BCM testen: Notfallpläne mit der Tabletop-Übung erproben
Warum müssen BCM-Pläne getestet werden?
Notfallpläne veralten schneller, als sie geschrieben werden: Zuständigkeiten wechseln, Systeme werden abgelöst, Dienstleister kommen hinzu, und die Annahmen der Business Impact Analyse verschieben sich. Erst die Übung zeigt, ob die RTO- und RPO-Vorgaben realistisch sind, ob die Eskalation funktioniert und ob alle Beteiligten ihre Rolle kennen. Ungeübte Pläne scheitern im Ernstfall typischerweise nicht an der Technik, sondern an Erreichbarkeiten, unklaren Entscheidungswegen und improvisierter Kommunikation – alles Dinge, die eine Übung in 90 Minuten sichtbar macht.
Was verlangen ISO 22301, NIS2 und DORA?
- ISO 22301 fordert ein Übungs- und Testprogramm (Abschnitt 8.5): Pläne sind in geplanten Abständen zu erproben, die Ergebnisse zu dokumentieren und Verbesserungen abzuleiten – konsistent mit den Zielen der Business-Continuity-Strategie.
- NIS2 verlangt die Aufrechterhaltung des Betriebs samt Krisenmanagement und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen (Art. 21 Abs. 2 lit. c und f) – national umgesetzt in § 30 Abs. 2 BSIG bzw. § 32 Abs. 4 NISG 2026.
- DORA schreibt Finanzunternehmen vor, IKT-Geschäftsfortführungspläne sowie Reaktions- und Wiederherstellungspläne mindestens jährlich zu testen (Art. 11 Abs. 6).
- Der BSI-Standard 200-4 beschreibt Übungen als festen Bestandteil des BCMS-Lebenszyklus – vom Planbriefing bis zur Vollübung.
Das Testen ist also keine Kür, sondern normierte und teils gesetzliche Pflicht.
Welche Übungsarten gibt es?
| Übungsart | Was passiert | Aufwand | Wofür geeignet |
|---|---|---|---|
| Plan-Walkthrough | gemeinsames Durchgehen des Plans am Tisch | sehr gering | Einlesen neuer Teams, erste Plausibilisierung |
| Tabletop-Übung | diskussionsbasiertes Durchspielen eines Szenarios in realen Rollen | gering | Regeltakt: Entscheidungen, Meldekette, Zusammenarbeit |
| Simulation | realitätsnahe Übung mit teilweise echten Abläufen und Systemen | mittel | Vertiefung einzelner Prozesse (z. B. Wiederanlauf) |
| Ernstfallübung (full-scale) | vollständige Aktivierung inkl. Ausweichbetrieb | hoch | seltene Gesamtvalidierung reifer BCM-Programme |
Die Tabletop-Übung bietet für die meisten Organisationen den besten Aufwand-Nutzen-Schnitt: Sie ist in 60–90 Minuten durchführbar, braucht keine Systemeingriffe und testet trotzdem die kritischen Faktoren – Entscheidungen, Meldewege und Zusammenarbeit. Ideal ist ein gestuftes Programm: Tabletop als Regeltakt, punktuell vertieft durch Simulationen.
Wie läuft eine BCM-Tabletop-Übung ab?
- Kritisches Szenario wählen – z. B. Ransomware mit Produktionsausfall oder Ausfall des zentralen Rechenzentrums.
- Team in realen Rollen aufstellen (Krisenstab, IT, Fachbereiche, Kommunikation).
- Szenario über Injects entwickeln – Entscheidungen unter Zeitdruck treffen.
- Reaktion, Wiederanlauf-Reihenfolge und Kommunikation gegen die Plan-Vorgaben (RTO/RPO, Eskalationsstufen) prüfen.
- After-Action-Report mit Lessons Learned und terminierten Maßnahmen erzeugen.
Woran scheitern BCM-Übungen in der Praxis?
- Es übt nur die IT: Der Wiederanlauf betrifft Fachbereiche, Einkauf und Kommunikation – fehlen sie, bleibt der Plan ungetestet.
- Das Szenario schont die Schwachstellen: Wer nur das übt, was sicher funktioniert, erzeugt Scheinsicherheit.
- Keine Konsequenzen: Erkenntnisse ohne Maßnahmen, Verantwortliche und Termine verpuffen bis zur nächsten Übung.
- Keine Dokumentation: Ohne belastbaren Nachweis zählt die beste Übung im Audit nicht.
Der Nachweis fürs Audit
Jede Übung mit SecDrills endet mit einem dokumentierten After-Action-Report: Szenario, Teilnehmer, Entscheidungen mit Zeitstempeln, Abweichungen vom Plan und der Maßnahmenplan. Das ist genau der Beleg, den Auditoren für ISO 22301, NIS2 und DORA erwarten – und zugleich die Grundlage, um den Reifegrad über wiederholte Übungen messbar zu steigern. Mehr Kontext im BCM-Leitfaden.
Häufige Fragen
Wie oft muss ein BCM-Plan getestet werden?
ISO 22301 verlangt Übungen in geplanten Abständen ohne feste Frequenz – etabliert hat sich mindestens eine jährliche Übung je kritischem Prozess plus anlassbezogene Tests nach wesentlichen Änderungen. DORA schreibt für Finanzunternehmen die mindestens jährliche Erprobung der Geschäftsfortführungs- und Wiederherstellungspläne ausdrücklich vor (Art. 11 Abs. 6).
Was wird bei einer BCM-Tabletop-Übung konkret getestet?
Nicht die Technik, sondern die Organisation: Greifen Alarmierung und Eskalation? Sind die in der BIA festgelegten RTO- und RPO-Werte realistisch? Kennen Krisenstab und Fachbereiche ihre Rollen? Funktioniert die Kommunikation nach innen und außen? Die Übung vergleicht den Plan mit dem tatsächlichen Verhalten des Teams.
Reicht eine Tabletop-Übung als Nachweis für das Audit?
Für den Nachweis des Übungs- und Testprogramms ja – wenn sie dokumentiert ist: Szenario, Teilnehmer, Entscheidungen, Abweichungen und Maßnahmen. Auditoren erwarten genau diese Kette aus Übung, Auswertung und nachverfolgten Verbesserungen; ein After-Action-Report liefert sie in prüffähiger Form.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.