Das Wichtigste in Kürze

• BCM (Business Continuity Management) sichert die Fortführung von Geschäftsprozessen während und nach Krisen.

• Informationssicherheit und IT-Notfallmanagement spielen eine zentrale Rolle im BCM.

• Regulatorische Normen wie ISO/IEC 22301:2019 und BSI-Standard 200-4 legen wesentliche Anforderungen an BCM fest.  

• Regelmäßige Tests und Übungen sind erforderlich, um BCM-Pläne auf ihre Wirksamkeit zu überprüfen.

Grundlagen von Business Continuity Management (BCM)

Business Continuity Management (BCM) sichert die Aufrechterhaltung kritischer Geschäftsprozesse, während Notfallmanagement den akuten Störfall operativ bewältigt und Krisenmanagement die übergreifende strategische Steuerung in außergewöhnlichen Lagen übernimmt.

Definition von BCM

Business Continuity Management (BCM) bezeichnet den systematischen Prozess, durch den ein Unternehmen sicherstellt, dass es auch in Krisensituationen oder bei unvorhergesehenen Störungen in der Lage ist, kritische Geschäftsprozesse fortzuführen oder rasch wiederherzustellen. Ziel ist es, die Betriebsfähigkeit zu gewährleisten und die negativen Auswirkungen auf das Unternehmen zu minimieren. BCM umfasst sowohl die präventive Planung als auch die Maßnahmen zur schnellen Wiederherstellung der Betriebsfähigkeit nach einem Ausfall.

Historischer Ursprung

Der Ursprung des BCM liegt in der Notwendigkeit, Unternehmen auf unvorhergesehene Störungen vorzubereiten. In den 1980er Jahren begannen Unternehmen, BCM als Teil ihres Risikomanagements zu etablieren. Damals wurden technologische, wirtschaftliche und gesellschaftliche Risiken erkannt – z.B. Ausfälle in der Lieferkette bei zunehmender Globalisierung, die den Geschäftsbetrieb erheblich beeinträchtigen können.

Der moderne BCM-Ansatz umfasst neben klassischen Ausfällen auch Aspekte der IT-Sicherheit, da IT und Daten in vielen Unternehmen die Grundlagen der Geschäftsfähigkeit bilden. Neben der Notfallplanung deckt ein umfangsreiches BCM auch die Identifikation und Analyse von Risiken sowie die Entwicklung von Wiederanlaufstrategien ab.

Ziele des BCM

• Verfügbarkeit sicherstellen: Kritische Geschäftsprozesse müssen auch während einer Störung aufrechterhalten werden.
• Risiken minimieren: Eine fundierte Risikoabschätzung soll die Auswirkungen von Betriebsunterbrechungen so gering wie möglich halten.
• Schneller Wiederanlauf: Notfallpläne müssen so gestaltet sein, dass der Betrieb nach einem Ausfall schnell wieder aufgenommen werden kann.

Abgrenzung: BCM vs. Notfallmanagement vs. Krisenmanagement

Obwohl diese Begriffe miteinander verbunden sind, unterscheiden sie sich in ihrem Fokus:

• Notfallmanagement bezieht sich auf die unmittelbare Reaktion auf Krisen, etwa die Evakuierung von Gebäuden, das Einschalten von Notdiensten oder der Segmentierung von Netzwerken.
• Krisenmanagement beschäftigt sich mit der ganzheitlichen Steuerung und Kommunikation in Krisensituationen und betrifft organisatorisch vor allem die Führungsebene.
• BCM hingegen ist ein übergreifender Ansatz, der die gesamte Vorbereitung und Reaktion auf Notfälle und deren Wiederherstellung umfasst.

BCM steht somit in enger Verbindung mit Risikomanagement, Informationssicherheit, IT-Service Continuity Management (ITSCM), Facility Management und der Corporate Security und Governance.

