Inhaltsverzeichnis
Von der Analyse bis zum Test
BCM Lifecycle
Organisationale Ambidextrie
Herausforderung für ein wirksames Business Continuity Management
Abgrenzung
zwischen Business Impact Analyse, Risk Assessment und Informationsklassifizierung
Verantwortlichkeiten
Rollen, Verantwortlichkeiten und strukturierte Zusammenarbeit
Aspekte
Strategischen und operativen Aspekte des Business Continuity Managements
Von der Analyse bis zum Test
Business Continuity Management (BCM) ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der Organisationen widerstandsfähig gegen Krisen und Störungen macht. Zentral ist dabei der Lifecycle-Ansatz, der BCM in klar strukturierte Phasen gliedert. Dieser prozessbezogene Ansatz macht sichtbar, wie ausgehend von den identifizierten Prozessen systematisch ein robustes Kontinuitätsmanagement entsteht.
BCM Lifecycle von NOVELEDGEPhase 1: Business Impact Analyse und Risikoassessment
Die erste Phase des Business Continuity Management (BCM)-Lifecycles bildet das Fundament für alle nachfolgenden Aktivitäten. In dieser Analysephase werden die geschäftskritischen Prozesse, ihre zeitlichen Toleranzen sowie die abhängigen Ressourcen und Risiken systematisch identifiziert und bewertet. Ziel ist es, ein klares Verständnis dafür zu entwickeln, was im Unternehmen wirklich kritisch ist und welche Faktoren die Aufrechterhaltung des Betriebs gefährden können.
Business Impact Analyse (BIA)
Die Business Impact Analyse ist das Herzstück der ersten Phase. Sie dient dazu, die Auswirkungen einer Prozessunterbrechung auf das Unternehmen zu ermitteln.
Im Mittelpunkt steht die Frage:
„Wie lange kann ein Prozess ausfallen, bevor die Folgen für das Unternehmen untragbar werden?“
Dazu werden Kennwerte wie die Maximum Tolerable Period of Disruption (MTPD) und das Recovery Time Objective (RTO) bestimmt.
Die BIA macht sichtbar, welche Prozesse priorisiert wiederhergestellt werden müssen, um existenzielle, rechtliche, finanzielle oder reputative Schäden zu vermeiden. Gleichzeitig schafft sie Transparenz über Abhängigkeiten zwischen Prozessen und Ressourcen und bildet damit die Grundlage für die spätere Wiederanlaufplanung.
Risk Assessment (RIA)
Auf die BIA folgt das Risk Assessment, das die ermittelten zeitkritischen Ressourcen – wie Personal, Gebäude, IT-Systeme, Lieferanten oder Informationen – näher betrachtet.
Hier steht nicht mehr die Prozesskritikalität, sondern die Verwundbarkeit der Ressourcen im Fokus.
Bewertet werden sowohl interne Risiken (z. B. technische Störungen, Personalausfälle) als auch externe Risiken (z. B. Naturereignisse, politische Instabilität oder Lieferkettenunterbrechungen).
Für weitere Details zur Risikomanagement und erforderlichen Schritten im Risk Assessment schauen Sie gerne in den NOVELEDGE Blog zum Risikomanagement
Ziel des Risk Assessments ist es, die wahrscheinlichen Ursachen für potenzielle Betriebsunterbrechungen zu erkennen und präventive sowie reaktive Schutzmaßnahmen zu definieren. Damit wird der Grundstein gelegt für Phase 2 des BCM-Lifecycles: die Entwicklung der Business Continuity Strategie.
BIA Details von NOVELEDGEZusammenspiel und Bedeutung
BIA und RIA sind eng miteinander verzahnt:
Während die BIA bestimmt, was kritisch ist und wann reagiert werden muss, zeigt das Risk Assessment, warum es zu Ausfällen kommen könnte und wie diese vermieden oder minimiert werden können.
Nur das Zusammenspiel beider Analysen ermöglicht eine ganzheitliche Bewertung der organisationalen Resilienz und liefert die notwendigen Entscheidungsgrundlagen für eine wirksame BCM-Strategie.
Phase 2: Entwicklung der Business Continuity Strategie
Auf Grundlage der Ergebnisse von BIA und Risikoassessment wird eine Business Continuity Strategie entwickelt. Sie legt fest, welche Maßnahmen, Kapazitäten und Alternativen erforderlich sind, um zeitkritische Prozesse und Ressourcen im Ernstfall aufrechtzuerhalten oder schnellstmöglich wiederherzustellen.
Im Kern bedeutet das ein Check & Secure:
- Check: Abgleich zwischen RTO, RTA und MTPD, um sicherzustellen, dass Wiederanlaufzeiten realistisch und machbar sind.
- Secure: Ableitung von Maßnahmen zur Absicherung der Ressourcen und Prozesse.
