Business Continuity Management – so bereiten sich Unternehmen auf den Notfall vor

Business Continuity Management – so bereiten sich Unternehmen auf den Notfall vor

Beitrag aktualisiert am 31.05.2022

Zur Themenwelt Informationssicherheit

BCM: Vorbereitung auf den Ernstfall

Im März 2021 wütete ein Brand im französischen Straßburg, der international Schlagzeilen machte. Er zerstörte ein Rechenzentrum von Europas größtem Cloud-Anbieter OVHcloud vollkommen und ein anderes teilweise, zwei weitere mussten vorübergehend vom Netz genommen werden. Dieses Ereignis erwies sich nicht nur für OHVcloud als Katastrophe, sondern auch für viele Kunden des Anbieters. Besonders traf es Unternehmen, die keine Sicherheitskopien ihrer Daten angelegt hatten und keine Strategie für einen Notfall besaßen.  

Leider lassen sich Ereignisse wie dieses nicht ausschließen. Aber mit einem Business Continuity Management (BCM) können Unternehmen dafür sorgen, dass sie im Notfall vorbereitet sind und beispielsweise ein Brand nicht zu einer existenziellen Bedrohung wird. 

Was ist ein Business Continuity Management und warum ist es so wichtig?

Das zentrale Ziel eines Business Continuity Managements besteht darin, dass Unternehmen in einem Notfall schnell und zielgerichtet reagieren können, um Schäden zu minimieren und dafür zu sorgen, dass wichtige Geschäftsprozesse weiterlaufen oder möglichst schnell wieder aufgenommen werden können. Ein wichtiger Aspekt ist dabei heute die IT.


Eine wesentliche Rolle spielt in diesem Zusammenhang die Erstellung von Notfallvorsorgekonzepten, die auf grundlegende Fragen eingehen. „Was können wir tun, um im Ernstfall gut aufgestellt zu sein? Wie sieht der Notfall- bzw. Krisenstab aus, wer ist ein Teil davon und wer tut was?“ Solche Fragen zu beantworten, sei für Unternehmen schon immer wichtig gewesen, betont Christoph Thiel, Dozent und Experte für Informationssicherheit und Business Continuity Management. Allerdings hätten Medienberichte in der jüngsten Vergangenheit speziell die Risiken nicht nur für die Informationsverarbeitung, sondern auch für die Geschäftsfortführung ins Bewusstsein gerufen, sodass das Thema aktuell prominenter sei als noch vor einiger Zeit.

Trotzdem, so Christoph Thiel, würden sich viele Geschäftsführerinnen und Geschäftsführer immer noch zu wenig damit befassen. Dabei gibt es seit Kurzem einen neuen Standard, der Einsteigerinnen und Einsteigern entgegenkommt.

Der modernisierte BSI-Standard 200-4 erleichtert den Einstieg ins BCM

Die zweite Vorversion – Community Draft 2.0 – stand seit Ende September 2022 nach Einfließen von Änderungen zur Verfügung. Am 14. Juni 2023 geht der finale BSI-Standard 200-4 Business Continuity Management nach seiner Veröffentlichung an den Start.

Christoph Thiel zeigt sich sehr angetan von dem Neuling:

„Schon der Vorgänger 100-4 ist ein sehr guter Standard, der allerdings schon einige Jahre alt ist und sich auf andere alte BSI-Standards bezieht. Deshalb war es notwendig, ihn zu modernisieren. Dabei wurde einiges weiter verbessert.“ 

Mit diesen Eigenschaften kommt der BSI-Standard 200-4 laut Christoph Thiel auch kleinen Unternehmen und solchen, die zum ersten Mal ein Business Continuity Management angehen, entgegen: „Unternehmen können nun sagen: Wir haben angefangen und wir wissen, es ist nicht perfekt, aber wir haben im Rahmen unserer Möglichkeiten etwas getan und es ist sogar standardkonform.“

Wesentliche Neuerungen sind die folgenden:

  • Anders als sein Vorgänger ist der BSI-Standard 200-4 selbsterklärend. Er lässt sich, obwohl er teilweise auf andere Standards Bezug nimmt, alleine lesen.
  • Außerdem kommt er den unterschiedlichen Bedürfnissen von Unternehmen entgegen, indem er drei verschiedene Abstufungen eines BCM definiert:
  1. In der Einstiegsstufe, dem reaktiven Business Continuity Management, beschränken sich Unternehmen auf erste wesentliche Schritte.

