact Analysis
BIA (Business Impact Analyse): Bewertung der Auswirkungen von Betriebsunterbrechungen auf Geschäftsprozesse. Für jeden kritischen Prozess: maximale tolerable Ausfallzeit (MTPD), Recovery Time Objective (RTO), Recovery Point Objective (RPO), minimale Ressourcen für Notbetrieb, finanzielle und nicht-finanzielle Folgen.
Was bedeutet Recovery Time Objective (RTO)
RTO: maximale Zeit zur Wiederherstellung eines Systems oder Prozesses nach einem Ausfall. Beispiel: RTO=4h bedeutet das System muss innerhalb von 4 Stunden wieder verfügbar sein. RTO wird aus der BIA abgeleitet und bestimmt die technischen Anforderungen an Backup und Recovery.
Was bedeutet Recovery Point Objective (RPO)
RPO: maximaler Datenverlust der toleriert wird, ausgedrückt in Zeit. Beispiel: RPO=1h bedeutet maximal 1 Stunde Daten darf verloren gehen. RPO bestimmt die Backup-Frequenz. Niedriger RPO = häufigere Backups = höhere Kosten. RPO und RTO sind die zwei zentralen Kennzahlen für DR-Planung.
Welche ISO-Norm gilt für BCM
ISO 22301: 'Business Continuity Management Systems — Requirements'. Definiert Anforderungen für ein BCMS. Aufbau ähnlich ISO 27001 (PDCA, annex-basiert). Zertifizierung möglich. Enge Verbindung zu ISO 27031 (ICT-Continuity). NIS2 Art. 21(c) fordert BCM für betroffene Unternehmen.
✓ Checkliste: Was ist Business Continuity Management?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Was ist Business Continuity Management? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
BCM ist ein ganzheitliches Managementsystem zur Sicherstellung der Geschäftskontinuität bei Störungen, Krisen und Katastrophen. Es identifiziert kritische Prozesse, bewertet ihre Abhängigkeiten und definiert Wiederherstellungsstrategien. Grundlage: ISO 22301. Ziel: Minimierung von Ausfallzeiten und Schäden.
Notfallplanung ist reaktiv — was tun wenn etwas passiert. BCM ist proaktiv — welche Prozesse sind kritisch, wie können sie aufrechterhalten werden, wie werden sie getestet. BCM ist umfassender: es schließt Prävention, Reaktion und Wiederherstellung ein. Notfallpläne sind ein Teilbestandteil von BCM.
BIA (Business Impact Analyse): Bewertung der Auswirkungen von Betriebsunterbrechungen auf Geschäftsprozesse. Für jeden kritischen Prozess: maximale tolerable Ausfallzeit (MTPD), Recovery Time Objective (RTO), Recovery Point Objective (RPO), minimale Ressourcen für Notbetrieb, finanzielle und nicht-finanzielle Folgen.
RTO: maximale Zeit zur Wiederherstellung eines Systems oder Prozesses nach einem Ausfall. Beispiel: RTO=4h bedeutet das System muss innerhalb von 4 Stunden wieder verfügbar sein. RTO wird aus der BIA abgeleitet und bestimmt die technischen Anforderungen an Backup und Recovery.
RPO: maximaler Datenverlust der toleriert wird, ausgedrückt in Zeit. Beispiel: RPO=1h bedeutet maximal 1 Stunde Daten darf verloren gehen. RPO bestimmt die Backup-Frequenz. Niedriger RPO = häufigere Backups = höhere Kosten. RPO und RTO sind die zwei zentralen Kennzahlen für DR-Planung.
ISO 22301: 'Business Continuity Management Systems — Requirements'. Definiert Anforderungen für ein BCMS. Aufbau ähnlich ISO 27001 (PDCA, annex-basiert). Zertifizierung möglich. Enge Verbindung zu ISO 27031 (ICT-Continuity). NIS2 Art. 21(c) fordert BCM für betroffene Unternehmen.
Mindestens einmal jährlich. Testformen: Tabletop Exercise (Planspiel, günstig), Walk-Through (Prozesse durchspielen), Functional Test (Teiltest einzelner Bereiche), Full Test (komplette Simulation). NIST empfiehlt: Tabletop quartalsweise, Full Test jährlich. Testergebnisse dokumentieren und Pläne aktualisieren.
BCM-Rollen: BCM-Manager (Gesamtverantwortung), Crisis Management Team (Krisenstab, GF-Ebene), Business Continuity Koordinatoren (je Abteilung), IT-Recovery-Team, Kommunikationsverantwortlicher, externer BCM-Berater. Alle Rollen müssen geschult sein und die Pläne kennen.
BCM ist Bestandteil von ISO 27001 Annex A (Bereich 17). Integration: gemeinsame Risikoanalyse, abgestimmte Notfallpläne, gemeinsame Tests, integriertes Reporting. Ein ISMS ohne BCM ist unvollständig. Empfehlung: BCM-Anforderungen in ISMS-Scope aufnehmen und gemeinsam zertifizieren.
KMU: 10.000–40.000 € extern plus interne Ressourcen. Mittelgroße Unternehmen: 50.000–150.000 €. Laufende Kosten: Tests, Aktualisierungen, Schulungen. Zum Vergleich: ungeplante Ausfallzeiten kosten im Schnitt 5.600 €/Minute (Gartner). Ein BCM amortisiert sich nach dem ersten verhinderten größeren Ausfall.
Häufige Fehler: Pläne erstellt aber nie getestet, zu viele Szenarien (Fokus verloren), Recovery-Zeiten nicht realistisch, externe Abhängigkeiten nicht berücksichtigt, GF nicht eingebunden, Pläne veraltet, kein Kommunikationsplan für Krisenfälle, Mitarbeiter kennen ihre Rollen nicht.