Definition von Geschäftskontinuität
Geschäftskontinuität bezeichnet die vorausschauende Planung und Vorbereitung, die erforderlich ist, damit eine Organisation ihre wesentlichen Betriebsabläufe auch bei einer Katastrophe, einem Notfall oder einem anderen unerwarteten Ereignis mit erheblichen Störungen aufrechterhalten kann. Die Planung und Vorbereitung der Geschäftskontinuität umfasst alle Personen, Prozesse, Technologien sowie unterstützende Rahmenwerke.
Der Umfang der Geschäftskontinuitätsplanung umfasst nicht nur interne Funktionen, sondern auch die von Partnern und anderen Dienstleistern. Eine wirksame Geschäftskontinuität ist ein fortlaufender Prozess, bei dem Pläne kontinuierlich weiterentwickelt und angepasst werden, um dynamische Umgebungen angemessen zu berücksichtigen.
Ziel der Geschäftskontinuitätsplanung ist es, proaktive Maßnahmen zu etablieren, die eine optimale organisatorische Resilienz ermöglichen. Über Wiederherstellungsstrategien und Pläne zur schnellstmöglichen Wiederaufnahme des Betriebs hinaus umfasst Geschäftskontinuität auch Elemente des Risikomanagements.
Die Risikobewertung und Planung der Geschäftskontinuität umfasst die Bewertung potenzieller Verluste und der daraus resultierenden Auswirkungen. Auf dieser Grundlage werden Wiederherstellungsansätze und Prioritäten festgelegt.
Die Geschäftskontinuität definiert Anforderungen und erstellt Pläne für verschiedene Bereiche, darunter:
- Wie mit Kunden, Lieferanten und anderen Dritten kommuniziert wird – einschließlich der Informationen, die diese benötigen
- Wie Produkte und Services für Kunden bereitgestellt werden
- Rollen und Verantwortlichkeiten der Teams, die die Wiederherstellungsmaßnahmen leiten
- Reihenfolge und Zeitplanung der Wiederherstellungsaktivitäten zur Wiederaufnahme des Betriebs – unter Berücksichtigung von Prozessabhängigkeiten und Dokumentation
- Wie Mitarbeitende bei unterschiedlichen Notfällen unterstützt werden
- Welche Technologien zur Unterstützung der Wiederherstellung verfügbar sein müssen und wie darauf zugegriffen wird
- Wo ein Interimsbetrieb eingerichtet wird, falls primäre Standorte nicht verfügbar sind
| Business continuity triggers at a glance |
|---|
| Beispiele für Ereignisse, die die Aktivierung eines Geschäftskontinuitätsplans auslösen können, sind: - Cyberangriffe - Datenschutzverletzungen - Ausfälle von Geräten - Brände - Gesundheitsnotfälle und Pandemien - Rechtliche Probleme - Naturkatastrophen - Stromausfälle - Probleme bei der Einhaltung regulatorischer Vorgaben - Plötzliche Abgänge von Mitarbeitenden - Störungen in der Lieferkette - Terrorismus |
Warum Geschäftskontinuität wichtig ist
Geschäftskontinuität ist für alle Organisationen entscheidend, die nach einer gravierenden Betriebsunterbrechung mit möglichst geringen Verlusten und hoher Wahrscheinlichkeit handlungsfähig bleiben wollen. Vorausschauende Unternehmen priorisieren Geschäftskontinuität, weil sie wissen: Sie kann den Ausschlag geben – ob der Betrieb eingestellt werden muss oder ob sich der Geschäftsbetrieb wieder aufnehmen lässt.
Eine Strategie und ein Plan für Geschäftskontinuität, die bereits vor einem Notfall etabliert sind, bewirken außerdem:
- Sichert Wettbewerbsvorteile
- Erhält Beziehungen zu Kunden, Mitarbeitenden, Drittpartnern und Lieferanten
- Schützt vor rechtlichen Risiken und regulatorischen Compliance-Verstößen
- Spart Organisationen wertvolle Zeit und Kosten
Was umfasst Geschäftskontinuität?
