Zum Inhalt springen

Informationssicherheit

Business Continuity Management: Tipps

Lesen Sie jetzt, warum kein Unternehmen auf ein Business Continuity Management verzichten sollte und was dahintersteckt.

Zwei Geschäftsleute diskutieren vor einem Laptop mit Datenschutz-Warnsymbol auf dem Bildschirm.

Inhaltsverzeichnis

15.01.2026

Business Continuity Management – so bereiten sich Unternehmen auf den Notfall vor

Beinahe 100 Jahre lang produzierte die Firma Fasana aus Euskirchen Papierservietten. Dann, im Mai 2025, fiel sie einem Hackerangriff zum Opfer. Die Folge: Weil die Computersysteme des Herstellers rund zwei Wochen lang komplett lahmgelegt waren, erlitt das Unternehmen Umsatzausfälle von etwa zwei Millionen Euro und musste Insolvenz anmelden.

Ereignisse wie dieses lassen sich nicht ausschließen. Aber mit einem Business Continuity Management (BCM) können Unternehmen dafür sorgen, dass sie im Notfall vorbereitet sind und ein Hackerangriff oder ein Brand nicht zu einer existenziellen Bedrohung wird. 

Was ist ein Business Continuity Management? – Definition

Das zentrale Ziel eines Business Continuity Managements (kurz BCM, Geschäftskontinuitätsmanagement) besteht darin, dass Unternehmen in einem Notfall schnell und zielgerichtet reagieren können, um Schäden zu minimieren und dafür zu sorgen, dass wichtige Geschäftsprozesse weiterlaufen oder möglichst schnell wiederaufgenommen werden können. 
Eine Schlüsselrolle spielt in diesem Zusammenhang die Erstellung von Notfallkonzepten, die auf grundlegende Fragen eingehen: „Was können wir tun, um im Ernstfall gut aufgestellt zu sein? Wie sieht der Notfall- bzw. Krisenstab aus, wer ist ein Teil davon und wer tut was?“ Sich mit solchen Fragen zu beschäftigen, war früher schon wichtig für Unternehmen. In den letzten Jahren haben sie aber noch einmal an Bedeutung gewonnen.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Referentin des TÜV NORD als Zeichen für die Vielfalt des Seminarangebots.

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
Zwei Personen sitzen während einer Inhouse-Schulung des TÜV NORD Online-Campus auf einem Sofa.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
Zwei Personen geben sich ein High-Five nach Abschluss einer Qualifikation mit Zertifikat durch den TÜV NORD.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Warum ist ein BCM so wichtig?

Naturkatastrophen, Cyberangriffe, Lieferengpässe oder unerwartete Systemausfälle: Unternehmen sind einer Vielzahl von Risiken ausgesetzt, die den Geschäftsbetrieb empfindlich stören oder, wie im oben angegebenen Beispiel, sogar stoppen können.

Vor diesem Hintergrund hat ein systematisches BCM folgende Vorteile:

·         Minimierung von Ausfallzeiten: Unternehmen können den Geschäftsbetrieb nach einem Vorfall schnellstmöglich wiederaufzunehmen.

·         Schutz vor finanziellen Verlusten: Je länger ein Unternehmen stillsteht, desto höher sind die Folgekosten. BCM hilft, diese Kosten zu begrenzen.

·         Stärkung der Resilienz: Unternehmen mit klar definierten Notfallplänen und Ausweichprozessen sind krisenfester und bleiben auch unter schwierigen Bedingungen handlungsfähig.

·         Vertrauen bei Kund:innen und Geschäftspartner:innen: Ein Business Continuity Management signalisiert Stabilität und erhöht das Vertrauen bei Kund:innen, Geschäftspartner:innen und der breiten Öffentlichkeit.

·         Erfüllung gesetzlicher und vertraglicher Anforderungen: In vielen Branchen fordert der Gesetzgeber von Unternehmen, sich systematisch auf Notfälle vorzubereiten.

