Zum Inhalt springen

Informationssicherheit

Business Continuity Management – so bereiten sich Unternehmen auf den Notfall vor

Erfahren Sie, wie Business Continuity Management (BCM) Unternehmen hilft, auf Notfälle vorbereitet zu sein und kritische Geschäftsprozesse aufrechtzuerhalten.

Zum Blog Wissen kompakt
Zwei Geschäftsleute diskutieren vor einem Laptop mit Datenschutz-Warnsymbol auf dem Bildschirm.
31. Mai 2022

BCM: Vorbereitung auf den Ernstfall

Im März 2021 wütete ein Brand im französischen Straßburg, der international Schlagzeilen machte. Er zerstörte ein Rechenzentrum von Europas größtem Cloud-Anbieter OVHcloud vollkommen und ein anderes teilweise, zwei weitere mussten vorübergehend vom Netz genommen werden. Dieses Ereignis erwies sich nicht nur für OHVcloud als Katastrophe, sondern auch für viele Kunden des Anbieters. Besonders traf es Unternehmen, die keine Sicherheitskopien ihrer Daten angelegt hatten und keine Strategie für einen Notfall besaßen. 

Leider lassen sich Ereignisse wie dieses nicht ausschließen. Aber mit einem Business Continuity Management (BCM) können Unternehmen dafür sorgen, dass sie im Notfall vorbereitet sind und beispielsweise ein Brand nicht zu einer existenziellen Bedrohung wird. 

Was ist ein Business Continuity Management und warum ist es so wichtig?

Das zentrale Ziel eines Business Continuity Managements (kurz BCM, Geschäftskontinuitäts-Management) besteht darin, dass Unternehmen in einem Notfall schnell und zielgerichtet reagieren können, um Schäden zu minimieren und dafür zu sorgen, dass wichtige Geschäftsprozesse weiterlaufen oder möglichst schnell wieder aufgenommen werden können. Ein wichtiger Aspekt ist dabei heute die IT.

Eine wesentliche Rolle spielt in diesem Zusammenhang die Erstellung von Notfallvorsorgekonzepten, die auf grundlegende Fragen eingehen. „Was können wir tun, um im Ernstfall gut aufgestellt zu sein? Wie sieht der Notfall- bzw. Krisenstab aus, wer ist ein Teil davon und wer tut was?“ Solche Fragen zu beantworten, sei für Unternehmen schon immer wichtig gewesen, betont Christoph Thiel, Dozent und Experte für Informationssicherheit und Business Continuity Management. Allerdings hätten Medienberichte in der jüngsten Vergangenheit speziell die Risiken nicht nur für die Informationsverarbeitung, sondern auch für die Geschäftsfortführung ins Bewusstsein gerufen, sodass das Thema aktuell prominenter sei als noch vor einiger Zeit.

Trotzdem, so Christoph Thiel, würden sich viele Geschäftsführerinnen und Geschäftsführer immer noch zu wenig damit befassen. Dabei gibt es seit Kurzem einen neuen Standard, der Einsteigerinnen und Einsteigern entgegenkommt.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Der modernisierte BSI-Standard 200-4 erleichtert den Einstieg ins BCM

Die zweite Vorversion – Community Draft 2.0 – stand seit Ende September 2022 nach Einfließen von Änderungen zur Verfügung. Am 14. Juni 2023 ging schließlich der finale BSI-Standard 200-4 Business Continuity Management nach seiner Veröffentlichung an den Start.

Christoph Thiel zeigt sich sehr angetan von dem Neuling:

„Schon der Vorgänger 100-4 ist ein sehr guter Standard, der allerdings schon einige Jahre alt ist und sich auf andere alte BSI-Standards bezieht. Deshalb war es notwendig, ihn zu modernisieren. Dabei wurde einiges weiter verbessert.“ 

Mit diesen Eigenschaften kommt der BSI-Standard 200-4 laut Christoph Thiel auch kleinen Unternehmen und solchen, die zum ersten Mal ein Business Continuity Management angehen, entgegen: „Unternehmen können nun sagen: Wir haben angefangen und wir wissen, es ist nicht perfekt, aber wir haben im Rahmen unserer Möglichkeiten etwas getan und es ist sogar standardkonform.“

Wesentliche Inhalte sind die folgenden:

  • Anders als sein Vorgänger ist der BSI-Standard 200-4 selbsterklärend. Er lässt sich, obwohl er teilweise auf andere Standards Bezug nimmt, alleine lesen.
  • Außerdem kommt er den unterschiedlichen Bedürfnissen von Unternehmen entgegen, indem er drei verschiedene Abstufungen eines BCM definiert:
  1. In der Einstiegsstufe, dem reaktiven Business Continuity Management, beschränken sich Unternehmen auf erste wesentliche Schritte.
  2. In der zweiten Stufe konzentrieren sie sich auf die wichtigsten Geschäftsprozesse, wenden für diese aber ein „richtiges Business Continuity Management System (BCMS)“ an.
  3. Am Ende steht ein vollumfängliches BCMS, das mit dem internationalen Standard ISO 22301 kompatibel ist.
  • Schließlich enthält der Standard BSI 200-4 viele Details zu unterschiedlichen Rollen und Abläufen im Notfall. In der finalen Fassung wird es zusätzlich Beispielmaterial und sogar Schulungsvorlagen geben.
BSI-Standard 200-4

BCMS vs. ISMS – Unterschiede, Gemeinsamkeiten, Synergien

Business Continuity Management und Information Security Management beziehungsweise Informationssicherheitsmanagement werden oft in einem Atemzug genannt.

