Krisen wie Cyberangriffe und Naturkatastrophen können den gesamten Geschäftsbetrieb lahmlegen. Business Continuity Management (BCM) bietet eine Lösung: Es stärkt die Resilienz, verbindet IT-Sicherheit mit anderen Fachbereichen und hält Unternehmen handlungsfähig.
Wenn CISO und CSO ihre Sicherheitsmaßnahmen in die unternehmensweite Resilienzstrategie einbinden, stärken sie nicht nur die Cybersicherheit, sondern auch die Krisenfestigkeit des gesamten Unternehmens.
(Bild: MAY - stock.adobe.com)
Die Konsequenzen sind weitreichend und reichen von Produktionsausfällen über finanzielle Einbußen bis hin zu einem langfristigen Vertrauensverlust bei Kunden und Partnern. Um solchen Risiken effektiv zu begegnen, braucht es einen ganzheitlichen Ansatz, der über die IT-Sicherheit hinausgeht: Hier setzt das Business Continuity Management (BCM) an. Es verbindet die IT-Sicherheit mit anderen Fachbereichen und verbessert die Handlungsfähigkeit in kritischen Situationen signifikant.
Die Liste der potenziellen Risiken wird dabei immer länger. Der AXA Future Risks Report 2023 zeigt, dass Unternehmen in den nächsten fünf bis zehn Jahren mit einer Vielzahl an Bedrohungen rechnen müssen: 60 Prozent der befragten Risikoexperten sehen im Klimawandel eine der größten Gefahren, 53 Prozent nennen Cybersicherheitsrisiken und 36 Prozent geopolitische Instabilität. Auch Energieknappheit sowie Risiken im Zusammenhang mit künstlicher Intelligenz und Datenmissbrauch zählen zu den fünf wichtigsten Risikofaktoren. Eine ähnliche Einschätzung liefert das Weltwirtschaftsforum: 66 Prozent der Experten bewerten extreme Wetterereignisse, 53 Prozent Cybersicherheitsrisiken als die bedeutendsten Auslöser von materiellen Krisen.
Diese Zahlen verdeutlichen die wichtige Rolle von IT und IT-Sicherheit für die Resilienz von Unternehmen. Während etablierte Ansätze wie Incident Response und Disaster Recovery primär auf technische Notfallmaßnahmen abzielen, geht ein Business Continuity Management System (BCMS) deutlich weiter: Es betrachtet sämtliche potenziellen Störungen, die den Geschäftsbetrieb beeinträchtigen könnten, und liefert die Grundlage für eine durchgängig widerstandsfähige Organisation.
Egal, ob Ransomware geschäftskritische Systeme verschlüsselt oder eine Überflutung die Lieferwege abgeschnitten hat: Unternehmen stehen vor der Frage, wie sie weiterarbeiten können. IT-Verantwortliche müssen deshalb nicht nur wissen, welche Systeme unverzichtbar sind und wie diese nach einem Cybervorfall verfügbar gehalten werden können. Darüber hinaus sollten sie sich mit den Risiken für die Business Continuity auseinandersetzen, um zu gewährleisten, dass sie in Krisenfällen sichere und Compliance-konforme Kommunikationskanäle zur Verfügung stellen können.
Insbesondere CSO, CISO, CIO und andere Führungskräfte in der IT- und IT-Sicherheit sollten sich deshalb neben der ISO-Norm 27001, die Informationssicherheitsmanagementsysteme (ISMS) abdeckt, auch mit der Norm ISO 22301 beschäftigen. Diese Norm definiert den Rahmen und Best Practices für ein BCMS, die über technische Systeme hinausgehen.
Sich mit dem Standard zu BCM-Systemen zu beschäftigen, zahlt sich aus: Es unterstützt IT-Verantwortliche dabei, Kolleg:innen aus anderen Fachbereichen gezielt dort abzuholen, wo ihre Fragen zur Business Continuity beginnen, und diese nahtlos mit den eigenen Themen aus der IT-Sicherheit und technischen Risikobewertung zu verknüpfen.
