3 Min

Business Continuity Management: Definition und Vorteile eines BCM

Firmen und Organisationen können schnell in existenzielle Bedrängnis geraten durch Überflutungen, Hacker-Angriffe oder pandemiebedingte Lockdowns.

Viele Betriebe, sowohl in Deutschland als auch weltweit haben dies während der Corona-Pandemie schmerzhaft erfahren müssen. Daher steigt die Aufmerksamkeit heute umso mehr für vorbeugende Maßnahmen im Rahmen von Konzepten des Business Continuity Managements. Doch worum geht es dabei genau und welchen Nutzen bietet es? Hier erhalten Sie einen Überblick.

 

 

In diesem Beitrag

 

Im Überblick

Business Continuity Management sichert die betriebliche Kontinuität von Unternehmen und Organisationen in Extremsituationen. Zu Extremsituationen führen zum Beispiel Elementarereignisse wie Stürme oder Erdbeben aber auch Pandemien, technische Pannen wie Stromausfälle oder diverse Cyber-Vorfälle.

Ein BCM hat die Aufgabe, auf die Gefährdungslage und das unternehmensspezifische Risiko abgestimmte Sicherheitsmaßnahmen und Notfallpläne zu entwickeln. Grundlegend für Aufbau und Betrieb eines BCM ist der PDCA-Zyklus: plan, do, check, act. BCM ist für die meisten Unternehmen kein Muss, aber ein großer Gewinn an Sicherheit.

Ziel von Business Continuity Management (BCM) ist es, die betriebliche Kontinuität eines Unternehmens in Krisensituationen aufrechtzuerhalten. Bedroht sein kann diese je nach Betrieb durch verschiedene Ereignisse.

Das Spektrum reicht von Stromausfällen über Krankheiten und Naturkatastrophen bis hin zu Cyber-Kriminalität und IT-Ausfällen. Im Rahmen von Business Continuity Management werden die potenziellen Bedrohungen ermittelt und vorbeugend Strategien, Prozesse sowie Maßnahmen entwickelt, mit denen die Geschäftsfähigkeit eines Betriebs oder einer Organisation im Ernstfall sichergestellt werden kann.

 

Wie funktioniert ein BCM?

Grundlegend für BCM-Konzepte ist der sogenannte PDCA-Zyklus. PDCA steht für „Plan“, „Do“, „Check“, „Act“.

Die Phasen kurz erklärt:

    1. Plan – Welche potenziellen Bedrohungen gibt es, wie kann ein Unternehmen diesen vorbeugen und was muss im Fall der Fälle passieren? Wichtig: Die in dieser Phase entwickelten Handlungspläne sollten regelmäßig getestet und von allen Beteiligten beherrscht werden. Nur so lässt sich beispielsweise sicherstellen, dass bei einem Feueralarm im Unternehmen alle wissen, was zu tun ist.

    2. Do – In dieser Phase wird das für den Ernstfall Geplante umgesetzt. Die Akteure befolgen die in Phase 1 erarbeiteten Handlungspläne und stellen so die betriebliche Kontinuität sicher. Beispielsweise, indem sie verlorengegangene Daten aus einem Backup wiederherstellen.

    3. Check – Ist eine akute Krisensituation erstmal überwunden, steht die Frage nach den Ursachen auf dem Programm. Der Vorfall sollte von den BCM-Verantwortlichen im Unternehmen ausgewertet und entsprechende forensische Analysen durchgeführt werden.

    4. Act – Zu guter Letzt geht es um die Rückkehr zum Normalbetrieb und das Ziehen etwaiger Konsequenzen aus einem Vorfall. Sollten für den nächsten PDCA-Zyklus schon in Phase 1 neue Maßnahmen geplant und Verbesserungen eingeführt werden? Oder ist die Wahrscheinlichkeit, dass sich die Bedrohungslage wiederholt, so gering, dass im Business Continuity Management keine Anpassungen erforderlich sind?
 

Welche Unternehmen brauchen ein BCM - und warum?