  2. In der zweiten Stufe konzentrieren sie sich auf die wichtigsten Geschäftsprozesse, wenden für diese aber ein „richtiges Business Continuity Management System (BCMS)“ an.

  3. Am Ende steht ein vollumfängliches BCMS, das mit dem internationalen Standard ISO 22301 kompatibel ist.

  • Schließlich enthält der Standard BSI 200-4 viele Details zu unterschiedlichen Rollen und Abläufen im Notfall. In der finalen Fassung wird es zusätzlich Beispielmaterial und sogar Schulungsvorlagen geben.

ISMS vs. BCMS – Unterschiede, Gemeinsamkeiten, Synergien

Business Continuity Management und Information Security Management beziehungsweise Informationssicherheitsmanagement werden oft in einem Atemzug genannt.

Allerdings unterscheiden sie sich zentral voneinander:

  • Ein Informationssicherheitsmanagement hat zum Ziel, die wesentlichen Informationen eines Unternehmens im normalen Betrieb zu schützen.

  • Das Business Continuity Management System konzentriert sich auf Notfälle.

Christoph Thiel vergleicht diesen Unterschied mit dem zwischen Arzt und Notarzt: „Sie gehen zum normalen Arzt wegen eines Schnupfens. Der Notarzt versucht, Sie zu stabilisieren und ins Krankenhaus zu bringen, damit Sie überleben.“

Idealerweise besitzen Unternehmen beides, ein ISMS und ein BCMS, um sowohl im laufenden Betrieb als auch im Katastrophenfall geschützt zu sein. Außerdem sollten sie beim Aufbau einige Dinge beachten.

Kostenfreies Info-Webinar zu NIS-2, KRITIS, CER, CRA und Co.

In unserem kostenlosen Webinar geben wir Ihnen innerhalb einer Stunde einen umfassenden Überblick über die aktuelle und neue EU-Gesetzgebung zur Cybersicherheit, einschließlich NIS-2, KRITIS, CER und CRA.  Außerdem bereiten wir Sie darauf vor, Ihr Unternehmen im Rahmen dieser Gesetze zu schützen. 

Klare Vorgaben sind entscheidend für ein erfolgreiches BCM

Für Christoph Thiel entscheiden zwei grundsätzliche Dinge darüber, ob ein Business Continuity Management ein Erfolg wird:

  1. Die Geschäftsführung beziehungsweise Institutionsleitung muss eine Strategie festlegen und ihre Ziele klar kommunizieren.

  2. Wenn das BCM eine großflächige Absicherung möglich machen soll, brauchen Beauftragte die entsprechenden Ressourcen. Das fängt damit an, dass ein Business Continuity Management in diesem Fall ein „Vollzeitjob“ ist.

Leider beobachtet Christoph Thiel in der Realität häufig folgende Situation: „Die Institutionsleitung beschließt, ein Business Continuity Management in Angriff zu nehmen, und ernennt eine Beauftragte oder einen Beauftragten dafür, aber die Person weiß gar nicht, in welcher Tiefe das BCM gewünscht ist. Das führt oft zu Frustration und zu falschen Erwartungen.“

Die Häufigkeit von Business-Continuity-Management-Systemen nimmt zu

Allgemein lässt sich beobachten: Corona hat vielen Unternehmen die Wichtigkeit von Notfallvorsorgekonzepten vor Augen geführt. Entsprechend nimmt die Zahl derjenigen Firmen zu, die sich mit einem Business Continuity Management beschäftigen.

Christoph Thiel geht davon aus, dass in Zukunft auch mehr Unternehmen von der Möglichkeit Gebrauch machen, ein Business-Continuity-Management-System über Umwege zertifizieren lassen. Denn der BSI-Standard 200-4 wird vollständig kompatibel zur ISO 22301, und danach lässt sich – anders als früher – ein Business-Continuity-Management-System zertifizieren. So sind Unternehmen nicht nur für Notfälle besser aufgestellt, sie können dies auch anderen gegenüber nachweisen.