Business Continuity Management für KMU – So sichern Sie Ihren Geschäftsbetrieb

Inhalt in Kürze

• Business Continuity Management (BCM) ist seit dem NIS2-Umsetzungsgesetz (§30 BSIG, in Kraft seit 06.12.2025) eine gesetzliche Pflicht für rund 29.500 Unternehmen in Deutschland.
• 80 % der KMU haben laut Bitkom keinen dokumentierten Notfallplan -- obwohl eine Stunde Ausfall 5.000 bis 10.000 Euro kostet.
• Ein praxistauglicher BCM-Plan lässt sich in 6 Schritten aufbauen -- orientiert am BSI-Standard 200-4.
• BCM schützt nicht nur vor Bußgeldern, sondern sichert Kundenverträge, Lieferketten und die persönliche Haftung der Geschäftsführung.

Montagmorgen, 7:15 Uhr. Ihr ERP-System startet nicht. Die Telefonanlage ist stumm. Ein Blick auf den Server: Ransomware. Ihre 85 Mitarbeiter stehen vor verschlossenen Bildschirmen. Wer übernimmt jetzt? Welche Systeme haben Priorität? Wie lange können Sie ohne Auftragsbearbeitung überleben?

Unternehmen, die diese Fragen beantworten können, haben ein Business Continuity Management. Alle anderen improvisieren -- und zahlen dafür. Der Unterschied zwischen einem Ausfall von Stunden und einem Ausfall von Wochen liegt in der Vorbereitung.

Was ist Business Continuity Management? BCM und Notfallmanagement im Überblick

Business Continuity Management ist der systematische Ansatz, Ihren Geschäftsbetrieb bei Störungen aufrechtzuerhalten und die Resilienz Ihres Unternehmens zu stärken. Kein 200-Seiten-Dokument für die Schublade, sondern ein lebendiger Prozess: kritische Geschäftsprozesse identifizieren, Ausfallszenarien durchspielen, Wiederanlaufpläne bereithalten. Ziel ist ein funktionierendes Business Continuity Management System (BCMS) -- also ein strukturiertes Notfallmanagement, das im Ernstfall greift.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem BSI-Standard 200-4 einen Leitfaden veröffentlicht, der drei Reifegrade für die Implementierung definiert:

1. Reaktiv -- Notfallkontakte und Sofortmaßnahmen existieren. Besser als nichts.
2. Aufbauend -- Kritische Geschäftsprozesse sind analysiert, Wiederanlaufpläne dokumentiert.
3. Standardisiert -- Das BCMS ist in die Unternehmensführung integriert und wird regelmäßig getestet.

Für mittelständische Unternehmen (KMU) ist die Stufe "aufbauend" ein realistisches und sinnvolles Ziel. Die meisten starten allerdings bei null.

International orientiert sich BCM an der ISO 22301 -- dem weltweit anerkannten Standard für Business Continuity Management Systems. Wer zusätzlich ein Informationssicherheits-Managementsystem nach ISO 27001 betreibt, kann BCM nahtlos integrieren. Der BSI-Standard 200-4 ist kompatibel mit beiden ISO-Normen und bietet KMU einen praxisnahen Einstieg.

BCM als NIS2-Pflicht: Warum KMU jetzt handeln müssen

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. §30 BSIG nennt "Aufrechterhaltung des Betriebs" als eine der Pflichtmaßnahmen -- konkret: Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement. Die Sicherstellung eines funktionierenden Notfallmanagements ist damit gesetzlich verankert.

Das betrifft rund 29.500 Unternehmen in Deutschland: ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in kritischen Sektoren. Aber auch kleinere Unternehmen geraten über die Lieferkette unter Druck. Großkunden fragen: "Haben Sie einen BCM-Plan?" Ohne Antwort gibt es keinen Vertrag.

Besonders brisant: Geschäftsführer haften unter NIS2 persönlich. Business Continuity Management gehört auf die Agenda der Geschäftsleitung -- nicht in die IT-Abteilung.

Business Continuity Plan erstellen: BCM-Implementierung in 6 Schritten nach BSI-Standard 200-4

Ein BCM-Plan für KMU muss nicht perfekt sein -- er muss funktionieren. Diese 6 Schritte orientieren sich am BSI-Standard 200-4 und lassen sich auch mit begrenzten Ressourcen systematisch umsetzen.