Keines und jedes. Generell ist ein BCM wertvoll für Unternehmen jeder Branche und Größe. Schließlich sind Ereignisse, die die Betriebskontinuität gefährden, für jedes Unternehmen potenziell existenzbedrohend. Deshalb ist es so wichtig, Störungen frühzeitig erkennen und gegensteuern zu können. Genau dazu befähigt das Business Continuity Management.

Um Risiken wirksam zu minimieren, gehen BCM-Konzepte immer vom Schlimmsten aus und bereiten auf Extremfälle vor. Gesetzlich vorgeschrieben ist ein BCM nicht. Allerdings gilt: Möchten Unternehmen gemäß ISO 9001 (Qualitätsmanagement), ISO 27001 (Informationssicherheit) oder NIS2 (Cybersicherheit) zertifiziert werden, benötigen sie ein BCM in definierter Weise.

 

Auf welche Risiken und Bedrohungen zielt es ab?

Diesbezüglich gibt es keinerlei Einschränkungen. BCM hat alle Risiken im Fokus, die in irgendeiner Weise den Betrieb eines Unternehmens stören könnten. Zu den möglichen Ursachen zählen Pandemien und Elementargefahren wie Überschwemmungen, Erdbeben, Brände, Stürme und Vulkanausbrüche, aber auch technische Pannen wie Stromausfälle oder Internet-Blackouts und alle nur denkbaren Cyber-Vorfälle – vom einfachen Datenverlust über Ransomware-Attacken bis hin zum Server-Ausfall ohne Fremdweinwirkung.

Gut zu wissen: Laut einer internationalen Allianz-Befragung* liegen Cyber-Vorfälle wie IT-Ausfall, Datenschutzpannen und Datendiebstahl mit 39 Prozent aller Nennungen weltweit auf Platz 1 der Geschäftsrisiken. *Allianz Risk Barometer — Identifying The Mayor Business Risks for 2020

 

Aufbau und Pflege: Wer ist im Unternehmen dafür verantwortlich?

Der Aufbau eines Managementsystems für Business Continuity ist immer und zuerst eine Management-Aufgabe. Die Situation ist vergleichbar mit der beim Aufbau eines Informationssicherheits-Managementsystem (ISMS).

Bei größeren Unternehmen und in Konzernen wird die Verantwortung daher beim Chief Information Security Officer (CISO) liegen. Dieser sollte ein geeignetes Team installieren, bestehend aus BCM-Experten und Risikomanagern, das sich um alle BCM-Aufgaben kümmert. Erfolgreich kann BCM aber nur sein, wenn alle im Unternehmen die konkreten Maßnahmenpläne kennen und deren Umsetzung regelmäßig üben.

 

Gibt es einen Unterschied zwischen Business Continuity Plan und Business Continuity Management?

Nein, der Unterschied liegt in der Detailtiefe. Im Idealfall hat ein Unternehmen für alle denkbaren Störfälle geeignete Pläne ausgearbeitet. Erst die Gesamtheit – also das Zusammenspiel der etablierten Notfallpläne, - maßnahmen und -prozesse – ergibt das unternehmensspezifische Business Continuity Management – abgestimmt auf die individuelle Risiko- und Bedrohungslage.

So muss ein Unternehmen, dessen Gebäude in einer Talsenke oder an einem Fluss steht wesentlich umfassendere Hochwasserpläne entwickeln als eines, dessen Gebäude auf einer Anhöhe liegt.

Ein professionelles Backup-Management kann Ihnen neben einem BCM zudem dabei helfen, Ihre Business Kontinuität bei Ransomware- und Cyberangriffen zu schützen. Gemeinsam mit NovasStor hat DataGuard eine Checkliste mit relevante Kriterien für ein Backup-Management erstellt. 

 

Wie unterscheidet sich Business Continuity Management von Incident Management?