Dabei gilt: Strategien müssen stets individuell auf die Organisation zugeschnitten werden. Ein Standardplan passt nie für alle Unternehmen, sondern nur ein Ansatz, der die bereits vorhandenen Strukturen, Kapazitäten und Rahmenbedingungen berücksichtigt.
Die Entwicklung einer Business Continuity Strategie stellt den Kern der zweiten Phase im BCM-Lifecycle dar. Sie bildet die Brücke zwischen der zuvor durchgeführten Analyse (z. B. Business Impact Analysis, Risikoanalyse) und der späteren operativen Umsetzung. Während die Analyse die kritischen Prozesse, Abhängigkeiten und Anforderungen identifiziert, beantwortet die Strategie die Frage „Wie stellen wir die Aufrechterhaltung oder Wiederherstellung sicher?“
Besonders charakteristisch für diese Phase ist die Zweiteilung in sichtbare und nicht-sichtbare Elemente:
Sichtbarer Bereich (oberhalb der Wasseroberfläche): Hierzu zählen die klar formulierten Maßnahmen, Pläne und Handlungsoptionen. Diese sind für alle Beteiligten nachvollziehbar, konkret messbar und häufig dokumentiert (z. B. Alternativstandorte, Notfallarbeitsplätze, Ausweich-IT-Systeme, Lieferantenstrategien).
Nicht-sichtbarer Bereich (unterhalb der Wasseroberfläche): Der überwiegende Teil einer BC-Strategie liegt jedoch im Verborgenen. Dazu gehören die strukturellen, unterstützenden und überwachenden Elemente wie Governance, Verantwortlichkeiten, interne Kontrollmechanismen, Ressourcenallokation oder die Einbettung in das Risikomanagementsystem. Diese Faktoren sind nicht auf den ersten Blick erkennbar, bilden jedoch die Grundlage dafür, dass die sichtbaren Maßnahmen überhaupt funktionieren können.
- Sichtbarer Bereich (oberhalb der Wasseroberfläche): Hierzu zählen die klar formulierten Maßnahmen, Pläne und Handlungsoptionen. Diese sind für alle Beteiligten nachvollziehbar, konkret messbar und häufig dokumentiert (z. B. Alternativstandorte, Notfallarbeitsplätze, Ausweich-IT-Systeme, Lieferantenstrategien).
- Nicht-sichtbarer Bereich (unterhalb der Wasseroberfläche): Der überwiegende Teil einer BC-Strategie liegt jedoch im Verborgenen. Dazu gehören die strukturellen, unterstützenden und überwachenden Elemente wie Governance, Verantwortlichkeiten, interne Kontrollmechanismen, Ressourcenallokation oder die Einbettung in das Risikomanagementsystem. Diese Faktoren sind nicht auf den ersten Blick erkennbar, bilden jedoch die Grundlage dafür, dass die sichtbaren Maßnahmen überhaupt funktionieren können.
Die Eisberg-Metapher verdeutlicht dieses Spannungsfeld: Nur ein kleiner Teil der BC-Strategie ist unmittelbar sichtbar, der Großteil der Anforderungen liegt unterhalb der Oberfläche und bleibt oft unbeachtet – obwohl er entscheidend für die Wirksamkeit ist.
Der „rosa Elefant“ im Raum
Eine weitere Herausforderung sind die Faktoren, die zwar allen Beteiligten bekannt sind, jedoch häufig nicht offen angesprochen werden. Dies können ungelöste Zielkonflikte, politische Interessen, Ressourcendefizite oder organisatorische Spannungen sein. Der „rosa Elefant“ steht sinnbildlich für diese hemmenden Einflussfaktoren, die in vielen Organisationen unübersehbar im Raum stehen, jedoch ignoriert werden.
Eine nachhaltige Business Continuity Strategie erfordert daher nicht nur die Berücksichtigung der sichtbaren und unsichtbaren Strukturelemente, sondern auch den mutigen Umgang mit diesen Störfaktoren. Erst wenn sie adressiert und in den strategischen Entwicklungsprozess integriert werden, kann die BC-Strategie ihr volles Potenzial entfalten.
Phase 3: Umsetzung in Business Continuity Plänen
Die erarbeitete Strategie wird nun in konkrete Business Continuity Pläne (BC-Pläne) überführt. Diese umfassen:
- Recovery Pläne (Wiederherstellung von IT-Systemen, Anwendungen, Daten),
- Wiederanlaufpläne (schnellstmögliche Rückkehr zum Normalbetrieb),
- Kommunikationspläne (klare Abläufe für interne und externe Kommunikation im Krisenfall).
Auch hier gilt: Die Pläne müssen zur Organisation passen. Was in einem großen Industrieunternehmen sinnvoll ist, kann in einem mittelständischen Betrieb zu komplex sein. Entscheidend ist die Passgenauigkeit – nur dann sind BC-Pläne im Ernstfall wirksam.
