BCM - Business Continuity Management - Resilienz System

1. Ziel und Abgrenzung des BCM -Business Continuity Management) ‑ Resilienz Systems

Zweck
Das BCM stellt sicher, dass:

  • kritische Schutz‑ und Betriebsfunktionen
  • auch bei Störungen, Ausfällen oder Krisen
  • innerhalb definierter Zeitgrenzen
  • in reduzierter oder alternativer Betriebsform
    aufrechterhalten oder wiederhergestellt werden.

Abgrenzung
BCM ist kein:

  • reines IT‑Notfallkonzept
  • Sicherheitskonzept
  • Krisenhandbuch allein

BCM ist das übergeordnete System, das:

  • Sicherheitskonzepte
  • Notfallpläne
  • Alarm‑ & Eskalationslogiken
  • Wiederanlaufstrategien
    integriert.

2. Aufbau eines BCM- Business Continuity Management ‑ Resilienz System – Gesamtstruktur
Ein vollständiges BCM‑System besteht aus 6 logisch aufeinander aufbauenden Bausteinen:

  1. BCM‑Rahmenwerk & Governance
  2. Business Impact Analysis (BIA)
  3. Risiko‑ & Bedrohungsanalyse
  4. Kontinuitäts‑ & Notfallstrategien
  5. Notfall‑ & Wiederanlaufpläne
  6. Betrieb, Tests & kontinuierliche Verbesserung

3. BCM‑Business Continuity Management - Resilienz System - Rahmenwerk & Governance

3.1 BCM‑Politik

Dokumentiert verbindlich:

  • Ziel des BCM
  • Schutzprioritäten
  • Geltungsbereich
  • Rollen & Verantwortlichkeiten
  • Grundsätze zu Datenschutz & Dokumentation

3.2 Rollenmodell (typisch)

  • BCM‑Verantwortliche Rolle
  • Sicherheitsverantwortliche Rolle
  • Leitstellen‑/Eskalationsrolle
  • Entscheidungsrolle im Notfall
  • Dokumentations‑/Reviewrolle

Wichtig: Rollen, nicht Personen.

4. Business Impact Analysis (BIA) – Kernstück des BCM - Business Continuity Management - Resilienz System

Die BIA wird schutz‑ und funktionsorientiert durchgeführt (siehe vorherige Diskussion).
Analyseobjekte

  • Schutzfunktionen (Detektion, Verifikation, Intervention)
  • Zonen (Perimeter, Übergang, Innenbereich, kritischer Bereich)
  • Unterstützende Betriebsfunktionen (Leitstelle, Energie, Kommunikation)

Ergebnisse der BIA

  • Kritikalität je Funktion
  • maximale tolerierbare Ausfallzeit (MTPD)
  • Wiederherstellungsziele (RTO)
  • Priorisierte Funktionsliste 

Die BIA definiert, was im BCM zwingend abgesichert werden muss.

5. Risiko‑ & Bedrohungsanalyse im BCM - Business Continuity Management ‑ Resilienz System Sicht)

Betrachtete Störszenarien (Beispiele)

  • Energieausfall
  • System‑ oder Leitstellenausfall
  • Personalausfall
  • Sabotage / Manipulation
  • Kommunikationsausfall
  • gleichzeitige Mehrfachereignisse

Ziel
Nicht Eintrittswahrscheinlichkeit, sondern:

  • Auswirkungen auf Schutz‑ und Betriebsfähigkeit
  • Ketteneffekte zwischen Zonen und Funktionen


6. Kontinuitäts‑ & Notfallstrategien des BCM - Business Continuity Management - Resilienz Systems

Für jede kritische Funktion aus der BIA wird definiert:

6.1 Betriebsstrategie

  • Normalbetrieb
  • Reduzierter Betrieb
  • Notbetrieb
  • Manuelle Ersatzprozesse

6.2 Technische Strategien

  • Redundanzen
  • Ersatzsysteme
  • Notstromlogiken
  • lokale vs. zentrale Verarbeitung

6.3 Organisatorische Strategien

  • Mindestbesetzung
  • Ersatzrollen
  • Eskalationsentscheidungen
  • Übergabe an externe Stellen (falls vorgesehen)


7. Notfall‑ & Wiederanlaufpläne im BCM - Business Continuity Management - Resilienz System

7.1 Notfallpläne (reaktiv)

Beschreiben

  • Auslösekriterien
  • Erstmaßnahmen
  • Eskalationsstufen
  • Kommunikationswege
  • Entscheidungsbefugnisse

7.2 Wiederanlaufpläne (proaktiv) 

Beschreiben:

  • Reihenfolge der Wiederherstellung
  • Abhängigkeiten
  • Übergang vom Not‑ in den Normalbetrieb
  • Dokumentationspflichten

Notfall ≠ Wiederanlauf (klar trennen!).

8. Alarm‑ & Eskalationslogik im BCM - Business Continuity Management - Resilienz System

Ein BCM‑System definiert:

  • welche Ereignisse BCM‑relevant sind
  • ab wann das BCM aktiviert wird
  • wer entscheidet
  • welche Stufe ausgelöst wird

Beispielhafte Eskalationsstufen:

  1. Technische Störung
  2. Sicherheitsrelevanter Ausfall
  3. Schutzwirksamer Notfall
  4. Krisenmodus

9. Dokumentation & Nachvollziehbarkeit des BCM - Business Continuity Management - Resilienz System

Ein BCM‑System ist nur auditfähig, wenn dokumentiert sind:

  • Entscheidungen
  • Eskalationen
  • Zugriffe
  • Abweichungen vom Normalbetrieb
  • Lessons Learned

Datenschutz:

  • Zweckbindung
  • zeitlich begrenzte Sonderzugriffe
  • Protokollierung sensibler Maßnahmen
  • Vier‑Augen‑Prinzip bei kritischen Eingriffen

10. Tests, Übungen & Verbesserung beim BCM - Business Continuity Management - Resilienz System
Testarten

  • Dokumentenreviews
  • Table‑Top‑Übungen
  • Teilfunktionstests
  • Szenarienübungen

Ziel

  • Validierung der BIA‑Annahmen
  • Erkennen von Abhängigkeiten
  • Schulung der Rollen
  • kontinuierliche Verbesserung

11. Typische Fehler beim BCM‑Business Continuity Management - Resilienz System Aufbau

  • BIA zu allgemein oder rein IT‑bezogen
  • keine klaren Entscheidungsbefugnisse
  • Vermischung von Sicherheit, IT und BCM
  • keine Tests
  • veraltete Dokumentation

Ergebnis eines funktionierenden BCM‑Systems

  • klare Schutzprioritäten
  • belastbare Entscheidungsgrundlagen
  • nachvollziehbare Eskalationen
  • resiliente Sicherheits‑ und Betriebslogik
  • Audit‑ und revisionssichere Struktur




"Ein paar Gedanken zum Thema BCM - Business Continuity Management - Resilienz System"
Anruf
Infos
LinkedIn