Fuentis

Business Continuity Management nach BSI Standard 200-4

Approved
Last updated: Sep 08, 2025
fuentis Suite 4, fuentis Trust Platform, fuentis Suite 4

Business Continuity Management (BCM) ist ein systematischer Ansatz zur Sicherstellung der Geschäftskontinuität in Notfall- und Krisensituationen. Nach BSI Standard 200-4 ermöglicht BCM Organisationen, zeitkritische Geschäftsprozesse auch bei schwerwiegenden Störungen aufrechtzuerhalten und damit Schäden zu minimieren. Die Relevanz steigt kontinuierlich durch zunehmende Cyber-Bedrohungen, Naturkatastrophen und komplexe Infrastruktur-Abhängigkeiten.

Das BSI-Stufenmodell für BCMS

Reaktiv-BCMS - Schneller Einstieg

Das Reaktiv-BCMS richtet sich an Organisationen, die schnell handlungsfähig werden möchten:

- Zielgruppe: Institutionen ohne Vorerfahrung im BCM

- Ansatz: Nutzung vorhandener Sicherheitsmaßnahmen und bestehender Mittel

- Umfang: Schutz ausgewählter zeitkritischer Geschäftsprozesse

- Limitation: Stark vereinfachte Einstiegsstufe, die nach einem BCM-Zyklus weiterentwickelt werden muss

- Vorteil: Schnelle Etablierung einer Notfallreaktionsfähigkeit

Aufbau-BCMS - Strukturierte Entwicklung

Das Aufbau-BCMS ermöglicht eine schrittweise BCMS-Implementierung:

- Zielgruppe: Organisationen mit begrenzten Ressourcen oder geringer BCM-Erfahrung

- Ansatz: Fokus auf eingeschränkten GP-Umfang mit den zeitkritischsten Prozessen

- Vorteil: Graduelle Ressourcenplanung und Anpassung basierend auf Erfahrungen

- Entwicklungspfad: Fundament für erfolgreichen Übergang zum Standard-BCMS

- Effektivität: Deutlich besserer Schutz als Reaktiv-BCMS

Standard-BCMS - Vollständige Reife

Das Standard-BCMS repräsentiert die vollständige BCM-Implementierung:

- Umfang: Analyse aller Geschäftsprozesse im BCMS-Geltungsbereich

- Schutzmaßnahmen: Risikoadäquate Absicherung zeitkritischer Prozesse

- Zertifizierungsfähigkeit: Erreicht notwendige Reife für ISO 22301-Zertifizierung

- Stakeholder: Erfüllt Anforderungen aller relevanten Interessengruppen

Praxis-Tipp: Beginnen Sie mit dem Aufbau-BCMS, wenn Sie über BCM-Grundkenntnisse verfügen. Das Reaktiv-BCMS eignet sich nur als absoluter Notfall-Einstieg.

Organisationsstrukturen im Krisenfall

Besondere Aufbauorganisation (BAO)

Die normale Aufbauorganisation (AAO) ist für Krisensituationen oft ungeeignet, da komplexe Abstimmungswege schnelle Entscheidungen verhindern. Die BAO löst dieses Problem durch:

Drei-Ebenen-Struktur:

- Strategische Ebene: Definition von Zielen und Prioritäten

- Taktische Ebene: Lageanalyse, Maßnahmenbeschluss und Überwachung

- Operative Ebene: Umsetzung der Maßnahmen und Rückmeldung

Krisenstab-Eigenschaften:

- Agiert außerhalb der regulären Organisationsstrukturen

- Verfügt über vordefinierte Entscheidungsgewalt

- Besetzt mit Fachexperten für verschiedene Bereiche

- Jede Rolle mit mindestens einer stellvertretenden Person

Infrastruktur-Anforderungen:

- Sicherer und ausgestatteter Krisenstabsraum

- Backup-Raum für Ausweichszenarien

- Kommunikationstechnik und Alarmierungssysteme

Rollen und Verantwortlichkeiten

Business Continuity Manager (BCM):

- Planung und Durchführung der Business Impact Analyse

- Koordination der BCM-Prozesse

- Entwicklung von Notfallplänen

BC-Beauftragter:

- Übergreifende Koordination

- Fachliche Unterstützung des BCM

- Schnittstelle zur Organisationsleitung

Notfall- und Krisenmanagement

Begriffsdefinitionen

Störung: Kurzfristige Unterbrechung mit geringem Schaden, behebbar im Normalbetrieb

Notfall: Nicht tolerierbare Unterbrechung zeitkritischer Prozesse mit erheblichem Schaden; erfordert Notfallpläne und BAO

Krise: Schwerwiegende Unterbrechung ohne bestehende Pläne oder bei unwirksamen Maßnahmen; benötigt erweiterte Krisenmanagementstruktur

Melde- und Eskalationsprozess

Zentrale Meldestelle:

- Annahme und Dokumentation aller Vorfallsmeldungen

- Kategorisierung als Störung, Notfall oder Krise

- Verwaltung von Kontaktinformationen und Prioritäten

Eskalationskriterien:

- Sofortige BAO-Aktivierung bei Notfällen und Krisen

- 24/7-Erreichbarkeitsregelungen außerhalb Geschäftszeiten

- Klare, präzise Alarmierung mit Handlungsanweisungen

Notfallpläne:

- Business Continuity Plans (BCP): Aufrechterhaltung kritischer Prozesse

- Wiederanlaufpläne: Integration ausgefallener Ressourcen

- Wiederherstellungspläne: Rückkehr zum Normalbetrieb

Business Impact Analyse (BIA)