Phase 4: Testen und Üben
Ein Business Continuity Plan (BCP) bleibt Theorie, solange er nicht getestet wurde. Deshalb bildet das Testen und Üben die letzte Phase des BCM-Lifecycles – und gleichzeitig den Übergang in den kontinuierlichen Verbesserungsprozess (PDCA). Ziel ist, die praktische Umsetzbarkeit der Strategien, Pläne und Rollen zu validieren und messbar zu machen, ob die tatsächliche Wiederanlaufzeit (RTA) die Zielzeit (RTO) aus der BIA erreicht. ISO 22301 verankert dafür ein programmatisches Übungs- und Review-Regime mit klaren Anforderungen an Ziele, Szenarien, Durchführung, Berichte und Verbesserungen.
Was wird getestet?
- Pläne & Verfahren (8.4): Aktivierungskriterien, Rollen, Kommunikation, Wiederherstellung und Rückkehr in den Normalbetrieb – inklusive Nachweis, dass Tätigkeiten hoher Priorität innerhalb vorgegebener Zeiträume fortgesetzt/wiederhergestellt werden können.
- Zeitziele (8.2 BIA): RTO als Vorgabe und RTA als Messergebnis; MTPD, Abhängigkeiten, Ressourcen.
- Strategien/Lösungen (8.3): Eignung und Ressourcenunterlegung (Personal, ICT, Standorte, Lieferkette) inkl. Kosten-Nutzen-Abwägung.
Wann wird getestet?
- Regelmäßig & anlassbezogen: Übungen/Überprüfungen „in geplanten Abständen“ und bei signifikanten Änderungen (Organisation, Kontext) sowie nach Vorfällen/Aktivierungen. Ergebnisse münden in Verbesserungen (8.5, 8.6, 10).
- Leistungsbewertung & Managementreview: Messgrößen festlegen, Ergebnisse bewerten (9.1), intern auditieren (9.2) und in der Managementbewertung (9.3) beschließen: Aktualisierung von BIA, Risikobeurteilung, Strategien und Plänen.
Wie wird getestet? – Formen, Aufwand & Nutzen (evidenzbasiert)
ISO 22301 fordert ein Übungs- und Überprüfungsprogramm mit geeigneten, zielklaren Szenarien, definierten Zielen und formalisierten Berichten (8.5 a–g). Darauf aufbauend lässt sich folgendes Stufenmodell nutzen; steigender Realitätsgrad = mehr Evidenz für Wirksamkeit/RTA:
| Testform | Kurzbeschreibung | Aufwand | Nutzen/Zielsetzung |
|---|---|---|---|
| Tabletop / Workshop | Diskussionsbasiert; Ablauf, Entscheidungen, Schnittstellen gedanklich durchspielen, Lücken sichtbar machen. | niedrig–mittel | Rollenverständnis, Sensibilisierung, schnelle Lessons Learned. |
| Simulation / Planspiel | Realitätsnahe Injects (Meldungen/Calls) ohne Eingriff in Produktion. | mittel | Entscheidungs- & Kommunikationsfähigkeit, Lagekoordination. |
| Technischer Funktionstest | Restore/Failover/DR-Runbook; einzelne Wiederanlaufschritte. | mittel–hoch | Harte Evidenz zu RTA↔RTO, technische Machbarkeit. |
| Live-Exercise / Vollübung | Geplante Umschaltung/Unterbrechung im Echtbetrieb. | hoch | End-to-End-Wirksamkeit unter Realbedingungen, maximaler Lerneffekt. |
Dokumentationspflicht: Jede Übung erzeugt Berichte mit Ergebnissen, Empfehlungen und Maßnahmen; die Organisation reagiert darauf (Verbesserungen umsetzen) – Kernforderungen aus 8.5 e–g und 10.1/10.2.
BCP Testing von NOVELEDGEWarum wird getestet? – Wirksamkeit & PDCA nachweisen
- Validierung statt Annahmen: Nur Übungen belegen, dass Strategien, Pläne und Ressourcen wirksam sind und Zeitziele erreichbar bleiben (8.5, 8.6).
- Kontinuierliche Verbesserung: Ergebnisse fließen in Korrekturmaßnahmen (10.1) und fortlaufende Verbesserung (10.2); Kennzahlen/Messungen steuern die Weiterentwicklung (9.1, 9.3).
Szenarioableitung (risiko- & BIA-basiert)
Praxisnah leitest du Szenarien aus zeitkritischen Tätigkeiten/Ressourcen (BIA, 8.2.2 f–h) und den wirksamen Risikendarauf (8.2.3 a–c) ab. So entstehen Übungen, die direkt die kritische Wertschöpfung und Abhängigkeiten (z. B. ICT, Lieferkette, Standorte) treffen – exakt im Sinne der Normlogik BIA → Strategie (8.3) → Pläne (8.4) → Üben (8.5).