Das Incident Management behandelt ausschließlich Informationssicherheitsvorfälle bzw.
-ereignisse. Ein Ereignis wäre zum Beispiel die Eingabe eines falschen Passworts bei der Anmeldung ans Firmennetzwerk. Ein solches Ereignis muss bewertet werden. Ist es harmlos, weil sich eine berechtigte Person einfach nur vertippt hat? Oder steckt dahinter ein Angriff mit vielen Wiederholungen bis zum Knacken des Passworts? Ist Letzteres der Fall, wird aus den Ereignissen ein Informationssicherheitsvorfall, der im Rahmen des Incident Management behandelt werden muss. Ein solcher Vorfall wäre dann auch BCM-relevant.

 

Sind BCM und Risikomanagement ein und dasselbe?

Risikomanagement ist die Grundlage für Business Coninuity Management. Aufgabe und Ziel des Risikomanagements ist es, die Risiken für ein Unternehmen zu identifizieren, deren Eintrittswahrscheinlichkeiten zu bestimmen und den möglichen Impact zu analysieren. Auf dem Fundament dieses Wissens können im Rahmen des Business Continuity Managements dann entsprechende Pläne und Maßnahmen entwickelt und etabliert werden.

DataGuard Newsletter

Sichern Sie Ihren Erfolg.

Abonnieren Sie praxisnahe Experten-Tipps!

Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.

Jetzt abonnieren


Kriterien für ein gutes BCM 

Von hoher Qualität ist ein BCM dann, wenn es alle potenziellen Bedrohungen und Risiken berücksichtigt und nichts übersehen hat. Verbindliche Kriterien gibt es aber nicht – allenfalls Anhaltspunkte und Best Practice Vorgaben im Rahmen der bekannten ISO-Zertifizierungen für Qualitätsmanagement (ISO 9001) und Informationssicherheit (ISO 27001). Den Fokus legen die Standards auf den Schutz, das Funktionieren und die Verfügbarkeit von Personen, Prozessen und Daten eines Unternehmens.

Kennen Sie schon den Unterschied zwischen einer akkreditierten und einer nicht-akkreditierten ISO 27001 Zertifizierung? In unserem Artikel über die ISO 27001-Konformität & (nicht) akkreditierte Zertifizierungen erfahren Sie mehr. 

Unabhängig davon gilt: Entscheidend für die BCM-Qualität ist es, alles im Blick und an alles gedacht zu haben. Ob beides gelingt, ist in der Praxis schwierig messbar. Business Coninuity Management muss je nach Unternehmen individuell und risikoabhängig umgesetzt werden. Das ist die eigentliche Herausforderung.

 

Die Vorteile im Überblick

Business Continuity Management minimiert die Wahrscheinlichkeit, dass ein Unternehmen durch ein unvorhergesehenes Ereignis handlungsunfähig wird und infolgedessen Insolvenz anmelden muss. Kurz: BCM ist eine Art Versicherung gegen den Worst Case. Darüber hinaus schafft BCM im Unternehmen selbst ein ganz anderes Risikobewusstsein. Notfallpläne und regelmäßige Übungen schärfen den Blick aller Teammitglieder für mögliche Gefahren und erhöhen die Resilienz des Unternehmens insgesamt.

 

Ausblick: Welche Entwicklungen haben Einfluss auf das Business Continuity Management?

Die Digitalisierung ist auch in diesem Bereich der mit Abstand stärkste Veränderungsmotor – nicht nur im Hinblick auf Cyber-Vorfälle.

Beispiel Cloudspeicher: Ein Unternehmen, dass seine geschäftsrelevanten Daten nicht mehr physisch auf Servern im eigenen Haus speichert, sondern in der Cloud, muss sich vor Datenverlust durch Hochwasserschäden am eigenen Gebäude nicht mehr fürchten. Aber: Das Risiko ist nicht verschwunden, es wurde nur auf den Cloudanbieter verlagert. Dieser kann das Risiko im Idealfall besser managen, komplett verschwinden wird es jedoch nicht. Darüber hinaus bringt die fortschreitende Digitalisierung als solche auch wieder neue Risiken mit sich. Die Anfälligkeit für Cyber-Kriminalität steigt weiter und ohne funktionierendes Internet und zuverlässige Stromversorgung geht heute kaum noch etwas.

Bei weiteren Fragen zu diesem und anderen Themen über BCM und ISO 27001 stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:

Sprechen Sie uns an

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000