Fuentis

BCMS-Modul

Approved
Last updated: Oct 20, 2025
fuentis Suite 4, fuentis Trust Platform

Das Business Continuity Management System (BCMS) ist ein essenzieller Baustein zur Sicherstellung der Geschäftskontinuität in Krisensituationen. Es hilft Organisationen, ihre geschäftskritischen Prozesse auch bei Störungen, Ausfällen oder Katastrophen aufrechtzuerhalten. Die fuentis Suite bietet ein umfassendes BCMS-Modul, das Sie Schritt für Schritt durch die Implementierung eines normkonformen Business Continuity Managements führt.

Kernziele des BCMS:

- Identifikation zeitkritischer Geschäftsprozesse

- Systematische Analyse von Schadenspotentialen und Ausfallzeiten

- Entwicklung von Notfallplänen und Wiederanlaufstrategien

- Ressourcenplanung für den Notbetrieb

- Kontinuierliche Verbesserung der Krisenresilienz

Hauptkonzepte und Anforderungen

1. BCM-Initiierung - Das Fundament legen

Die BCM-Initiierung muss von der Institutionsleitung initiiert werden, da die zu treffenden Entscheidungen weitreichende Konsequenzen haben. Alle wesentlichen Phasen werden in der fuentis Suite dokumentiert:

1.1 Geltungsbereich (Scope) definieren

Was ist der Geltungsbereich?

Der Geltungsbereich legt fest, welcher Bereich der Institution durch das BCMS abgesichert werden soll. Dies kann umfassen:

- Die gesamte Institution

- Einzelne Standorte oder Teilbereiche

- Spezifische Produkte oder Services

- Gemeinsame Geschäftsprozesse oder Produktionsstraßen

Praxis-Tipp: Der Geltungsbereich umfasst alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung dienen. Berücksichtigen Sie dabei regulatorische Anforderungen und Institutionsziele.

bcms-1

1.2 Konzeption - Strategische Ausrichtung

Die Konzeptionsphase umfasst:

Zielsetzung:

- Individuelle Ziele aus Geschäftsprozessen ableiten

- Gesetzliche Rahmenbedingungen berücksichtigen

- Institutionsziele einbeziehen

- Transparente Kommunikation innerhalb der Organisation

Entscheidung zur Vorgehensweise - Wahl der BCMS-Stufe:

- Reaktiv-BCMS: Minimale Vorbereitung, Reaktion im Ernstfall

- Standard-BCMS: Vollständige Implementierung nach Norm (z.B. ISO 22301)

bcms-2

1.3 Rollen und Verantwortlichkeiten

Wichtige Rollen im BCMS:

Business Continuity Officer (BC-Beauftragter):

- Hauptverantwortlich für Aufbau und Umsetzung des BCMS

- Unterstützt die Institutionsleitung

- Koordiniert alle BCM-Aktivitäten

Weitere Rollen:

- Krisenmanager

- Prozessverantwortliche

- Mitglieder der Besonderen Aufbauorganisation (BAO)

- Notfallteam-Mitglieder

Praxis-Tipp: Kennzeichnen Sie Pflicht-Rollen und BAO-Zugehörigkeiten bereits bei der Rollenerstellung. Dies erleichtert später die Zuordnung und Dokumentation.

bcms-4

1.4 Ressourcenkategorien

Grundlegende Ressourcen:

Bestimmte Ressourcen sind für den gesamten Geschäftsbetrieb essentiell:

- Strom und Notstromversorgung

- Wasserversorgung

- Klimatechnik/Belüftung

- IT-Infrastruktur

- Telekommunikation

Recovery Point Objective (RPO):

Definiert den maximal tolerierbaren Datenverlust. Kennzeichnen Sie Ressourcenkategorien mit RPO-Anforderungen entsprechend.

bcms-5

1.5 Dokumenttypen und Schlüsseldokumente

Dokumentkategorien:

- Notfallpläne

- Wiederanlaufpläne

- Kommunikationspläne

- Ressourcenlisten

- Kontaktlisten

Praxis-Tipp: Markieren Sie verpflichtende Dokumenttypen und verknüpfen Sie hochgeladene Dokumente direkt mit den entsprechenden Kategorien.

bcms-7

bcms-8

2. Geschäftsprozesse - Das Herzstück des BCMS

2.1 Prozessidentifikation und -zuordnung

Geschäftsprozesse bilden die Grundlage für die Business Impact Analyse (BIA). Sie müssen:

- Im Asset-Management erstellt werden

- Dem BCMS-Geltungsbereich zugeordnet werden

- Mit anderen Prozessen verknüpft werden (Abhängigkeiten)

- Mit relevanten Assets verbunden werden

2.2 Prozessverknüpfung

Beziehungsarten zwischen Prozessen:

- Vorgelagert: Prozess A muss vor Prozess B ablaufen

- Nachgelagert: Prozess B folgt auf Prozess A

- Parallel: Prozesse laufen gleichzeitig

- Abhängig: Prozess B benötigt Output von Prozess A

Wichtig: Im BCMS werden nur Verknüpfungen zwischen Geschäftsprozessen angezeigt, aber die vollständige Verknüpfung mit Assets ist für eine umfassende Analyse wichtig.

bcms-9

3. Analyse-Parameter - Bewertungsgrundlagen schaffen

3.1 Zeithorizonte

Standard-Zeithorizonte für die Bewertung:

- Sofort (0-4 Stunden)

- Kurzfristig (4-24 Stunden)

- Mittelfristig (1-7 Tage)

- Langfristig (> 7 Tage)

Format für individuelle Zeithorizonte:

- w = Wochen

- d/t = Tage

- h/s = Stunden

- m = Minuten

Beispiel: 2w 3d 4h 30m = 2 Wochen, 3 Tage, 4 Stunden, 30 Minuten

bcms-10

3.2 Schadensszenarien

BSI-Standard-Schadensszenarien:

- Beeinträchtigung der persönlichen Unversehrtheit

- Beeinträchtigung der Aufgabenerfüllung

- Verstoß gegen Gesetze, Vorschriften und Verträge

- Negative Innen- und Außenwirkung (Imageschaden)

- Finanzielle Auswirkungen

bcms-11

3.3 Schadenskategorien

Standard-Schadenskategorien nach BSI:

KategorieBeschreibungAuswirkungen
GeringMinimale, kaum spürbare AuswirkungenUnwesentliche Beeinträchtigung, keine Konsequenzen
MittelSpürbare AuswirkungenArbeitsrückstände, tolerabler finanzieller Schaden
HochNicht tolerierbare AuswirkungenMassive Einschränkungen, erhebliche Konsequenzen
Sehr hochExistentiell bedrohliche AuswirkungenGefahr für Leib und Leben, existenzbedrohende Schäden
Untragbarkeitsniveau:

Definiert die Schwelle, ab der ein Schaden nicht mehr akzeptabel ist. Dies bestimmt die maximal tolerierbare Ausfallzeit (MTA/MTPD).

bcms-12

4. Business Impact Analyse (BIA) - Kritikalität bewerten

4.1 BIA-Profil und Schadenspotential

Ziele der BIA:

- Identifikation zeitkritischer Geschäftsprozesse

- Bestimmung der Ausfallauswirkungen

- Ableitung von Wiederanlaufanforderungen

- Ressourcenbedarfsermittlung für Notbetrieb

Schadenspotential-Bewertung:

Für jeden Zeithorizont wird das Schadenspotential in den definierten Kategorien bewertet. Die Bewertung erfolgt grafisch durch Positionierung auf der Schadenskategorie-Skala.

bcms-13

bcms-14

4.2 Kritische Kennzahlen

Maximum Tolerable Period of Disruption (MTPD/MTA):

- Maximal tolerierbare Ausfallzeit eines Geschäftsprozesses

- Wird automatisch berechnet basierend auf Schadenspotential und Untragbarkeitsniveau

Recovery Time Objective (RTO):

- Ziel-Wiederanlaufzeit nach einem Ausfall

- Muss kleiner als MTPD sein

- Basis für Notfallplanung

Recovery Point Objective (RPO):

- Maximal akzeptabler Datenverlust

- Bestimmt Backup-Strategien

- Relevant für IT-gestützte Prozesse

bcms-15

4.3 Abhängigkeiten und Ressourcen

Prozessabhängigkeiten analysieren:

- Interne Abhängigkeiten (andere Prozesse)

- Externe Abhängigkeiten (Lieferanten, Dienstleister)

- Technische Abhängigkeiten (IT-Systeme, Infrastruktur)

- Personelle Abhängigkeiten (Schlüsselpersonen, Spezialwissen)