Regulatorische Anforderungen, Zertifizierungen und andere relevante Normen

Es gibt zahlreiche regulatorische Vorgaben und Normen, teilweise zertifizierbar, welche Unternehmen beim Aufbau eines effektiven BCM unterstützen und als Rahmenwerke herangezogen werden können. Zu den wichtigsten gehören:

• ISO/IEC 22301:2019: [1] Die internationale Norm für BCM, die einen systematischen Ansatz zur Identifikation, Prävention und Minimierung von Betriebsunterbrechungen bietet. Hierzu gibt es weiterführende Normen mit speziellen Subthemen wie Kommunikation.
• BSI-Standard 200-4: [2] Der deutsche Standard für BCM, entwickelt vom Bundesministerium für Informationssicherheit, der speziell auf IT-Notfallmanagement und BCM in deutschen Unternehmen ausgerichtet ist.
• ISO/IEC 27001:2022: [3] in der aktuellen Fassung liegt der Fokus auf einem etabliertem BCM.
• NIS-2: [4] Die bis 2024 in nationales Recht umzusetzende EU-Regularie, zur Absicherung kritischer Industrien, legt besonderen Wert auf die Aufrechterhaltung der Geschäftsfähigkeit und stellt dadurch Anforderungen an das BCM.
• DSGVO [5], ISO/IEC 31001:2018 [6], etc.: Stellen ebenso Anforderungen, welche unter anderem regeln, wie mit dem Abfluss von Daten umzugehen ist, die im Falle eines IT-Ausfalls und im Zusammenhang mit der Notfallwiederherstellung von Datenverfügbarkeit und -zugriff relevant sind.

Diese Regelwerke bieten einen strukturierten Rahmen, um die Notfallplanung und Wiederherstellung von kritischen Geschäftsprozessen zu gewährleisten und die gesetzlichen Anforderungen zu erfüllen.

Bedeutung von Informationssicherheit im BCM-Kontext

Durch zunehmende Cyberattacken und deren Auswirkungen auf die Geschäftsfähigkeit gewinnt die Informationssicherheit im Rahmen des BCM weiter an Bedeutung.

Schutzbedarf digitaler Ressourcen im Krisenfall

In einer Krisensituation ist der Schutz digitaler Ressourcen von zentraler Bedeutung. Der Verlust von Daten oder der Ausfall von IT-Systemen kann zu erheblichen finanziellen und vertraglichen Schäden sowie negativen Auswirkungen auf die Reputation führen. Über ein effektives BCM muss daher sichergestellt sein, dass auch in Notfällen der Schutz von Informationen und Daten gewährleistet ist.

Integrität, Verfügbarkeit und Vertraulichkeit in Krisensituationen

Die Grundpfeiler der Informationssicherheit – Integrität, Verfügbarkeit und Vertraulichkeit (CIA) – sind auch im BCM-Kontext von entscheidender Bedeutung. Anders als im klassischen  Informationssicherheitsmanagementsystem (ISMS) besteht eine invertierte Priorisierung. Die Wiederherstellung der Verfügbarkeit kritischer Daten und Systeme muss, im BCM, in Notfällen oberste Priorität haben. Gleichzeitig muss auch die Integrität und Vertraulichkeit der Daten während der Krisenbewältigung sichergestellt sein.

Rolle der IT-Sicherheitsstrategie im BCM

Die Schutzmechanismen der IT-Infrastruktur werden durch die übergeordnete IT-Sicherheitsstrategie geregelt. Dazu gehören technische Ansätze wie die Zero-Trust-Architektur, die eine kontinuierliche Authentifizierung und Autorisierung für jede Zugriffsanfrage erzwingt. In Krisenszenarien müssen Maßnahmen zur Geschäftskontinuität redundante Systeme und Notfallzugriffsverfahren umfassen, wie z. B. Offline-Administratorkonten mit sicher gespeicherten Anmeldeinformationen, um eine schnelle Wiederherstellung und betriebliche Ausfallsicherheit zu gewährleisten.