Zielsetzung und Nutzen

Die BIA bildet das Fundament des BCM durch:

- Identifikation unternehmenskritischer Geschäftsprozesse

- Bestimmung des Leistungsniveaus in Normal- und Notbetrieb

- Ermittlung maximal tolerierbarer Ausfallzeiten (MTPD)

- Transparenz über Prozessabhängigkeiten

BIA-Methodik

Vorscoping:

- Hierarchische Prozessidentifikation in der Prozess-Ebenen-Pyramide

- Informationssammlung durch Interviews, Workshops oder Umfragen

- Dokumentation von Prozesseigenschaften und Verantwortlichkeiten

Schadensperioden (standardisiert):

- ≤1 Stunde bis ≤14 Tage

- Einheitliche Bewertungsgrundlage für alle Geschäftsbereiche

- Berücksichtigung zeitgebundener Prozesse (Jahresabschluss, Gehaltsabrechnungen)

MTPD-Ermittlung:

- Zuordnung von Schadenskritikalitäten (1-4) zu Schadensperioden

- Automatisierte Berechnung über vordefinierte Formeln

- Manuelle Erfassung für zeitkritische Sonderfälle

Abhängigkeitsanalyse:

- Zwingend: Keine Alternative vorhanden

- Bestehend, nicht zwingend: Ersetzbar innerhalb der Schadensperiode

- Keine Abhängigkeit: Alternative bereits im Regelbetrieb

- Unterscheidung zwischen internen und externen Abhängigkeiten

Ressourcenbetrachtung

Analyse folgender Ressourcenkategorien:

- Informationstechnik (IT): Server, Netzwerke, Anwendungen

- Personal: Fachkräfte, Kernkompetenzen

- Gebäude: Standorte, Arbeitsplätze

- Services: Dienstleistungen, Lieferungen, Bauleistungen

- Infrastruktur: Produktionsmittel, Versorgungseinrichtungen

Umsetzung mit der fuentis Suite

Die fuentis Suite unterstützt das BCM durch:

Prozessmanagement:

- Zentrale Erfassung und Verwaltung von Geschäftsprozessen

- Automatisierte BIA-Durchführung und -Auswertung

- Abhängigkeitsmodellierung und -visualisierung

Krisenmanagement:

- Vordefinierte Alarmierungsketten und Eskalationspfade

- Mobile Krisenstab-Kommunikation

- Dokumentation und Nachverfolgung von Maßnahmen

Compliance und Reporting:

- Automatisierte Berichte für Management und Aufsichtsbehörden

- Kontinuierliche Überwachung von BCM-KPIs

- Vorbereitung auf ISO 22301-Zertifizierung

Best Practices für erfolgreiches BCM

Organisatorische Verankerung

- Top-Management-Commitment: Sichtbare Unterstützung durch die Geschäftsleitung

- Klare Verantwortlichkeiten: Eindeutige Rollendefinition und Ressourcenzuteilung

- Regelmäßige Übungen: Praxistest der Notfallpläne und BAO-Strukturen

Kontinuierliche Verbesserung

- Lessons Learned: Systematische Auswertung nach jedem Vorfall

- Regelmäßige BIA-Updates: Anpassung an organisatorische Veränderungen

- Stakeholder-Integration: Einbindung aller relevanten internen und externen Partner

Technische Umsetzung

- Redundanzen schaffen: Backup-Systeme und alternative Standorte

- Automatisierung nutzen: Reduzierung manueller Eingriffe in kritischen Situationen

- Testing und Monitoring: Kontinuierliche Überprüfung der BCM-Maßnahmen

Praxis-Tipp: Starten Sie mit einer kleinen Pilotgruppe zeitkritischer Prozesse und erweitern Sie schrittweise den BCM-Umfang. So sammeln Sie wertvolle Erfahrungen und können das System iterativ verbessern.

Rechtliche und regulatorische Aspekte

KRITIS-Relevanz

- Besondere Anforderungen für Betreiber kritischer Infrastrukturen

- Meldepflichten bei Sicherheitsvorfällen

- Erhöhte Dokumentations- und Nachweispflichten

ISO 22301-Zertifizierung

- Internationale Anerkennung des BCM-Reifegrads

- Anforderungen an kontinuierliche Verbesserung

- Externe Audits und regelmäßige Rezertifizierung

Integration in das ISMS

- Verknüpfung mit ISO 27001-Anforderungen

- Gemeinsame Risikobetrachtung und -behandlung

- Synergienutzung bei Dokumentation und Prozessen

Kernaussagen auf einen Blick

  1. Stufenweiser Aufbau: Nutzen Sie das BSI-Stufenmodell für eine risikoorientierte BCM-Implementierung - vom Reaktiv-BCMS über das Aufbau-BCMS zum Standard-BCMS.
  1. Organisatorische Flexibilität: Etablieren Sie eine Besondere Aufbauorganisation (BAO) mit klaren Entscheidungsstrukturen, die in Krisen schnell und effektiv handeln kann.
  1. Fundament Business Impact Analyse: Führen Sie eine systematische BIA durch, um zeitkritische Prozesse zu identifizieren und maximal tolerierbare Ausfallzeiten zu bestimmen.
  1. Klare Begriffstrennung: Unterscheiden Sie präzise zwischen Störungen, Notfällen und Krisen, um angemessene Reaktionsmechanismen zu aktivieren.
  1. Kontinuierliche Verbesserung: Implementieren Sie BCM als lebendigen Prozess mit regelmäßigen Übungen, Lessons Learned und Anpassungen an sich ändernde Rahmenbedingungen.