Good Practices für Phase 4 (mit ISO-Bezug)
- Stufenlogik etablieren (Reifegradbasiert): Tabletop → Simulation → Techniktest → Vollübung (8.5 b/d).
- Messbar machen: Vorab KPIs/Time-Stamps definieren (RTA-Erfassung), Kriterien für Zielerreichung festlegen (9.1).
- Kommunikation testen: Warn-/Kommunikationsverfahren sind Bestandteil des Übungsprogramms (8.4.3 2, letzter Absatz).
- Partner/Lieferanten einbeziehen: Fähigkeiten bewerten (8.6 c) – gerade bei Auslagerungen/Lieferkette.
BCM als kontinuierlicher Prozess
Der BCM-Lifecycle verdeutlicht, dass Business Continuity Management kein einmaliges Projekt ist, sondern ein fortlaufender Kreislauf, der Analyse, Strategie, Planung, Implementierung und Übung miteinander verbindet. Jede dieser Phasen greift ineinander und schafft die Grundlage für Resilienz. Entscheidend ist dabei die individuelle Anpassung: Von der Business Impact Analyse über die Entwicklung der BC-Strategie bis hin zur konkreten Planung und Erprobung. Nur wenn das Management-System auf die spezifischen Rahmenbedingungen und die tatsächliche Realität der Organisation zugeschnitten ist, kann es seinen Zweck erfüllen und Krisen wirksam begegnen.
Besonders in der heutigen Zeit voller Unsicherheiten und unvorhersehbarer Entwicklungen wird deutlich, warum BCM nicht auf einzelne Szenarien oder konkrete Risiken begrenzt bleiben darf. Hier greift die Metapher des schwarzen Schwans: Gemeint sind Ereignisse, die zuvor als nahezu unmöglich oder undenkbar galten – und dann plötzlich und mit massiven Auswirkungen eintreten. Solche schwarzen Schwäne zeigen, dass sich Organisationen nicht ausschließlich auf bekannte Gefahren konzentrieren dürfen. Vielmehr braucht es einen szenario-unabhängigen, fachübergreifenden All-Gefahren-Ansatz („All-Hazards-Approach“), der nicht fragt, ob ein Prozess gestört wird, sondern wann und wie lange.
BCM unterscheidet sich dadurch grundlegend von einem klassischen Risikomanagement-Ansatz: Es setzt nicht primär auf die Wahrscheinlichkeit bestimmter Risiken, sondern darauf, dass kritische Prozesse jederzeit ausfallen können, sei es durch äußere Einflüsse, interne Störungen oder eben durch den „schwarzen Schwan“. Genau darin liegt die besondere Stärke des BCM – es stellt sicher, dass Organisationen robust und widerstandsfähig bleiben, auch wenn das Undenkbare eintritt.
Damit wird klar: BCM ist kein statisches Konstrukt, sondern ein kontinuierlicher, zyklischer Prozess, der regelmäßig überprüft, angepasst und geübt werden muss. Nur so kann eine Organisation mit den permanenten Veränderungen Schritt halten und auf das Unvorhersehbare vorbereitet sein – auch auf den nächsten schwarzen Schwan.
Organisationale Ambidextrie als Herausforderung für ein wirksames Business Continuity Management
Unternehmen sehen sich heute einer Umwelt gegenüber, die von Unsicherheit, Dynamik und Komplexität geprägt ist. Technologische Umbrüche, geopolitische Spannungen, Klimakrisen oder verändertes Konsumverhalten stellen Organisationen vor die Frage: Wie können sie ihr Kerngeschäft zuverlässig sichern und gleichzeitig innovativ bleiben, um auch in Zukunft wettbewerbsfähig zu sein?
Die Antwort darauf findet sich im Konzept der organisationalen Ambidextrie.
Was bedeutet organisationale Ambidextrie?
Der Begriff beschreibt die Fähigkeit einer Organisation, zwei scheinbar widersprüchliche Anforderungen gleichzeitig zu erfüllen:
- Exploitation: die Optimierung und effiziente Nutzung bestehender Prozesse, Produkte und Strukturen. Sie steht für Stabilität, Zuverlässigkeit und die Sicherung des Kerngeschäfts.
- Exploration: die Erschließung neuer Märkte, Technologien, Geschäftsmodelle und Fähigkeiten. Sie steht für Innovation, Anpassung und zukunftsorientierte Entwicklung.
Organisationale Ambidextrie ist damit kein „Entweder-oder“, sondern ein „Sowohl-als-auch“. Sie erfordert, dass Unternehmen gleichzeitig stabil und dynamisch sind – ein Spannungsfeld, das gerade für die Einführung und Umsetzung eines Business Continuity Managements (BCM) von zentraler Bedeutung ist.