Kernfelder und Aufgaben des Business Continuity Management (BCM)

BCM umfasst mehrere Schlüsselbereiche, die für eine umfassende Betrachtung der Krisenprävention, der Krisenbewältigung und der Post-Event Verarbeitung erforderlich sind. Dazu gehören:

• Business Impact Analysis (BIA): Analyse der wichtigsten Geschäftsprozesse inklusive Auswirkungen von Störungen auf diese.
• Wiederanlaufstrategie: Asset-spezifische Maßnahmen und Strategien zur schnellen Wiederaufnahme des Geschäftsbetriebs.
• Krisenübung: Vorbereitung auf mögliche Krisen und Ausfälle, insbesondere hinsichtlich Krisenteams und Kommunikation.
• Resilienz Management: Fähigkeit des Unternehmens, sich von Störungen zu erholen und langfristig widerstandsfähig zu bleiben.

Business Impact Analyse (BIA)

Um die Auswirkungen von Störungen auf das Unternehmen zu minimieren, ist es entscheidend, die kritischen Geschäftsprozesse zu identifizieren, die für den Fortbestand des Unternehmens unverzichtbar sind. Hierfür werden anhand von Leitfragen die Wichtigkeit der Prozesse sowie mögliche Beeinträchtigungen der ISMS Schutzziele Confidentiality, Integrity, Authenticity (C, I, A) analysiert. Die Ergebnisse zeigen, welche Prozesse besonders kritisch sind. Hierfür werden für jedes Asset eine Recovery Time Objective (RTO – maximale zulässige Unterbrechungsdauer) sowie Recovery Point Objective (RPO – maximal zulässiger Datenverlust in Zeit) definiert. Das Ergebnis der BIA ist ein pro Prozess/System definierter Zielwert dieser Kenngrößen.

Die Abhängigkeit der Prozesse von Plattformen und Anwendungen werden über ein etabliertes Enterprise Architecture Management (EAM) abgebildet, welches die Prioritäten, hinuntergebrochen auf das Asset Management und bis auf einzelne Items in der Configuration Management Database (CMDB) weitervererbt. Auf Komponentenebene (Netzwerkswitches, Server oder ähnlichem) werden dann Schwachstellenscans von der IT oder IT-Sicherheit durchgeführt, um diese zu schützen.

Generell gilt, dass insbesondere Cyberbedrohungen wie Ransomware-Angriffe regelmäßig bewertet und in die Notfallplanung integriert werden müssen.

Wiederanlaufstrategie

Die Wiederanlaufstrategie, Notfallpläne oder Desaster Recovery Pläne (DRP) beschreiben die Planung und Implementierung von Maßnahmen, um für die in der BIA betrachteten Ausfälle und Risiken, Lösungen bereitzustellen. Ein definierter Plan ist ein zentraler Bestandteil des BCM und stellt die Reaktionsfähigkeit, im Falle eines Ausfalls oder einer Krise, sicher. Ein Wiederanlaufplan sorgt dafür, dass der Geschäftsbetrieb nach einer Unterbrechung schnellstmöglich wieder aufgenommen werden kann.

In der Prävention von Notfällen, dient die Absicherung der IT-Infrastruktur als ein wichtiger Aspekt. Dazu gehört auch die Implementierung von Maßnahmen zur Erhöhung der Redundanz von IT-Systemen. Die Nutzung von Cloud-Diensten und die Zusammenarbeit mit externen Dienstleistern können die Resilienz eines Unternehmens erheblich steigern. Externe Cloud-Anbieter bieten oft eine höhere Verfügbarkeit und schnellere Wiederherstellungsmöglichkeiten, Skalierung von Kapazitäten, die im Krisenfall von entscheidender Bedeutung sind.

Kommunikation im Krisenfall

Ein nicht zu vernachlässigender Aspekt der Wiederherstellung ist die enge Zusammenarbeit zwischen IT-Security und BCM-Teams sowie Kommunikationsexperten. Hier ist entscheidend, klare Kommunikationskanäle innerhalb der Organisation sowie nach außen zu definieren, offenzuhalten und gezielt zu nutzen. Innerhalb der Organisation ist dadurch sicherzustellen, dass die Anwendung von IT- und Sicherheitsmaßnahmen auch in Krisensituationen funktionsfähig bleibt. Eine koordinierte Zusammenarbeit hilft dabei, die Integrität und Verfügbarkeit von Systemen während eines Vorfalls zu wahren oder schnellstmöglich wiederherzustellen.

