pds-it
['Blogbeitrag','nein']
IT-Security
Blog
IT-Grundschutz (BSI)

Was ist Business Continuity Management (BCM)?

Benjamin Koehler
Veröffentlicht am
21.4.2026

Inhalte

    Business Continuity Management (BCM): Widerstandsfähige Prozesse im Unternehmen aufbauen

    Business Continuity Management (BCM) sorgt dafür, dass dein Unternehmen auch bei schweren Störungen handlungsfähig bleibt und kritische Geschäftsprozesse kontrolliert fortführen kann. In diesem Beitrag lernst du, wie BCM funktioniert, welche Maßnahmen ein belastbares Business Continuity Management System (BCMS) braucht und wie du typische Schwachstellen systematisch vermeidest. So verstehst du, wie du Ausfallzeiten senkst, Risiken beherrschst und die Resilienz deiner Organisation stärkst.

    Business Continuity Management: Das Wichtigste in Kürze

    • BCM sichert die Fortführung kritischer Geschäftsprozesse: Business Continuity Management schafft Strukturen, Pläne und Verantwortlichkeiten, damit dein Unternehmen auch bei Störungen arbeitsfähig bleibt.
    • Die Business-Impact-Analysis ist der Ausgangspunkt: Erst wenn kritische Prozesse, Abhängigkeiten und tolerierbare Ausfallzeiten klar sind, lassen sich sinnvolle Recovery-Ziele und Maßnahmen definieren.
    • Ein wirksames BCMS muss mehrere Szenarien abdecken: Cyberangriffe, Cloud-Ausfälle, Lieferkettenstörungen, Personalausfälle und Standortprobleme müssen in Notfallplänen und Wiederanlaufplänen berücksichtigt werden.
    • Standards und Governance machen BCM belastbar: Der BSI-Standard 200-4, ISO-orientierte BCMS-Logik und klare Führungsverantwortung sorgen dafür, dass BCM nicht als Einzelmaßnahme, sondern als System funktioniert.
    • Übungen und Tests entscheiden über die Wirksamkeit: Notfallpläne sind erst dann robust, wenn sie regelmäßig geprüft, weiterentwickelt und unter realistischen Bedingungen getestet werden.

    Was ist Business Continuity Management?

    Business Continuity Management (BCM) bezeichnet den systematischen Aufbau von Strukturen, Prozessen und Maßnahmen, mit denen Organisationen kritische Geschäftsprozesse auch bei Störungen auf einem definierten Niveau fortführen oder in angemessener Zeit wiederherstellen können. Ziel ist es, die betriebliche Kontinuität trotz Vorfällen, Ausfällen oder Krisen sicherzustellen und die Auswirkungen auf Betrieb, Organisation und Geschäftsprozesse beherrschbar zu halten. In der Praxis wird BCM als Business Continuity Management System (BCMS) umgesetzt. Dieses BCMS bündelt Regeln, Rollen, Methoden und Pläne, damit kritische Geschäftsprozesse im Notfall fortgeführt werden können.

    • Organisationsweite Ausrichtung: BCM geht deutlich über reines IT-Notfallmanagement hinaus. Im Verständnis des Bundesamts für Sicherheit in der Informationstechnik (BSI) umfasst es auch Krisenmanagement, Notfallkommunikation und die Absicherung zentraler Prozesse. Genau das macht Business Continuity Management zu einer Disziplin für die gesamte Organisation und nicht nur für die IT.
    • Aktuelle Bedrohungslage: Die Relevanz steigt, weil Unternehmen heute mit einem verdichteten Bedrohungsmix arbeiten. Cybervorfälle, Betriebsausfälle und Störungen bei Dienstleistern wirken oft gleichzeitig und erzeugen Kaskadeneffekte. BCM schafft dafür ein System, das Risiken nicht nur dokumentiert, sondern die Fortführung des Betriebs aktiv absichert.
    • Regulatorische Verankerung: Hinzu kommen klare regulatorische Anforderungen. NIS2 nennt Business Continuity ausdrücklich als Bestandteil von Risk-Management-Maßnahmen und fordert unter anderem Backup-Management, Disaster-Recovery und Krisenmanagement. Für den Finanzsektor verlangt der Digital Operational Resilience Act (DORA) zusätzlich eine umfassende ICT-Business-Continuity-Policy, eine Business-Impact-Analysis, regelmäßige Tests und eine definierte Krisenmanagement-Funktion.

