Business Continuity Plan (BCP)

In L8 hast du den Disaster-Recovery-Plan kennengelernt – das IT-spezifische Vorgehen bei Katastrophen. Aber: wenn das Bürogebäude abbrennt, helfen die Server in der DR-Site nichts, wenn niemand weiß wo das Personal hingeht. Wenn eine Pandemie das Personal lahmlegt, nützen redundante Rechenzentren wenig. Hier kommt der Business Continuity Plan (BCP) ins Spiel – der übergeordnete Plan, der den gesamten Geschäftsbetrieb aufrechterhalten soll.

Diese Lektion zeigt was ein BCP ist, wie er sich vom DRP unterscheidet, was die Business Impact Analyse (BIA) umfasst, und wie BCP nach ISO 22301 strukturiert wird. Pflicht-Wissen für FISI – BCP-Themen kommen in praktisch jedem ernsthaften IT-Audit vor.

1) Was ist Business Continuity?

Business Continuity (deutsch: Geschäftskontinuität) ist die Fähigkeit einer Organisation, ihre kritischen Geschäftsprozesse während und nach einer Störung aufrechtzuerhalten oder zeitnah wiederherzustellen. Der Business Continuity Plan (BCP) ist die schriftliche Strategie dafür.

Der zentrale Unterschied zum DRP: der BCP betrachtet das gesamte Unternehmen, nicht nur die IT. Beispiel: nach einem Bürobrand muss

die IT in der DR-Site weiterlaufen → das ist DRP
aber Mitarbeiter brauchen einen Arbeitsplatz → BCP
Kunden müssen informiert werden → BCP
Lieferketten müssen umgeleitet werden → BCP
Versicherungs- und Rechts-Fragen müssen geklärt werden → BCP
Lohnabrechnungen, Buchhaltung müssen weiterlaufen → BCP

Der DRP ist also ein Teil des BCP. Eine gute Analogie: der DRP ist „Wie kommen wir wieder online?" und der BCP ist „Wie machen wir weiter Geschäft?"

2) BCP vs. DRP – die Hierarchie

Beide Pläne arbeiten zusammen, aber haben unterschiedliche Reichweite:

Hierarchie: BCP umfasst DRP

Business Continuity Plan (BCP)

Gesamte Geschäftskontinuität

↓

DRP

IT-Wiederherstellung

Crisis
Comm Plan

Kommunikation

Emergency
Response

Notfall-Maßnahmen

HR &
Workplace

Personal & Standort

Manche Organisationen unterscheiden weitere Pläne: Crisis Management Plan (für die Geschäftsleitung), Incident Response Plan (für Cyber-Vorfälle), Pandemic Response Plan (für Gesundheitskrisen). Wichtig ist nicht die exakte Aufteilung, sondern dass alle wesentlichen Aspekte abgedeckt sind.

3) Direkter Vergleich BCP vs. DRP

Die wichtigsten Unterschiede im Detail:

BCP und DRP nebeneinander

📋 Business Continuity Plan (BCP)

Geschäftliche Sicht

Strategie für die Aufrechterhaltung der kritischen Geschäftsprozesse. Übergeordnet, langfristig, fokussiert auf den Betrieb des gesamten Unternehmens.

Scope: gesamtes Unternehmen

Beinhaltet: Personal, Standorte, Prozesse, Lieferanten, Kommunikation, Recht, Finanzen – plus DRP für IT-Themen.

🔧 Disaster Recovery Plan (DRP)

IT-Sicht

Spezifische Maßnahmen zur Wiederherstellung der IT-Systeme. Detaillierter, technischer, fokussiert auf Server, Daten, Anwendungen.

Scope: IT-Infrastruktur

Beinhaltet: Backups, DR-Sites, Failover, Wiederherstellungs-Prozeduren, Cluster, technische Runbooks.

Eselsbrücke: BCP fragt „Wie geht's geschäftlich weiter?", DRP fragt „Wie kriegen wir die IT zurück?". Ein guter BCP enthält einen DRP, aber auch viele nicht-IT-Aspekte.

