---
title: "Business Continuity Plan erstellen: Leitfaden für IT-Leiter"
date: 2026-06-04T11:55:00+02:00
author: FAST LTA
canonical_url: "https://www.fast-lta.de//de/blog/business-continuity-plan-erstellen-leitfaden-für-it-leiter"
section: "Entries: Articles"
---
### Das BCM-Frame­work [\#](#das-bcm-framework "Das BCM-Framework")

Ein voll­stän­di­ges Busi­ness Con­ti­nui­ty Manage­ment (BCM) hat die­se Struktur:

```
<button data-glossary="true" data-popover-target="glossary-1351283445-6" data-popover-trigger="hover" type="button">BCM</button> Program
├── Business Impact Analysis (BIA)
│   ├── Kritische Prozesse identifizieren
│   ├── RTO (<button data-glossary="true" data-popover-target="glossary-1351283445-3" data-popover-trigger="hover" type="button">Recovery Time Objective</button>)
│   ├── RPO (<button data-glossary="true" data-popover-target="glossary-1351283445-2" data-popover-trigger="hover" type="button">Recovery Point Objective</button>)
│   └── Abhängigkeiten mappen
├── <button data-glossary="true" data-popover-target="glossary-1351283445-4" data-popover-trigger="hover" type="button">Business Continuity</button> Plan (BCP)
│   ├── Strategie pro Prozess
│   ├── Alternative Arbeitsplatze
│   ├── Kommunikationsplan
│   └── Rollen & Verantwortlichkeiten
├── <button data-glossary="true" data-popover-target="glossary-1351283445-5" data-popover-trigger="hover" type="button">Disaster Recovery</button> Plan (<button data-glossary="true" data-popover-target="glossary-1351283445-8" data-popover-trigger="hover" type="button">DR</button>-Plan)
│   ├── Technische Wiederherstellungsschritte
│   ├── Recovery-Runbooks
│   └── Test-Verfahren
└── <button data-glossary="true" data-popover-target="glossary-1351283445-7" data-popover-trigger="hover" type="button">BCM</button> Governance & Testing
    ├── Jährliche BIA-Updates
    ├── Quartalsweise <button data-glossary="true" data-popover-target="glossary-1351283445-9" data-popover-trigger="hover" type="button">DR</button>-Tests
    └── Lessons Learned

```

Der BCP baut auf der BIA auf. Ohne BIA, ist der BCP nur Spekulation.

### Schritt 1: Busi­ness Impact Ana­ly­sis (BIA) [\#](#schritt-1-business-impact-analysis-bia "Schritt 1: Business Impact Analysis (BIA)")

Die BIA ist die Fun­da­ti­on. Sie identifiziert:

- Wel­che Geschäfts­pro­zes­se sind kritisch?
- Wie lan­ge kön­nen sie ohne Aus­wir­kun­gen aus­fal­len? (RTO)
- Wie viel Daten­ver­lust ist akzep­ta­bel? (RPO)
- Wel­che Sys­te­me unter­stüt­zen die­se Prozesse?

**BIA-Work­shop Methodik:**

Laden Sie eine Grup­pe ein: Geschäfts­füh­rung, Abtei­lungs­lei­ter, Finanz­lei­ter, IT-Leiter.

Durch­ge­hen Sie jeden Geschäftsprozess:

1. **Ver­trieb:** ​“Unser Ver­triebs­team kann höchs­tens 4 Stun­den ohne CRM-Sys­tem arbei­ten, bevor Deals ver­lo­ren gehen.”
2. **Buch­hal­tung:** ​“Unse­re Accoun­ting-Pro­zes­se kön­nen maxi­mal 1 Woche aus­fal­len, bis wir in Schwie­rig­kei­ten mit Stake­hol­dern kommen.”
3. **Pro­duk­ti­on:** ​“Unse­re Fer­ti­gung kann 2 Stun­den aus­fal­len; danach ver­lie­ren wir Kunden.”
4. **E‑Mail:** ​“E‑Mail kann 24 Stun­den aus­fal­len; Busi­ness wird beein­träch­tigt, aber nicht tödlich.”

Das Ergeb­nis ist eine **RTO/R­PO-Tabel­le:**

Geschäfts­pro­zessSystem(e)RTORPOKri­ti­k­ali­tätVer­triebCRM, E‑Mail4 Std1 Stdkri­tischPro­duk­ti­onERP, PLC-Steue­rung2 Std15 Minkri­tischBuch­hal­tungERP, File­ser­ver24 Std1 Tagwich­tigHRHRIS, E‑Mail48 Std1 Tagwich­tigEnt­wick­lungGit, Jira, E‑Mail7 Tage1 Tagnied­rigDas ist die BIA. Ohne sie, kön­nen Sie kei­nen sinn­vol­len BCP schreiben.

