„Die IT-Sicherheitslage in Deutschland bleibt auf angespanntem Niveau.“ So heißt es im aktuellen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2025“, welcher erst jüngst durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht wurde. Umso wichtiger ist es in diesen Zeiten, dass sich Organisationen bereits im Vorfeld auf mögliche Störungen, Ereignisse oder Vorfälle vorbereiten und Pläne für den Ernstfall erarbeiten. Das gilt nicht nur für umsatzstarke Unternehmen, internationale Konzerne oder kritische Infrastrukturen, sondern eben auch für kleine und mittlere Unternehmen (KMU). Das BSI hat hierzu Anfang November eine Broschüre „Einstieg in das BCM für KMU“ veröffentlicht und bietet einen Leitfaden, wie Unternehmen mit begrenzten Ressourcen ihre Betriebsfähigkeit im Krisenfall sichern können.
Was ist Business Continuity Management und warum ist es wichtig?
Business Continuity Management (BCM) – also das Management der Geschäftskontinuität – umfasst die Gesamtheit der Methoden zur Reduzierung der Auswirkungen von Vorfall-, Notfall- und Krisensituationen. Diese Methoden umfassen dabei insbesondere die Bereitstellung von Notfallplänen und -prozessen, die Unterstützung einer raschen Wiederaufnahme der Geschäftstätigkeiten sowie die Stärkung der Resilienz gegenüber zukünftigen Angriffen. Umfragen zeigen, dass viele KMU bislang über kein systematisches Notfallmanagement verfügen. Dabei kann ein einziger Vorfall genügen, um den Geschäftsbetrieb zum Erliegen zu bringen. Ohne vorbereitete Notfallpläne ist in solchen Situationen oft unklar, wer was tun muss, um Schaden vom Unternehmen abzuwenden.
Das BCM gewinnt daher immer mehr an Bedeutung. Die Bedrohungslage durch Cyberangriffe (etwa Ransomware) wächst stetig und kann jederzeit auch KMU treffen. Gleichzeitig verpflichten neue regulatorische Vorgaben Unternehmen in vielen Branchen zu angemessenen Notfallvorsorgemaßnahmen. Hinzu kommt: Auch ohne eigene rechtliche Verpflichtung setzen Geschäftspartner ein solches immer öfter voraus. Fällt die Produktion eines kleinen Unternehmens aus, kann dies ganze Lieferketten stören. Die Resilienz der Lieferkette ist ein zentrales Anliegen der aktuellen Cybersicherheitsstrategie – Ausfälle eines Zulieferers sollen nicht zum Stillstand aller nachgelagerten Unternehmen führen. Ein BCM kann auch dabei helfen, solche Dominoeffekte zu vermeiden und die Handlungsfähigkeit zu erhalten.
Ein Business Continuity Management umsetzen
Das BSI untergliedert im Rahmen der Broschüre BCM-Systeme (BCMS) grundsätzlich in drei verschiedene Stufen:
- Reaktiv-BCMS: Fokus auf kurzfristige Reaktion bei Ausfällen, mit einfachen Notfallplänen und geringem Ressourceneinsatz.
- Aufbau-BCMS: Integration präventiver Maßnahmen und systematische Analysen für wesentliche Bereiche des Unternehmens mit dem Fokus auf eine größere Widerstandsfähigkeit und Notfallstrategien.
- Standard-BCMS: Vollständig ausgereifte und an internationale Standards orientierte Vorgehensweise zur Sicherstellung eines durchgängig resilienten Betriebs bei jedweden Schadensereignissen.
Das BSI empfiehlt insbesondere für KMU den Einstieg über die Reaktiv-Stufe, da hier mit überschaubarem Aufwand eine erste Widerstandsfähigkeit erzeugt werden kann. Darüber hinaus ist ein schrittweiser Ausbau an die Bedürfnisse des jeweiligen Unternehmens möglich.
Während ein vollständiges BCM in der Regel aus einem Geschäftsfortführungsplan, einem Wiederanlaufplan sowie einem Wiederherstellungsplan besteht, bildet ausschließlich der Geschäftsfortführungsplan die Basis eines Reaktiv-BCMS. Hierin werden beispielsweise Alternativprozesse beschrieben, Ersatzressourcen festgelegt oder der Umfang an Notfallkommunikation definiert. Für die Umsetzung nennt die Broschüre konkret folgende Schritte:
- Vorbereitung: Identifikation und Priorisierung kritischer Geschäftsprozesse (z B. maximal tolerierbare Ausfallzeiten, erforderliche Ressourcen) sowie Definition von Sofortmaßnahmen, Notfall-Infrastrukturen und Verantwortlichkeiten.
- Dokumentation: Verschriftlichung von Prozessen und Verantwortlichkeiten sowie Bereitstellung von Checklisten für die Organisation und jeden einzelnen Geschäftsprozess.
- Übung und Simulation: Testen von relevanten Szenarien (z. B. Back-up-Wiederherstellung, Notstrombedarf, Ausfall einzelner Systeme) unter Einbindung der Beschäftigten.
- Evaluation und Anpassung: Berücksichtigung neuer Risiken, Veränderungen in der Infrastruktur sowie der Ergebnisse aus Übungen und Simulationen.
- Kontinuierliche Verbesserung.
Auch hierauf spezialisierte Dienstleister und standardisierte Lösungen (z. B. Managed Services) können KMU wirksam bei der Umsetzung eines Reaktiv-BCM unterstützen.
Fazit
Kurz gesagt: Ein Business Continuity Management ist für eine Vielzahl von Organisationen essenziell, um auch im Notfall den Geschäftsbetrieb fortführen zu können. Mit verständlichen Empfehlungen und einem schrittweisen Vorgehen lässt sich ein BCM auch ohne großes Expertenteam erfolgreich umsetzen. Wichtig ist, überhaupt anzufangen – denn jeder Schritt in Richtung Notfallvorsorge erhöht auch die Überlebensfähigkeit von kleinen und mittleren Unternehmen im Ernstfall.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