Geschäftskontinuität ist je nach Organisation unterschiedlich ausgestaltet, umfasst jedoch drei zentrale Grundprinzipien:
Geschäftskontinuität umfasst proaktive Maßnahmen, mit denen sich Organisationen auf ein unerwartetes, einschneidendes Ereignis vorbereiten – zum Beispiel:
- Klare, umfassende Richtlinien
- Definierte Stufen für die Umsetzung eines Geschäftskontinuitätsplans
- Kollaborative, transparente Prozesse
- Festlegung, wann der Geschäftskontinuitätsplan umgesetzt werden soll
- Konkrete Maßnahmen, die eine Organisation ergreifen muss, um den Betrieb aufrechtzuerhalten oder wiederaufzunehmen – einschließlich spezifischer Schritte für den Umgang mit potenziellen Vorfällen (d. h. Situationen, die plausibel eintreten können, z. B. ein Erdbeben in Kalifornien oder ein Tornado in Texas)
- Festlegung, wer zu kontaktieren ist – inklusive Kontaktdaten
- Definition von Reaktionsstufen (z. B. von niedriger Priorität bis geschäftskritisch)
- Priorisierung von Bereichen und Zuordnung einer Reaktionsstufe
- Festlegung erwarteter Recovery Time Objectives und Recovery Point Objectives
- Planentwicklung unter Aufsicht der Unternehmensleitung
- Einbindung von Beiträgen aus Gruppen im gesamten Unternehmen
- Umsetzung des Geschäftskontinuitätsplans durch ein fest definiertes Team mit fachlichen Verantwortlichen für unterschiedliche Bereiche (z. B. IT, Kommunikation und Vertrieb)
Ein sorgfältig durchdachter Geschäftskontinuitätsplan, der für jeden der drei Kernpfeiler (d. h. Notfallplanung, Wiederherstellung und Resilienz) detaillierte Maßnahmen enthält, beschleunigt die Wiederherstellung und minimiert Schäden sowie Kosten.
Fehlen konkrete Maßnahmen, führt das zu längeren Ausfallzeiten – mit entsprechenden negativen Folgen.
Was ist Geschäftskontinuitätsmanagement?
Geschäftskontinuitätsmanagement umfasst die Steuerung und Überwachung der Umsetzung von Planung und Reaktion. Dazu gehören:
- Entwicklung eines Plans, der diese Priorisierung abbildet
- Sicherstellung, dass die kritischsten Funktionen einer Organisation trotz eines Vorfalls aufrechterhalten werden
- Priorisierung unterschiedlicher Geschäftsfunktionen nach ihrer Bedeutung in einem Bericht zur Business-Impact-Analyse
Als übergeordneter Begriff integriert Geschäftskontinuitätsmanagement mehrere Kategorien der Incident Response, darunter:
- Krisenkommunikation
- Krisenmanagement
- Notfallwiederherstellung
- Notfallreaktion
Was ist ein Geschäftskontinuitätsplan?
Ein Geschäftskontinuitätsplan ist die dokumentierte Grundlage, um auf ein unerwartetes, störendes Ereignis zu reagieren. Die Dokumentation gibt konkrete Vorgaben und Handlungsanweisungen dazu, was nach dem Eintritt eines Vorfalls zu tun ist. So wird sichergestellt, dass die Organisation mit möglichst geringer Unterbrechung weiterarbeiten und in einer Krise die Mindestanforderungen an die Serviceerbringung erfüllen kann.
| A commonly used business continuity framework |
|---|
| Der Rahmen „ISO 22301:2019 Security and Resilience — Business Continuity Management Systems — Requirements“ wird häufig für die rechtliche und regulatorische Zertifizierung von Geschäftskontinuitätssystemen genutzt. Die Empfehlungen der ISO 22301 sind bewusst generisch formuliert, damit sie unabhängig von Art, Größe und Ausprägung einer Organisation anwendbar sind. Wie die Empfehlungen umgesetzt werden, richtet sich nach der Komplexität der betrieblichen Abläufe. Nach ISO 22301 ist ein Geschäftskontinuitätsplan definiert als „dokumentierte Verfahren, die Organisationen dabei anleiten, die vier R’s abzuschließen: Respond, Recover, Resume und Restore – bis zu einem vorab definierten Betriebsniveau nach einer Störung“. |
Vorteile der Geschäftskontinuitätsplanung
Nutzen und Ergebnisse der Geschäftskontinuitätsplanung werden maßgeblich davon bestimmt, wie viele Ressourcen in den Plan einfließen – dazu zählen Personal, Budget, Zeit und Systeme.
Mit den passenden Investitionen lassen sich durch die Planung der Geschäftskontinuität unter anderem folgende Vorteile realisieren – von allgemeinen organisatorischen Verbesserungen bis hin zu konkreten Vorteilen für Incident Response sowie Wiederherstellung und Recovery.
