Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

Business Continuity Management (BCM): Aufgaben, Standards, Tools

Veröffentlicht am: 23. Dezember 2025

Max Mustermann

Veröffentlicht am: 23.12.2025

Business Continuity Management (BCM) einfach erklärt.

Business Continuity Management, kurz BCM, beschreibt einen strukturierten und wiederholbaren Managementprozess, mit dem Unternehmen ihre Betriebsfähigkeit auch bei Störungen sicherstellen. Typische Auslöser sind Cyberangriffe, Ransomware, Ausfälle von Rechenzentren, Störungen bei Cloud Providern, Lieferkettenprobleme oder der Ausfall kritischer Dienstleister. Für ISMS Verantwortliche und Geschäftskontinuitäts-Manager ist BCM der praktische Mechanismus, der aus Risikoerkenntnissen konkrete Handlungsfähigkeit macht.

Im Kern geht es darum, kritische Geschäftsprozesse, IT Systeme und Services so abzusichern, dass sie bei einem Vorfall weiter betrieben werden können oder innerhalb definierter Zeitziele wiederhergestellt sind. Diese Zeitziele werden in der Regel über RTO und RPO beschrieben, also über die maximal akzeptierte Wiederherstellungszeit und den maximal akzeptierten Datenverlust.

Resilienzmanagement ist ein Managementrahmen zur Sicherstellung der Geschäftskontinuität. Unternehmen identifizieren relevante Risiken, priorisieren ihre kritischen Prozesse und legen Wiederherstellungsziele fest. Darauf aufbauend definieren sie organisatorische und technische Maßnahmen, erstellen umsetzbare Pläne und prüfen diese regelmäßig durch Übungen und Tests.

Was ist Business Continuity Management?

Ein wirksames BCM stellt sicher, dass der Geschäftsbetrieb nach einem Vorfall geordnet fortgeführt oder wieder aufgenommen werden kann. Entscheidend ist dabei nicht das einzelne Dokument, sondern ein konsistentes System aus Verantwortlichkeiten, Methoden, Nachweisen und kontinuierlicher Verbesserung.

BCM als integrierendes Rahmenwerk für Resilienzfunktionen

In vielen Organisationen existieren Krisenmanagement, Notfallmanagement und technische Wiederherstellung in getrennten Strukturen. BCM setzt genau hier an und koordiniert Vorsorge, Reaktion und Wiederherstellung über alle relevanten Resilienzfunktionen hinweg. Das reduziert Doppelarbeit, schließt Lücken in Zuständigkeiten und verbessert die Reaktionsgeschwindigkeit bei Störungen.

Geschäftskontinuitätsmanagement betrachtet Abhängigkeiten explizit, zum Beispiel zwischen Fachprozessen, Anwendungen, Identitäten, Schnittstellen, Infrastruktur, externen Providern und Lieferanten. Gerade in hybriden IT Landschaften und bei starker Auslagerung ist diese Ende zu Ende Sicht die Voraussetzung, um RTO und RPO realistisch planen und nachweisen zu können.

Welche Disziplinen bündelt BCM?

Geschäftskontinuitätsmanagement bzw. Resilizenmanagement umfasst mehrere Disziplinen, die in der Praxis häufig getrennt organisiert sind. Im BCM Kontext werden sie methodisch abgestimmt und auf gemeinsame Ziele ausgerichtet.

Krisenmanagement

Krisenmanagement regelt Entscheidungen und Steuerung im Ereignisfall. Dazu gehören Rollen, Verantwortlichkeiten, Eskalationswege, Lagebewertung, Kommunikationsprozesse und Managemententscheidungen unter Zeitdruck. Vor Eintritt einer Krise sollte geklärt sein, wer entscheidet, wer informiert wird, wie die Lage bewertet wird und wie die Kommunikation nach innen und außen erfolgt.

Notfallmanagement

Notfallmanagement fokussiert auf operative Sofortmaßnahmen zur Stabilisierung des Betriebs und zur Schadensbegrenzung. Dazu zählen beispielsweise organisatorische Workarounds, Verlagerung von Tätigkeiten, Priorisierung von Aufträgen oder der Betrieb in einem degradierten Modus. Ziel ist es, schnell handlungsfähig zu bleiben, auch wenn nicht alle Systeme verfügbar sind.

