Geschäftsfortführungsmanagement (BCM)

Business Continuity Management, kurz BCM, ist ein systematischer Ansatz, mit dem Unternehmen ihre kritischen Geschäftsprozesse auch bei Störungen aufrechterhalten. Klassische Auslöser sind Cyberangriffe, Stromausfälle, Brände, Lieferengpässe, Pandemien oder der Ausfall einzelner Schlüsselkräfte. Ziel ist nicht, jedes Risiko zu vermeiden, sondern die Folgen so zu begrenzen, dass das Unternehmen handlungsfähig bleibt und schnell wieder zum Normalbetrieb zurückkehrt.

Definition und Normen

Maßgeblich ist die internationale Norm DIN ISO 22301 (Sicherheit und Resilienz, Business Continuity Management Systeme, Anforderungen). Sie definiert BCM als ganzheitlichen Managementprozess, der potenzielle Bedrohungen identifiziert und einen Rahmen für Reaktion und Wiederanlauf schafft. Im Finanzsektor sind BCM-Anforderungen über die MaRisk und die Bankaufsicht (BAIT, VAIT) vorgeschrieben, im Bereich der KRITIS-Verordnung gelten Pflichten für Betreiber kritischer Infrastrukturen.

BCM-Lebenszyklus nach ISO 22301 1. AnalyseBIA & Risiken 2. StrategieOptionen wählen 3. Pläneerstellen 4. Übungund Test 5. Auditund Review Verbessernund neu starten
Sechsstufiger Kreislauf, der den Standard ISO 22301 widerspiegelt.

Kernbestandteile eines BCM

  • Business Impact Analyse (BIA): ermittelt, welche Prozesse zeitkritisch sind und welche Ausfallzeit das Unternehmen verkraftet (RTO, RPO).
  • Risikoanalyse: identifiziert Bedrohungen wie Cyberangriff, Stromausfall, Hochwasser oder Lieferantenausfall.
  • Notfallpläne: beschreiben konkrete Schritte, Verantwortliche und Eskalationswege.
  • Krisenstab: festes Gremium mit klaren Rollen, das im Ernstfall entscheidet.
  • Tests und Übungen: mindestens jährlich, Tabletop-Übung oder Live-Test.
  • Kommunikation: Sprachregelung für Mitarbeitende, Kunden, Behörden und Medien.

Wichtige Kennzahlen: RTO und RPO

Zwei Kennzahlen bilden den Kern jeder BIA. Die Recovery Time Objective (RTO) gibt an, wie schnell ein Prozess nach einem Ausfall wieder laufen muss. Die Recovery Point Objective (RPO) beschreibt, wie viele Daten verloren gehen dürfen, gemessen in Zeit. Ein Online-Shop hat häufig eine RTO von wenigen Stunden und eine RPO im Minutenbereich. Eine interne HR-Anwendung kommt oft mit RTO 24 Stunden und RPO 24 Stunden aus. Die Werte entscheiden über die Auswahl der technischen Lösungen, etwa Backup-Strategien und Hochverfügbarkeitsarchitekturen.

BCM und IT-Notfallmanagement

Ein großer Teil der Schadensereignisse entsteht heute über die IT, sei es durch Ransomware, Phishing oder Ausfall einer Cloud-Region. IT-Notfallmanagement, oft als IT Service Continuity Management (ITSCM) bezeichnet, ist daher ein integraler Teilbereich des BCM. Standard-Bausteine sind regelmäßige Backups, getestete Wiederherstellungsverfahren, redundante Internetanbindungen, Notfall-Arbeitsplätze und ein definiertes Vorgehen bei Cybervorfällen nach ISO/IEC 27035. Wer die IT extern betreuen lässt, sollte BCM-Themen vertraglich verankern. Erfahrene IT-Dienstleister für den Mittelstand bieten dazu Service Level für Wiederherstellungszeiten und regelmäßige Recovery-Tests.

BCM im Mittelstand

Mittelständler haben selten ein eigenes BCM-Team. Praxistauglich ist ein schlankes Vorgehen: Liste der Top-10-Prozesse, einfache BIA mit RTO und RPO je Prozess, Kontaktliste mit Vertreterregelung, ein zweiseitiger Notfallplan pro Schlüsselprozess, jährliche Übung. Wichtige Punkte sind außerdem ein zweiter Standort oder eine Homeoffice-Vereinbarung, um bei einem Gebäudeausfall handlungsfähig zu bleiben, und ein Notbetriebs-Konzept für den Empfang. Eine durchdachte Büroplanung mit flexiblen Arbeitsplätzen erleichtert es, schnell auf veränderte Bedingungen zu reagieren.

Typische Fehler

  • Pläne werden geschrieben, aber nie geübt.
  • Kontaktlisten sind veraltet und werden nicht gepflegt.
  • Backups laufen, werden aber nie auf Wiederherstellbarkeit geprüft.
  • Lieferantenketten bleiben außen vor, obwohl viele Risiken dort entstehen.
  • Verantwortlichkeiten sind unklar, im Ernstfall weiß niemand, wer entscheidet.

Synonyme

Business Continuity Management (BCM), Geschäftsfortführungsmanagement, Notfallmanagement, betriebliches Kontinuitätsmanagement. Das BSI verwendet im Standard 200-4 den Begriff Notfallmanagement (BCM) und stellt dort eine kostenfreie deutschsprachige Methodik bereit.

Abgrenzung zu

  • Risikomanagement: bewertet Risiken im Vorfeld, BCM regelt das Verhalten im Schadensfall.
  • Krisenkommunikation: ein Teilbereich, fokussiert auf Sprachregelung und Stakeholder-Information.
  • IT-Sicherheit: schützt Systeme; BCM stellt sicher, dass Geschäftsprozesse trotzdem laufen.
  • Compliance: setzt rechtliche Pflichten um; BCM bezieht diese als Eingangsgröße ein.

Siehe auch

Literaturhinweise

  • DIN ISO 22301: Sicherheit und Resilienz, Business Continuity Management Systeme.
  • BSI-Standard 200-4: Business Continuity Management.
  • ISO/IEC 27031: ICT Readiness for Business Continuity.
  • BaFin: MaRisk, BAIT, VAIT.
  • NIS2-Richtlinie der EU (2022/2555).
« Alle Begriffe im Unternehmenslexikon anzeigen