Krisensicher und zukunftsfähig: Business Continuity Management für IT-Entscheider

BCM erhöht die Resilienz von Unternehmen und macht sie langfristig sicherer und attraktiver für Investoren. Welche Faktoren zu einer gelungenen BCM-Strategie gehören und wie neue Bedrohungen BCM immer wichtiger werden lassen, erläutert Gerald Eid, Regional Managing Director DACH von Getronics.

Business Continuity Management (BCM) stärkt Unternehmen gegen IT-Ausfälle und Naturkatastrophen, um Produktion, Logistik und Infrastruktur resilient zu gestalten. Trotzdem setzen weniger als die Hälfte aller Unternehmen auf BCM, wie eine aktuelle Studie zeigt. Selbst bei großen Unternehmen bestehen oft erhebliche Lücken – besonders, wenn es um die Integration von IT, Personal und Infrastruktur in eine umfassende Strategie geht. Es ist an der Zeit für Unternehmen, ihre BCM-Strategie zu prüfen.

Business Continuity Management – Standard oder Extra?

Zu den klassischen Bedrohungen von Produktion, Lieferkette und Prozessen im Unternehmen wie Überschwemmungen und Serverausfällen kommen heute neue Risiken und steigende Anforderungen. Cyber-Angriffe auf Unternehmen nehmen zu und werden immer gezielter und raffinierter. Ein Beispiel sind gezielte Ransomware-Attacken auf Schwachstellen in der Supply Chain – so wird die ganze Lieferkette als Geisel genommen, bis das digitale Lösegeld gezahlt wird und zentrale Server und Daten wieder freigegeben werden.

Geopolitische Spannungen nehmen zu und bedrohen die Zuverlässigkeit von Lieferketten: Grenzschließungen und blockierte Schiffsrouten bedeuten schnell hohe Verluste in Zeit und Ressourcen. Hinzu kommt der Druck von Regulatoren, die auf verpflichtenden Datenschutzbestimmungen und Standards wie ISO 22301 bestehen.

Angesichts der Lage scheint es naheliegend für Unternehmen, sich mit einer Business-Continuity-Strategie absichern zu wollen. Doch mehr als die Hälfte aller befragten Unternehmen hat sich noch nicht eingehend mit BCM befasst. Schließlich gilt die Wahrscheinlichkeit eines Ausfalls als niedrig und potenzielle Kosten werden schnell unterschätzt. Doch ist es dann so weit, können Unternehmen nicht mehr agieren. Für IT-Entscheider und Manager in mittleren und großen Unternehmen ist es entscheidend, Widerstandsfähigkeit und Resilienz strategisch aufzubauen.

BCM-Struktur: Drei Säulen, eine Verantwortung 

Business Continuity Management beschreibt die Fähigkeit eines Unternehmens, essenzielle Funktionen und Prozesse während und nach Störungen aufrechtzuerhalten. Es umfasst die Planung, Implementierung und Optimierung von Maßnahmen, die einen Betrieb sichern.

Im Fokus stehen die drei Säulen: IT-Infrastruktur – Schutz und Wiederherstellung digitaler Prozesse, Mitarbeiter – Vorbereitung und Schulung der Belegschaft, und Standorte – Absicherung physischer Anlagen und deren Betrieb.

Die Verantwortung für BCM liegt in der Regel bei einer Person oder Abteilung, da es alle Kernbereiche eines Unternehmens betrifft. In vielen Unternehmen fällt BCM zunächst in den Zuständigkeitsbereich des Chief Operating Officers (COO), der für die operativen Prozesse verantwortlich ist. Der COO koordiniert, dass BCM-Strategien nicht nur die IT, sondern auch Standorte und Mitarbeiter umfassen. Bei der technischen Umsetzung, etwa für IT-Resilienz und Disaster Recovery, spielt der Chief Technology Officer (CTO) eine Schlüsselrolle.

In größeren Organisationen gibt es oft spezialisierte Rollen wie einen Business Continuity Manager oder einen BCM Officer. Eine wichtige Schnittstelle besteht häufig zum CISO (Chief Information Security Officer), insbesondere im Bereich IT-Sicherheit und Cyber-Resilienz, da viele Bedrohungen heute digitaler Natur sind.

Ganzheitliches System mit IT als Herzstück

Resilienz bedeutet, Krisen nicht nur zu überstehen, sondern sich davon schnell zu erholen und gestärkt hervorzugehen. Für IT-Manager ist es entscheidend, Resilienz durch Planung und eine robuste IT-Infrastruktur sicherzustellen. Der Schlüssel liegt in einem ganzheitlichen Business Continuity Management System (BCMS), das alle Bereiche eines Unternehmens integriert und durch kontinuierliche Optimierung auf neue Bedrohungen angepasst wird.

