Ein Notfallkonzept ist ein strukturierter Plan für ein schnelles und effektives Reagieren auf Notfälle. Es ermöglicht Organisationen, Notfälle zu bewältigen und den Geschäftsbetrieb wiederherzustellen. Nach den BSI-Standards 100-4 und 200-4 besteht ein Notfallkonzept aus Notfallvorsorgekonzept und Notfallhandbuch.
Ein Notfallkonzept ist ein Leitfaden für systematisches Notfallmanagement mit einer strukturierten Planung zur Bewältigung von Notfällen.
Allgemein versteht man unter einem Notfallkonzept einen strukturierten Plan mit organisatorischen und technischen Maßnahmen, die es ermöglichen, schnell und effektiv auf verschiedene Notfallszenarien zu reagieren. Ziel des Notfallkonzepts ist es, Notfallszenarien zu bewältigen, den normalen Geschäftsbetrieb aufrechtzuerhalten oder schnell wiederherzustellen und Schäden für Personen oder Vermögenswerte bestmöglich abzuwenden oder zu minimieren.
Ein Notfallkonzept wird üblicherweise im Rahmen des Notfallmanagements erarbeitet. Um es zu erstellen, sind verschiedene Schritte notwendig. Dazu gehören die Durchführung von Risikoanalysen, die Definition von Verantwortlichkeiten und Kommunikationsplänen, das Beschreiben konkreter Notfallmaßnahmen, die Planung und Bereitstellung von Notfallressourcen und einiges mehr. In regelmäßigen Notfallübungen lässt sich die Wirksamkeit eines Notfallkonzepts prüfen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt im BSI-Standard 100-4 (Notfallmanagement) das Notfallkonzept als Leitfaden zur Erstellung und Umsetzung von Notfallmanagementsystemen. Das systematische Notfallmanagement verbessert die Ausfallsicherheit und betriebliche Sicherheit von Unternehmen oder öffentlichen Institutionen. Der BSI-Standard 100-4 wurde inzwischen durch den Nachfolgestandard 200-4 (Business Continuity Management) ersetzt. Das Notfallkonzept wird dort auch als BC-Konzept bezeichnet.
Ein Notfallkonzept wird im Rahmen des Notfallmanagements entwickelt. Das Notfallmanagement ist eine Komponente der IT-Sicherheitsstrategie. Ziel des Notfallmanagements ist es, die für eine Organisation kritischen Geschäftsprozesse in Notfallsituationen aufrechtzuerhalten oder wiederherzustellen. Schäden durch Notfälle können durch ein effektives Notfallmanagement minimiert werden. Das Notfallmanagement umfasst sowohl präventive Maßnahmen zur Notfallvorsorge als auch Pläne mit konkreten Maßnahmen und Handlungsanweisungen zur Bewältigung von Notfallszenarien und zur Aufrechterhaltung oder Wiederherstellung der kritischen Geschäftsprozesse.
Die kritischen Geschäftsprozesse und möglichen Risiken werden im Rahmen des Notfallmanagements in einer Business-Impact-Analyse identifiziert und bewertet. Seitens des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde für das IT-Notfallmanagement der Standard 100-4 entwickelt. Er umfasst unter anderem die Notfallvorsorge, die Notfallbewältigung und die kontinuierliche Verbesserung durch regelmäßige Überprüfung und Anpassung des Notfallmanagements. Mittlerweile ersetzt der Nachfolgestandard 200-4 den BSI-Standard 100-4. Im Mittelpunkt der BSI-Standards stehen Notfälle und nicht Krisen. Als Notfälle sind Störungen definiert, die Unterbrechungen oder Einschränkungen der Geschäftstätigkeit verursachen, die sich aber durch entsprechend vorbereitete Notfallpläne behandeln lassen. Bei Krisen und Katastrophen ist ein flexibles Handeln notwendig, da sie unter Umständen nicht durch die vorbereiteten Pläne zu bewältigen sind. Neben dem Notfallmanagement gibt es daher auch ein Krisenmanagement, das speziell auf die Bewältigung von Krisensituationen ausgerichtet ist. Entsprechende Vorgaben zur Einrichtung eines Krisenstabs und zur Krisenkommunikation sowie zu den Beziehungen zwischen Notfall- und Krisenmanagement sind vonseiten der BSI-Standards ebenfalls vorgesehen.
Das Notfallkonzept nach BSI-Standard 100-4 beziehungsweise 200-4
Die BSI-Standards 100-4 und 200-4 sehen konkrete Vorgaben für ein Notfallkonzept (auch Business-Continuity-Konzept oder BC-Konzept) vor. Nach den BSI-Standards ist das Notfallkonzept ein ganzheitlicher Ansatz für ein umfassendes und proaktives Notfallmanagement. Der Standard zeigt einen systematischen Weg, ein wirksames Notfallmanagement in einer Organisation aufzubauen und zu implementieren.
Ein Notfallkonzept besteht aus zwei Elementen: einem Notfallvorsorgekonzept und einem Notfallhandbuch (BC-Plans). In den BSI-Standards sind entsprechende Mustergliederungen für die zu erstellenden Dokumente vorgesehen. Im Folgenden wird näher auf die beiden Kernelemente Notfallvorsorgekonzept und Notfallhandbuch eingegangen.
Das Notfallvorsorgekonzept
Das Notfallvorsorgekonzept umfasst den präventiven Schutz gegenüber Notfällen und ihren Folgen. Es sind die infrastrukturellen, technischen, organisatorischen und personellen Aspekte, Maßnahmen und Tätigkeiten beschrieben, die zur präventiven Vorsorge und nicht zur direkten Bewältigung von Notfällen beitragen. Das Notfallvorsorgekonzept identifiziert kritische Geschäftsprozesse und Ressourcen, analysiert potenzielle Risiken und bildet die Grundlage zur Umsetzung von Notfallvorsorge- und Kontinuitätsstrategien. Für ein Notfallvorsorgekonzept ist unter anderem zu beantworten, wie das Eintreten von Notfällen oder Krisen erschwert oder verhindert werden kann, wie kritische Szenarien für ein schnelles Reagieren erkannt werden können oder wie Geschäftsprozesse für einen Notbetrieb aussehen sollen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zu den Inhalten des Notfallvorsorgekonzepts zählen zum Beispiel:
Definition der Ziele, Zuständigkeiten, Kompetenzen und Abläufe der Notfallvorsorge
Identifizierung der kritischen Geschäftsprozesse und möglichen Risiken
vorbeugende technische und organisatorische Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit von Risiken
technische und organisatorische Maßnahmen zur Verbesserung der Widerstandsfähigkeit der Geschäftsprozesse
Maßnahmen zur Verankerung des Notfallmanagements in der Kultur einer Organisation
Maßnahmen zur Sensibilisierung und Schulung der Mitarbeiter
Planungen zur Überprüfung und Optimierung des Notfallmanagements
In einem Notfallhandbuch sind die konkreten Maßnahmen und Handlungsanweisungen für einen eingetretenen Notfall oder eine krisenhafte Situation strukturiert aufgeführt. Das Notfallhandbuch vereint alle für die Bewältigung eines Notfalls benötigten weiteren Dokumente. Zu diesen Dokumenten zählen zum Beispiel Geschäftsfortführungspläne mit den notwendigen Handlungsschritten zur Wiederherstellung der Geschäftsprozesse, Wiederanlaufpläne mit den Handlungsschritten zur Wiederherstellung oder zum Wiederanlauf wichtiger Ressourcen, Pläne für die Einleitung von Sofortmaßnahmen zum Schutz der Sicherheit und Unversehrtheit beteiligter Personen, Krisenstabsleitfaden mit der Beschreibung der Organisationsstruktur im Krisenfall und Krisenkommunikationspläne für die Kommunikation mit Mitarbeitern, Partnern, der Öffentlichkeit oder anderen Zielgruppen in Krisensituationen. Aufgebaut ist das Notfallhandbuch so, dass die notwendigen Maßnahmen und Handlungsanweisungen schnell zu finden und eindeutig sind.
Die erforderlichen Planungsschritte zur Erstellung eines Notfallkonzepts
Die Basis zur Erstellung eines Notfallkonzepts bildet die Durchführung einer Business-Impact-Analyse. Mithilfe dieser Analyse lassen sich die in einem Notfall oder in einer Krise für eine Organisation überlebensnotwendigen, kritischen Geschäftsprozesse und Ressourcen ermitteln. Auch die Kenngrößen für den Wiederanlauf der kritischen Prozesse nach Unterbrechungen werden bestimmt. Eine Risikoanalyse untersucht die möglichen Risiken, denen die zuvor ermittelten kritischen Prozesse und Ressourcen ausgesetzt sind. Auf Basis der gewonnenen Ergebnisse wird entschieden, wie auf die Risiken und Gefährdungen zu reagieren ist. Daraus abgeleitet entsteht eine Kontinuitätsstrategie. Sie bildet den Rahmen für die im Notfallkonzept umzusetzenden Notfallvorsorge- und Notfallbewältigungsmaßnahmen. Nicht vernachlässigt werden dürfen in Notfallsituationen die Aspekte der Sicherheit von Personen oder die Einhaltung gesetzlicher Datenschutzanforderungen. Bei der Anfertigung eines Notfallkonzepts ist daher auch mit Instanzen zusammenzuarbeiten, die sich mit diesen Fragen befassen.
Die Verantwortung für die Entwicklung eines Notfallkonzepts liegt beim Notfallbeauftragten, auch als BC-Beauftragter, Business-Continuity- oder Notfall-Manager bezeichnet. Er koordiniert die dafür notwendigen Aktivitäten und Tätigkeiten. Darüber hinaus hat er die Befugnis, die entsprechend ihrem Know-how und ihrer Tätigkeit notwendigen Mitarbeiter für die Entwicklung des Notfallkonzepts hinzuzuziehen. Das Konzept wird von der Management- oder Leitungsebene verabschiedet und freigegeben. Grundsätzlich sind das Notfallkonzept und die darin enthaltenen Informationen vertraulich und nur einem definierten Verteilerkreis zugänglich. Am Notfallmanagement und an der Notfallvorsorge und Notfallbewältigung beteiligte Personen erhalten Zugriff auf das Konzept beziehungsweise auf die für sie relevanten Pläne und Informationen.
Die Erstellung eines Notfallkonzepts ist kein einmaliger Vorgang. Aufgrund der kontinuierlichen Veränderungen, denen die Geschäftsprozesse und auch die zugeordneten Risiken unterliegen, ist es regelmäßig zu überprüfen und zu aktualisieren. Dabei ist auch zu prüfen, ob sich gegebenenfalls die gesetzlichen Rahmenbedingungen verändert haben.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/6e/17/6e171aabbfc3cd67a46c6cb6e037ba64/0112930514.jpeg "Institutionen sind einer stetig wachsenden Gefährdungslage ausgesetzt, die zu einer existenzbedrohenden Unterbrechung des Geschäftsbetriebes führen kann. Der BSI-Standard 200-4 BCM hilft, sich bestmöglich auf Schadensereignisse jeglicher Art vorzubereiten und trägt somit zu ganzheitlicher organisatorischer Resilienz bei. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1638000/1638046/original.jpg "Der IT-Grundschutz und die BSI-Standards stellen einen guten Leitfaden für alle Unternehmen dar, die ihre IT-Sicherheit verbessern wollen. (BSI)")
:quality(80)/images.vogel.de/vogelonline/bdb/1604200/1604224/original.jpg "Auch wenn der neue BSI-Standard 200-4 noch etwas auf sich warten lässt, ist das kein Grund, nicht bereits mit den Vorbereitungen für das eigene Notfallmanagement und Business Continuity Management (BCM) zu starten. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/22/74/2274bfbc57007affa671b848d46ca92f/0121532638v2.jpeg "Das Notfallvorsorgekonzept ist neben dem Notfallhandbuch elementarer Bestandteil eines Notfallkonzepts. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f6/8d/f68d29fd9f8f1c03c1c4f5a3091df96b/0121532641v2.jpeg "Ein Notfallhandbuch ist ein elementarer Bestandteil eines Notfallkonzepts. Es beinhaltet konkrete Handlungsanleitungen zur Bewältigung von Notfällen. (Bild: gemeinfrei)")