Wiederherstellung von IT Systemen und Daten

Die technische Wiederherstellung beschreibt geplante Wiederanlaufverfahren für Systeme, Anwendungen und Daten. Grundlage sind definierte RTO und RPO, die aus der Business Impact Analyse abgeleitet werden. Hier entstehen Wiederanlaufpläne, Runbooks, Abhängigkeiten zwischen Komponenten sowie Nachweise aus Tests und Übungen. Wichtig ist die Übersetzung fachlicher Anforderungen in technische Maßnahmen, damit Zeitziele nicht nur theoretisch definiert, sondern praktisch erreichbar sind.

Kontinuitätsplanung für Dritte und Lieferanten

Kritische Dienstleister, Cloud Anbieter und Lieferanten müssen in BCM Prozesse eingebunden sein. Dazu gehören dokumentierte Abhängigkeiten, Mindestanforderungen an Verfügbarkeit und Wiederherstellung, zugesagte Wiederanlaufzeiten sowie geregelte Kommunikations und Eskalationswege. Ohne diese Einbindung bleiben wesentliche Risiken außerhalb der eigenen Steuerungsfähigkeit.

Ist BCM dasselbe wie Krisenmanagement oder Notfallmanagement?

BCM ist kein einzelner Notfallplan und auch nicht identisch mit Krisenmanagement. Krisenmanagement steuert Entscheidungen bei akuten Ereignissen. Notfallmanagement organisiert operative Sofortmaßnahmen. Die technische Wiederherstellung bringt Systeme und Daten zurück. BCM verbindet diese Bereiche durch gemeinsame Methodik, abgestimmte Ziele, klar definierte Schnittstellen und regelmäßige Validierung.

Für Prüfungen und Audits ist diese Abgrenzung wichtig: BCM schafft Nachvollziehbarkeit darüber, wer wofür verantwortlich ist, welche Zeitziele gelten, wie Pläne gepflegt werden und wie deren Wirksamkeit belegt wird.

Wann kommt das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz wird die Anforderungen an die Resilienz und physische Sicherheit Kritischer Infrastrukturen in Deutschland grundlegend neu regeln. Ziel des Gesetzes ist es, Betreiber kritischer Anlagen besser gegen physische, organisatorische und operative Störungen abzusichern.

Nach aktuellem Stand wurde das KRITIS-Dachgesetz im September 2025 vom Bundeskabinett beschlossen. Das Inkrafttreten wird voraussichtlich nicht vor Anfang 2026 erfolgen.

Was regelt das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz setzt die EU-RCE-Richtlinie (Resilience of Critical Entities) in deutsches Recht um. Es erweitert die bisherige KRITIS-Regulierung deutlich – sowohl im Anwendungsbereich als auch in den Pflichten für Betreiber.

Im Fokus stehen insbesondere:

  • Resilienz kritischer Anlagen
  • physische Sicherheit
  • organisatorische Vorsorge
  • strukturierte Krisen- und Kontinuitätsplanung

Damit rückt Business Continuity Management (BCM) erstmals explizit in den Mittelpunkt der gesetzlichen Anforderungen.

Welche Pflichten kommen auf Unternehmen zu?

Das KRITIS-Dachgesetz führt zusätzliche und konkretisierte Pflichten für Betreiber kritischer Infrastrukturen ein, unter anderem:

  • Meldepflichten bei sicherheitsrelevanten Ereignissen
  • Nachweis eines wirksamen BCM (Geschäftskontinuitätsmanagement)
  • Maßnahmen zur physischen Sicherheit (z. B. Standorte, Zutrittskontrollen)
  • Regelungen zu Personal und Rollen im Krisen- und Notfallfall
  • Etablierung von Krisenmanagement-Strukturen

Für BCM Manager bedeutet das: BCM wird nicht mehr nur „Best Practice“, sondern aufsichts- und prüfungsrelevant.

Zentrale Aufgaben und Maßnahmen im BCM

Ein BCM Programm umfasst typischerweise folgende Aufgaben:

  1. Identifikation kritischer Geschäftsprozesse, Services und Ressourcen
  2. Durchführung einer Business Impact Analyse, kurz BIA
  3. Definition von Wiederherstellungszielen, insbesondere RTO und RPO
  4. Erstellung und Pflege von Business Continuity Plänen sowie Wiederanlaufplänen
  5. Abstimmung organisatorischer Maßnahmen mit IT und Informationssicherheit
  6. Schulung relevanter Rollen, zum Beispiel Krisenteam, Fachbereiche, IT Betrieb
  7. Planung, Durchführung und Dokumentation von Übungen und Tests
  8. Regelmäßige Reviews, Aktualisierungen und kontinuierliche Verbesserung

Für ISMS Verantwortliche ist besonders relevant, dass BCM Maßnahmen nicht isoliert neben dem ISMS laufen, sondern in Risiko, Compliance, Lieferantenmanagement und Change Management verankert werden.