IT ist das Herzstück jedes modernen Unternehmens und damit die Basis für eine funktionierende Business Continuity Management-Strategie. Eine resiliente IT bedeutet, dass Systeme und Anwendungen nicht nur widerstandsfähig gegenüber Störungen sind, sondern auch schnell und effizient wiederhergestellt werden können. Entscheidend sind dabei folgende Komponenten: 

Sicherheitsmaßnahmen

Moderne Sicherheitsstrategien umfassen robuste Authentifizierungsmechanismen, Zero-Trust-Modelle und die proaktive Überwachung durch SIEM-Systeme (Security Information and Event Management). Durch kontinuierliche Bedrohungserkennung und automatisierte Reaktionssysteme (z. B. SOAR – Security Orchestration, Automation, and Response) werden Angriffe frühzeitig erkannt und abgewehrt.

Ein weiterer kritischer Aspekt ist die Netzwerksicherheit, die durch segmentierte Netzwerke, den Einsatz von Next-Generation Firewalls und regelmäßige Sicherheitsupdates gestärkt wird. Zusätzlich spielen regelmäßige Penetrationstests und Red-Team-Übungen eine Schlüsselrolle, um Schwachstellen zu identifizieren und abzusichern. 

Cloud-Lösungen

Cloud-Infrastrukturen bieten automatische Failover-Mechanismen, die bei einem Ausfall eines Systems den Betrieb nahtlos auf andere Systeme umleiten können. Unternehmen sollten sicherstellen, dass ihre Cloud-Architektur auf Hochverfügbarkeit ausgelegt ist – dazu gehören redundante Datenzentren in verschiedenen Regionen und eine intelligente Lastverteilung. Ein weiterer Schwerpunkt ist die Datenwiederherstellung. Hier sollten regelmäßige Backups und die Nutzung von „Immutable Storage“ integriert werden, um sicherzustellen, dass Daten auch bei Cyberangriffen wie Ransomware geschützt sind. Multi-Cloud-Strategien, die Anbieterabhängigkeiten reduzieren, ermöglichen zudem eine größere Flexibilität und Redundanz. 

Disaster Recovery (DR)

Ein klar definierter Disaster Recovery-Plan ist der Grundpfeiler eines resilienten IT-Systems. Dazu gehört die Erstellung und regelmäßige Überprüfung von Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs), die definieren, wie schnell Systeme wiederhergestellt und wie viel Datenverlust toleriert werden kann. Fortschrittliche DR-Strategien setzen auf automatisierte Wiederherstellungslösungen, die mithilfe von Orchestrierungsplattformen komplexe Wiederherstellungsprozesse innerhalb von Minuten ausführen können. Ein weiteres Schlüsselelement ist das Testen des DR-Plans. Regelmäßige Simulationen, die realistische Szenarien nachstellen (z. B. Cyberangriffe oder großflächige Serverausfälle), sind notwendig, um die Wirksamkeit der Maßnahmen sicherzustellen und kontinuierlich zu verbessern. 

Neben einer modernen IT und geschultem Personal müssen auch physische Standorte überprüft und gesichert werden, um eine erfolgreiche BCM-Strategie zu ermöglichen. Zu den Schlüsselmaßnahmen gehören dabei IoT-Technologien zur Überwachung und Steuerung von Anlagen, redundante Systeme mit Backup-Lösungen und verteilte Standorte, die kritische Prozesse gegen „Single Points of Failure“ absichern.

Fazit: Investition in die Zukunftsfähigkeit

BCM endet nicht mit der Einführung eines Plans. Vielmehr ist es ein Kreislauf aus Analyse, Planung, Umsetzung, Test und Optimierung. Für viele Unternehmen ist die Unterstützung durch externe Berater ein entscheidender Faktor, um maßgeschneiderte und effektive Strategien zu entwickeln.

Ein umfassendes BCMS ist mehr als eine Reaktion auf Risiken. Es ist eine Investition in die Zukunftsfähigkeit und Wettbewerbsstärke eines Unternehmens. Für IT-Entscheider ist die Einführung und Optimierung eines BCMS nicht nur eine Möglichkeit, Störungen zu minimieren, sondern ein entscheidender Beitrag zur Sicherung der Geschäftskontinuität.

Autor: Gerald Eid, Regional Managing Director DACH bei Getronics

---

Bild/Quelle: https://depositphotos.com/de/home.html