Business Impact Analyse (BIA): Ablauf, Kennzahlen und Vorlage
Was ist eine Business Impact Analyse?
Die Business Impact Analyse (BIA) ist die systematische Untersuchung, welche Geschäftsprozesse für eine Organisation kritisch sind und welche Folgen ihr Ausfall über die Zeit hat. Sie beantwortet nicht die Frage, warum etwas ausfällt (das ist Aufgabe der Risikoanalyse), sondern wie schwer ein Ausfall wiegt und wie schnell der Prozess zurück sein muss. Damit ist die BIA das Fundament jeder BCM-Strategie: Aus ihr werden Wiederanlaufprioritäten und die zentralen Zielkennzahlen abgeleitet. Sowohl die ISO 22301 als auch die NIST SP 800-34 stellen die BIA als verpflichtenden ersten Analyseschritt an den Anfang des BCM-Prozesses.
Welches Ziel verfolgt die BIA?
Ziel der BIA ist eine faktenbasierte Priorisierung: Nicht jeder Prozess ist gleich wichtig, und Ressourcen im Krisenfall sind knapp. Die BIA zeigt, welche Prozesse zuerst wiederhergestellt werden müssen, welche Abhängigkeiten (IT-Systeme, Personal, Dienstleister, Standorte) daran hängen und ab wann ein Ausfall existenzbedrohend wird. So wird aus einem diffusen „alles ist wichtig" eine belastbare Reihenfolge.
Wie läuft eine BIA ab?
Eine BIA folgt typischerweise sechs Schritten:
- Geltungsbereich festlegen: Welche Prozesse, Standorte und Ressourcen werden betrachtet? Abgrenzung zur Risikoanalyse klären.
- Prozesse erheben: Geschäftsprozesse und ihre Abhängigkeiten (IT, Personal, Dienstleister, Standorte) aufnehmen.
- Schadensverlauf bewerten: Für jeden Prozess: Wie wächst der Schaden über die Zeit (Stunden, Tage, Wochen)? Finanziell, rechtlich, Reputation.
- Kritikalität & MTPD bestimmen: Ab welcher Ausfalldauer wird es untragbar? Priorisierung der Prozesse.
- RTO und RPO ableiten: Zielzeiten für Wiederanlauf und maximal tolerierbaren Datenverlust je Prozess festlegen.
- Ergebnisse dokumentieren & freigeben: BIA-Bericht erstellen, mit der Leitung abstimmen und als Grundlage der BCM-Strategie freigeben.
Welche Kennzahlen liefert die BIA?
Das zentrale Ergebnis der BIA sind die Wiederanlauf-Kennzahlen. Sie übersetzen die Kritikalität eines Prozesses in konkrete Zeitvorgaben:
| Kennzahl | Bedeutung |
|---|---|
| MTPD | Maximum Tolerable Period of Disruption – die maximal tolerierbare Ausfalldauer, ab der der Schaden existenzbedrohend wird. |
| RTO | Recovery Time Objective – die Zielzeit, bis ein Prozess nach der Störung wieder läuft (muss unter dem MTPD liegen). |
| RPO | Recovery Point Objective – der maximal tolerierbare Datenverlust, gemessen als Zeitraum vor der Störung. |
| MBCO | Minimum Business Continuity Objective – das Mindestleistungsniveau, das im Notbetrieb aufrechterhalten werden muss. |
RTO und RPO sind die beiden wichtigsten dieser Werte – wie sie sich unterscheiden und berechnen lassen, erklären wir im Detail unter RTO und RPO.
BIA und Risikoanalyse – zwei Perspektiven
BIA und Risikoanalyse werden oft verwechselt, betrachten aber Unterschiedliches: Die BIA ist wirkungsorientiert (Was passiert, wenn Prozess X ausfällt?), die Risikoanalyse ursachenorientiert (Wie wahrscheinlich ist welche Bedrohung?). Erst zusammen ergeben sie ein vollständiges Bild: Die BIA priorisiert, die Risikoanalyse hilft, gezielt vorzubeugen.
Die BIA als Compliance-Baustein
Die BIA ist nicht nur gute Praxis, sondern regulatorisch verankert: NIS2 Art. 21 fordert die Aufrechterhaltung des Betriebs, DORA verlangt die Analyse geschäftskritischer Funktionen, und der BSI-Standard 200-4 beschreibt die BIA als Kernschritt des BCM. Wer die BIA sauber durchführt, legt damit zugleich den Nachweis für mehrere Compliance-Anforderungen.
Häufige Fragen
Was ist eine Business Impact Analyse?
Die Business Impact Analyse (BIA) ist die strukturierte Untersuchung, welche Geschäftsprozesse kritisch sind und welche Folgen ihr Ausfall über die Zeit hat. Sie liefert die Kennzahlen MTPD, RTO und RPO und bildet die Grundlage jeder BCM-Strategie.
Was ist der Unterschied zwischen BIA und Risikoanalyse?
Die BIA fragt nach den Folgen eines Ausfalls (wie kritisch ist der Prozess, wie schnell muss er zurück?), unabhängig von der Ursache. Die Risikoanalyse fragt nach Eintrittswahrscheinlichkeit und Ursachen konkreter Bedrohungen. Beide ergänzen sich im BCM.
Wie oft muss die BIA aktualisiert werden?
Mindestens jährlich sowie bei wesentlichen Änderungen an Prozessen, IT oder Organisation. Nur eine aktuelle BIA liefert belastbare RTO/RPO-Werte für die Notfallplanung.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.