### Schritt 2: Busi­ness Con­ti­nui­ty Plan (BCP) — 8 Abschnit­te [\#](#schritt-2-business-continuity-plan-bcp-8-abschnitte "Schritt 2: Business Continuity Plan (BCP) — 8 Abschnitte")

#### 1. Exe­cu­ti­ve Sum­ma­ry [\#](#1-executive-summary "1. Executive Summary")

- Zweck des Plans
- Scope (wel­che Geschäfts­ein­hei­ten, wel­che Prozesse)
- Kri­ti­sche Pro­zes­se (kur­ze Liste)
- Auto­ri­sa­ti­on &amp; Approvals

#### 2. Orga­ni­sa­ti­on &amp; Rol­len [\#](#2-organisation-rollen "2. Organisation & Rollen")

**Inci­dent Com­man­der:** Lei­tet die BC-Respon­se. **BC-Team Lei­ter:** Pro Geschäfts­ein­heit. **Reco­very Mana­ger:** Koor­di­niert Wie­der­her­stel­lung. **Com­mu­ni­ca­ti­ons Mana­ger:** Inter­ne &amp; exter­ne Kom­mu­ni­ka­ti­on. **Finan­ce:** Bud­get für Recovery.

Für jede Rol­le: Name, Back­up-Name, Kontaktnummern.

#### 3. Cri­ti­cal Busi­ness Func­tions &amp; Reco­very Stra­te­gies [\#](#3-critical-business-functions-recovery-strategies "3. Critical Business Functions & Recovery Strategies")

Für jeden kri­ti­schen Prozess:

**“Sales Pro­cess — RTO 4 Stunden”**

- Sze­na­rio 1 (leich­ter Aus­fall): ​“Wenn CRM 4 Stun­den down ist…”
- Stra­te­gie: Manu­el­ler Sales-Pro­zess, E‑Mail-basiert, Back­ups in loka­le Excels
- Reco­very: Reco­very-Run­book für CRM, geschätz­te 2 Stunden

25. Sze­na­rio 2 (schwe­rer Aus­fall, Gebäu­de beschä­digt): ​“Wenn das Büro nicht erreich­bar ist…”
26. Stra­te­gie: Remo­te-Arbeit von Zuhau­se, VPN-Zugriff, Lap­tops mit loka­len Sales-Tools
27. Reco­very: Rück­kehr zum nor­ma­len Büro, neu­er Zeit­plan (2−3 Tage)
**“Pro­duc­tion — RTO 2 Stunden”**

- Sze­na­rio 1 (Soft­ware-Aus­fall): ​“Wenn ERP-Sys­tem down ist…”
- Stra­te­gie: Manu­el­le Fer­ti­gung, Not­fall-Ter­min­ka­len­der, Pau­se in Neuaufträgen
- Reco­very: ERP aus Back­up, geschätz­te 1.5 Stunden

30. Sze­na­rio 2 (Hard­ware­aus­fall): ​“Wenn der Pro­duk­ti­ons­ser­ver beschä­digt ist…”
31. Stra­te­gie: Fail­over zum Back­up-Ser­ver, par­al­lel: Handarbeits-Prozess
32. Reco­very: Neu­er Ser­ver + ERP + Daten­bank, ~ 2 Stunden
#### 4. Alter­na­ti­ve Work Loca­ti­ons [\#](#4-alternative-work-locations "4. Alternative Work Locations")

Wo arbei­tet Ihr Team, wenn das Büro nicht ver­füg­bar ist?

- **Home­of­fice:** Für Sales, Admin, Deve­lo­p­ment — gut machbar
- **Kun­den­netz­werk:** Für Vor-Ort-Tech­ni­ker — ok, aber limitiert
- **Co-Working Space:** Miet­bar für 50 Men­schen, Kosten/​Tag
- **Gemein­de-Gebäu­de:** Für kri­ti­sche Public-Sec­tor Organisationen

Für jeden Loca­ti­on: Kapa­zi­tät, Inter­net-Qua­li­tät, Ver­füg­bar­keit, Kosten.

#### 5. Com­mu­ni­ca­ti­ons Plan [\#](#5-communications-plan "5. Communications Plan")

**Intern:**

- Wie wird das Team infor­miert, dass ein BC-Event läuft? (Sire­ne, Tele­fon, E‑Mail)
- Wie oft wer­den Updates geben? (stünd­lich für kri­ti­sche, täg­lich für andere)
- Wer kom­mu­ni­ziert (ein Spre­cher, nicht zehn verschiedene)

**Extern:**

- Wie wer­den Kun­den infor­miert? (Tem­p­la­te, Vorbereitet)
- Wann wer­den Kun­den infor­miert? (sofort bei Service-Impact)
- Wer unter­schreibt? (CEO oder COO, nicht IT)

**Samples:**

- “Wir haben ein tech­ni­sches Issue mit unse­rem Ver­triebs­sys­tem. Wir arbei­ten dar­an. Ser­vice wird in 2 – 4 Stun­den wiederhergestellt.”
- “Auf­grund eines Cyber­an­griffs fah­ren wir unse­re Sys­te­me her­un­ter um Schä­den zu mini­mie­ren. Wir mel­den uns alle 4 Stun­den mit Updates.”

