Business Continuity Management: Wie Ihr Unternehmen Cyberangriffe sicher übersteht

Business Continuity Management

Ein BCM (Business Continuity Management) ist ein ganzheitlicher Managementprozess, der darauf abzielt, potenzielle Bedrohungen für ein Unternehmen zu erkennen und sicherzustellen, dass kritische Geschäftsprozesse auch bei Zwischenfällen aufrechterhalten oder möglichst schnell wiederhergestellt werden. Die wichtigsten Elemente des BCM sind der Business Continuity Plan (BCP), der Incident Response Plan (IRP) und das Disaster Recovery.

Was ist ein Business Continuity Plan?

Ein Business Continuity Plan beschreibt, wie ein Unternehmen das Kerngeschäft im Fall von Störungen aufrechterhalten oder den Geschäftsbetrieb wiederherstellen kann. Er ist Teil eines ganzheitlichen Kontinuitätsmanagements und eng verknüpft mit dem Incident Response Plan und dem Disaster Recovery.

Was ist ein Incident Response Plan?

Im Falle eines Cyberangriffs regelt der Incident Response Plan insbesondere die Kommunikationswege und Eskalationsstufen.

Was ist Disaster Recovery?

Während der BCP den Fortbestand des gesamten Unternehmens fokussiert, beschreibt Disaster Recovery konkrete IT-Maßnahmen zur Wiederherstellung von Systemen und Daten.

5 Schritte zur Erstellung eines BCM gegen Cyberangriffe

Ein strukturiertes Business Continuity Management schützt Ihr Unternehmen im Ernstfall – vorausgesetzt, es ist durchdacht, getestet und aktuell. Die folgenden fünf Schritte führen Sie durch den Aufbau eines solchen BCM.

1. Zweck, Umfang & Ziele definieren

Am Anfang steht die Klärung, welchen Zweck das Business Continuity Management erfüllen soll, welche Ziele verfolgt werden und auf welche Bereiche, Standorte, Prozesse und Systeme es sich bezieht.

2. Business Impact Analyse (BIA)

Eine BIA ist eine systematische Analyse, die den Einfluss von IT-Ausfällen, Cyberangriffen oder anderen Störungen auf kritische Geschäftsaktivitäten bewertet. Ziel ist es, welche Auswirkungen (operativ, finanziell, rechtlich, reputativ) entstehen, wie lange ein Ausfall tolerierbar ist und wie viele Ressourcen zur Wiederaufnahme benötigt werden.

Identifizieren Sie kritische Prozesse, Systeme, Daten und bestimmen Sie Recovery Time Objective (RTO) und Recovery Point Objective (RPO).

Kritische Prozesse, Systeme, Daten sind z. B.:

• Produktions- und Lieferkettensteuerung: ERP, MES, SCM – Ausfall kann Produktion stoppen.
• Finanzen und Buchhaltung: Treasury, Controlling, Rechnungswesen – gesetzlich relevant.
• IT-Infrastruktur und Netzwerk: Active Directory, zentrale Server, VPNs.
• Compliance & Dokumentation: rechtlich erforderliche Unterlagen, Zertifikate.

Welche Systeme als kritisch eingestuft werden, hängt dabei stark vom Geschäftsmodell ab.

Recovery Time Objective (RTO)

Definiert die maximale erlaubte Ausfallzeit, also wie lange nach einem Cybervorfall – z. B. Ransomware – Systeme wieder vollständig online und einsatzbereit sein müssen. Beispiel: RTO = 2 Stunden → Services müssen spätestens nach 2 h wieder laufen.

Recovery Point Objective (RPO)

Legt fest, wie viel Datenverlust tolerierbar ist – sprich, wie alt das letzte Backup sein darf. Beispiel: RPO = 15 Minuten → bei einem Vorfall darf man maximal 15 Minuten an Daten verlieren.

3. Strategien & Maßnahmen entwickeln

Basierend auf der Business Impact Analyse lassen sich gezielte Strategien entwickeln, um den Betrieb im Krisenfall abzusichern und schnell wieder aufzunehmen. Dabei ist eine Kombination aus technischen und organisatorischen Maßnahmen entscheidend.