Die Verbindung zu Business Continuity Management
BCM verfolgt das Ziel, kritische Geschäftsprozesse auch unter widrigen Umständen aufrechtzuerhalten. Klassisch wird es mit Absicherung, Stabilität und Risikominimierung assoziiert, also mit dem Bereich der Exploitation. Doch in der heutigen Zeit reicht Stabilität allein nicht mehr aus. BCM muss Unternehmen auch dazu befähigen, Veränderung und Innovation zu bewältigen, ohne dabei die Resilienz zu gefährden.
Hier zeigt sich die Schnittstelle zur organisationalen Ambidextrie:
- BCM und Exploitation: BCM sorgt dafür, dass Prozesse, Systeme und Strukturen effizient abgesichert und widerstandsfähig bleiben.
- BCM und Exploration: BCM schafft die organisatorische Robustheit, die es erlaubt, Neues auszuprobieren, Märkte zu testen und Innovationen umzusetzen – auch im Bewusstsein, dass Unsicherheit und „schwarze Schwäne“ jederzeit auftreten können.
Damit ist BCM nicht nur „Schutzschild“, sondern auch Ermöglicher: Es stützt die Balance zwischen Stabilität und Veränderung.
Praktische Herausforderungen
Die Umsetzung organisationaler Ambidextrie im Kontext von BCM bringt mehrere Herausforderungen mit sich:
- Ressourcenkonflikte: Während Exploitation klare Strukturen verlangt, braucht Exploration Freiräume und Investitionen. BCM muss beide Seiten koordinieren.
- Kulturelle Unterschiede: Sicherheit und Regelkonformität auf der einen, Innovationsgeist und Experimentierfreude auf der anderen Seite – beides muss in einer Unternehmenskultur verankert werden.
- Geschwindigkeit der Anpassung: Märkte, Technologien und Krisenszenarien entwickeln sich schneller, als klassische BCM-Prozesse oft reagieren können. BCM muss daher agiler gedacht werden.
Organisationale Ambidextrie verdeutlicht die doppelte Rolle moderner Unternehmen: Sie müssen ihr Kerngeschäft zuverlässig absichern und gleichzeitig den Mut haben, Neues zu wagen. Für ein wirksames Business Continuity Management bedeutet das, nicht nur Strukturen für Stabilität zu schaffen, sondern auch Rahmenbedingungen für Innovation und Anpassung.
BCM wird so zu einem strategischen Instrument, das Unternehmen befähigt, Exploitation und Exploration in Balance zu halten – und damit die Grundlage für nachhaltige Resilienz in unsicheren Zeiten legt.
Abgrenzung zwischen Business Impact Analyse, Risk Assessment und Informationsklassifizierung
Ein wirksames Business Continuity Management (BCM) erfordert eine klare Trennung zwischen Business Impact Analyse (BIA), Risk Assessment (RIA) und Informationsklassifizierung. Obwohl alle drei Verfahren miteinander verbunden sind, verfolgen sie unterschiedliche Zielsetzungen und Betrachtungsebenen.
Die Business Impact Analyse (BIA) dient dazu, die Kritikalität der Geschäftsprozesse zu identifizieren. Sie beantwortet die Frage, welche Prozesse für die Aufrechterhaltung des Geschäftsbetriebs wesentlich sind und innerhalb welcher Zeiträume ein Ausfall tolerierbar bleibt. Dabei werden Parameter wie MTPD (Maximum Tolerable Period of Disruption) und RTO (Recovery Time Objective) definiert.
Das Risk Assessment (RIA) schließt daran an und fokussiert sich auf die zeitkritischen Ressourcen, die für die zuvor identifizierten Prozesse erforderlich sind. Es bewertet die relevanten Risiken – etwa technische Ausfälle, Personalausfälle oder externe Bedrohungen – und legt die Grundlage für Maßnahmen zur Absicherung dieser Ressourcen.
Die Business Impact Analyse betrachtet die Organisation aus einer rein geschäftlichen Perspektive.
Sie setzt bewusst dort an, wo eine Störung bereits eingetreten ist – unabhängig davon, warum sie entstanden ist.
Im Fokus stehen unter anderem folgende Fragen:
- Welche Prozesse sind zeitkritisch?
- Wie lange dürfen diese Prozesse maximal ausfallen?
- Welche Abhängigkeiten bestehen zwischen Prozessen, Ressourcen und Organisationseinheiten?
- Welche Auswirkungen hätte ein Ausfall auf die Gesamtorganisation oder einzelne Bereiche?
Die Business Impact Analyse beantwortet damit die Frage:
„Was passiert mit dem Geschäft, wenn ein schädigendes Ereignis eintritt?“
Sie schafft Transparenz über Kritikalitäten, Zeitabhängigkeiten und betroffene Ressourcen – ohne eine Aussage darüber zu treffen, wie wahrscheinlich ein solches Ereignis ist.
Die Risikoanalyse verfolgt einen anderen Ansatz.
Sie ist ursachen- und szenariobasiert und beschäftigt sich mit der Frage, welche Ereignisse eintreten können und warum.
Typische Fragestellungen sind:
- Welche Bedrohungen und Gefahren existieren?
- Wie wahrscheinlich ist der Eintritt bestimmter Ereignisse?
- Welche Schwachstellen und Verwundbarkeiten liegen vor?
- Welche Risiken ergeben sich daraus für die Organisation?
Die Risikoanalyse beantwortet damit die Frage:
„Warum könnte ein schädigendes Ereignis eintreten – und wie realistisch ist es?“
Es treffen sich beide Perspektiven im gemeinsamen Kern des Eintreten eines schädigenden Ereignisses.
Genau hier greifen Business Impact Analyse und Risikoanalyse ineinander:
- Die Risikoanalyse erklärt, warum ein Ereignis eintreten kann.
- Die Business Impact Analyse beschreibt, was dieses Ereignis für das Geschäft bedeutet.
Erst diese Kombination ermöglicht eine vollständige Bewertung.
Weder die Business Impact Analyse noch die Risikoanalyse sind für sich allein ausreichend.
- Ohne Business Impact Analyse fehlt der Risikoanalyse die Einordnung der geschäftlichen Bedeutung.
- Ohne Risikoanalyse fehlt der Business Impact Analyse der Bezug zu realistischen Bedrohungsszenarien.
Erst im Zusammenspiel beider Analysen entsteht die Grundlage für:
- eine risikoinformierte Business-Continuity-Strategie,
- eine verhältnismäßige Absicherung von Ressourcen,
- sowie eine wirtschaftlich sinnvolle Priorisierung von Maßnahmen.
Die Visualisierung macht genau diesen Zusammenhang sichtbar:
zwei unterschiedliche Blickwinkel, die gemeinsam die analytische Basis des Business Continuity Managements bilden.
Business Impact Analyse und Risikoanalyse sind daher keine Alternativen, sondern komplementäre Instrumente. Gemeinsam bilden sie das Fundament für belastbare Entscheidungen, zielgerichtete Continuity-Strategien und eine resiliente Organisation.
Die Informationsklassifizierung hingegen betrachtet die Informationsobjekte innerhalb der Ressourcen. Hier steht die CIA-Klassifizierung im Vordergrund – also die Bewertung von Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Diese Analyse bestimmt, wie schützenswert die jeweiligen Informationen sind und welche Schutzmaßnahmen daraus folgen.
BIA von NOVELEDGEErst durch die Kombination dieser drei Perspektiven – Prozesskritikalität (BIA), Ressourcenrisiken (RIA) und Informationsschutz (CIA) – entsteht ein ganzheitliches Verständnis der organisatorischen Resilienz.
Dabei zeigen sich bereits an dieser Stelle die Schnittstellen zu anderen Managementsystemen, etwa zur Informationssicherheit (ISMS nach ISO/IEC 27001), zum Risikomanagement (ISO 31000) oder zur Compliance- und Qualitätssteuerung.
Daher sollte die BIA nicht losgelöst von anderen Managementbereichen durchgeführt werden. Vielmehr gilt es, bestehende Strukturen, Analysen und Datenbestände zu nutzen, um Synergien zu schaffen und Doppelarbeit zu vermeiden.
So wird das BCM zu einem integrierten Bestandteil der gesamten Unternehmenssteuerung – und nicht zu einem isolierten Parallelprozess.
Für einen tieferen Einblick in die Abhängigkeiten der unterschiedlichen Managementsysteme schauen Sie gerne in den unseren NOVELEDGE Blog zum Thema Resilienz als Gesamtsystem
Rollen, Verantwortlichkeiten und strukturierte Zusammenarbeit im Business Continuity Management
Business Continuity Management (BCM) ist weit mehr als die Erstellung von Plänen oder Dokumenten. Es ist ein kontinuierlicher Managementprozess, der darauf abzielt, Organisationen auch bei Störungen, Krisen oder Ausfällen handlungsfähig zu halten.
Damit BCM wirksam funktioniert, braucht es vor allem eines: klare Rollen, definierte Verantwortlichkeiten und eine strukturierte Zusammenarbeit.
Dieser Beitrag beleuchtet, warum BCM nur als gemeinschaftliche Aufgabe funktioniert und welche Rollen dabei eine zentrale Bedeutung haben.
BCM als gemeinschaftliche Managementaufgabe
BCM kann nicht von einer einzelnen Funktion oder Person getragen werden.
Es lebt von der Zusammenführung unterschiedlicher Perspektiven: strategisch, operativ, technisch und organisatorisch.
Nur wenn Verantwortlichkeiten klar verteilt sind, können:
- kritische Prozesse identifiziert,
- Abhängigkeiten verstanden,
- Risiken realistisch bewertet
- und geeignete Continuity-Strategien entwickelt werden.
BCM ist damit kein isoliertes Projekt, sondern ein integriertes Managementsystem, das dauerhaft gepflegt, überprüft und weiterentwickelt werden muss.
Zentrale Rollen im Business Continuity Management
Der Business-Continuity-Manager übernimmt eine methodische und koordinierende Rolle.
Er oder sie sorgt für:
- eine einheitliche Methodik und Systematik,
- die Qualitätssicherung im BCM-Lifecycle,
- sowie die konsistente Umsetzung über Organisationseinheiten hinweg.
Der BCM-Manager agiert nicht als alleiniger Umsetzer, sondern als Enabler und Qualitätssicherer.
Die Geschäftsleitung trägt die lokale Verantwortung für BCM.
Zu seinen Aufgaben gehören:
- die Bereitstellung der notwendigen Ressourcen,
- die Freigabe der Business-Continuity-Strategie,
- sowie die Genehmigung der Business-Continuity-Pläne (BCP).
Damit wird sichergestellt, dass BCM organisatorisch verankert und strategisch legitimiert ist.
Die BC-Koordinatoren übernehmen die operative Steuerung des BCM-Lifecycles auf lokaler oder fachlicher Ebene.
Sie sind verantwortlich für:
- die Durchführung der einzelnen BCM-Schritte,
- die Erstellung und Pflege der BCP,
- die Planung und Durchführung von Tests und Übungen,
- sowie das Reporting an den Legal Entity Representative.
Sie bilden die operative Schnittstelle zwischen Methodik und Umsetzung.
Prozess Verantwortlichen vertreten die geschäftliche Sicht auf Kontinuität.
Sie unterstützen insbesondere:
- die methodische Vorgehensweise im BCM,
- die Entwicklung der Business-Continuity-Strategie,
- sowie die Ableitung prozessspezifischer Anforderungen für BCP.
Ihre Rolle ist entscheidend, um BCM an den realen Geschäftsanforderungen auszurichten.
Prozess Experten liefern das operative Detailwissen.
Sie stellen Informationen bereit zu:
- Prozessabläufen,
- Abhängigkeiten,
- Schnittstellen,
- sowie den erforderlichen Ressourcen.
Damit stellen sie sicher, dass BCM nicht theoretisch bleibt, sondern praxisnah und realistisch ist.
Ressourcen Verantwortliche sind verantwortlich für die Ressourcenperspektive.
Sie:
- liefern detaillierte Informationen zur tatsächlichen Wiederherstellungszeit (RTA),
- prüfen und validieren diese Angaben,
- und stellen die Verfügbarkeit der Ressourcen sicher.
Ihre Rolle ist zentral, um Continuity-Anforderungen technisch und organisatorisch abzusichern.
Warum klare Verantwortlichkeiten entscheidend sind
BCM scheitert in der Praxis selten an fehlenden Konzepten, sondern häufig an unklaren Zuständigkeiten.
Eine saubere Rollenverteilung sorgt dafür, dass:
- Entscheidungen nachvollziehbar getroffen werden,
- Maßnahmen verhältnismäßig bleiben,
- Ressourcen zielgerichtet eingesetzt werden,
- und BCM dauerhaft tragfähig ist.
Instrumente wie eine RACI-Matrix helfen dabei, Verantwortlichkeiten transparent darzustellen und Doppelrollen oder Lücken zu vermeiden.
BCM funktioniert nur strukturiert
Business Continuity Management ist kein Selbstzweck.
Es entfaltet seinen Nutzen nur dann, wenn:
- Rollen klar definiert sind,
- Verantwortlichkeiten gelebt werden,
- und Zusammenarbeit strukturiert erfolgt.
BCM ist damit weniger eine Frage von Dokumenten –
sondern eine Frage von Organisation, Governance und gelebter Verantwortung.
Gerade in komplexen Organisationen ist diese strukturierte Aufteilung der Schlüssel, um den BCM-Lifecycle wirksam umzusetzen und langfristig aufrechtzuerhalten.
Die strategischen und operativen Aspekte des Business Continuity Managements
Warum wirksames BCM nur funktioniert, wenn Strategie und operative Umsetzung zusammengedacht werden.
Business Continuity Management (BCM) wird in der Praxis häufig auf Notfallpläne, Übungen oder technische Wiederanlaufmaßnahmen reduziert. Dabei greift diese Sichtweise zu kurz. BCM ist kein rein operatives Instrument, sondern ein ganzheitlicher Managementansatz, der sowohl strategische als auch operative Aspekte umfasst.
Erst das Zusammenspiel beider Ebenen ermöglicht es Organisationen, ihre Leistungsfähigkeit auch in Krisen- und Störungssituationen aufrechtzuerhalten, regulatorische Anforderungen zu erfüllen und langfristig Vertrauen bei Kunden, Partnern und weiteren Stakeholdern aufzubauen.
Business Continuity Management (BCM) wird in der Praxis häufig auf Notfallpläne, Übungen oder technische Wiederanlaufmaßnahmen reduziert. Dabei greift diese Sichtweise zu kurz. BCM ist kein rein operatives Instrument, sondern ein ganzheitlicher Managementansatz, der sowohl strategische als auch operative Aspekte umfasst.