#### 6. Resour­ce Requi­re­ments [\#](#6-resource-requirements "6. Resource Requirements")

Was brau­chen Sie für Recovery?

- **Hard­ware:** Back­up-Ser­ver, Fail­over-Hard­ware, Recovery-Zonen
- **Soft­ware:** Back­up-Tools, Reco­very-Soft­ware, Restoration-Utilities
- **Peo­p­le:** Wie vie­le Tech­ni­ker sind 24 Stun­den verfügbar?
- **Exter­ne Dienst­leis­tun­gen:** Foren­sik, Pene­tra­ti­on Test­ing, Reparatur-Services
- **Bud­gets:** Reco­very kann teu­er sein. Not­fall-Kos­ten vor­ab approven.

#### 7. Test­ing &amp; Main­ten­an­ce [\#](#7-testing-maintenance "7. Testing & Maintenance")

- **Table­top Exer­cise:** 2x pro Jahr, simu­liert ein BC-Event, alle Rol­len durch­spie­len. Nicht-technikal.
- **Par­ti­al DR-Test:** 4x pro Jahr, ein Sys­tem tat­säch­lich reco­ver­ed (mit Back­up-Daten, aber nicht Production).
- **Full DR-Test:** Jähr­lich, alle Sys­te­me in Recovery-Umgebung.

Das ist nicht optio­nal. Ein BCP, der nie getes­tet wur­de, ist Fiktion.

#### 8. Main­ten­an­ce &amp; Update [\#](#8-maintenance-update "8. Maintenance & Update")

- **Jähr­li­che Review:** BCP muss updated wer­den, basie­rend auf Test-Erkenntnissen.
- **Chan­ge Trig­gers:** Nach grö­ße­ren IT-Chan­ges (neue Sys­te­me, neue Stand­ort, neue Partnerschaften).
- **Role Updates:** Wenn ein Key-Per­son geht, wird ein Back­up trainiert.

### NIS2 Busi­ness-Con­ti­nui­ty-Pflicht [\#](#nis2-business-continuity-pflicht "NIS2 Business-Continuity-Pflicht")

Seit NIS2 (in Kraft 6. Dezem­ber 2025) ist Busi­ness Con­ti­nui­ty nicht mehr optio­nal. §30 BSIG ver­pflich­tet grö­ße­re Unternehmen:

- **Busi­ness Impact Ana­ly­sis durch­füh­ren** (doku­men­tiert)
- **Reco­very Time Objec­ti­ves defi­nie­ren** (getes­tet, nicht geschätzt)
- **Reco­very Maß­nah­men imple­men­tie­ren** (nicht nur planen)
- **Kri­sen­ma­nage­ment Struk­tur auf­bau­en** (mit doku­men­tier­ten Rollen)

Das ist ein regu­la­to­ri­scher Trei­ber für gutes BCM.

### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen")

**Unter­schied zwi­schen BCP und DR-Plan?** BCP: Geschäft­lich (wel­che Pro­zes­se sind kri­tisch, wie lan­ge kön­nen Sie aus­fal­len). DR-Plan: Tech­nisch (wie brin­gen wir Sys­te­me wie­der hoch).

**Wer schreibt den BCP?** Geschäft­li­cheer Sei­te (Geschäfts­füh­rung, Abtei­lungs­lei­ter) für die BIA und Stra­te­gie. IT schreibt den DR-Plan und die tech­ni­schen Details.

**Wie lan­ge dau­ert ein kom­plet­ter BCP Aufbau?** Für ein mit­tel­stän­di­sches Unter­neh­men: 3 – 6 Mona­te (BIA Work­shop, Plan schrei­ben, First Test, dann Iteration).

---

### Business Continuity Management

Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/business-continuity-management)

### RTO / RPO

RTO (Recovery Time Objective) ist die maximal akzeptable Ausfallzeit nach einem IT-Ausfall; RPO (Recovery Point Objective) ist der maximal akzeptable Datenverlust — beide sind Kennzahlen, die in Backup-Architekturen technisch nachweisbar erfüllt sein müssen und nicht nur als Wunschziele definiert werden dürfen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/rto-rpo)

### RTO / RPO

RTO (Recovery Time Objective) ist die maximal akzeptable Ausfallzeit nach einem IT-Ausfall; RPO (Recovery Point Objective) ist der maximal akzeptable Datenverlust — beide sind Kennzahlen, die in Backup-Architekturen technisch nachweisbar erfüllt sein müssen und nicht nur als Wunschziele definiert werden dürfen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/rto-rpo)

### Business Continuity Management

Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/business-continuity-management)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Business Continuity Management

Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/business-continuity-management)

### Business Continuity Management

Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/business-continuity-management)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Business Continuity Management

Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/business-continuity-management)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)