Allgemeine organisatorische Vorteile
Erfüllt gesetzliche und regulatorische Compliance-Anforderungen
Geschäftskontinuitätspläne unterstützen Organisationen dabei, ihre gesetzlichen und regulatorischen Verpflichtungen einzuhalten. Zu den Institutionen und Regelwerken, die eine Planung der Geschäftskontinuität verlangen, zählen:
- Alle Zentralbanken
- Federal Energy Regulatory Commission (FERC)
- Federal Financial Institution’s Examination Council (FFIEC)
- Financial Industry Regulatory Authority (FINRA)
- Financial Services Authority (FSA)
- General Data Protection Regulation (GDPR)
- Health Insurance Portability and Accountability Act of 1996 (HIPAA)
- Joint Commission on Accreditation of Healthcare Organizations (JCAHO)
- North American Electric Reliability Corporation (NERC)
- The International Regulatory Framework for Banks (BASEL III)
Schafft mehr Transparenz über Betriebsinfrastruktur und Prozesse
Die Planung der Geschäftskontinuität führt dazu, dass Organisationen sämtliche Aspekte ihrer Betriebsinfrastruktur und Prozesse überprüfen und dokumentieren – einschließlich Mitarbeitender und Rollen sowie Art und Standort kritischer Systeme und Daten. Diese Informationen unterstützen zudem die Strategiearbeit und weitere Bereiche der Organisationsentwicklung und -planung.
Schärft das Bewusstsein für die Bedeutung der Vorbereitung auf die Geschäftskontinuität. Der Prozess der Geschäftskontinuitätsplanung bindet Mitarbeitende im gesamten Unternehmen ein und rückt Risiken sowie ihre Rolle bei Prävention und Wiederherstellung in den Fokus. Organisationen mit einer belastbaren Geschäftskontinuitätsplanung verzeichnen ein höheres Bewusstsein und eine klarere Verantwortungsübernahme im Risikomanagement.
Erfüllt Anforderungen von Kunden an die Geschäftskontinuitätsplanung. Viele Kunden setzen voraus, dass Unternehmen, die essenzielle Produkte und Services bereitstellen, über einen Geschäftskontinuitätsplan verfügen. Zunehmend umfassen diese Anforderungen Details, die nur über einen sorgfältig aufgesetzten Prozess erreicht werden. Wenn Sie Zeit in die Erstellung eines Geschäftskontinuitätsplans investieren, lässt sich das Onboarding neuer Kunden effizienter gestalten. Gleichzeitig entsteht ein Wettbewerbsvorteil, weil Sie belegen, dass Sie sich nach einem schwerwiegenden Vorfall schnell erholen können – mit minimalen Auswirkungen für Ihre Kunden.
Optimiert den Versicherungsschutz. Die Entwicklung von Geschäftskontinuitätsplänen unterstützt Organisationen dabei, ihren Versicherungsschutz zu optimieren, indem Risiken präzise identifiziert, quantifiziert und reduziert werden. Eine Business Impact Analysis (BIA) wird eingesetzt, um Gewinne und Verluste sowie die Kosten zu ermitteln, die im Fall eines Ereignisses anfallen, das ein versichertes Risiko auslöst. Damit lassen sich Risiken gezielt bestimmen, wirksam mindern und zugleich belastbar ableiten, in welchem Umfang und in welchen Bereichen Versicherungsschutz erforderlich ist.
Schützt die Reputation. Die Geschäftskontinuitätsplanung hilft Organisationen, ihre Reputation nach außen und gegenüber Mitarbeitenden zu schützen. Eine belastbare Vorbereitung auf mögliche Ereignisse reduziert Risiken – etwa durch Cyberangriffe – bei der Leistungserbringung für Kunden, minimiert Ausfallzeiten und senkt die Kosten der Wiederherstellung.
Vorteile für Incident Response und Wiederherstellung
Stellt sicher, dass die richtigen Wiederherstellungssysteme vorhanden und sofort einsatzbereit sind
Die Planung der Geschäftskontinuität stellt sicher, dass die Systeme, die zur Wiederaufnahme des Betriebs nach einem Vorfall erforderlich sind, vorhanden und jederzeit aktivierbar sind. Das spart wertvolle Zeit, die ohne eingerichtete und dokumentierte Technologiekomponenten verloren geht – von Daten-Backups bis hin zu gespiegelten Produktionssystemen.
Stellt die Verfügbarkeit von Services oder Produkten für Kundinnen und Kunden sicher
Das zentrale Ziel einer proaktiven Planung der Geschäftskontinuität besteht darin, dass Unternehmen auch bei einer größeren Störung in einem Umfang handlungsfähig bleiben, der eine fristgerechte Bereitstellung von Produkten oder Services ermöglicht. Dafür werden passende, sofort ausrollbare Reaktionsmaßnahmen für unterschiedliche Szenarien – von störend bis katastrophal – vorgehalten, sodass der Betrieb schnell wieder aufgenommen werden kann und die Auswirkungen für Kundinnen und Kunden minimal bleiben.
Definiert die Schritte in Geschäftskontinuitätsprozessen proaktiv
Die Planung der Geschäftskontinuität stellt sicher, dass die kritischen Reaktionsschritte sauber dokumentiert und für alle leicht verständlich sind. Wer proaktiv Zeit in die Planung der Geschäftskontinuität investiert, schafft Klarheit – gerade in einer potenziell chaotischen Situation. Teams können dem Geschäftskontinuitätsplan folgen, wissen, was wann zu tun ist, und erhalten auf Basis der hinterlegten Schätzwerte eine Orientierung zu den zu erwartenden Wiederherstellungszeiten.
Sichert die notwendige Unterstützung für Mitarbeitende
Ein wesentlicher Vorteil der Planung der Geschäftskontinuität besteht darin, dass sie dabei unterstützt, den konkreten Bedarf von Mitarbeitenden für unterschiedliche Arten von Vorfällen zu bestimmen.
Die Produktivität der Mitarbeitenden aufrechtzuerhalten, ist entscheidend, um Geschäftskontinuität zu erreichen und die Rückkehr zum Normalbetrieb zu beschleunigen.
Die Unterstützung der Geschäftskontinuität für Mitarbeitende wirkt auf mehreren Ebenen – von der Bereitstellung von Informationen zu Reaktionsplänen bis hin zu alternativen Systemen, über die sie ihre täglichen Aufgaben weiter ausführen können.
Erstellung eines Geschäftskontinuitätsplans
Wirksame Geschäftskontinuitätspläne zeichnen sich durch mehrere Merkmale aus. Dazu gehören:
- Umfassend
Der Geschäftskontinuitätsplan sollte möglichst viele potenzielle Vorfall- oder Störungsszenarien berücksichtigen – ebenso wie Faktoren, die bei einem Vorfall und der Reaktion darauf eine Rolle spielen können. - Anpassungsfähig
Kein Geschäftskontinuitätsplan kann jeden denkbaren Vorfall vorwegnehmen. Deshalb sollte er so konzipiert sein, dass er sich einfach an unterschiedliche oder veränderte Szenarien anpassen lässt. - Realistisch
Es sollte keine Zeit in Abschnitte eines Geschäftskontinuitätsplans investiert werden, die Szenarien abdecken, deren Eintritt äußerst unwahrscheinlich ist. - Effizient
Die für die Umsetzung verantwortlichen Personen müssen die Bausteine eines Geschäftskontinuitätsplans effizient ausführen können. Dafür braucht es eine klare, prägnante Darstellung und die für eine schnelle Ausführung notwendigen Details (z. B. Telefonnummern der wichtigsten Kontaktpersonen).
In der ersten Phase der Geschäftskontinuitätsplanung sollten eine Business Impact Analysis (BIA) und eine Risikobewertung durchgeführt werden. So werden zentrale Informationen erhoben, mit denen sich die weiteren Maßnahmen gezielt steuern und priorisieren lassen.
| Business-Impact-Analyse für die Geschäftskontinuität | Risikobewertung für die Geschäftskontinuität |
|---|---|
| -Deckt potenzielle Schwachstellen auf -Hebt die Auswirkungen eines Schadensereignisses auf verschiedene Abteilungen hervor -Identifiziert die kritischsten Funktionen und Systeme -Erleichtert die Kommunikation mit dem Management und sichert Unterstützung durch belastbare Daten -Definiert, welche Daten essenziell sind -Legt den akzeptablen Umfang der Ausfallzeit für verschiedene Systeme und Funktionen fest -Bestimmt, welches Recovery Point Objective (RPO) angemessen ist | -Identifiziert alle potenziellen Bedrohungen für eine Organisation, z. B. Cyberangriffe, Ausfälle der Versorgungsinfrastruktur, Naturkatastrophen oder Technologieversagen -Leitet Strategien und Maßnahmen zur Risikominderung ab -Bewertet, wie sich Risiken auf Kundinnen und Kunden auswirken könnten -Schätzt potenzielle Reputationsschäden -Bestimmt die Eintrittswahrscheinlichkeit der Risiken |
Zentrale Bereiche mit wesentlichen Business-Impact-Auswirkungen sollten identifiziert und danach priorisiert werden, wie entscheidend sie für die Wiederherstellung sind. Ein klares Verständnis dieser Prioritäten unterstützt Organisationen dabei, wirksame Sofortreaktionsstrategien und -taktiken zu entwickeln, die nicht nur die priorisierten Themen, sondern auch alle Abhängigkeiten berücksichtigen – und sicherstellen, dass diese in den Wiederherstellungsplänen verankert sind.
