BCM hält Ihr Geschäft handlungsfähig

Am 23. Juli 2025 kam es in Luxemburg zu einem landesweiten Ausfall im Netz von POST Luxembourg. Internet, Festnetz und Mobilfunk waren gestört, zeitweise war sogar der Notruf nicht erreichbar.

Noch aktueller ist der 1. August 2025. In den Niederlanden führte eine Störung beim Provider Odido zu Einschränkungen bei Telefonie, SMS und mobilem Internet. Das Notrufsystem 112 blieb zwar grundsätzlich erreichbar, regional kam es dennoch zu Problemen und Verzögerungen. Beide Vorfälle zeigen: Business Continuity muss funktionieren – nicht nur in der eigenen IT, sondern entlang der gesamten Lieferkette.

Die Folgen betreffen auch Bürgerinnen und Bürger unmittelbar. Kartenzahlungen scheitern, Online-Banking und Terminportale fallen aus, Wege werden länger, Wartezeiten steigen und Alltagsabläufe geraten ins Stocken. Kommt es zusätzlich zu einer Datenpanne, drohen Phishing, Kontoübernahmen und Identitätsmissbrauch. In solchen Situationen ist eine klare Krisenkommunikation entscheidend, denn sie strukturiert die Lage, gibt konkrete Handlungsanweisungen und stärkt die Handlungsfähigkeit Betroffener.

Unternehmen und Organisationen trifft es hart. Produktion, Logistik, Vertrieb und Service geraten ins Stocken. Ohne geübte Notfallprozesse bleibt nur Improvisation. Abhängigkeiten von Dritten verstärken das Risiko: Ein Problem bei Netzbetreibern oder IT-Dienstleistern kann tausende Kunden zugleich treffen.

Hinzu kommen rechtliche Pflichten – etwa DSGVO-Meldungen binnen 72 Stunden sowie die gestaffelten Meldefristen aus der NIS2-Richtlinie. Parallel steigen die regulatorischen Anforderungen durch das KRITIS-Dachgesetz. Reputationsschäden wiegen oft schwerer als technische Kosten. Eine Cyber-Versicherung hilft zwar, ersetzt aber keine Vorsorge.

Notfallmanagement muss daher weit über Technik hinausgehen.

Es braucht klare Rollen, feste Abläufe und regelmäßige Übungen – auch nachts, an Feiertagen und in Urlaubszeiten. Fundament sind Risikoanalyse und Business-Impact-Analyse (BIA), die kritische Prozesse, maximale Ausfallzeiten und Abhängigkeiten klar benennen.

Redundanz bei Strom, Netzwerk und Datenbanken ist Pflicht und muss regelmäßig getestet sowie dokumentiert werden.

Backups sind auch offline vorzuhalten, Restore-Proben müssen regelmäßig durchgeführt werden.

Ein kurzes, klares Wiederanlauf-Handbuch legt fest, wer was in welcher Reihenfolge mit welchen Abhängigkeiten erledigt.

Zur Organisation gehört auch konsequentes Lieferantenmanagement. Sicherheitsanforderungen müssen verbindlich in Verträgen und Service Level Agreements verankert werden – Verschlüsselung, Patch-Zyklen, Zugriffsrechte nach dem Least-Privilege-Prinzip, Meldefristen bei Incidents.

Ergänzend sind Berichtspflichten, Audit- und Penetrationstest-Rechte sowie Sanktionen bei Verstößen notwendig. Eskalationsketten und Rufbereitschaften dürfen nicht nur auf Papier existieren, sondern müssen mit den wichtigsten Partnern regelmäßig geprobt werden – auch abends und am Wochenende.

Standards wie ISO27001 (ISMS) und ISO 22301 (BCM) geben den Rahmen vor, entscheidend ist jedoch die gelebte Praxis.

Nachhaltiges Notfallmanagement bedeutet dauerhafte Handlungsfähigkeit, unabhängig von Personen und Tools. Rollen müssen klar definiert, Runbooks kurz und nutzbar sein. Nach jedem Test und Vorfall sind strukturierte „Lessons Learned“ durchzuführen, aus denen konkrete Maßnahmen mit Verantwortlichkeiten und Fristen abgeleitet werden.

Fortschritt und Robustheit werden messbar gemacht durch Kennzahlen wie Übungsquote, RTO/RPO, MTTR, Restore-Erfolgsrate und Incident-Meldezeiten.

Fünf Sofortschritte helfen, Resilienz schnell zu erhöhen:

1. Ein Notfallteam mit 24/7-Rufbereitschaft, definierte Kontaktketten und Sprecher

2. getestete Backups inklusive Offline-Kopie

3. Redundanz bei Strom, Netz und Datenbanken

4. klar geregelte Meldeprozesse nach DSGVO und NIS2

5. PR-Leitlinien für die externe Kommunikation

Ein Praxisbeispiel verdeutlicht die Relevanz:

Fällt am Monatsende ein Cloud-Anbieter mit einem SaaS-ERP durch ein fehlerhaftes Update aus, stoppt die Auftragsannahme, Rechnungen verzögern sich, die Produktion wartet auf Kommissionierlisten und die Hotline läuft heiß.

Ein gelebtes BCM reagiert mit Failover in die Ausweichregion, Out-of-Band-Kommunikation mit dem Provider, Start manueller Notprozesse, stündlichen Informationen an Vertrieb und Schlüsselkunden sowie vorbereiteten Presse- und FAQ-Texten. Nach kurzer Zeit ist die Kernfunktion wieder verfügbar, Rückstände werden aufgeholt und der finanzielle wie reputative Schaden bleibt begrenzt.

Auch Verbraucherinnen und Verbraucher können sich vorbereiten.

Nach Vorfällen sollten unbedingt Passwörter geändert und eine Zwei-Faktor-Authentisierung aktiviert werden. Für großflächige Ausfälle helfen eine Bargeldreserve, offline gespeicherte Notfallkontakte und die Kenntnis der nächsten Anlaufstellen. Wichtig ist, alternative Kommunikationswege zu kennen, da selbst Notrufnummern regional zeitweise eingeschränkt sein können.

Die SECURAM Consulting unterstützt Unternehmen umfassend – von Risikoanalyse und Lieferantenbewertung über den Aufbau von ISMS und BCM nach ISO 27001/22301 und BSI-Grundschutz bis zu Test- und Übungskonzepten mit Partnern sowie einem belastbaren Disaster-Recovery-Design mit Offline-Backups und klaren Runbooks.

Fazit: Business Continuity ist Führungssache. Sie schützt Daten, Unternehmen, Verbraucher – und die Reputation. Wer jetzt handelt, behält auch in der nächsten Krise die Kontrolle.

Die Expertise der SECURAM Consulting GmbH umfasst ein breites Spektrum an IT-Dienstleistungen, die speziell auf die Bedürfnisse der Kunden zugeschnitten sind. Das Angebot reicht von der Einführung und Optimierung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO27001 und anderen Standards bis hin zur umfassenden Beratung im Bereich Business Continuity Management (BCM). Hierbei begleitet die Securam Consulting Unternehmen von der Business Impact Analyse (BIA) bis hin zum Notfallmanagement. Darüber hinaus unterstützt das Expertenteam bei der Vorbereitung und Umsetzung von Zertifizierungen wie TISAX, NIS2 und DORA.