Erst das Zusammenspiel beider Ebenen ermöglicht es Organisationen, ihre Leistungsfähigkeit auch in Krisen- und Störungssituationen aufrechtzuerhalten, regulatorische Anforderungen zu erfüllen und langfristig Vertrauen bei Kunden, Partnern und weiteren Stakeholdern aufzubauen.
Business Continuity Management als strategische Aufgabe
Auf strategischer Ebene ist BCM Teil der übergeordneten Organisations- und Unternehmensstrategie. Es beantwortet nicht die Frage wie eine Organisation im Störfall reagiert, sondern warum bestimmte Fähigkeiten geschützt und abgesichert werden müssen.
Strategisches BCM schafft den Rahmen, innerhalb dessen operative Maßnahmen sinnvoll priorisiert und umgesetzt werden können.
Typische strategische Aspekte des BCM sind:
- Reputation und VertrauenSicherstellung der Leistungsfähigkeit auch in Krisen stärkt das Vertrauen von Kunden, Geschäftspartnern und Öffentlichkeit.
- Marktwert und WettbewerbsfähigkeitUnternehmen mit belastbaren Continuity-Strukturen gelten als verlässlicher und resilienter Marktteilnehmer.
- Stabilität und UnternehmensfortführungStrategisches BCM trägt zur langfristigen Sicherung der Organisation bei und reduziert existenzbedrohende Risiken.
- Compliance und GovernanceErfüllung regulatorischer Anforderungen (z. B. ISO 22301, ISO/IEC 27001, KRITIS, NIS2) sowie klare Verantwortlichkeiten auf Managementebene.
Strategisches BCM ist eine Führungsaufgabe. Es erfordert Entscheidungen zu:
- Schutzprioritäten,
- akzeptablen Ausfallzeiten,
- Investitionen in Resilienz,
- sowie zur organisatorischen Verankerung von BCM.
Operatives Business Continuity Management
Das operative BCM setzt den strategischen Rahmen in konkrete, umsetzbare Maßnahmen um. Es stellt sicher, dass Organisationen im Ereignisfall handlungsfähig bleiben und definierte Ziele tatsächlich erreicht werden.
Zum operativen BCM gehören insbesondere:
- Business Impact Analyse: Identifikation kritischer Prozesse, Abhängigkeiten und maximal tolerierbarer Ausfallzeiten.
- BCM- und Notfallpläne: Konkrete Handlungsanweisungen für Stör- und Krisensituationen.
- Prozesse und Rollen: Klare Zuständigkeiten, Eskalationswege und Kommunikationsstrukturen.
- Tests und Übungen: Überprüfung der Wirksamkeit von Plänen sowie Training der beteiligten Personen.
- Handlungsfähigkeit im Ereignisfall: Fähigkeit, unter Zeitdruck strukturiert zu entscheiden und Maßnahmen umzusetzen.
Zusammenspiel von strategischem und operativem BCM
Strategisches und operatives BCM sind keine getrennten Disziplinen, sondern zwei Perspektiven auf dasselbe Ziel: die Sicherstellung der organisationalen Resilienz.
- Die Strategie definiert, was geschützt werden soll und warum.
- Die operative Ebene stellt sicher, wie diese Ziele erreicht werden.
Erkenntnisse aus dem operativen BCM (z. B. aus Übungen oder realen Ereignissen) fließen wiederum zurück in die strategische Weiterentwicklung. BCM ist damit ein kontinuierlicher Managementprozess und kein einmaliges Projekt.
Ein wirksames Business Continuity Management entsteht nur dann, wenn strategische Zielsetzungen und operative Umsetzung konsequent miteinander verknüpft sind. Organisationen, die BCM ausschließlich als operative Pflichtübung verstehen, verschenken erhebliche Potenziale in Bezug auf Stabilität, Compliance und Vertrauen.
BCM entfaltet seine volle Wirkung erst dann, wenn es als strategisches Führungsinstrument verstanden und operativ professionell umgesetzt wird.
Wenn Sie Unterstützung bei der Umsetzung oder Weiterentwicklung Ihres BCM-Lifecycles benötigen, können Sie auf die Expertise unseres Netzwerks zurückgreifen. Gemeinsam entwickeln wir maßgeschneiderte Lösungen – von der Analyse bis zur Übung – und stellen sicher, dass Ihre Organisation optimal vorbereitet ist.
Mit unserem Ansatz „BIA as a Service“ können externe Expert:innen aus dem Netzwerk für Sie die Business Impact Analyse durchführen und die Ergebnisse strukturiert aufbereiten. Diese fließen direkt in Ihre Business Continuity Strategie ein und ermöglichen es, mit geringem internen Aufwand hochwertige und praxisnahe Ergebnisse zu erzielen.
