BCM

Business Continuity Management (BCM): der praxisnahe Leitfaden

Von SecDrills-Redaktion
Business Continuity Management sorgt dafür, dass Ihre Organisation auch im Krisenfall handlungsfähig bleibt. Dieser Leitfaden erklärt die zentralen Begriffe, den BCM-Lebenszyklus, die relevanten Standards – und warum das Testen der Pläne keine Kür ist.

Was ist BCM?

Business Continuity Management (BCM) ist der ganzheitliche Managementprozess, der kritische Geschäftsprozesse identifiziert und absichert, damit sie eine Störung überstehen. Ziel ist nicht, jeden Vorfall zu verhindern, sondern die Handlungsfähigkeit zu erhalten und definierte Wiederanlaufzeiten einzuhalten.

Die wichtigsten Begriffe

BIA (Business Impact Analyse)

Ermittelt die kritischen Prozesse und die Folgen ihres Ausfalls über die Zeit – die Grundlage jeder BCM-Strategie.

RTO (Recovery Time Objective)

Die maximal tolerierbare Zeit bis zur Wiederherstellung eines Prozesses nach einer Störung.

RPO (Recovery Point Objective)

Der maximal tolerierbare Datenverlust, gemessen am Zeitraum vor der Störung.

MTPD / MTA

Die maximal tolerierbare Ausfalldauer, ab der ein Ausfall existenzbedrohend wird.

BCP / Notfallplan

Der Business Continuity Plan beschreibt konkret, wie der Betrieb im Krisenfall aufrechterhalten und wiederangefahren wird.

Zwei Bausteine verdienen besondere Aufmerksamkeit: Die Business Impact Analyse priorisiert Ihre Prozesse, RTO und RPO übersetzen diese Priorität in konkrete Zielzeiten.

Der BCM-Lebenszyklus

BCM ist ein kontinuierlicher Kreislauf (PDCA-Prinzip):

  1. Kontext & Leitlinie: Geltungsbereich, Ziele und Verantwortlichkeiten festlegen.
  2. Analyse: Business Impact Analyse und Risikobewertung durchführen.
  3. Strategie: Maßnahmen zur Aufrechterhaltung und Wiederherstellung wählen.
  4. Umsetzung: Notfall- und Wiederanlaufpläne (BCP) erstellen.
  5. Übung & Test: Pläne regelmäßig erproben – z. B. mit Tabletop-Übungen.
  6. Bewertung & Verbesserung: Erkenntnisse auswerten und den Zyklus erneut durchlaufen.

Standards: ISO 22301 und BSI-Standard 200-4

ISO 22301 ist der internationale Standard für Business-Continuity-Managementsysteme (BCMS) und als einziger BCM-Standard zertifizierbar – Details im Beitrag ISO 22301. In Deutschland liefert der BSI-Standard 200-4 einen detaillierten, stufenweisen Leitfaden für den Aufbau eines BCM. Beide stellen das regelmäßige Üben und Testen der Pläne ausdrücklich als Pflichtbestandteil heraus.

BCM und Compliance

BCM ist auch regulatorisch verankert: NIS2 Art. 21 fordert die Aufrechterhaltung des Betriebs und Krisenmanagement; DORA verlangt Geschäftsfortführungs- und Notfallpläne samt deren Erprobung.

Die unterschätzte Pflicht: testen

Ein Plan, der nie geübt wurde, versagt im Ernstfall. Wie Sie BCM-Pläne effizient und prüffähig erproben, lesen Sie unter BCM testen mit Tabletop-Übung.

Häufige Fragen

Was ist Business Continuity Management?

BCM ist der ganzheitliche Managementprozess, der eine Organisation befähigt, bei Störungen – etwa Cyberangriffen, Ausfällen oder Naturereignissen – kritische Leistungen aufrechtzuerhalten oder schnell wiederherzustellen. Maßgebliche Standards sind ISO 22301 und der BSI-Standard 200-4.

Was ist der Unterschied zwischen RTO und RPO?

Das RTO (Recovery Time Objective) ist die Zielzeit, bis ein Prozess nach einer Störung wieder läuft. Das RPO (Recovery Point Objective) ist der maximal tolerierbare Datenverlust, also wie viel Datenaktualität im Ernstfall verloren gehen darf.

Muss man BCM-Pläne testen?

Ja. ISO 22301 verlangt ein Übungs- und Testprogramm; auch NIS2 und DORA fordern, die Aufrechterhaltung des Betriebs zu erproben. Tabletop-Übungen sind dafür ein effizientes, prüffähiges Mittel.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

BCM-Pläne wirksam erproben

Testen Sie Ihre Notfall- und Wiederanlaufpläne in einer realistischen Tabletop-Übung – mit prüffähigem Nachweis.

Übungsreife-Check starten