Recovery-Strategien definieren:

• Notfallprozesse
• Ersatzsysteme
• Cloud-Failover

Technische Maßnahmen sind z. B.:

• Regelmäßige Backups (Snapshots, inkrementell)
• Replikation (synchron/asynchron)
• Air-gapped & immutable Backups
• Hochverfügbarkeitslösungen, Cluster, Load Balancer
• Netzwerk-Segmentierung & Zero Trust
• Monitoring (SIEM, IDS/IPS), Integritätschecks

Organisatorische Maßnahmen sind z. B.:

• Rollen & Verantwortlichkeiten
• Krisenkommunikation intern & extern
• Training & Awareness (z. B. Phishing)
• Tabletop- und Live-Drills
• Drittanbieter-Management & Compliance
• Regelmäßige Audits & Updates

4. Incident Response Plan erstellen

Ein praktischer Incident Response Plan umfasst folgende Abschnitte:

1. Einleitung & Geltungsbereich – Zielsetzung, Anwendungsbereich, verantwortliche Personen
2. Notfallorganisation & Verantwortlichkeiten – Rollen (z. B. Notfallstab)
3. Art und Unterscheidung von Vorfällen – Kriterien zur Erkennung und Unterscheidung Datenschutzvorfall, IT-Sicherheitsvorfall, physischer Sicherheitsvorfall (z. B. physischer Verlust eines Geräts)
4. Meldung von Vorfällen (Incident Response Trigger) – Definition Reaktionsprozess und Meldewege
5. Triage – Identifizierung des Vorfalls, Sammlung relevanter Fakten, Klassifikation des Vorfalls, Anforderungen zur Aktivierung des Notfallstabs
6. Notfallreaktion – IT-Sofortmaßnahmen, Isolation des Vorfalls, Deklaration und Eskalation eines Vorfalls durch den Notfallstab sowie Wiederherstellung nach erfolgreicher Isolation, Kreuzverweis auf den Business Continuity Plan
7. Analyse des Vorfalls – Untersuchung des Vorfalls nach erfolgreicher Bewältigung (wer, was, wann, warum und wie)
8. Nachbereitung / Lessons Learned – Post-mortem, Evaluierung, Verbesserungen, Aktualisierung des Plans
9. Revision und Übungen – Revision nach Vorfällen, Übungen zum Testen der Leistungsfähigkeit der Notfallreaktion
10. Anhänge & Kontaktverzeichnisse – Telefonliste, Systeminventar, Eskalationsmatrix, Checklisten

5. Business Continuity Plan erstellen

Ein praktischer Business Continuity Plan umfasst folgende Abschnitte:

1. Einleitung & Geltungsbereich – Zielsetzung, Anwendungsbereich, verantwortliche Personen
2. Katastrophenszenarien – Unterscheidung der Szenarien zum Ausfall von IT-Systemen, Gebäuden, Personal und Lieferanten/Partnern
3. Recovery Time Objective (RTO)/Recovery Point Objective (RPO) – Definition und Vorgaben zur RTO und RPO
4. Kritische Geschäftsprozesse – Identifikation geschäftskritischer Prozesse im Rahmen einer Business Impact Analyse
5. Risiken kritischer Geschäftsprozesse – Identifikation potenzieller Risiken für kritische Geschäftsprozesse (z. B. Ausfall Personal: 1 Tag, 1–2 Tage etc.)
6. Notfallreaktion – Allgemeine Anweisungen zum Notfallprozess, Notfallmeldung und Notfallkoordination, Lagebeurteilung, Prüfung erster IT-Sofortmaßnahmen, Auswahl eines Notfallplans und Wiederanlauf, Kreuzverweis auf den Incident Response Plan
7. Notfallplan Ausfall von IT und Kommunikation – Pro kritischer Geschäftsprozess (Vorbeugend, Sofortmaßnahmen, Wiederanlauf) und pro Katastrophenszenario
8. Notfallplan Ausfall von Personal – Pro kritischer Geschäftsprozess (Vorbeugend, Sofortmaßnahmen, Wiederanlauf) und Katastrophenszenario
9. Notfallplan Ausfall von Gebäuden – Pro kritischer Geschäftsprozess (Vorbeugend, Sofortmaßnahmen, Wiederanlauf) und Katastrophenszenario
10. Notfallübungen – Übungen zum Testen der Leistungsfähigkeit der erstellten Notfallpläne
11. Anhänge & Kontaktverzeichnisse – Telefonliste, Systeminventar, Eskalationsmatrix, Checklisten