Einordnung in Standards und Rahmenwerke (ISO und BSI)

BCM ergänzt etablierte Sicherheits und Risikomanagementsysteme und stellt die operative Verbindung zwischen Analyse und Reaktionsfähigkeit her. Häufig genutzte Referenzen sind:

ISO IEC 27001
In der ISO IEC 27001:2022 adressieren insbesondere Annex A 5.30 (ICT Readiness for Business Continuity) und A 5.31 (Identification of legal, statutory, regulatory and contractual requirements) die Anforderungen rund um IKT Bereitschaft, Planung und Einbindung von Anforderungen. In der Praxis wird BCM außerdem eng mit Risikoanalyse, Asset Management und Supplier Security verknüpft.

ISO 22301 (BCMS)
ISO 22301 ist der zentrale Standard für ein Business Continuity Management System. Er eignet sich als Audit und Zertifizierungsrahmen für Governance, Planung, Betrieb, Übungen und Verbesserung.

Weitere ISO Leitlinien
ISO 22316 (Organisational Resilience) unterstützt die Einbettung in Governance und Resilienz. ISO 22317 liefert methodische Hinweise zur BIA. ISO 22320 ergänzt Incident und Krisenmanagement.

BSI IT Grundschutz und BSI Standards 200 1 bis 200 4
Der BSI Ansatz liefert praxistaugliche Methodik zur Umsetzung von Sicherheits und Notfallanforderungen, insbesondere in Deutschland und in regulierten Umgebungen.

BCM wirkt in diesem Zusammenspiel als Brücke zwischen Schutzbedarfsfeststellung, Risikoerkenntnissen und konkreten Wiederanlaufmaßnahmen, inklusive Test und Nachweis.

Welche Rollen, Governance und Verantwortlichkeiten bestehen?

Die organisatorische Verankerung ist ein häufiger Erfolgs- oder Misserfolgsfaktor. Bewährt hat sich eine klare Aufteilung:

Wichtig ist eine eindeutige Entscheidung, wer RTO und RPO final freigibt, wer Abweichungen genehmigt und wie Budget und Prioritäten gesteuert werden.

Wie funktioniert BCM organisatorisch im Lebenszyklus?

BCM ist kein einmaliges Projekt, sondern ein wiederkehrender Zyklus, der in GRC Prozesse eingebettet sein sollte:

Visualisierung des BCM-Lifecycle bestehend aus Analyse, Design, Implementierung und Validierung

  1. Business Impact Analyse
    Ermittlung kritischer Prozesse, Abhängigkeiten, maximal tolerierbarer Ausfallzeiten und wesentlicher Ressourcen.
  2. Business Continuity Pläne
    Definition von Maßnahmen zur Aufrechterhaltung oder Wiederherstellung, inklusive Rollen, Checklisten, Kommunikationswegen und Mindestbetrieb.
  3. Abstimmung mit technischer Wiederherstellung
    Übersetzung fachlicher Anforderungen in technische Maßnahmen, zum Beispiel Restore Verfahren, Failover, DR Tests, Wiederanlaufreihenfolgen.
  4. Übungen, Tests und Review
    Regelmäßige Tests und Übungen, Auswertung von Erkenntnissen, Pflege der Pläne, Nachweise für Audit und Management.

Regulatorik: Warum BCM zunehmend prüfungsrelevant wird

Regulatorische Anforderungen erhöhen den Druck auf nachweisbare Resilienz. Je nach Branche und Unternehmensart spielen unter anderem NIS2, KRITIS Anforderungen, branchenspezifische Aufsichtsvorgaben sowie interne und vertragliche Anforderungen eine Rolle. Gemeinsamer Nenner ist der Erwartungswert, dass Unternehmen nicht nur Schutzmaßnahmen definieren, sondern auch belastbar nachweisen, wie der Betrieb bei Störungen aufrechterhalten und wiederhergestellt wird.