4) Die ISO 22301 – der internationale Standard

Der wichtigste Standard für Business Continuity Management ist ISO 22301 (deutsche Variante: ISO 22301:2019). Er definiert ein Business Continuity Management System (BCMS), ähnlich wie ISO 27001 für Informationssicherheit.

Der ISO-22301-Ansatz folgt dem klassischen PDCA-Zyklus:

Plan: BCMS aufbauen, Scope festlegen, Policies erstellen, BIA durchführen
Do: Maßnahmen umsetzen, Pläne dokumentieren, Personal trainieren
Check: regelmäßige Tests, Audits, Reviews
Act: Verbesserungen umsetzen, aus Vorfällen lernen

Unternehmen können sich nach ISO 22301 zertifizieren lassen. Das ist insbesondere für kritische Infrastrukturen (KRITIS), Banken, Versicherungen und Behörden relevant.

5) Business Impact Analyse (BIA)

Das Herzstück jedes BCP ist die Business Impact Analyse. Sie beantwortet die Frage: Welche Geschäftsprozesse sind wie kritisch und was kostet uns ihr Ausfall?

Schritte der Business Impact Analyse

Identifikation der Geschäftsprozesse

Alle wesentlichen Prozesse im Unternehmen auflisten: Vertrieb, Produktion, Buchhaltung, Personalwesen, Kunden-Support, Forschung, etc. Auf Hauptprozesse fokussieren, nicht jeden Mikro-Schritt.

Bewertung der Kritikalität

Für jeden Prozess bestimmen: wie wichtig ist er für das Unternehmen? Auf Skalen wie 1-5 oder Kategorien wie „mission-critical, business-critical, important, nice-to-have".

Ausfallkosten ermitteln

Was kostet ein Ausfall pro Stunde, Tag, Woche? Direkte Kosten (entgangener Umsatz), indirekte Kosten (Reputation, Vertragsstrafen, Personal-Idle-Zeit). Beispiel: Online-Shop-Ausfall = ca. 50.000 €/Stunde verlorener Umsatz.

Abhängigkeiten kartieren

Welche IT-Systeme braucht jeder Prozess? Welche externen Dienste (Banken, Lieferanten, Behörden)? Welche internen Ressourcen (Räume, Personal, Spezial-Hardware)?

MTPD und RTO/RPO festlegen

MTPD = Maximum Tolerable Period of Disruption – die absolute Schmerzgrenze. Davon abgeleitet: RTO (max. Recovery-Zeit) und RPO (max. Datenverlust). Mehr in K58 L6.

Mindest-Service-Level definieren

In welchem Umfang muss der Prozess minimal weiterlaufen? Beispiel: im Notbetrieb reichen 50% der Kapazität, oder nur Kern-Funktionen ohne Reporting.

Priorisierung der Prozesse

Aus Kritikalität + Ausfallkosten + MTPD ergibt sich eine Prioritäten-Liste. Diese steuert die BCP-Maßnahmen und Recovery-Reihenfolge.

BIA-Bericht erstellen

Zusammenfassung mit konkreten Empfehlungen für die Geschäftsleitung. Grundlage für Budget-Entscheidungen zur BCM-Umsetzung.

Die BIA wird alle 1-2 Jahre wiederholt – Geschäftsprozesse ändern sich, neue Risiken entstehen, alte verschwinden. Wer die BIA als statisches Dokument behandelt, hat einen veralteten BCP.

6) MTPD, RTO und Service-Continuity

Die Beziehung zwischen MTPD, RTO und der „Service-Wiederherstellungs-Kurve" lässt sich visualisieren:

MTPD und RTO im Verhältnis

0
Disaster
Start

RTO
Recovery
geplant

MTPD
Schmerz-
grenze

Geschäfts-
aus

Recovery-Phase (grün) Schmerz-Zone (gelb) Existenz-Bedrohung (rot)

Die Logik: RTO muss kleiner als MTPD sein. Sonst überschreitet man die Schmerzgrenze. Beispiel: MTPD = 24 Stunden (danach gehen Kunden zur Konkurrenz). Dann muss RTO < 24h sein, mit Sicherheits-Puffer typisch RTO = 8-12h. Geht's länger, droht das Geschäfts-Aus.

