Business Continuity Plan erstellen: Leitfaden für IT-Leiter

Das BCM-Frame­work #

Ein voll­stän­di­ges Busi­ness Con­ti­nui­ty Manage­ment (BCM) hat die­se Struktur:

BCM Program
├── Business Impact Analysis (BIA)
│   ├── Kritische Prozesse identifizieren
│   ├── RTO (Recovery Time Objective)
│   ├── RPO (Recovery Point Objective)
│   └── Abhängigkeiten mappen
├── Business Continuity Plan (BCP)
│   ├── Strategie pro Prozess
│   ├── Alternative Arbeitsplatze
│   ├── Kommunikationsplan
│   └── Rollen & Verantwortlichkeiten
├── Disaster Recovery Plan (DR-Plan)
│   ├── Technische Wiederherstellungsschritte
│   ├── Recovery-Runbooks
│   └── Test-Verfahren
└── BCM Governance & Testing
    ├── Jährliche BIA-Updates
    ├── Quartalsweise DR-Tests
    └── Lessons Learned

Der BCP baut auf der BIA auf. Ohne BIA, ist der BCP nur Spekulation.

Schritt 1: Busi­ness Impact Ana­ly­sis (BIA) #

Die BIA ist die Fun­da­ti­on. Sie identifiziert:

• Wel­che Geschäfts­pro­zes­se sind kritisch?
• Wie lan­ge kön­nen sie ohne Aus­wir­kun­gen aus­fal­len? (RTO)
• Wie viel Daten­ver­lust ist akzep­ta­bel? (RPO)
• Wel­che Sys­te­me unter­stüt­zen die­se Prozesse?

BIA-Work­shop Methodik:

Laden Sie eine Grup­pe ein: Geschäfts­füh­rung, Abtei­lungs­lei­ter, Finanz­lei­ter, IT-Leiter.

Durch­ge­hen Sie jeden Geschäftsprozess:

1. Ver­trieb: ​“Unser Ver­triebs­team kann höchs­tens 4 Stun­den ohne CRM-Sys­tem arbei­ten, bevor Deals ver­lo­ren gehen.”
2. Buch­hal­tung: ​“Unse­re Accoun­ting-Pro­zes­se kön­nen maxi­mal 1 Woche aus­fal­len, bis wir in Schwie­rig­kei­ten mit Stake­hol­dern kommen.”
3. Pro­duk­ti­on: ​“Unse­re Fer­ti­gung kann 2 Stun­den aus­fal­len; danach ver­lie­ren wir Kunden.”
4. E‑Mail: ​“E‑Mail kann 24 Stun­den aus­fal­len; Busi­ness wird beein­träch­tigt, aber nicht tödlich.”

Das Ergeb­nis ist eine RTO/R­PO-Tabel­le:

Geschäfts­pro­zess	System(e)	RTO	RPO	Kri­ti­k­ali­tät
Ver­trieb	CRM, E‑Mail	4 Std	1 Std	kri­tisch
Pro­duk­ti­on	ERP, PLC-Steue­rung	2 Std	15 Min	kri­tisch
Buch­hal­tung	ERP, File­ser­ver	24 Std	1 Tag	wich­tig
HR	HRIS, E‑Mail	48 Std	1 Tag	wich­tig
Ent­wick­lung	Git, Jira, E‑Mail	7 Tage	1 Tag	nied­rig

Das ist die BIA. Ohne sie, kön­nen Sie kei­nen sinn­vol­len BCP schreiben.

Schritt 2: Busi­ness Con­ti­nui­ty Plan (BCP) — 8 Abschnit­te #

1. Exe­cu­ti­ve Sum­ma­ry #

• Zweck des Plans
• Scope (wel­che Geschäfts­ein­hei­ten, wel­che Prozesse)
• Kri­ti­sche Pro­zes­se (kur­ze Liste)
• Auto­ri­sa­ti­on & Approvals

2. Orga­ni­sa­ti­on & Rol­len #

Inci­dent Com­man­der: Lei­tet die BC-Respon­se. BC-Team Lei­ter: Pro Geschäfts­ein­heit. Reco­very Mana­ger: Koor­di­niert Wie­der­her­stel­lung. Com­mu­ni­ca­ti­ons Mana­ger: Inter­ne & exter­ne Kom­mu­ni­ka­ti­on. Finan­ce: Bud­get für Recovery.

Für jede Rol­le: Name, Back­up-Name, Kontaktnummern.

3. Cri­ti­cal Busi­ness Func­tions & Reco­very Stra­te­gies #

Für jeden kri­ti­schen Prozess:

“Sales Pro­cess — RTO 4 Stunden”

• Sze­na­rio 1 (leich­ter Aus­fall): ​“Wenn CRM 4 Stun­den down ist…”
  • Stra­te­gie: Manu­el­ler Sales-Pro­zess, E‑Mail-basiert, Back­ups in loka­le Excels
  • Reco­very: Reco­very-Run­book für CRM, geschätz­te 2 Stunden
• Sze­na­rio 2 (schwe­rer Aus­fall, Gebäu­de beschä­digt): ​“Wenn das Büro nicht erreich­bar ist…”
  • Stra­te­gie: Remo­te-Arbeit von Zuhau­se, VPN-Zugriff, Lap­tops mit loka­len Sales-Tools
  • Reco­very: Rück­kehr zum nor­ma­len Büro, neu­er Zeit­plan (2−3 Tage)

“Pro­duc­tion — RTO 2 Stunden”

• Sze­na­rio 1 (Soft­ware-Aus­fall): ​“Wenn ERP-Sys­tem down ist…”
  • Stra­te­gie: Manu­el­le Fer­ti­gung, Not­fall-Ter­min­ka­len­der, Pau­se in Neuaufträgen
  • Reco­very: ERP aus Back­up, geschätz­te 1.5 Stunden
• Sze­na­rio 2 (Hard­ware­aus­fall): ​“Wenn der Pro­duk­ti­ons­ser­ver beschä­digt ist…”
  • Stra­te­gie: Fail­over zum Back­up-Ser­ver, par­al­lel: Handarbeits-Prozess
  • Reco­very: Neu­er Ser­ver + ERP + Daten­bank, ~ 2 Stunden

4. Alter­na­ti­ve Work Loca­ti­ons #

Wo arbei­tet Ihr Team, wenn das Büro nicht ver­füg­bar ist?