    Kritische Geschäftsprozesse priorisieren

    Business Continuity Management wird dann wirksam, wenn du zuerst die kritischen Geschäftsprozesse priorisierst und danach die passenden Maßnahmen ableitest. Der Ausgangspunkt dafür ist die Business-Impact-Analysis (BIA). Sie zeigt, welche Ausfälle das Business tatsächlich treffen und welche Recovery-Ziele, Wiederanlaufpläne und Maßnahmen daraus folgen müssen.

    In der Praxis erfasst die BIA Prozesse, Ressourcen, Abhängigkeiten und tolerierbare Ausfallzeiten, bevor Notfallpläne entstehen. Dazu gehören IT, Standorte, Menschen und Drittparteien. So entstehen belastbare Vorgaben für Mindestbetriebsniveaus, Wiederherstellung und Fortführung.

    Entscheidend ist die richtige Priorisierung. Kritisch ist nicht, was intern besonders laut vertreten wird oder politisch wichtig wirkt. Kritisch ist, was bei einem Ausfall den Betrieb, die Kontinuität und zentrale Geschäftsprozesse konkret gefährdet.

    Auch regulatorisch ist diese Logik fest verankert. DORA beschreibt die BIA ausdrücklich als Teil der gesamten Business-Continuity-Policy. Daraus folgen unter anderem die Ausrichtung von ICT-Assets und Services an der BIA sowie die Redundanz kritischer Komponenten.

    Damit wird klar, worauf ein widerstandsfähiges BCM aufbaut. Recovery-Ziele wie Wiederanlaufzeiten und Datenverlusttoleranzen dürfen nicht aus technischem Komfort entstehen. Sie müssen sich aus dem tatsächlichen Business-Impact ableiten.

    Welche Szenarien BCM abdecken muss

    Ein wirksames BCMS darf nicht auf ein einzelnes Ereignis zugeschnitten sein. Es muss unterschiedliche Störungen so abbilden, dass Notfallpläne und Wiederanlaufpläne in jedem relevanten Szenario greifen. Genau deshalb folgt Business Continuity Management einem All-Hazards-Ansatz.

    • Breite Szenarioabdeckung: BCM muss Cyberangriffe, System- und Cloud-Ausfälle, Standortausfälle, Lieferkettenstörungen, Personalausfälle und physische Ereignisse gleichermaßen berücksichtigen. Entscheidend ist nicht die Ursache, sondern die Fähigkeit der Organisation, den Kernbetrieb kontrolliert fortzuführen.
    • Cyberangriffe als Belastungstest: Besonders sichtbar wird das bei Cybervorfällen. Ransomware, DDoS und andere Angriffe können technische Störungen sehr schnell in operative Ausfälle überführen. Deshalb muss Business Continuity Management immer auch Recovery, Kommunikation und die Fortführung kritischer Prozesse unter realen Störungsbedingungen absichern.
    • Mindestinhalte belastbarer Pläne: Ein belastbarer Plan braucht einen klaren Zweck und Scope, definierte Rollen, interne und externe Kommunikationskanäle, Kriterien für Aktivierung und Deaktivierung, die Reihenfolge der Wiederherstellung, Recovery-Ziele sowie Ressourcen wie Backups und Redundanzen. NIS2 verstärkt diese Anforderungen, indem Business Continuity inklusive Backup-Management, Disaster-Recovery und Krisenmanagement als Mindestmaßnahme genannt wird.
    • Nachweisbare Wiederherstellung: Ein durchdachter BCM-Baukasten braucht saubere Backup- und Wiederherstellungsprozesse. DORA fordert dafür Backup-Policies, Restoration- und Recovery-Methoden sowie regelmäßige Tests der Backup- und Wiederherstellungsprozeduren. Ein vorhandenes Backup reicht also nicht aus, wenn die Wiederherstellung im Ernstfall nicht nachweisbar funktioniert.

    Typische Schwachstellen im BCM

    Die häufigsten Schwachstellen im BCM zeigen sich in mehreren Bereichen. Entweder ist die Priorisierung unklar, die Planung unvollständig oder die Umsetzung im Ernstfall nicht tragfähig genug. Dann entstehen Lücken zwischen Plan und Realität, die im Ernstfall direkt zu längeren Ausfallzeiten führen.