 

BSI-Standard 200-4

Wichtig: Christoph Thiel, Dozent und Experte für Informationssicherheit und Business Continuity Management, betont: „Sowohl die NIS2-Richtlinie, die in Deutschland mit dem NIS2-Umsetzungsgesetz in nationales Recht umgesetzt wird, als auch die RCE-Richtlinie beziehungsweise das KRITIS-Dachgesetz und DORA fordern wichtige Aspekte von Business Continuity, zum Beispiel Notfallpläne.“ Erfüllen ließen sich diese Forderungen am besten, indem sich Unternehmen an einem Standard für Business Continuity orientieren – auch wenn das Gesetz diesen nicht explizit nennt.

 

ISO 22301 und BSI-Standard 200-4

Seit 2023 gibt es einen neuen Standard, der den Einstieg ins BCM erleichtert: Der BSI 200-4 ging am 14. Juni 2023 an den Start. Laut Christoph Thiel ist er „im Wesentlichen eine Konkretisierung, man könnte fast sagen Anleitung für die ISO 22301 – immer mit einem Auge auf Deutschland und den restlichen Grundschutz.“ 

Anders als sein Vorgänger ist der BSI-Standard 200-4 selbsterklärend. Er lässt sich, obwohl er teilweise auf andere Standards Bezug nimmt, alleine lesen. Außerdem kommt er den unterschiedlichen Bedürfnissen von Unternehmen entgegen, indem er drei verschiedene Abstufungen eines BCM definiert: 

1. In der Einstiegsstufe, dem reaktiven Business Continuity Management, beschränken sich Unternehmen auf erste wesentliche Schritte. 

2. In der zweiten Stufe konzentrieren sie sich auf die wichtigsten Geschäftsprozesse, wenden für diese aber ein „richtiges Business Continuity Management System (BCMS)“ an. 

3. Am Ende steht ein vollumfängliches BCMS, das mit dem internationalen Standard ISO 22301 kompatibel ist. 

Schließlich enthält der BSI 200-4 viele Details zu unterschiedlichen Rollen und Abläufen im Notfall sowie Beispielmaterial und Schulungsvorlagen. 

Mit diesen Eigenschaften kommt der Standard laut Christoph Thiel vor allem kleinen Unternehmen und solchen, die zum ersten Mal ein Business Continuity Management angehen, entgegen: „Eine Geschäftsführung kann nun sagen: Wir haben angefangen und wir wissen, es ist nicht perfekt, aber wir haben im Rahmen unserer Möglichkeiten etwas getan und es ist sogar standardkonform.“ 

Die ISO 22301 eigne sich als international bekannter und anerkannter Standard vor allem für Unternehmen, die viel mit internationalen Partnern zusammenarbeiten. 

Wichtig: Auch wenn der BSI 200-4 den Einstieg ins Business Continuity Management erleichtert, profitieren besonders Neulinge von professionellen Hilfestellungen. Gezielte Beratungsleistungen und Schulungen helfen Verantwortlichen, das erforderliche Know-how aufzubauen, Fallstricke zu vermeiden und den Aufbau eines Business Continuity Management Systems zu beschleunigen. Das Risiko einer Überforderung sinkt und alle gesetzlichen Vorgaben werden umgesetzt.

BCMS vs. ISMS – Unterschiede, Gemeinsamkeiten, Synergien

BCMS vs. ISMS – Unterschiede, Gemeinsamkeiten, Synergien

Business Continuity Management und Information Security Management beziehungsweise Informationssicherheitsmanagement werden oft in einem Atemzug genannt.

Allerdings unterscheiden sie sich in wichtigen Punkten voneinander:

  • Das Business Continuity Management System konzentriert sich auf Notfälle.
  • Ein Informationssicherheitsmanagement hat zum Ziel, die wesentlichen Informationen eines Unternehmens im normalen Betrieb zu schützen.

Christoph Thiel vergleicht diesen Unterschied mit dem zwischen Arzt und Notarzt: „Sie gehen zum normalen Arzt wegen eines Schnupfens. Der Notarzt versucht, Sie zu stabilisieren und ins Krankenhaus zu bringen, damit Sie überleben.“

Idealerweise besitzen Unternehmen beides, ein ISMS und ein BCMS, um sowohl im laufenden Betrieb als auch im Katastrophenfall geschützt zu sein. Außerdem sollten sie beim Aufbau einige Dinge beachten.