Ein wichtiger Aspekte der Kommunikation betrifft die Außenwirkung, welche einen nachhaltigen Einfluss (positiv oder negativ) auf die Reputation eines Unternehmens hat.

Krisenübung – Tests, Übungen und kontinuierliche Verbesserung

Um die Wirksamkeit von BCM-Maßnahmen zu überprüfen, sind regelmäßige Penetrationstests oder in kleinem Kreis abgestimmte IT-Ausfälle (wie Simulationen von Verschlüsselungen und Krisensituationen) unerlässlich. Diese Tests stellen sicher, dass die entwickelten Notfall- und Wiederanlaufpläne in der Praxis funktionieren und alle Beteiligten auf den Ernstfall vorbereitet sind. Solche Tests und Übungen bieten die Möglichkeit, Schwachstellen im BCM-Plan zu identifizieren und die Reaktionsfähigkeit der Organisation zu überprüfen. Zwei mögliche Szenarien, die getestet werden könnten, sind:

1. IT-Systemausfall durch Cyberangriff (z. B. Ransomware-Angriff): In diesem Szenario wird simuliert, dass ein Ransomware-Angriff auf die Unternehmens-IT-Infrastruktur erfolgt ist, wodurch wichtige Daten verschlüsselt und der Zugang zu IT-Systemen blockiert sind.
   Ziel ist es, die Reaktionsfähigkeit der IT-Abteilung, das Incident Response Team sowie die Passgenauigkeit und Anwendbarkeit von Wiederherstellungsmaßnahmen zu testen. Im Zuge dieser Übung sollte auch die Segmentierung, Isolierung betroffener Netze, Restore über gehärtete Backups (Immutable Storage), der Kommunikationsleitfaden für Mitarbeitende, und der Zugriff auf Backup-Daten, die Integrität dieser und die Koordination mit externen, wie internen Sicherheitsexpert:innen beinhalten. Dabei soll der Angriff gestoppt und die Daten wiederhergestellt werden. Das Szenario hilft, die Effektivität der IT-Notfallplanung, die Funktionalität der Prozesse, das Wissen und Zusammenspiel des Personals sowie der Kommunikationsprozesse in einem kritischen Zustand zu überprüfen. Die Lessons Learned sollten dann in die Härtung, das Notfallhandbuch und Playbooks einfließen.
2. Unterbrechung der Lieferkette durch Naturkatastrophe: Ein weiteres Testszenario ist der Ausfall eines wichtigen Lieferanten oder ein durch eine Naturkatastrophe verursachter Transportstopp, welcher die Lieferkette zum Erliegen bringt.
   Dieses Szenario testet die Fähigkeit der Aufrechterhaltung der Betriebsfähigkeit des Unternehmens sowie die Identifikation und Verlegung/Umleitung alternativer Lieferquellen oder Transportwege. Es wird auch überprüft, wie schnell das Krisenmanagement-Team reagieren kann, um Kunden zu informieren und sicherzustellen, dass alle geschäftskritischen Lieferungen weiterhin pünktlich erfolgen. Diese Übung hilft, die Resilienz in der Lieferkette zu testen und die Entscheidungsfindung bei einer externen Krise zu stärken.

Diese Tests sind nicht als vollumfänglich zu betrachten, sondern sollen indizieren, wie durch regelmäßige Tests und Krisenübungen sichergestellt wird, dass die Organisation nicht nur theoretisch auf Krisen vorbereitet ist, sondern auch praktisch in der Lage ist, schnell und effektiv zu handeln.

Lessons Learned und Anpassung von BCM-Plänen

Nach jedem Test, jeder Krisenübung oder jedem realen Vorfall sollten die gewonnenen Erkenntnisse genutzt werden, um die bestehenden BCM-Pläne zu überarbeiten und zu verbessern. Dies gehört zum kontinuierlichen Verbesserungsprozess im BCM, welcher auch von der ISO/IEC 22301:2019 gefordert wird.