    • Unklare Verantwortungen: Ohne definierte Verantwortung bleiben Entscheidungen im Incident stecken. Die Lösung ist eine fest definierte Krisen- und Notfallorganisation mit Eskalation, Rollen und Kommunikationswegen.
    • Unrealistische Wiederanlaufziele: Wenn RTO und RPO, also Wiederanlaufzeit und zulässiger Datenverlust, nur als Wunsch formuliert werden, scheitert Recovery im Ernstfall. Sinnvoll ist eine BIA-basierte Zieldefinition mit technischem Machbarkeitsabgleich und priorisierter Umsetzung.
    • Übersehene Abhängigkeiten: Lieferanten, Cloud-Dienste, standortübergreifende Netzwerke (WAN), digitale Identitäten und Zugriffssteuerung sowie Personal werden oft zu spät berücksichtigt. Entscheidend ist ein verbindliches Abhängigkeitsmapping als Teil der BIA und eine Szenario-Planung inklusive Drittparteien.
    • Ungeübte Wiederherstellung: Backups sind vorhanden, aber Restore oder Switchover wurden nie realistisch getestet. Dafür braucht es getestete Restore-Prozeduren, redundante Kapazitäten und explizite Cyber-Szenarien.
    • Fehlende Alternativen: Ausgelagerte Prozesse hängen an einzelnen Providern oder kritischen Zulieferern. Abhilfe schafft eine Kapazitäts- und Wiederanlaufplanung mit operativ und vertraglich abgesicherten Alternativen.

    Damit greifen Notfallpläne, Security und Recovery als gemeinsames Betriebsmodell ineinander. Sicherung, Wiederanlauf, Kommunikation und Nachweisführung werden nicht getrennt betrachtet, sondern als verbundene Prozesse aufgebaut. Genau so entsteht ein Business Continuity Management, das im Ernstfall funktioniert.

    Standards und Governance im Unternehmen

    Ein Business Continuity Management System skaliert nur, wenn Standards und Governance den Rahmen für Aufbau, Betrieb und Verbesserung klar vorgeben. Dafür greifen im Unternehmen vor allem zwei Bezugssysteme zusammen: die ISO-orientierte BCMS-Logik und der BSI-Standard 200-4. Beide verfolgen dasselbe Ziel, nämlich die Fortführung kritischer Geschäftsprozesse auf einem definierten Mindestniveau sicherzustellen.

    • Standards als Ordnungsrahmen: Die ISO-orientierte BCMS-Logik schafft einen normativen Rahmen für das Management von Kontinuität. Der BSI-Standard 200-4 ergänzt diese Logik um eine praxisnahe Umsetzung im Unternehmen und adressiert dabei sowohl Einsteiger als auch erfahrene Anwender. So entsteht ein System, das methodisch sauber aufgebaut ist und sich zugleich operativ anwenden lässt.
    • Stufenmodell für die Umsetzung: Der BSI-Standard 200-4 arbeitet mit einem stufenbasierten Vorgehen, das Ressourcen in der Umsetzung schont. Unternehmen können zuerst die überlebensnotwendigen Prozesse absichern und das BCMS danach systematisch erweitern, bis Methodik und Umfang vollständig sind. Gleichzeitig folgt das Modell dem PDCA-Zyklus aus Plan, Do, Check und Act und verankert Kontinuität damit als kontinuierliche Verbesserung im Management.
    • Schnittstellen zu anderen Disziplinen: BCM funktioniert nicht isoliert, sondern über klare Verbindungen zu Informationssicherheit, ISMS, IT-Service-Continuity, Outsourcing-Steuerung und Krisenmanagement. Diese Verzahnung reduziert Ausfallzeiten, weil Analysen, Maßnahmen und Zuständigkeiten nicht doppelt aufgebaut werden müssen. Security, Continuity und Recovery wirken dadurch als einheitliches System und nicht als getrennte Einzellösungen.
    • Governance als Führungsaufgabe: Governance ist keine optionale Ergänzung, sondern Teil der Pflichtenlage. NIS2 verlangt, dass Leitungsorgane Maßnahmen billigen, ihre Umsetzung überwachen und Führungskräfte-Trainings verankern. Ergänzend wird in der Praxis häufig ein BCM- oder BC-Beauftragter benannt, damit Ownership, Methodik und Fortschritt in der Organisation klar abgesichert sind.

    BCM kontinuierlich testen und verbessern

    Business Continuity Management scheitert selten am ersten Plan, sondern meist am fehlenden Nachweis seiner Wirksamkeit. Entscheidend ist nicht, ob Notfallpläne und Wiederanlaufpläne dokumentiert sind, sondern ob sie unter realistischem Stress funktionieren.