7) Typische Bedrohungen

Wovor schützt ein BCP? Hier die wichtigsten Bedrohungs-Kategorien:

Bedrohungen für die Geschäftskontinuität

🔥

Brand

Büro, Rechenzentrum, Lager

💧

Wasser

Hochwasser, Rohrbruch

⚡

Stromausfall

Regional oder national

🦠

Pandemie

Personal nicht verfügbar

💻

Cyberangriff

Ransomware, DDoS, Hacks

🌪

Naturereignisse

Sturm, Erdbeben, Hitze

🚧

Lieferketten-Bruch

Hauptlieferant fällt aus

👤

Personal-Ausfall

Krankheit, Kündigung Key-Person

⚖

Regulatorische Änderung

Lizenzentzug, Sanktionen

📰

Reputations-Krise

Skandal, Shitstorm

🏚

Gebäude-Verlust

Einsturz, Räumung, Versiegelung

📞

Telco-Ausfall

Internet, Telefon, Mobilfunk

Die COVID-19-Pandemie hat den Bereich „Pandemic Response" für viele Unternehmen erst aufs Radar gebracht. Vorher wurde sie als unwahrscheinlich abgetan. Heute ist sie Standard im BCP. Auch Cyber-Angriffe haben dramatisch an Bedeutung gewonnen.

8) BCP-Strategien

Welche Strategien gibt's, um Geschäftskontinuität zu sichern? Ein paar typische Ansätze:

Strategien zur Aufrechterhaltung kritischer Prozesse

🏢 Alternativer Standort

Bei Verlust des Hauptstandorts kann am Backup-Standort weitergearbeitet werden. Kann ein eigenes Büro, ein Coworking-Space oder Home-Office sein.

🏠 Remote-Work-Fähigkeit

Mitarbeiter können von zu Hause arbeiten. Setzt Cloud-Apps, VPN, Laptops voraus. Seit COVID-19 weit verbreitet, fast zur Pflicht geworden.

🤝 Cross-Training

Mehrere Personen können jede kritische Aufgabe ausführen. Reduziert Personal-SPoFs. Mit dokumentierten Prozessen kann jeder einspringen.

📦 Lieferanten-Diversifizierung

Mehrere Lieferanten für kritische Materialien/Services. Bei Ausfall eines Lieferanten kann auf andere ausgewichen werden.

📋 Manuelle Fallback-Prozesse

Wichtige Prozesse haben dokumentierte Papier-Versionen. Falls IT komplett ausfällt, kann mit Papier und Stift weitergemacht werden – zumindest temporär.

💼 Outsourcing-Verträge

Notfall-Verträge mit Dienstleistern, die im DR-Fall einspringen können (Call-Center, Buchhaltung, IT-Dienstleister).

💰 Cash-Reserven

Finanzielle Rücklagen, um auch ohne laufende Einnahmen Personal und Lieferanten zu bezahlen. „Runway" für Notfall-Zeiträume.

📞 Out-of-Band-Kommunikation

Wenn Mail/Telefon/Slack ausfällt, gibt's alternative Kommunikationswege: privates WhatsApp, externe Anbieter, SMS-Verteiler.

9) Komponenten eines BCP-Dokuments

Was steht in einem BCP-Dokument drin? Die wichtigsten Abschnitte:

Typische BCP-Dokument-Struktur

Geltungsbereich & Verantwortlichkeiten

Welche Geschäftsbereiche, welche Standorte, welche Personen sind verantwortlich

Risikoanalyse & BIA

Identifizierte Bedrohungen, kritische Prozesse, RTO/RPO/MTPD pro Prozess

Aktivierungs-Kriterien & Eskalation

Wann wird der BCP aktiviert? Wer entscheidet? Kommunikationsketten

Krisenstab & Notfall-Organisation

Wer ist im Krisenstab, mit welchen Rollen und Befugnissen, Vertretungsregeln

Notfall-Prozeduren pro Szenario

Was tun bei Brand? Bei Pandemie? Bei Cyberangriff? Bei Stromausfall?

