Die Business-Impact-Analyse ist Bestandteil des Business-Continuity-Managements. Mit ihr lassen sich die potenziellen Auswirkungen von Störungen oder Unterbrechungen der Geschäftsabläufe ermitteln und bewerten. Die Ergebnisse der Analyse bilden die Basis für Notfallstrategien und Notfallkonzepte.
Das Akronym für Business-Impact-Analyse (Business Impact Analysis) ist BIA. Die Business Impact Analysis ist ein wichtiger Bestandteil des Business-Continuity-Managements (BCM) und unverzichtbar für die Fortsetzung des Geschäftsbetriebs auch unter widrigen Umständen wie bei Notfällen oder Krisen. Bei einer BIA geht es um die Ermittlung und Bewertung der potenziellen Auswirkungen der von bestimmten Ereignissen wie Notfällen, Katastrophen oder Cyberangriffen verursachten Unterbrechungen oder Störungen von Geschäftsabläufen. Unter Berücksichtigung der Abhängigkeiten zwischen den verschiedenen Geschäftsprozessen werden die operativen, die finanziellen und die reputativen Auswirkungen identifiziert und untersucht.
Die Analyse verfolgt einen systematischen, strukturierten Ansatz. Sie hat sowohl explorative als auch planerische Bestandteile. Mithilfe der Ergebnisse einer Business Impact Analysis lassen sich Strategien, Notfallkonzepte und Wiederanlaufpläne entwickeln, um die Auswirkungen von Störungen des Geschäftsbetriebs zu minimieren. Auch Vorgaben wie die maximal tolerierbare Ausfallzeit oder Wiederherstellungsziele für Systeme und Prozesse lassen sich bestimmen. Wiederherstellungsmaßnahmen für besonders kritische Prozesse können priorisiert werden. Die Gesamtwiderstandsfähigkeit eines Unternehmens wird gestärkt. Ein Leitfaden und formale Richtlinien für die Durchführung und Planung einer Business-Impact-Analyse sind unter anderem im ISO-Standard ISO/TS 22317 aufgeführt.
Die Business-Impact-Analyse und der Standard 200-4 des Bundesamts für Sicherheit in der Informationstechnik
Die Business Impact Analysis ist auch ein Bestandteil des BSI-Standards 200-4 (Business Continuity Management). Der Standard befasst sich mit dem Aufbau eines umfassenden Business-Continuity-Management-Systems (BCMS) und setzt sich mit den Aspekten des Notfallmanagements auseinander. In dem mehrere hundert Seiten umfassenden Dokument sind auch die Einzelheiten einer Business-Impact-Analyse beschrieben, mit der kritische Geschäftsprozesse und Ressourcen ermittelt und die Kenngrößen für den Wiederanlauf nach Unterbrechungen bestimmt werden können. Weitere Bestandteile des Standards sind die Durchführung einer Risikoanalyse sowie die Entwicklung eines Notfallkonzepts bestehend aus Notfallvorsorgekonzept und Notfallhandbuch.
Die Ziele einer Business Impact Analysis
Hauptziel einer BIA ist es, dazu beizutragen, dass kritische Geschäftsprozesse auch in Krisensituationen und bei Notfällen fortgeführt werden können. Die Business-Impact-Analyse trägt zur Stärkung der Widerstandsfähigkeit einer Organisation bei. Im Detail sind die Ziele einer BIA folgende:
die kritische Geschäftsprozesse identifizieren
die finanziellen, operativen und reputativen Auswirkungen von disruptiven Ereignissen auf Geschäftsfunktionen ermitteln und besser verstehen
die Abhängigkeiten zwischen Funktionen, Systemen und Prozessen ermitteln und Wechselwirkungen besser verstehen
die Schwachstellen in den Geschäftsabläufen identifizieren
auf Krisensituationen gut vorbereitet sein
Unterstützung bei der Festlegung von Wiederherstellungszielen wie RTO oder RPO und Optimierung der Wiederherstellungsbemühungen
die proaktive Priorisierung von Wiederherstellungsanstrengungen und -ressourcen für eine schnelle und effiziente Wiederaufnahme des Betriebs nach Vorfällen
die Geschäftskontinuität durch geeignete Maßnahmen sicherstellen
die Risiken für den Geschäftsbetrieb minimieren
Eine Abgrenzung zwischen der Business-Impact-Analyse und der Risikobewertung
Sowohl die Business-Impact-Analyse als auch die Risikobewertung sind unverzichtbare Elemente einer Business-Continuity-Planung. Sie lassen sich aber deutlich voneinander abgrenzen. Die BIA erfolgt vor der Risikobewertung und konzentriert sich auf die Ermittlung und Bewertung der Auswirkungen von Vorfällen auf wichtige Geschäftsprozesse. Eine Risikobewertung hingegen hat zum Ziel, mögliche Gefahren wie Naturkatastrophen, Feuer, Cyberangriffe, Ausfall von Personal oder Zulieferern und andere zu erkennen, ihre Eintrittswahrscheinlichkeiten zu ermitteln und die durch die Gefahren hervorgerufenen Risiken zu bewerten. Auf Basis der Risikobewertung und der BIA lassen sich Pläne zur Minimierung der Auswirkungen der erkannten Risiken entwickeln.