6. Testen, Üben & Verbessern

Ein Business Continuity Management und seine Elemente sind nur dann wirksam, wenn sie nicht nur erstellt, sondern auch regelmäßig geprüft und trainiert werden. Tests und Übungen sichern die Praxistauglichkeit und decken Verbesserungspotenziale auf.

• Tabletop-Übungen: Simulierte Szenarien und Planspiele in Sitzungsform
• Live-Drills: Technische Wiederanläufe im zunehmend realen Szenario
• Tests nach IT-Ausfällen, Cyberattacken, Kommunikationschecks
• Lessons Learned sammeln, Ergebnisse dokumentieren und in den Plan einfließen lassen
• Regelmäßige Reviews: Alljährlich bzw. nach Änderungen (IT, Prozesse, Personal)
• Anpassung bei Audits oder Vorfällen: Einpflegen von Erkenntnissen aus Übungen oder realen Ereignissen
• Zertifizierung & Standards: Orientierung an ISO 22301 oder BSI 200-4, ggf. externe Prüfungen

Wichtige Standards & Frameworks für ein BCM

Ein Business Continuity Management sollte sich an bewährten Standards orientieren, um Wirksamkeit, Nachvollziehbarkeit und Auditierbarkeit sicherzustellen.

• ISO 22301:2019 – internationaler Standard für Business Continuity Management
• BSI-Standard 200-4 – deutsche Norm (in Verbindung mit ISO 22301) für BCM-Systeme
• VdS-Richtlinien (z. B. VdS 3473/10000) – spezieller Fokus auf Informationssicherheit und KMU

Wer ist im Unternehmen für das BCM verantwortlich?

Ein Business Continuity Management ist nur dann wirksam, wenn alle beteiligten Rollen im Unternehmen klar definiert und mit passenden Kompetenzen ausgestattet sind.

• Geschäftsleitung: Strategische Verantwortung und Ressourcenbereitstellung
• Business Continuity Manager: Projektleitung und Koordination
• IT & CISO: Technische Umsetzung von RTO/RPO, Sicherungs- und Wiederherstellungsprozesse
• Fachbereichsverantwortliche: Definition und Bewertung kritischer Prozesse
• Krisenkommunikation & HR: Schulungen, Eskalation und Mitarbeiterinformation

Fazit

Ein BCM im Cyber-Kontext schützt Ihr Unternehmen, sichert den Geschäftsbetrieb und reduziert operative und Reputationsrisiken – idealerweise vor dem Eintritt eines Angriffs. Entscheidend ist die Verbindung von technologischen Lösungen, klaren Verantwortlichkeiten, kontinuierlichem Training und regelmäßigen Überprüfungen – unterstützt von bewährten Standards wie ISO 22301 und BSI 200-4.

Unsere Leistungen für Ihre Sicherheit

Als spezialisierte Unternehmensberatung für Informationssicherheit unterstützen wir Sie in allen Phasen des Business Continuity Managements:

• Individuelle Beratung & Gap-Analysen zu bestehenden Notfall- und BCP-Strukturen
• Durchführung von Business Impact Analysen (BIA) und Risikoanalysen
• Entwicklung und Dokumentation von BCP & IT-Notfallplänen
• Schulungen und Krisenübungen für Fach- und Führungskräfte
• Workshops zur RTO/RPO-Ermittlung
• Unterstützung bei ISO 22301 oder BSI 200-4 Konformität
• Ganzheitliche Unterstützung als externer ISB

Sprechen Sie uns an, wenn Sie Ihre Resilienz gegen Cyberrisiken praxisnah und wirksam steigern wollen.