Ressourcenbedarf ermitteln:

- Mindestpersonal für Notbetrieb

- Kritische IT-Systeme und Anwendungen

- Arbeitsplätze und Räumlichkeiten

- Kommunikationsmittel

- Spezielle Ausrüstung oder Material

bcms-16

Umsetzungshilfen und Best Practices

Praktische Tipps für die Implementierung

Schritt-für-Schritt-Vorgehen:

  1. Vorbereitung:
- Management-Commitment sicherstellen

- BC-Beauftragten benennen

- Projektteam zusammenstellen

  1. Initiierung:
- Geltungsbereich definieren

- BCMS-Stufe festlegen

- Rollen und Verantwortlichkeiten klären

  1. Analyse:
- Geschäftsprozesse identifizieren

- BIA durchführen

- Kritikalitäten bewerten

  1. Strategieentwicklung:
- Notfallstrategien definieren

- Wiederanlaufpläne erstellen

- Ressourcen planen

  1. Implementierung:
- Notfallpläne dokumentieren

- Schulungen durchführen

- Tests und Übungen planen

Integration mit ISO-Standards

ISO 22301 - Business Continuity Management:

Das BCMS-Modul der fuentis Suite orientiert sich an den Anforderungen der ISO 22301:

- Plan-Do-Check-Act (PDCA) Zyklus

- Risikoorientierter Ansatz

- Kontinuierliche Verbesserung

- Dokumentierte Information

BSI-Standard 200-4:

Die Implementierung folgt den Empfehlungen des BSI für Business Continuity Management:

- Stufenmodell (Reaktiv, Aufbau, Standard)

- Standardisierte Schadenskategorien

- Strukturierte Vorgehensweise

So unterstützt die fuentis Suite

Automatisierung und Vereinfachung:

- Automatische Berechnung von MTPD und RTO

- Grafische Darstellung von Schadenspotentialen

- Verknüpfung mit Asset-Management

- Integrierte Dokumentenverwaltung

Compliance und Audit:

- Normkonforme Dokumentation

- Nachvollziehbare Prozesse

- Audit-Trail für alle Änderungen

- Zertifizierungsvorbereitung

Häufige Herausforderungen und Lösungen

Herausforderung: Unvollständige Prozesslandschaft

- Lösung: Schrittweise Erfassung, beginnend mit kritischen Prozessen

- Praxis-Tipp: Workshop-basierte Prozessidentifikation mit Fachabteilungen

Herausforderung: Unrealistische Wiederanlaufzeiten

- Lösung: Realistische Tests und Übungen durchführen

- Praxis-Tipp: Mit konservativen Schätzungen beginnen und optimieren

Herausforderung: Fehlende Ressourcen für Notbetrieb

- Lösung: Priorisierung und Minimalbetrieb definieren

- Praxis-Tipp: Ausweichstrategien und externe Ressourcen einplanen

Kernaussagen auf einen Blick

  1. BCMS ist Chefsache: Die Initiierung und Verantwortung für ein BCMS liegt bei der Institutionsleitung, wobei ein BC-Beauftragter die operative Umsetzung koordiniert.
  1. Strukturiertes Vorgehen: Der Aufbau erfolgt in klar definierten Phasen - von der Initiierung über die BIA bis zur Strategieentwicklung und Implementierung.
  1. Kritikalität im Fokus: Die Business Impact Analyse identifiziert zeitkritische Prozesse und bestimmt maximal tolerierbare Ausfallzeiten als Basis für die Notfallplanung.
  1. Integration ist entscheidend: Das BCMS ist keine isolierte Disziplin, sondern eng mit Asset-Management, Risikomanagement und ISMS verzahnt.
  1. Kontinuität als Prozess: Business Continuity Management ist ein fortlaufender Prozess mit regelmäßigen Tests, Übungen und Anpassungen an veränderte Rahmenbedingungen.

Weiterführende Informationen

Glossar wichtiger Begriffe:

- BAO: Besondere Aufbauorganisation - Krisenorganisation im Notfall

- BIA: Business Impact Analyse - Bewertung der Ausfallauswirkungen

- MTPD/MTA: Maximum Tolerable Period of Disruption / Maximal tolerierbare Ausfallzeit

- RPO: Recovery Point Objective - Maximal akzeptabler Datenverlust

- RTO: Recovery Time Objective - Ziel-Wiederanlaufzeit