Die verschiedenen durchzuführenden Schritte einer Business-Impact-Analyse
Die Durchführung einer Business Impact Analysis erfolgt in mehreren Schritten. Zunächst werden die Ziele und der Umfang der BIA definiert. Anschließend erfolgt die Beschaffung von Informationen durch das Sammeln der für die BIA relevanten Informationen über die vorhandenen Geschäftsabläufe. Das kann beispielsweise durch das Befragen von Mitarbeitern, Geschäftspartnern und Führungskräften erfolgen. Die gesammelten Daten müssen anschließend strukturiert und ausgewertet werden. Es entsteht eine umfassende Übersicht über alle Geschäftsprozesse. Bei der Analyse der Daten sind die Geschäftsprozesse hinsichtlich ihrer Kritikalität zu bewerten und Abhängigkeiten zu ermitteln. Unwichtige Prozesse oder Funktionen können aussortiert werden, wichtige Prozesse oder Funktionen sind zu priorisieren. Im nächsten Schritt sind die materiellen und nicht immateriellen Auswirkungen bei einem Ausfall der als wichtig eingestuften Prozesse oder Funktionen quantitativ und qualitativ zu bestimmen. Die Auswirkungen können in Kategorien wie niedrig, normal, hoch, sehr hoch oder nicht tolerierbar eingeteilt werden. Auf Basis der ermittelten Auswirkungen lassen sich Kennzahlen wie die maximal tolerierbare Ausfallzeit (MTA), Recovery Time Objective (RTO) oder Recovery Point Objective (RPO) festlegen. Alle wichtigen im Rahmen der BIA erhobenen und ermittelten Informationen und die Ergebnisse der Analysen werden in einem BIA-Bericht zusammengefasst, dokumentiert und den Entscheidungsträgern vorgelegt. Der Bericht enthält für jeden Prozess eine Einzelbewertung mit den jeweiligen Störungsauswirkungen, Abhängigkeiten und Priorisierungen. Mit diesen Informationen lassen sich die erforderlichen Maßnahmen und Ressourcen zur Wiederherstellung und schnellstmöglichen Wiederaufnahme nach einer Unterbrechung benennen und festlegen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Durchführung einer BIA ist kein einmaliger Vorgang. Abhängig von der Größe einer Organisation und den dynamischen Veränderungen der Geschäftsabläufe sind die einzelnen Schritte immer wieder neu zu durchlaufen. Die BIA-Ergebnisse und daraus abgeleiteten Maßnahmen und erforderlichen Ressourcen sind regelmäßig zu aktualisieren.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/22/74/2274bfbc57007affa671b848d46ca92f/0121532638v2.jpeg "Das Notfallvorsorgekonzept ist neben dem Notfallhandbuch elementarer Bestandteil eines Notfallkonzepts. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/7c/0a/7c0a1d1b0dc05498f5b040dc90949e12/0121532634v2.jpeg "Ein Notfallkonzept ist ein Leitfaden für systematisches Notfallmanagement mit einer strukturierten Planung zur Bewältigung von Notfällen. (Bild: gemeinfrei)")