Außerdem stärkt die aktive Mitgestaltung geschäftskritischer Prozesse das Standing von IT-Sicherheitsverantwortlichen. Wer über rein technische Maßnahmen hinaus blickt und die Resilienz des gesamten Unternehmens fördert, wird zu einem unverzichtbaren strategischen Partner auf Managementebene.
Aber wo anfangen? Die Implementierung eines BCMS beginnt mit einer gründlichen Business-Impact-Analyse (BIA). Diese Analyse geht weit über IT- und Sicherheitsressourcen hinaus: Sie umfasst auch kritische Geschäftsprozesse und Abhängigkeiten in Bereichen wie HR, Logistik oder Produktion. IT-Sicherheitsverantwortliche können bei der BIA gezielt ihre Expertise einbringen, indem sie Cybersicherheitsrisiken und deren potenzielle Auswirkungen auf den Geschäftsbetrieb aufzeigen. Das verdeutlicht den Wert der IT-Sicherheit im gesamten Unternehmen und trägt dazu bei, dass die IT- und Cybersicherheit angemessen berücksichtigt werden.
Nach der BIA folgt der Aufbau von Notfallplänen und Wiederherstellungsstrategien. Für die IT und IT-Sicherheit sind dabei nicht nur regelmäßige Backups und getestete Prozesse für die Datenwiederherstellung relevant, sondern auch alternative Kommunikationswege. Denn das sind Kanäle, die idealerweise nie genutzt werden, im Ernstfall müssen diese allerdings genauso sicher und compliant wie die alltäglichen Kommunikationskanäle sein.
Die alternativen Kanäle sollten außerdem klar von der Alltagskommunikation getrennt sein, um in Krisensituationen Verwechslungen und Verzögerungen zu vermeiden. Ein Beispiel: Fällt die IT-Infrastruktur aus, könnte eine speziell eingerichtete Messenger-Gruppe für die Krisenkommunikation zum Einsatz kommen, die von der unternehmenseigenen IT unabhängig ist. Diese Gruppe sollte strikt auf Notfälle beschränkt bleiben, um Fehlkommunikation zu vermeiden. Dadurch ist allen klar: Wenn eine Nachricht in dieser Gruppe erscheint, dann ist das Unternehmen im Krisenmodus.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Am Ende sollten Unternehmen ihr BCMS validieren, um sicherzugehen, dass ihre Prozesse belastbar sind. Ebenso wie eine Zertifizierung nach ISO 27001 ein ISMS validiert, ist eine Zertifizierung nach ISO 22301 für ein BCMS eine Validierung. Die Auditierung durch externe Prüfer erlaubt eine unabhängige Einschätzung, ob die definierten Prozesse und Maßnahmen für den Ernstfall angemessen sind. Und das schafft einen Wettbewerbsvorteil: Unternehmen, die ihre Business Continuity strategisch absichern, sind nicht nur besser auf unerwartete Herausforderungen vorbereitet, sondern erholen sich auch schneller von Krisen.
Ein BCMS ist für IT-Sicherheitsverantwortliche mehr als ein weiteres Aufgabenfeld – es bietet die Chance, ihre strategische Rolle im Unternehmen auszubauen und abteilungsübergreifend Brücken zu schaffen. Wenn CISO und CSO ihre Sicherheitsmaßnahmen in die unternehmensweite Resilienzstrategie einbinden, stärken sie nicht nur die Cybersicherheit, sondern auch die Krisenfestigkeit des gesamten Unternehmens. IT-Sicherheit wird damit zur Grundlage für eine zukunftsfähige Organisation.