DRP (Verweis oder eingebettet)

IT-Wiederherstellungs-Maßnahmen, ggf. mit Verweis auf detaillierten DRP

Kommunikations-Strategie

Wer kommuniziert was mit Mitarbeitern, Kunden, Lieferanten, Behörden, Presse

Ressourcen-Inventar

Alternative Standorte, Lieferanten-Kontakte, Notfall-Verträge, Versicherungen

Test- & Schulungsplan

Wie oft wird der BCP getestet, wer wird geschult, wie wird dokumentiert

Wartung & Review

Wann wird der BCP aktualisiert, wer ist verantwortlich, Versionierung

Wichtig: der BCP sollte kompakt und benutzbar sein. Ein 500-seitiges Dokument wird im Ernstfall niemand lesen. Best Practice: 1-Pager pro Szenario plus Anhänge mit Details. Im Stress muss das Wesentliche auf einen Blick erfassbar sein.

10) BCP-Aktivierung im Ernstfall

Wie läuft die Aktivierung eines BCP ab? Typische Phasen, ähnlich wie beim DRP aber mit breiterer Reichweite:

Detection & Assessment: Vorfall erkennen, Schaden einschätzen
Krisenstab einberufen: alle wichtigen Entscheider zusammenholen, Kommunikations-Hub einrichten
BCP formal aktivieren: nicht jeder Vorfall ist BCP-Fall, Entscheidung dokumentieren
Sofort-Maßnahmen: Sicherheit der Personen, evtl. Evakuierung, Information an Mitarbeiter
Notfall-Operationen starten: alternative Standorte aktivieren, Remote-Work einleiten
Kritische Prozesse priorisieren: nach BIA-Reihenfolge wieder hochfahren
Externe Kommunikation: Kunden informieren, Lieferanten, Behörden, Presse
Recovery-Operationen: parallel DRP für IT, parallel Wiederaufbau Personalbereich
Übergang zu Normalbetrieb: schrittweise Rückkehr zu normalen Operationen
Postmortem & Lessons Learned: was lief gut, was nicht, BCP aktualisieren

11) Personal-Aspekte im BCP

Ein oft übersehener Bereich: das Personal. Die besten technischen Pläne nützen nichts, wenn Mitarbeiter nicht arbeiten können oder wollen. BCP muss berücksichtigen:

Sicherheit der Mitarbeiter: bei Brand/Naturkatastrophe steht das absolut im Vordergrund
Evakuierungs-Pläne: Wege, Sammelpunkte, Verantwortliche
Kommunikation mit Mitarbeitern: wie informieren? Was sollen sie tun?
Psychologische Betreuung: nach traumatischen Ereignissen wichtig
Schichten/Rotation: bei langem DR-Fall darf Personal nicht ausbrennen
Gehälter-Zahlung: auch im Notfall müssen Mitarbeiter bezahlt werden – sonst gehen sie
Childcare-Optionen: bei längeren Krisen praktische Familien-Unterstützung
Cross-Training: Personen sollen sich gegenseitig vertreten können
Schlüssel-Personen-Risiken: keine Aufgabe darf nur eine Person beherrschen

COVID-19 hat besonders eindrücklich gezeigt: Pandemie-bedingte Personal-Ausfälle können massiv sein. Pandemie-BCPs sind seitdem oft separate Dokumente.

12) BCP-Testing

Wie beim DRP gilt: ein ungetesteter BCP funktioniert wahrscheinlich nicht. Test-Methoden:

Tabletop Exercise: Krisenstab diskutiert ein Szenario auf dem Papier, ohne reale Aktionen
Walkthrough: Schritte werden detailliert durchgegangen, Prozeduren validiert
Functional Test: Teilbereiche werden aktiviert (z.B. Evakuierungs-Übung, Alternativ-Standort hochfahren)
Full Test: kompletter BCP wird simuliert, soweit ohne echte Disruption möglich
Surprise Test: angekündigt ohne Vorwarnung, prüft Reaktion ohne Vorbereitung

Empfohlene Frequenz: jährlich mindestens eine umfassende Übung. Quartalsweise Tabletop-Übungen für den Krisenstab. Bei Compliance-Anforderungen (ISO 22301) sind dokumentierte Tests Pflicht.