Allerdings unterscheiden sie sich zentral voneinander:

  • Das Business Continuity Management System konzentriert sich auf Notfälle.
  • Ein Informationssicherheitsmanagement hat zum Ziel, die wesentlichen Informationen eines Unternehmens im normalen Betrieb zu schützen.

Christoph Thiel vergleicht diesen Unterschied mit dem zwischen Arzt und Notarzt: „Sie gehen zum normalen Arzt wegen eines Schnupfens. Der Notarzt versucht, Sie zu stabilisieren und ins Krankenhaus zu bringen, damit Sie überleben.“

Idealerweise besitzen Unternehmen beides, ein ISMS und ein BCMS, um sowohl im laufenden Betrieb als auch im Katastrophenfall geschützt zu sein. Außerdem sollten sie beim Aufbau einige Dinge beachten.

Klare Vorgaben sind entscheidend für ein erfolgreiches BCM

Für Christoph Thiel entscheiden zwei grundsätzliche Dinge darüber, ob ein Business Continuity Management ein Erfolg wird:

  1. Die Geschäftsführung beziehungsweise Institutionsleitung muss eine Strategie festlegen und ihre Ziele klar kommunizieren.
  2. Wenn das BCM eine großflächige Absicherung möglich machen soll, brauchen Beauftragte die entsprechenden Ressourcen. Das fängt damit an, dass ein Business Continuity Management in diesem Fall ein „Vollzeitjob“ ist.

Leider beobachtet Christoph Thiel in der Realität häufig folgende Situation: „Die Institutionsleitung beschließt, ein Business Continuity Management in Angriff zu nehmen, und ernennt eine Beauftragte oder einen Beauftragten dafür, aber die Person weiß gar nicht, in welcher Tiefe das BCM gewünscht ist. Das führt oft zu Frustration und zu falschen Erwartungen.“

Die Häufigkeit von Business-Continuity-Management-Systemen nimmt zu

Allgemein lässt sich beobachten: Corona hat vielen Unternehmen die Wichtigkeit von Notfallvorsorgekonzepten vor Augen geführt. Entsprechend nimmt die Zahl derjenigen Firmen zu, die sich mit einem Business Continuity Management beschäftigen.

Christoph Thiel geht davon aus, dass in Zukunft auch mehr Unternehmen von der Möglichkeit Gebrauch machen, ein BCMS über Umwege zertifizieren lassen. Denn der BSI-Standard 200-4 wird vollständig kompatibel zur ISO 22301, und danach lässt sich – anders als früher – ein Business-Continuity-Management-System zertifizieren. So sind Unternehmen nicht nur für Notfälle besser aufgestellt, sie können dies auch anderen gegenüber nachweisen.

Zertifizierung nach ISO 22301

Unsere Seminar-Empfehlungen für Sie

Seminar & Webinar

Security Incident Manager (TÜV)

Die Zahl der Cyberangriffe auf Unternehmen steigt stetig. Unternehmen müssen in der Lage sein, sich von diesen Angriffen zu erholen. Die NIS-2-Richtlinie stärkt die Bedeutung des Incident Managements. Security Incident Manager (TÜV) lernen in einem dreitägigen Seminar, Schäden durch Cyberangriffe zu verhindern.
Zum Seminar & Webinar
Seminar & Webinar

BCM-Praktiker (TÜV)

In dieser Schulung lernen Sie die Aufgaben eines BCM-Praktikers und wie Sie ein Business Continuity Management System (BCMS) erfolgreich umsetzen und verbessern, basierend auf den Standards BSI 200-4 und ISO 22301.
Zum Seminar & Webinar

Weitere Artikel lesen

Mann mit Bart arbeitet fokussiert am Computer mit Datenvisualisierung auf dem Monitor im modernen Büro
Informationssicherheit

ISO 27001 oder BSI IT-Grundschutz

ISO 27001 und BSI IT-Grundschutz sind Standards zur Informationssicherheit. Welcher ist der richtige für Sie?
Mehr zum Thema ISO 27001 oder BSI IT-Grundschutz
Zwei IT-Fachkräfte analysieren Sicherheitsvorfälle an Monitoren in einem abgedunkelten Büro.
Informationssicherheit

IT-Notfallmanagement nach BSI und ISO

Wie Sie sich gut auf Krisen vorbereiten, lesen Sie hier.
Mehr über IT-Notfallmanagement nach BSI und ISO
IT-Spezialist arbeitet mit Laptop im Serverraum und prüft Netzwerksysteme
Informationssicherheit

Aufgaben in der Informationssicherheit

Relevante Rollen und Aufgaben der Informationssicherheit für Ihr Unternehmen
Mehr über Rollen und Aufgaben in der Informationssicherheit
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Anna-Lena Bartsch

TÜV NORD Akademie GmbH & Co. KG
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-41 / abartsch@tuev-nord.de