Über den Autor: Guido Eggers ist Managing Director und Global Head Center of Excellence „Food and Sustainability” bei der DQS CFS GmbH, Leiter der Zertifizierungsstelle, Qualitätsmanagementbeauftragter, BCM-Auditor und fachlicher Prüfer. Herr Eggers begleitet Unternehmen auf ihrem Weg zu ihren Audits und Assessments rund um Nachhaltigkeits- und Lebensmittelthemen. Bei der DQS hat er seit 2019 verschiedene leitende Position inne. Zuvor war er über 30 Jahren in der Lebensmittelbranche unter anderem für die Qualitätssicherung renommierter Produzenten tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/09/63/096381a460a1833d3dc912b7c4f9776a/0129245099v2.jpeg "Die Sicherheitslücke EUVD-2025-24155 / CVE-2025-38499 im Linux-Kernel, die bereits seit August 2025 im Umlauf ist, wird vom BSI als kritisch eingestuft. Möglicherweise, weil nach wie vor Linux-Distributionen davon betroffen sind. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/df/bc/dfbcc513eacc7711f228d27580aceed5/0129149468v2.jpeg "Ghost Pairing ist eine Phishing-Masche, bei der Cyberkriminelle gefälschte Links nutzen, um an die Telefonnummer des Nutzers zu gelangen und mit dieser unbefugt ein Gerät an dessen WhatsApp-Konto zu koppeln. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/da/f4/daf4ae15cb0048c9f6fc9f6a73e57ae6/0129257890v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/9b/c3/9bc3650365043192ef4509df28ac6859/0129429761v1.jpeg "OpenClaw ging Ende 2025 an den Start und schon mehrere Tausend Nutzer. Doch Malware-verseuchte Skills und Sicherheitslücken riskieren die Sicherheit der User. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/ee/8cee19b883a181d816bba40b67a32c02/0129346728v2.jpeg "KI und Cloud verwandeln physische Sicherheit in eine strategische Geschäftsfunktion, aber 70 Prozent der Unternehmen haben weiterhin Bedenken bei der Implementierung. (Bild: © Strother - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/ee/41ee076f4e68cdbba27e9c6bce24cc26/0129203790v1.jpeg "Power Automate geht weit über einfache Workflow-Erstellung hinaus und verbindet strukturierte Prozesstechnik mit Cloud-Integration und konkreten Mechanismen für zuverlässige Abläufe in Microsoft 365 und hybriden Netzwerken. (Bild: © Kateryna - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c8/9d/c89de9a0515d044c3b323d88a422cc1d/0129257882v2.jpeg "Der Datenschutz in Europa wird derzeit von einer Vielzahl von Faktoren beeinflusst. Dazu zählen rasante Entwicklungen im Bereich der Künstlichen Intelligenz, zunehmende Cyberbedrohungen sowie neue nationale und internationale gesetzliche Rahmenbedingungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b3/1e/b31e791d4c257b0945020420074d287e/0122481168v2.jpeg "Die Sorge vor Extremwettern, Naturkatastrophen und daraus resultierenden Betriebsunterbrechungen steigt in Unternehmen – hinsichtlich des Klimawandels zurecht. (Bild: rfassets - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/5f/095f2b5648373d8fb05aa36a06b33da8/0118951777v2.jpeg "Ein effektiver Krisenstab ist unerlässlich, um Unternehmen vor Cyber-Angriffen zu schützen und gestärkt aus Krisen hervorzugehen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/e2/2de255489b819a58426e3f3f47922c0a/0124528190v1.jpeg "Die Vorbereitung auf einen Cyber-Ernstfall minimiert Ausfallzeiten und verringert somit auch die Schäden innerhalb der Organisation. Zusätzlich schützt man damit Unternehmenswerte wie Kundendaten und IT-Infrastruktur. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/24/a324af2bf7efc04568b882526009f5c5/0128253969v2.jpeg "Die BSI Broschüre unterstützt KMU dabei, Notfallmanagement und BCM verständlich und stufenbasiert aufzubauen, mit Beispielszenarien, Praxistipps und Orientierung für NIS 2 konforme Resilienz. (Bild: gemeinfrei)")