Klare Vorgaben sind entscheidend für ein erfolgreiches BCM

Für Christoph Thiel entscheiden zwei grundsätzliche Dinge darüber, ob ein Business Continuity Management ein Erfolg wird:

  1. Die Geschäftsführung beziehungsweise Institutionsleitung muss eine Strategie festlegen, ihre Ziele klar kommunizieren und das Etablierung eines BCMs selbst begleiten. „Manche Unternehmensleitungen stellen sich auf den Standpunkt ‚Ich habe einmal gesagt, dass das Thema wichtig ist. Das muss reichen‘.“
  2. Die Geschäftsleitung muss willens sein, die notwendigen Ressourcen für ein BCM bereitzustellen, auch wenn sich diese im Vorhinein oft nur grob abschätzen lassen.
Zertifizierung nach ISO 22301

Gut zu wissen: Auch ausreichende personelle Ressourcen sind wichtig. Laut BSI 200-4 müssen selbst KMU für eine:n BCM-Beauftragte:n mit mindestens einer halben Stelle rechnen. Wenn sich dies gar nicht bewerkstelligen lässt, empfiehlt Christoph Thiel, die Einführung über eine längere Zeit zu strecken.

Wachsendes Bewusstsein und Nachholbedarf

Die Zahl der Firmen, die sich mit einem Business Continuity Management beschäftigen, nimmt zu. Laut Christoph Thiel hat das auch mit der aktuellen politischen Lage zu tun. „Es gibt einfach mehr Krisen. Damit steigt das Bewusstsein für die Krisenvorsorge.“

Trotzdem sei der Nachholbedarf weiter groß: „In Sachen Informationssicherheit stehen wir in Deutschland mittlerweile gar nicht schlecht da. Aber vielen Organisationen wird erst so langsam klar, dass das allein nicht reicht, um für Notfälle gewappnet zu sein.“

Letztendlich kann ein funktionierendes Business Continuity Management die Existenz von Unternehmen sichern – und dafür sorgen, dass ein Hackerangriff nicht zu einer Insolvenz führt.

Unsere Seminar-Empfehlungen für Sie

Seminar & Webinar

Security Incident Manager (TÜV)

Die Zahl der Cyberangriffe auf Unternehmen steigt stetig. Unternehmen müssen in der Lage sein, sich von diesen Angriffen zu erholen. Die NIS-2-Richtlinie stärkt die Bedeutung des Incident Managements. Security Incident Manager (TÜV) lernen in einem dreitägigen Seminar, Schäden durch Cyberangriffe zu verhindern.
Zum Seminar & Webinar
Seminar & Webinar

BCM-Praktiker (TÜV)

In dieser Schulung lernen Sie die Aufgaben eines BCM-Praktikers und wie Sie ein Business Continuity Management System (BCMS) erfolgreich umsetzen und verbessern, basierend auf den Standards BSI 200-4 und ISO 22301.
Zum Seminar & Webinar

Weitere Artikel lesen

Mann mit Bart arbeitet fokussiert am Computer mit Datenvisualisierung auf dem Monitor im modernen Büro
Informationssicherheit

ISO 27001 oder BSI IT-Grundschutz

ISO 27001 und BSI IT-Grundschutz sind Standards zur Informationssicherheit. Welcher ist der richtige für Sie?
Mehr zum Thema ISO 27001 oder BSI IT-Grundschutz
Zwei IT-Fachkräfte analysieren Sicherheitsvorfälle an Monitoren in einem abgedunkelten Büro.
Informationssicherheit

IT-Notfallmanagement nach BSI und ISO

Wie Sie sich gut auf Krisen vorbereiten, lesen Sie hier.
Mehr über IT-Notfallmanagement nach BSI und ISO
IT-Spezialist arbeitet mit Laptop im Serverraum und prüft Netzwerksysteme
Informationssicherheit

Aufgaben in der Informationssicherheit

Relevante Rollen und Aufgaben der Informationssicherheit für Ihr Unternehmen
Mehr über Rollen und Aufgaben in der Informationssicherheit
Generiertes Bild neuronaler Netze als Symbol für die Wissensvermittlung im Blog "Wissen kompakt" des TÜV NORD.
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Porträt von Anna-Lena Bartsch, Produktmanagerin Datenschutz und Informationsmanagement der TÜV NORD Akademie.

Anna-Lena Bartsch

TÜV NORD Akademie GmbH & Co. KG
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-41 / abartsch@tuev-nord.de