Revisions- und Auditprozesse (intern/extern)

Anlässlich möglicher Zertifizierungen hilft ein regelmäßiger Auditprozess dabei, sicherzustellen, dass die BCM-Maßnahmen den aktuellen Anforderungen entsprechen und kontinuierlich an neue Risiken angepasst werden. Im Zuge eines Zertifizierungszyklus sind regelmäßige interne wie externe Audits notwendig, um die Transparenz und den Entwicklungsstand des Business Continuity Managements abzufragen. Hierbei steht auch die Transparenz gegenüber Kunden im Vordergrund, welche im Zuge von Lieferantenaudits, die Resilienz ihrer Lieferkette testen und abgesichert wissen wollen.

Krise als Chance: Das EFS-Praxisbeispiel für wirksames Business Continuity Management

In einem aktuellen Fallbeispiel einer Krisenübung aus der produzierenden Großindustrie zeigte sich, wie schnell ein Unternehmen auf unvorhergesehene IT-Ausfälle reagieren konnte. Zuerst wurde ein durchdachtes BCM-Konzept in enger Zusammenarbeit zwischen IT, IT-Security und BCM etabliert.

Anschließend wurde in einem Testszenario ein Ausfall der OT (Produktions-IT) inszeniert. Beim Ausfall der Linien-PLC wurde im Notfallmanagement auf manuellen Betrieb (Workarounds) umgestellt. Das Krisenmanagement informiert Kunden über auftretende Lieferverzögerungen. Im Rahmen des im BCM definierten priorisierten Wiederanlaufs der SCADA/ERP-Schnittstellen konnte validiert werden, dass die festgelegten Wiederherstellungsziele (RTO: 8 Stunden, RPO: 30 Minuten) für Fertigungsdaten eingehalten wurden. Der Geschäftsbetrieb wurde innerhalb weniger Stunden erfolgreich wieder aufgenommen.

Es konnte gezeigt werden, dass die eingeführten Maßnahmen wirksam waren, die Meldeketten funktionierten und sowohl Alarmierung als auch Behebung reibungslos funktionierte.

Fazit

Business Continuity Management ist ein unerlässlicher Bestandteil einer modernen, wettbewerbsorientierten Unternehmensstrategie, um im Krisenfall handlungsfähig zu bleiben oder Handlungsfähigkeit zurückzugewinnen. Durch die Integration von BCM, IT-Security und Risikomanagement können Unternehmen ihre Resilienz stärken und den Fortbestand des Geschäftsbetriebs auch in schwierigen Zeiten sicherstellen.

Wenn nun Ihr Interesse am Business Continuity Management geweckt wurde, freuen sich die EFS Consulting Expert:innen auf einen Austausch!

Literaturverzeichnis

1. ISO/IEC 22301:2019 International Organization for Standardization (ISO). Security and resilience — Business continuity management systems — Requirements (ISO 22301:2019). Genf: ISO, 2019. (Änderung: ISO 22301:2019/Amd 1:2024 — Climate action changes).
2. BSI-Standard 200-4 Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI-Standard 200-4: Business Continuity Management. Bonn: BSI, finale Fassung 14.06.2023. (Offizielles PDF, laufend aktualisiert).
3. ISO/IEC 27001:2022 International Organization for Standardization (ISO) & International Electrotechnical Commission (IEC). Information security, cybersecurity and privacy protection — Information security management systems — Requirements (ISO/IEC 27001:2022). Genf: ISO/IEC, 2022. (Änderung: ISO/IEC 27001:2022/Amd 1:2024 — Climate action changes).
4. NIS-2-Richtlinie
   Europäisches Parlament und Rat der Europäischen Union. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS 2). Amtsblatt der EU L 333, 27.12.2022, S. 80–152.
5. DSGVO
   Europäisches Parlament und Rat der Europäischen Union. Verordnung (EU) 2016/679 … (Datenschutz-Grundverordnung, DSGVO). Amtsblatt der EU L 119, 04.05.2016, S. 1–88. (Anwendbar seit 25.05.2018).
6. ISO/IEC 31000:2018 International Organization for Standardization (ISO). Risk management — Guidelines (ISO 31000:2018). Genf: ISO, 2018.