• Home­of­fice: Für Sales, Admin, Deve­lo­p­ment — gut machbar
• Kun­den­netz­werk: Für Vor-Ort-Tech­ni­ker — ok, aber limitiert
• Co-Working Space: Miet­bar für 50 Men­schen, Kosten/​Tag
• Gemein­de-Gebäu­de: Für kri­ti­sche Public-Sec­tor Organisationen

Für jeden Loca­ti­on: Kapa­zi­tät, Inter­net-Qua­li­tät, Ver­füg­bar­keit, Kosten.

5. Com­mu­ni­ca­ti­ons Plan #

Intern:

• Wie wird das Team infor­miert, dass ein BC-Event läuft? (Sire­ne, Tele­fon, E‑Mail)
• Wie oft wer­den Updates geben? (stünd­lich für kri­ti­sche, täg­lich für andere)
• Wer kom­mu­ni­ziert (ein Spre­cher, nicht zehn verschiedene)

Extern:

• Wie wer­den Kun­den infor­miert? (Tem­p­la­te, Vorbereitet)
• Wann wer­den Kun­den infor­miert? (sofort bei Service-Impact)
• Wer unter­schreibt? (CEO oder COO, nicht IT)

Samples:

• “Wir haben ein tech­ni­sches Issue mit unse­rem Ver­triebs­sys­tem. Wir arbei­ten dar­an. Ser­vice wird in 2 – 4 Stun­den wiederhergestellt.”
• “Auf­grund eines Cyber­an­griffs fah­ren wir unse­re Sys­te­me her­un­ter um Schä­den zu mini­mie­ren. Wir mel­den uns alle 4 Stun­den mit Updates.”

6. Resour­ce Requi­re­ments #

Was brau­chen Sie für Recovery?

• Hard­ware: Back­up-Ser­ver, Fail­over-Hard­ware, Recovery-Zonen
• Soft­ware: Back­up-Tools, Reco­very-Soft­ware, Restoration-Utilities
• Peo­p­le: Wie vie­le Tech­ni­ker sind 24 Stun­den verfügbar?
• Exter­ne Dienst­leis­tun­gen: Foren­sik, Pene­tra­ti­on Test­ing, Reparatur-Services
• Bud­gets: Reco­very kann teu­er sein. Not­fall-Kos­ten vor­ab approven.

7. Test­ing & Main­ten­an­ce #

• Table­top Exer­cise: 2x pro Jahr, simu­liert ein BC-Event, alle Rol­len durch­spie­len. Nicht-technikal.
• Par­ti­al DR-Test: 4x pro Jahr, ein Sys­tem tat­säch­lich reco­ver­ed (mit Back­up-Daten, aber nicht Production).
• Full DR-Test: Jähr­lich, alle Sys­te­me in Recovery-Umgebung.

Das ist nicht optio­nal. Ein BCP, der nie getes­tet wur­de, ist Fiktion.

8. Main­ten­an­ce & Update #

• Jähr­li­che Review: BCP muss updated wer­den, basie­rend auf Test-Erkenntnissen.
• Chan­ge Trig­gers: Nach grö­ße­ren IT-Chan­ges (neue Sys­te­me, neue Stand­ort, neue Partnerschaften).
• Role Updates: Wenn ein Key-Per­son geht, wird ein Back­up trainiert.

NIS2 Busi­ness-Con­ti­nui­ty-Pflicht #

Seit NIS2 (in Kraft 6. Dezem­ber 2025) ist Busi­ness Con­ti­nui­ty nicht mehr optio­nal. §30 BSIG ver­pflich­tet grö­ße­re Unternehmen:

• Busi­ness Impact Ana­ly­sis durch­füh­ren (doku­men­tiert)
• Reco­very Time Objec­ti­ves defi­nie­ren (getes­tet, nicht geschätzt)
• Reco­very Maß­nah­men imple­men­tie­ren (nicht nur planen)
• Kri­sen­ma­nage­ment Struk­tur auf­bau­en (mit doku­men­tier­ten Rollen)

Das ist ein regu­la­to­ri­scher Trei­ber für gutes BCM.

Häu­fi­ge Fra­gen #

Unter­schied zwi­schen BCP und DR-Plan? BCP: Geschäft­lich (wel­che Pro­zes­se sind kri­tisch, wie lan­ge kön­nen Sie aus­fal­len). DR-Plan: Tech­nisch (wie brin­gen wir Sys­te­me wie­der hoch).

Wer schreibt den BCP? Geschäft­li­cheer Sei­te (Geschäfts­füh­rung, Abtei­lungs­lei­ter) für die BIA und Stra­te­gie. IT schreibt den DR-Plan und die tech­ni­schen Details.

Wie lan­ge dau­ert ein kom­plet­ter BCP Aufbau? Für ein mit­tel­stän­di­sches Unter­neh­men: 3 – 6 Mona­te (BIA Work­shop, Plan schrei­ben, First Test, dann Iteration).

---