13) Häufige BCP-Probleme

Was schief geht in der Praxis:

BCP existiert nur auf dem Papier: niemand kennt die Inhalte, nie geübt
Veraltete BIA: Prozesse haben sich geändert, BIA stammt von vor 5 Jahren
Krisenstab nicht erreichbar: alte Telefonnummern, Vertretungen nicht klar
BCP zu IT-fokussiert: vergisst Personal, Lieferanten, Kommunikation
Keine Vertretungsregelung: Krisenstab-Mitglieder im Urlaub → kein BCP möglich
Lieferanten-Risiken ungeklärt: was wenn der Cloud-Provider down ist?
Kommunikations-Tools nicht redundant: alles über Microsoft 365 – wenn das aus ist, kein Plan
Compliance-Pflichten vergessen: DSGVO-Meldepflichten, Aufsichtsbehörden
Pandemie nicht abgedeckt: vor 2020 fast überall vergessen
Cyber-Angriffe unterschätzt: Ransomware-Szenarien fehlen oft
Personal-Aspekte vernachlässigt: keine HR-Komponente, keine psych. Betreuung
Test-Dokumentation fehlt: man hat geübt, aber keine Lessons Learned dokumentiert

14) BCP und Compliance

BCP ist oft regulatorisch vorgeschrieben:

ISO 22301: der internationale Standard für BCMS, zertifizierbar
BSI 200-4: deutscher Standard für Notfallmanagement (BSI-Grundschutz)
NIS-2-Richtlinie: EU-Vorgabe für kritische Sektoren (Energie, Gesundheit, Banken etc.)
BAIT/VAIT/KAIT: Banken/Versicherungen müssen Notfallkonzepte haben
DORA: Digital Operational Resilience Act für Finanzbranche
HIPAA: US-Gesundheitswesen, Contingency-Plan
SOC 2: Audits prüfen BCP-Existenz und Tests
KRITIS-Verordnung: kritische Infrastrukturen in DE

Wer im falschen Sektor ohne BCP arbeitet, riskiert nicht nur den Geschäftsausfall, sondern auch Bußgelder bis ins 7-stellige.

Zusammenfassung

Business Continuity Plan (BCP) = Strategie zur Aufrechterhaltung des gesamten Geschäftsbetriebs bei Störungen. Übergeordnet zum DRP – BCP enthält DRP. Unterschied: BCP = „Wie geht's geschäftlich weiter?", DRP = „Wie kriegen wir die IT zurück?". ISO 22301 als internationaler Standard, PDCA-Zyklus. Business Impact Analyse (BIA) ist das Herzstück: Prozesse identifizieren → Kritikalität bewerten → Ausfallkosten ermitteln → Abhängigkeiten kartieren → MTPD/RTO/RPO festlegen → priorisieren. MTPD (Maximum Tolerable Period of Disruption) ist die absolute Schmerzgrenze – RTO muss kleiner sein. Bedrohungen: Brand, Wasser, Strom, Pandemie, Cyber, Lieferketten, Personal, Recht, Reputation. Strategien: Alternativstandort, Remote-Work, Cross-Training, Lieferanten-Diversifizierung, manuelle Fallbacks, Outsourcing, Cash-Reserven, Out-of-Band-Kommunikation. Personal-Aspekte: Sicherheit, Evakuierung, Kommunikation, Schichten, Gehälter – oft vergessen. Testing: Tabletop → Walkthrough → Functional → Full Test → Surprise Test. Compliance: ISO 22301, BSI 200-4, NIS-2, DORA, KRITIS – BCP ist in vielen Branchen Pflicht.

Business Continuity Plan (BCP)

1) Was ist Business Continuity?

2) BCP vs. DRP – die Hierarchie

3) Direkter Vergleich BCP vs. DRP

4) Die ISO 22301 – der internationale Standard

5) Business Impact Analyse (BIA)

6) MTPD, RTO und Service-Continuity

7) Typische Bedrohungen

8) BCP-Strategien

9) Komponenten eines BCP-Dokuments

10) BCP-Aktivierung im Ernstfall

11) Personal-Aspekte im BCP

12) BCP-Testing

13) Häufige BCP-Probleme

14) BCP und Compliance

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title