BAllgemein

Business Continuity Plan (BCP) – IT

Plan für Weiterbetrieb bei Störung: Prioritäten, Ersatzprozesse, Wiederanlauf.

Ein Business Continuity Plan (BCP) – IT ist ein dokumentierter Notfall- und Wiederanlaufplan, der sicherstellt, dass kritische IT-Services und Geschäftsprozesse bei Störungen (z. B. Cyberangriff, Serverausfall, Stromausfall) weiterlaufen oder innerhalb definierter Zeiten wiederhergestellt werden. Er legt Prioritäten, Verantwortlichkeiten, Ersatzprozesse und konkrete Schritte fest, damit ein Unternehmen handlungsfähig bleibt und Schäden begrenzt.

Was bedeutet BCP in der IT?

BCP steht für „Business Continuity Plan“ (Plan zur Aufrechterhaltung des Geschäftsbetriebs). In der IT bezieht sich das besonders auf Systeme wie E-Mail, ERP/FiBu, Onlineshop, Ticketsystem, Telefonie/VoIP, Dateiablagen, Identitäts- und Zugriffsverwaltung sowie Cloud-Dienste. Für KMU ist ein BCP oft der Unterschied zwischen „ein paar Stunden Ausfall“ und „mehrtägigem Stillstand“ mit Umsatz- und Reputationsverlust.

Wie funktioniert ein IT-BCP in der Praxis?

  • 1) Kritische Prozesse & Systeme identifizieren: Was muss zwingend funktionieren (z. B. Rechnungsstellung, Kundenkommunikation, Produktion)?
  • 2) Impact-Analyse & Priorisierung (BIA): Welche Folgen hat ein Ausfall nach 2, 8 oder 48 Stunden? Daraus ergeben sich Prioritäten.
  • 3) Zielwerte festlegen: Typisch sind RTO (max. Wiederherstellungszeit) und RPO (max. Datenverlust in Zeit). Beispiel: E-Mail RTO 8h, RPO 1h.
  • 4) Maßnahmen & Ersatzprozesse definieren: z. B. Ausweich-Internet, Ersatz-Laptops, Notfall-Admin-Konten, Offline-Checklisten, manuelle Auftragsannahme.
  • 5) Wiederanlaufpläne je System: Schrittfolge „Restore/Failover“, Abhängigkeiten (DNS, Identität, Datenbank), Validierung, Freigabe zur Produktivnahme.
  • 6) Kommunikation & Rollen: Wer entscheidet was? Interne Info, Kundeninfo, Dienstleister, ggf. Behörden/Versicherung.
  • 7) Tests & Pflege: Regelmäßige Übungen (Tabletop, Restore-Test), Aktualisierung bei Systemwechseln, neuen Dienstleistern oder nach Incidents.

Typische Inhalte eines BCP (IT) für KMU

  • Kontakt- und Eskalationsliste: IT-Dienstleister, Cloud-Provider, Internetanbieter, Schlüsselpersonen, Vertretungen.
  • Systeminventar: Welche Dienste gibt es, wo laufen sie (On-Prem/Cloud), wer administriert sie, welche Zugänge sind nötig.
  • Backup- & Restore-Konzept: Backup-Häufigkeit, Aufbewahrung, Offline/Immutable-Backups, Restore-Anleitung, Testprotokolle.
  • Fallback-Strategien: z. B. Umleitung auf Notfall-Mailbox, temporäre Landingpage statt Shop, Ausweich-CRM.
  • Checklisten: „Ransomware-Verdacht“, „Cloud-Ausfall“, „Laptop-Diebstahl“, „Stromausfall“ – mit Sofortmaßnahmen.

Warum ist ein IT-BCP wichtig (IT-Sicherheit & Recht)?

Ein BCP reduziert Ausfallzeiten, begrenzt Datenverlust und hilft, in Krisen strukturiert zu reagieren. Aus DSGVO-Sicht ist relevant, dass Unternehmen „geeignete technische und organisatorische Maßnahmen“ umsetzen müssen (Art. 32 DSGVO). Dazu zählen auch Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit und regelmäßige Überprüfung von Maßnahmen. Ein gelebter BCP unterstützt diese Anforderungen, insbesondere wenn personenbezogene Daten in kritischen Systemen verarbeitet werden.

Wichtig: Ein BCP ersetzt keinen Incident-Response-Plan, sondern ergänzt ihn. Incident Response fokussiert auf Erkennung/Eindämmung (z. B. bei Angriffen), BCP auf Weiterbetrieb und Wiederanlauf. In modernen Umgebungen (z. B. KI-gestützte Workflows mit Automatisierung (Automation)) sollte der BCP auch Abhängigkeiten von SaaS-Tools, Identitätsdiensten und Integrationen berücksichtigen.

Beispiel aus dem KMU-Alltag

Ein Handwerksbetrieb kann bei Ausfall des Servers nicht mehr auf Auftragsdaten zugreifen. Der BCP legt fest: (1) Auftragsannahme über vorbereitete Papierformulare/Excel-Notfallliste, (2) Zugriff auf Cloud-Backup über separaten Admin-Account, (3) Wiederherstellung der wichtigsten Freigaben innerhalb von 6 Stunden, (4) Kundenkommunikation über definierte Vorlagen, (5) Nachpflege der Daten nach Wiederanlauf.