Für ISMS und BCM Verantwortliche bedeutet das: Dokumentation, Testnachweise, klare Verantwortlichkeiten und ein konsistentes Reporting an Management und Prüfer gewinnen deutlich an Bedeutung.

Bei welchen Aufgaben unterstützt ein BCM Tool?

Ein BCM Tool unterstützt den gesamten Lebenszyklus und schafft Konsistenz über Organisationseinheiten hinweg, insbesondere bei vielen Standorten, komplexen Abhängigkeiten oder hohen Audit Anforderungen.

Typische Funktionen eines BCM Tools sind:

  1. BIA Unterstützung
    Strukturierte Erfassung und Bewertung kritischer Prozesse, Abhängigkeiten und tolerierbarer Ausfallzeiten.
  2. Plan und Runbook Management
    Zentrale Pflege von Business Continuity Plänen, Wiederanlaufplänen und Eskalationsplänen inklusive Versionierung, Freigaben und Audit Trail.
  3. Verknüpfung mit IT Wiederherstellung
    Abbildung von RTO und RPO je Service und Zuordnung zu technischen Maßnahmen, Testresultaten und Wiederherstellungsstrategien.
  4. Übungen und Tests
    Planung, Durchführung und nachvollziehbare Dokumentation von Übungen inklusive Maßnahmenverfolgung.
  5. Reporting und Nachweise
    Management Reports, Reifegradübersichten, offene Maßnahmen, Audit Nachweise, Lieferantenstatus.

Welche Lösung passt, hängt von Regulierung, Prozessreife, Integrationsbedarf in GRC und der vorhandenen IT Landschaft ab.

Welche Maßnahmen gibt es zur Sicherstellung eines BCM?

Ein Business Continuity Management (BCM) Tool wie die GRC Softwarelösung von DextraData ist eine zentrale, strukturierende Softwarelösung, mit der die Geschäftskontinuität einer Organisation systematisch geplant, gesteuert, dokumentiert und weiterentwickelt wird.

In der Praxis bedeutet das für Sicherheitsmanager, Berater im Unternehmen, systematisches Arbeiten ohne Excel-Listen, Einzelpläne und manuelle Abstimmung. Teams arbeiten Abteilungsübergreifend in einheitlichen Workflows und können Verantwortungen im Business Continuity Management Tool zuweisen. Die Aufgabenbearbeitung erfolgt dabei unabhängig und auf reproduzierbare Geschäftskontinuitätsziele hin, um schnelle Strategien und Notfallpläne für ihr Unternehmen zu erzielen. 

Ein etabliertes BCM adressiert genau diese Punkte:

  • Kritische Prozesse sind durch eine Business Impact Analyse (BIA) nachvollziehbar priorisiert
  • Wiederanlaufziele sind definiert, dokumentiert und regelmäßig getestet
  • IT-, Notfall- und Krisenpläne sind strukturiert, versioniert und jederzeit abrufbar
  • Lieferanten sind vertraglich und operativ in die Wiederherstellung eingebunden
  • Entscheidungen folgen dokumentierten Workflows statt situativer Ad-hoc-Kommunikation

Damit erfüllt BCM zentrale Anforderungen aus ISO 22301BSI-GrundschutzDORANIS2 sowie aus allgemeinen Grundsätzen ordnungsgemäßer Unternehmensführung.

Praxisbild: BCM bei Ransomware und Systemausfall

Ein Ransomware Ereignis legt zentrale Systeme lahm. Mit etabliertem BCM sind kritische Prozesse priorisiert, RTO und RPO sind bekannt, die Kommunikations und Eskalationswege funktionieren, Wiederanlaufpläne sind getestet und Lieferanten sind eingebunden. Entscheidungen im Krisenteam basieren auf vorab abgestimmten Prioritäten statt auf ad hoc Einschätzungen. Ohne ein Kontinuitätsmanagement entstehen typischerweise unklare Zuständigkeiten, widersprüchliche Prioritäten und Verzögerungen, weil Abhängigkeiten und Wiederanlaufreihenfolgen erst im Ereignisfall mühsam geklärt werden.

Ein Notfall- und Wiederanlaufmanagement verhindert Vorfälle nicht, aber es reduziert die Auswirkungen und die Wiederanlaufzeit, weil Organisation und Technik auf den Ernstfall vorbereitet sind.

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen