Cybervize - Cybersecurity Beratung

Business Continuity Management nach BSI-Standard 200-4: BCMS aufbauen, Stufe wählen, Notfälle steuern

BSI IT-GrundschutzCEOCISOBusiness-Continuity-BeauftragteISB

Kernaussage

Business Continuity Management ist kein Notfallhandbuch im Schrank und kein einmaliges Projekt. Es ist ein fortlaufendes Managementsystem (BCMS), das gezielt die zeitkritischen Geschäftsprozesse einer Organisation gegen Ausfall absichert. Der BSI-Standard 200-4 (Version 1.0, Mai 2023) löst den früheren Standard 100-4 ab, ersetzt den Begriff Notfallmanagement durch BCM und ist praxisnahe Umsetzungsanleitung zur Norm ISO 22301:2019, mit Fokus auf organisatorische Resilienz.

Die für die Leitung wichtigste Designentscheidung steckt im Stufenmodell. Es erlaubt einen schlanken Einstieg, macht aber transparent: Nur das vollständige Standard-BCMS ist konform zu ISO 22301 und damit zertifizierungsfähig. Die Vorstufen sind bewusste, befristete Zwischenschritte, kein Dauerzustand.

Problem in der Praxis

In vielen Organisationen wird BCM mit Datensicherung oder IT-Wiederanlauf gleichgesetzt. Das greift zu kurz, denn BCM betrachtet den Geschäftsprozess, nicht nur das technische System. Andere Häuser produzieren ein dickes Notfallhandbuch, das nie geübt wird und im Ernstfall niemandem hilft.

Ebenso häufig ist die unscharfe Grenze zwischen Störung, Notfall und Krise. Wenn jeder IT-Vorfall reflexhaft zum Notfall erklärt wird, nutzt sich der Eskalationsmechanismus ab; wird umgekehrt eine echte Krise im Normalbetrieb weitergeführt, fehlen Entscheidungsbefugnis und Tempo. Und schließlich verheben sich Organisationen am eigenen Anspruch: Sie zielen sofort auf volle ISO-Konformität, kommen über die Konzeptphase nicht hinaus und stehen ohne belastbare Notfallfähigkeit da.

CISO-Einordnung

Der Geltungsbereich von BCM ist bewusst eng: Betrachtet werden nur zeitkritische Geschäftsprozesse sowie deren Unterstützungsprozesse und Ressourcen. Zeitkritisch heißt, dass ein Ausfall innerhalb eines festgelegten Zeitraums zu einem nicht mehr tolerierbaren, gegebenenfalls existenzgefährdenden Schaden führt. Alles andere bleibt außen vor - das schärft den Blick und spart Aufwand. Maßgeblich ist die zeitbezogene Abstufung des Schadens:

  • Störung wird im Normalbetrieb über die allgemeine Aufbauorganisation und das Incident-Management bewältigt. Sie ist ausdrücklich nicht Gegenstand des Standards.
  • Notfall liegt vor, wenn mindestens ein zeitkritischer Prozess nicht innerhalb seiner maximal tolerierbaren Ausfallzeit im Normalbetrieb wiederhergestellt werden kann. Dann greifen die besondere Aufbauorganisation und vorbereitete Notfallpläne.
  • Krise bezeichnet eine erhebliche Lage, die im Normalbetrieb nicht zu bewältigen ist und für die keine passenden Pläne existieren. Hier entscheidet die besondere Aufbauorganisation situativ.

Daraus folgt die Unterscheidung von AAO (allgemeine Aufbauorganisation, der Normalbetrieb) und BAO (besondere Aufbauorganisation, eine zeitlich begrenzte Struktur mit abweichenden Zuständigkeiten, Hierarchien und Entscheidungswegen). Die BAO ist der eigentliche Hebel: Sie verschafft im Ausnahmezustand kurze Wege und klare Befugnisse.

BCM und ISMS sind zwei tragende Säulen, aber das eine ist keine Voraussetzung für das andere. Das ISMS sichert den Normalbetrieb über alle drei Grundwerte; BCM reduziert vor allem das Ausmaß eines bereits eingetretenen Ereignisses und konzentriert sich auf die Verfügbarkeit (bei ausreichender Integrität) im Notbetrieb. Bei einem Cyberangriff zeigt sich das Zusammenspiel: Das BCMS bringt das Geschäft in einen geregelten Notbetrieb, während ISMS und IT-Service-Continuity-Management die betroffene IT bereinigen und wiederherstellen.

Umsetzungsperspektive

Ein BCMS besteht aus mehr als Plänen: aus einer BCM-Organisation, den BCM-Methoden, dem BCM-Prozess, den Ressourcen und der Dokumentation einschließlich Notfallhandbuch. Der Prozess folgt dem PDCA-Zyklus mit einer Besonderheit: Neben dem laufenden Steuerungskreislauf gibt es den ereignisbezogenen Ablauf der Bewältigung, der im Normalbetrieb ruht und erst im Schadensfall anspringt.

Initiierung durch die Leitung. Am Anfang stehen Bekenntnis, Geltungsbereich, die Wahl der BCMS-Stufe, die Beauftragung des Business-Continuity-Beauftragten (BCB) und die Bereitstellung von Ressourcen; das Ergebnis fließt in die BCM-Leitlinie. Der BCB sollte als Stabsstelle direkt unter der Leitung hängen - nicht etwa in der IT-Abteilung - und realistisch ausgestattet sein. Die BCM-Organisation arbeitet auf drei Ebenen: strategisch (Rahmen, Ziele, Verantwortung), taktisch (Methoden, Vorgaben, Überwachung) und operativ (konkrete Handlungen).

Business-Impact-Analyse (BIA). Sie ist die zentrale Methode und klärt, welche Prozesse zeitkritisch sind, wie lange sie ausfallen dürfen und welche Ressourcen sie im Notbetrieb brauchen. In den Einstiegsstufen reduziert ein BIA-Vorfilter den Aufwand, indem nur die zeitkritischsten Einheiten genauer untersucht werden; Schutzbedarfsfeststellung und Strukturanalyse des ISMS liefern dabei Kontaktpersonen und Datenbasis. Die Frage nach Verfügbarkeit stellt sich hier anders: Das ISMS denkt in durchschnittlicher Jahresverfügbarkeit (Service Levels), das BCMS in Wiederanlaufzeiten und maximal tolerierbarer Ausfallzeit für den schlimmsten Einzelfall. Die genauen Kenngrößen und ihre Definitionen sind dem Originalstandard zu entnehmen.

Strategien, Lösungen, Pläne. Aus der BIA werden Continuity-Strategien und konkrete BC-Lösungen abgeleitet und in Geschäftsfortführungs-, Wiederanlauf- und Wiederherstellungsplanung überführt. Die Maßnahmen lassen sich in drei Typen ordnen: Vorsorgemaßnahmen senken präventiv die Eintrittshäufigkeit, BC-Lösungen werden vorab aufgebaut und ermöglichen den Notbetrieb (etwa ein Ausweichstandort), Notfallmaßnahmen werden vorbereitet, aber erst im Schadensfall ausgeführt. Der Bewältigungsablauf reicht von Sofortmaßnahmen über Alarmierung und Konstituierung der BAO bis zu Wiederanlauf, Notbetrieb, Wiederherstellung, Deeskalation und der abschließenden Analyse.

Stufenmodell als Einstiegslogik. Die drei Stufen unterscheiden sich vereinfacht in Methodik und abgedecktem Geschäftsprozessumfang. Das Reaktiv-BCMS ist der stark vereinfachte Einstieg, der vorhandene Maßnahmen nutzt, nur ausgewählte zeitkritische Prozesse abdeckt, keine Voraussetzungen hat und nach einem Zyklus weiterzuentwickeln ist. Das Aufbau-BCMS ist für Fortgeschrittene gedacht und steigert den Prozessumfang Zyklus für Zyklus ressourcenschonend und risikoorientiert. Beide sind ausdrücklich nicht konform zu ISO 22301. Erst das Standard-BCMS analysiert alle Prozesse, sichert die zeitkritischen vollständig ab und ist konform sowie zertifizierungsfähig - und damit das Ziel jeder Institution.

Typische Fehler

  1. BCM wird mit Datensicherung oder IT-Wiederanlauf verwechselt und auf die Technik verengt, statt den Geschäftsprozess zu betrachten.
  2. Die Grenze zwischen Störung, Notfall und Krise bleibt unscharf, sodass Eskalation und BAO-Aktivierung nicht greifen.
  3. Das Reaktiv-BCMS wird zum Dauerzustand, obwohl regulatorische Anforderungen ein konformes Standard-BCMS verlangen.
  4. Der BCB wird zu schwach verankert oder als Nebenaufgabe in der IT angesiedelt.
  5. Pläne werden geschrieben, aber nicht geübt; im Ernstfall fehlt die eingespielte Handlungsfähigkeit.

Risiken und Trade-offs

Das Stufenmodell ist Chance und Falle zugleich. Ein Reaktiv-BCMS liefert schnell eine Grundabdeckung, ist aber nicht konform; wer regulierte oder existenzkritische Prozesse dauerhaft nur reaktiv absichert, trägt eine Lücke, die im Ernstfall und im Audit sichtbar wird. Ein vollständiges Standard-BCMS bindet dagegen erhebliche Ressourcen und Managementaufmerksamkeit.

Die BIA entscheidet über Qualität und Kosten des gesamten Systems: zu grob, und kritische Abhängigkeiten bleiben unentdeckt; zu fein, und der Erhebungsaufwand erstickt das Vorhaben. Auslagerung verschiebt zudem nur einen Teil des Risikos - die Verantwortung für die Geschäftsfortführung bleibt im Haus, weshalb Dienstleister und Lieferketten im BCMS zu verankern sind. Und nicht jeder größere IT-Vorfall ist ein BCM-Notfall: Die Schnittstelle zwischen Incident-Management, IT-Service-Continuity-Management und BCM muss nahtlos definiert sein.

Entscheidungspunkte

  • Welche BCMS-Stufe passt zu Reifegrad, Ressourcen und regulatorischer Lage - und mit welchem verbindlichen Datum wird die nächste Stufe angestrebt?
  • Welche Geschäftsprozesse gehören in den Geltungsbereich, und nach welchen Kriterien gelten sie als zeitkritisch?
  • Wo wird der BCB organisatorisch verankert, und mit welcher Kapazität wird die Rolle ausgestattet?
  • Wie sind die Schwellen zwischen Störung, Notfall und Krise definiert, und wer ruft den Notfall aus?
  • Wie greifen BCMS, ISMS und IT-Service-Continuity-Management ineinander, insbesondere bei Cybervorfällen?

Praktische Empfehlungen

  1. Starten Sie bewusst auf einer passenden Stufe, aber legen Sie den Aufstieg zum Standard-BCMS als verbindlichen Plan fest, nicht als vage Absicht.
  2. Investieren Sie zuerst in eine belastbare BIA und nutzen Sie die Synergie mit Schutzbedarfsfeststellung und Strukturanalyse des ISMS.
  3. Definieren Sie Störung, Notfall und Krise mit klaren, zeitbezogenen Schwellen und einem eindeutigen Eskalations- und Ausrufeweg.
  4. Verankern Sie den BCB als Stabsstelle mit ausreichender Kapazität und direktem Zugang zur Leitung.
  5. Üben und testen Sie regelmäßig; aus jeder Übung und jeder realen Bewältigung muss eine Verbesserung in den Prozess zurückfließen.

Relevante Normreferenzen

  • BSI-Standard 200-4 (Business Continuity Management): maßgebliche Fundstelle für BCMS-Aufbau, Stufenmodell und Notfallbewältigung.
  • ISO 22301:2019 (Security and resilience - Business continuity management systems - Requirements): zertifizierbare Norm, zu der 200-4 die Umsetzungsanleitung liefert.
  • ISO/IEC 27001 (ISMS): Bezugsrahmen für die Schnittstelle zwischen Informationssicherheit und Geschäftskontinuität (ISO-Ausgabenstand prüfen).
  • ISO/IEC 27031 (IT-Service-Continuity-Management): Referenz für die Absicherung zeitkritischer IT-Services im Umfeld des BCM.

Häufige Fragen

Was sichert BCM nach 200-4 ab?+

Nur zeitkritische Geschäftsprozesse sowie deren Unterstützungsprozesse und Ressourcen, deren Ausfall innerhalb eines festgelegten Zeitraums nicht tolerierbar wäre.

Worin unterscheiden sich Störung, Notfall und Krise?+

Die Störung wird im Normalbetrieb über die AAO bewältigt, der Notfall über die BAO mit vorbereiteten Plänen, und die Krise erfordert situative Entscheidungen der BAO, weil keine passenden Pläne existieren.

Welche BCMS-Stufe ist zertifizierungsfähig?+

Nur das Standard-BCMS ist konform zu ISO 22301:2019 und zertifizierungsfähig; Reaktiv- und Aufbau-BCMS sind Einstiegsstufen.

Was ist der Unterschied zwischen AAO und BAO?+

Die AAO ist die allgemeine Aufbauorganisation des Normalbetriebs, die BAO eine zeitlich begrenzte Sonderstruktur mit abweichenden Zuständigkeiten und kurzen Entscheidungswegen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen BSI IT-Grundschutz prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: gs-bcm-007.