Business Continuity Management (BCM)
Managementdisziplin zur Sicherstellung kritischer Geschäftsprozesse bei Störungen. Dieser Eintrag beschreibt die Grundkonzepte RTO, RPO, BCP und DRP. Für die praxisnahe Umsetzung bei Cyberangriffen - inklusive 3-2-1-1-0-Backup-Regel, Ransomware-Szenarien und Tabletop Exercises - siehe den ausführlicheren Eintrag Business Continuity Management (Cyberangriffe).
Business Continuity Management (BCM) - auf Deutsch: Betriebskontinuitätsmanagement - stellt sicher, dass ein Unternehmen auch bei schwerwiegenden Störungen weiter handlungsfähig bleibt. Während sich IT-Disaster-Recovery auf die Wiederherstellung von Systemen konzentriert, denkt BCM größer: Welche Prozesse müssen unbedingt aufrechterhalten werden? Was braucht das Unternehmen minimal um zu überleben?
Kernkonzepte: RTO, RPO, MTPD
RTO - Recovery Time Objective
Wie lange darf ein System oder Prozess ausfallen?
Kritisches System (Online-Shop): RTO = 1 Stunde
Wichtiges System (ERP): RTO = 4 Stunden
Standard-System (interne Docs): RTO = 24 Stunden
Archiv-System: RTO = 72 StundenJe kürzer der RTO, desto teurer die Lösung (Hot Standby vs. Cold Standby).
RPO - Recovery Point Objective
Wie viel Datenverlust ist akzeptabel?
Online-Banking: RPO = 0 (kein Datenverlust akzeptabel, synchrone Replikation)
ERP-System: RPO = 1 Stunde (stündliche Snapshots)
E-Mail-Server: RPO = 4 Stunden (4x täglich Backup)
Reporting-System: RPO = 24 Stunden (tägliches Backup)Beispiel: Ransomware schlägt um 14:00 Uhr zu. Letztes Backup war um 08:00 Uhr. RPO = 6 Stunden, Datenverlust = 6 Stunden Arbeit.
MTPD - Maximum Tolerable Period of Disruption
Wie lange kann das Unternehmen ohne diesen Prozess/System überhaupt existieren? Der MTPD gibt die absolute Obergrenze vor - der RTO muss darunter liegen.
MTPD "Zahlungsabwicklung": 24 Stunden (nach 24h: rechtliche Verpflichtungen verletzt)
MTPD "Produktionssteuerung": 8 Stunden (nach 8h: Fertigungslinie steht)Business Impact Analysis (BIA)
Bevor ein BCP geschrieben werden kann: systematische Analyse welche Prozesse wie kritisch sind.
BIA-Fragebogen (Auszug):
Prozess: "Auftragsbearbeitung"
├── Welche IT-Systeme sind erforderlich? [ERP, CRM, E-Mail]
├── Welche Daten werden verarbeitet? [Kundendaten, Bestellungen]
├── Was kostet 1 Stunde Ausfall? [€ 5.000 entgangene Umsätze]
├── Was kostet 24 Stunden Ausfall? [€ 50.000 + Vertragsstrafen]
├── Gibt es manuelle Alternativen? [Ja, Excel-Listen für 8h]
├── RTO dieses Prozesses: [4 Stunden]
└── RPO dieses Prozesses: [2 Stunden]Business Continuity Plan (BCP)
Der BCP ist das Dokument das alle Notfallmaßnahmen festlegt:
Notfallorganisation
Incident Commander (IC): Gesamtverantwortung, Entscheidungsbefugnis
├── IT Krisenteam: Technische Wiederherstellung
├── Kommunikations-Team: Interne + externe Kommunikation
├── Business-Teams: Manuelle Prozess-Alternativen
└── Legal/Compliance: Regulatorische Meldepflichten (NIS2, DSGVO)Aktivierung des BCPs
Trigger: Ransomware-Angriff erkannt, Systeme verschlüsselt
00:00 - Incident Commander aktiviert BCP
00:15 - IT trennt befallene Systeme vom Netzwerk
00:30 - Krisenteam versammelt sich (virtuell oder physisch)
01:00 - Bewertung: Welche Systeme betroffen? Wie viele?
02:00 - Entscheidung: Recovery aus Backup oder Zahlung? (Niemals zahlen!)
04:00 - Erste Systeme werden aus Backup wiederhergestellt
24:00 - Kritische Systeme wieder betriebsfähig
72:00 - Vollständige WiederherstellungIT Disaster Recovery Plan (DRP)
Der DRP ist der technische Teil des BCP:
1. System-Inventar: Was muss in welcher Reihenfolge wiederhergestellt werden?
Priorität 1: Active Directory, DNS (alles andere hängt davon ab)
Priorität 2: E-Mail, VPN (Kommunikation und Remote-Zugang)
Priorität 3: ERP, Kerngeschäftsprozesse
Priorität 4: Weitere Systeme
2. Backup-Strategie:
- 3-2-1-1-0: 3 Kopien, 2 Medien, 1 Off-site, 1 Offline/Immutable, 0 Fehler
- Getrennte Backup-Infrastruktur (nicht im selben AD wie Produktion!)
- Regelmäßige Restore-Tests (mindestens quartalsweise)
3. Recovery-Prozeduren:
- Schritt-für-Schritt-Anleitungen für jedes System
- Keine Abhängigkeit von kompromittierter Infrastruktur
- Sicherer Kommunikationskanal (z.B. Signal, Teams auf Privatgeräten)Ransomware-Spezifisch: Besonderheiten im BCP
Ransomware stellt besondere Anforderungen an den BCP, weil:
- Backup-Systeme oft mitbetroffen (Angreifer warten bis Backups ebenfalls verschlüsselt)
- Dauer des Angriffs unklar (wurden Systeme Wochen vorher kompromittiert?)
- Vertrauenswürdigkeit der Systeme (kann ich den Backup-Inhalt vertrauen?)
Spezifische Maßnahmen:
- Immutable Backups (unveränderlich, auch für Admins)
- Air-Gapped Backup (physisch getrennt, kein Netzwerkzugang)
- Backup-Zeitraum mindestens 30 Tage (Ransomware kann vor 14 Tagen eingeschleust worden sein)
- “Clean Room Recovery” - Wiederherstellung in frischer, isolierter Umgebung
Compliance
ISO 27001 A.5.29 (Informationssicherheit bei Störungen): BCM als explizite Kontrolle.
ISO 22301: Internationaler Standard speziell für BCM - kann als Ergänzung zu ISO 27001 zertifiziert werden.
BSI IT-Grundschutz DER.4: Notfallmanagement - detaillierte Anforderungen an BCP und DRP.
NIS2 Art. 21 (h): Business Continuity und Krisenmanagement als Pflichtmaßnahme für wesentliche und wichtige Einrichtungen.
DORA (Finanzsektor) Art. 11: Digitale Betriebsstabilität - sehr detaillierte BCM-Anforderungen inklusive regelmäßiger Tests.