    • Tests als Pflichtbestandteil: DORA verlangt mindestens jährliche Tests von ICT-Business-Continuity-Plänen sowie Response- und Recovery-Plänen. Hinzu kommen regelmäßige Reviews der Policy und der Pläne unter Einbezug von Testergebnissen und Audits. Übungen sind damit kein informeller Zusatz, sondern ein messbarer Teil der Governance.
    • Struktur statt Zufall: Die Methodik der Europäischen Agentur für Cybersicherheit (ENISA), gliedert Übungen in die Phasen Initiation und Design, Preparation, Execution, Evaluation und Moving Forward. Gemeint ist ein durchgängiger Ablauf von der Planung über die Durchführung bis zur Auswertung und Weiterentwicklung. Genau diese Struktur macht Übungen im BCM wirksam, weil Erkenntnisse direkt in konkrete Maßnahmen und Verbesserungen überführt werden.
    • Praxisbezug im Ernstfall: Ein wirksamer Übungsansatz verknüpft Übungen direkt mit Prozessen, Rollen, Notfallkommunikation und technischen Failover-Optionen, also geplanten Umschaltungen auf Ausweichsysteme. So wird nicht nur ein Plan besprochen, sondern die tatsächliche Reaktions- und Wiederherstellungsfähigkeit der Organisation geprüft. Erst dadurch zeigt sich, ob das BCMS im Ernstfall wirksam ist.

    In der Praxis zeigen sich dabei vor allem drei wiederkehrende Schwachstellen. Sie betreffen nicht die Idee des BCM, sondern die Qualität der laufenden Umsetzung. Genau deshalb müssen Tests und Reviews immer auch auf Pflege, Tiefe und Verbindlichkeit zielen.

    • Veraltete Pläne: Neue Systeme, neue Anbieter und neue Abhängigkeiten werden oft nicht sauber nachgeführt. Die Lösung ist ein verbindlicher Änderungsprozess für Pläne in Kombination mit regelmäßigen Review-Zyklen.
    • Zu oberflächliche Tests: Reine Tabletop-Übungen ohne technische Wiederherstellung erzeugen Scheinsicherheit. Die Lösung sind szenariobasierte Tests mit Switchover auf redundante Kapazitäten und validierten Restore-Prozeduren.
    • Versandete Erkenntnisse: Ohne dokumentierte Auswertung wiederholen sich dieselben Schwächen im nächsten Vorfall. Abhilfe schafft ein formales Evaluations- und Action-Management, das Findings in konkrete Maßnahmen, Verantwortlichkeiten und Termine übersetzt.

    Ein krisenfestes Business Continuity Management ist deshalb nie einfach fertig. Es bleibt als BCM-System lebendig und wird über Übungen, Reviews und Verbesserungen kontinuierlich weiterentwickelt. Genau so sinken Ausfallzeiten, während Resilienz, Sicherheit und Fortführungsfähigkeit im Unternehmen spürbar steigen.

    Damit wird BCM zu einem operativen Sicherheitsnetz, das nicht nur beschrieben, sondern geprüft, auditiert und im Incident tatsächlich nutzbar ist.

    BCM-Weiterbildung und vertiefende Inhalte

    Wenn du Business Continuity Management nicht nur verstehen, sondern im Unternehmen wirksam umsetzen willst, brauchst du methodische Sicherheit in der Praxis. Mit unserem BCM-Praktiker (BSI) Zertifikatslehrgang vertiefst du die Grundlagen des BCM und arbeitest praxisnah mit den Methoden des BSI-Standards 200-4. So baust du ein belastbares BCMS auf, entwickelst wirksame Notfallpläne und stärkst die Resilienz deiner Organisation gezielt.

    [PRODUCT][1]

    Für angrenzende Themen lohnt sich außerdem der Blick in unsere weiterführenden Blogbeiträge zu Informationssicherheit, IT-Grundschutz, Cybersecurity  und Cloud Security. Sie zeigen dir, wie du Sicherheitsanforderungen, Schutzmaßnahmen, Abhängigkeiten und operative Prozesse im größeren Kontext einordnest und mit Business Continuity Management sinnvoll verzahnst.

    Autor
    Benjamin Koehler
    Benjamin Koehler ist Produktmanager bei der Haufe Akademie und Experte für IT-Kompetenz. Er gestaltet innovative Lernangebote für die Herausforderungen der digitalen Welt – mit besonderem Fokus auf zukunftsrelevante IT-Skills, darunter IT Security, Cyber Resilience und der sichere Umgang mit digitalen Technologien.
    skill it Logo
    where tech professionals grow
    AGB
    Impressum
    Datenschutz
    Cookie-Einstellungen