Zu berücksichtigen sind unter anderem:
- Daten und Informationen
- Infrastruktur
- Personen
- Prozesse
- Ressourcen
- Technologie
Die Analyse der Auswirkungen auf den Geschäftsbetrieb bildet die Grundlage für die Planung einer wirksamen Reaktion.
Ein Plan zur Geschäftskontinuität berücksichtigt alle Aspekte der Auswirkungen auf den Geschäftsbetrieb und gibt konkrete Leitlinien, wie Sie sich vorbereiten, um diese bei einem Vorfall zu vermeiden oder zu minimieren.
Dazu gehört, die erforderlichen Maßnahmen und die an der Umsetzung beteiligten Personen zu beschreiben – ebenso wie die zugehörigen Ressourcen (z. B. Ausstattung oder Arbeitsbereiche) und Zeitpläne. Diese Zeitpläne legen nicht nur fest, wie lange die einzelnen Schritte dauern sollen, sondern auch, welche Ausfallzeiten für jeden Bereich akzeptabel sind.
Zu den Kernbestandteilen eines Plans für die Geschäftskontinuität gehören:
- Zweck, Geltungsbereich und Benutzer
Warum der Plan zur Geschäftskontinuität erstellt wurde, zentrale Ziele, abgedeckte Bereiche und Zielgruppen - Referenzdokumente
einschließlich Business-Continuity-Richtlinie, Business Impact Analysis, Business-Continuity-Strategie, Disaster-Recovery-Plan und Risikobewertung - Annahmen
Voraussetzungen, damit der Plan zur Geschäftskontinuität wirksam ist - Rollen und Verantwortlichkeiten
Schlüsselpersonen für die Reaktion auf den Vorfall und ihre Aufgaben sowie die Zuständigkeiten für Gesamtkoordination und Teilbereiche - Kommunikation
- Aktivierung und Deaktivierung des Plans
Szenarien, in denen ein Plan zur Geschäftskontinuität aktiviert werden sollte, sowie Bedingungen, die für die Deaktivierung erfüllt sein müssen - Incident Response
erste Schritte nach Eintritt eines Vorfalls zur Minimierung von Schäden - Plan zur Aufrechterhaltung des Betriebs
erforderliche Maßnahmen, damit zentrale Prozesse und Systeme betriebsfähig bleiben oder schnellstmöglich wieder in den Normalbetrieb überführt werden – einschließlich der Reihenfolge von Wiederherstellungsaktivitäten - Erforderliche Ressourcen
Liste aller Ressourcen (z. B. Mitarbeitende, Third-Party-Services, Standorte, Infrastruktur, Daten und Equipment), die für die Wiederherstellung benötigt werden, wo sie sich befinden und wie sie erreicht werden - Übergreifende Kommunikationsstrategie
- Kontaktinformationen für die Nachverfolgung von Vorfällen
einschließlich Verantwortliche für interne Kommunikation, Kunden, Partner, Aufsichts- und Behörden, Strafverfolgungsbehörden und Presse - Vorformulierte E-Mails, Pressemitteilungen und Social-Media-Posts
Erfolgreiche Geschäftskontinuität erfordert Tests
Unabhängig davon, ob ein Plan zur Geschäftskontinuität einfach oder komplex ist: Erfolg entsteht nur durch konsequentes Testen. Jede Komponente sollte umfassend geprüft und auf Umsetzbarkeit, Wirksamkeit und Effizienz getestet werden.
Ein Plan zur Geschäftskontinuität ist kein theoretisches Konstrukt: Richtlinien und Verfahren, die in ruhigen Zeiten schlüssig wirken, liefern in der Umsetzung häufig nicht die gewünschten Ergebnisse. Ob der Plan im Ernstfall tatsächlich durch die Reaktion auf ein Desaster führt, lässt sich nur durch Praxis- und Tabletop-Übungen verlässlich überprüfen – und durch das anschließende Identifizieren und Beheben von Schwachstellen.
Tests sollten fortlaufend wiederholt werden, um Anpassungsbedarf frühzeitig zu erkennen und Aktualisierungen auf Basis von Veränderungen gezielt umzusetzen. Das Testen von Plänen zur Geschäftskontinuität schafft die Grundlage für hohe Einsatzbereitschaft, schnelle Reaktionsfähigkeit und erfolgreiche Abläufe, wenn Unerwartetes eintritt.