1. Kritische Geschäftsprozesse identifizieren (BIA): Welche Abläufe halten Ihr Unternehmen am Laufen? Auftragsbearbeitung, Produktion, Kundenkommunikation? Listen Sie alle Prozesse auf und bewerten Sie, wie lange ein Ausfall tolerierbar ist. Das Ergebnis ist Ihre Business Impact Analyse -- die Grundlage jedes BCMS.
2. RTO und RPO festlegen: Für jeden kritischen Prozess definieren Sie zwei Kennzahlen: die maximale Ausfallzeit (RTO) und den maximalen Datenverlust (RPO). Ein ERP-System braucht vielleicht ein RTO von 4 Stunden. Eine Archiv-Datenbank verträgt 24 Stunden.
3. Risiken und Szenarien bewerten: Was kann Ihre Prozesse lahmlegen? Ransomware, Stromausfall, Lieferantenausfall, Wasserschaden? Bewerten Sie Eintrittswahrscheinlichkeit und Schadenshöhe. Konzentrieren Sie sich auf die drei bis fünf wahrscheinlichsten Szenarien.
4. Notfallplan dokumentieren: Halten Sie in Ihren Notfallplänen schriftlich fest: Zweck, Geltungsbereich, Rollen und Zuständigkeiten, Kommunikationskanäle, Aktivierungskriterien, Wiederherstellungsreihenfolge und benötigte Ressourcen. Drucken Sie den Plan aus -- wenn der Server bei einem Cyberangriff verschlüsselt ist, hilft ein PDF auf dem Server nicht.
5. Wiederanlaufpläne erstellen: Für jedes kritische System: Wie wird es wiederhergestellt? Wo liegen die Backups? Wer hat Zugangsdaten? Erstellen Sie eine Wiederherstellungsreihenfolge nach Priorität. Das IT-Sicherheitskonzept liefert die Grundlage dafür.
6. Testen und verbessern: Ein Plan, der nie getestet wurde, ist keiner. Führen Sie mindestens einmal jährlich eine Notfallübung durch. Simulieren Sie ein Szenario, messen Sie die Reaktionszeit und dokumentieren Sie Schwachstellen. Die Implementierung ist erst dann abgeschlossen, wenn der Plan unter realen Bedingungen funktioniert. Danach anpassen und die Resilienz schrittweise erhöhen.

BCM in der Praxis: Notfallmanagement für mittelständische Unternehmen

Fünf Tage vor der TÜV-Rezertifizierung ISO 9001 kam die E-Mail: Können Sie uns helfen? Zum Glück lag das Wochenende dazwischen. Der Auditor war am Ende begeistert.

Nils OehmichenDatenschutzberater bei frag.hugo

Der Fall zeigt zwei Dinge: Erstens -- viele Unternehmen schieben die Implementierung von BCM bis zur letzten Minute auf. Zweitens -- ein strukturierter Ansatz lässt sich auch unter Zeitdruck umsetzen. Aber das ist die Ausnahme. Wer erst beim Audit merkt, dass kein Notfallplan existiert, hat Glück, wenn noch ein Wochenende dazwischenliegt. Die Sicherstellung der Betriebskontinuität sollte nicht von Glück abhängen.

RTO und RPO: Die zwei Kennzahlen im Business Continuity Management

RTO und RPO sind das Herzstück jedes BCM-Plans. Sie bestimmen, wie schnell Sie im Ernstfall reagieren müssen und wie viel Datenverlust akzeptabel ist. Ohne diese Kennzahlen fehlt Ihrem Notfallmanagement die Grundlage zur Priorisierung bei Ausfallzeiten.

Die Werte sind Richtwerte. Passen Sie sie an Ihr Unternehmen an. Ein Handwerksbetrieb hat andere Anforderungen als ein Online-Händler.

Lesetipp: Dieses Thema wird in unserem kostenlosen E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand" (47 Seiten, 2026-Edition) ausführlich behandelt. Jetzt herunterladen →

BCM nach BSI-Standard 200-4: Die drei Reifegrade im Detail

Der BSI-Standard 200-4 definiert drei Reifegrade für die Implementierung von Business Continuity Management. Das Modell hilft KMU, den eigenen Standort realistisch einzuschätzen und den nächsten Schritt zu planen.

Reaktiv -- der Einstieg. Notfallkontakte stehen auf einer Liste, vielleicht sogar auf Papier. Es gibt grundlegende Handlungsanweisungen für die häufigsten Störfälle. Reaktion erfolgt ad hoc. Besser als nichts -- aber kein systematisches Notfallmanagement. Viele KMU befinden sich auf dieser Stufe, ohne es zu wissen.

Aufbauend -- der Praxisstandard. Auf dieser Stufe existiert eine dokumentierte Business Impact Analyse. Kritische Geschäftsprozesse sind identifiziert, Ausfallzeiten bewertet, Notfallpläne schriftlich festgehalten. Erste Tests finden statt. Das BCM ist kein Papierkonzept mehr, sondern ein funktionierendes System. Für mittelständische Unternehmen ist diese Stufe das Ziel.

Standard -- das vollständige BCMS. Ein Business Continuity Management System nach ISO 22301 ist in die Unternehmensführung integriert. Regelmäßige Übungen, kontinuierliche Verbesserung, externe Audits. Diese Stufe lohnt sich für Unternehmen mit hohen Anforderungen an Resilienz -- etwa in regulierten Branchen oder bei Zertifizierung nach ISO 27001.

Empfehlung für KMU: Starten Sie reaktiv, aber planen Sie den Übergang zur aufbauenden Stufe innerhalb von 12 Monaten. Der Aufwand ist überschaubar: Eine BIA, dokumentierte Notfallpläne und ein erster Testlauf reichen, um den Reifegrad systematisch zu erhöhen.

Business Impact Analyse (BIA): Kritische Geschäftsprozesse identifizieren

Die Business Impact Analyse ist das Fundament jedes BCM. Ohne BIA fehlt Ihrem Notfallmanagement die Priorität: Welche Geschäftsprozesse müssen zuerst wiederhergestellt werden? Was darf ausfallen -- und wie lange?

Was ist eine BIA? Eine systematische Bewertung aller Geschäftsprozesse nach ihrer Bedeutung für den Geschäftsbetrieb. Sie ermitteln, welche Prozesse kritisch sind, welche Ausfallzeiten tolerierbar sind und welche Kosten bei einem Ausfall entstehen. Die BIA liefert die Datenbasis für Ihren gesamten BCM-Plan.

So führen Sie eine BIA durch:

1. Geschäftsprozesse auflisten. Erfassen Sie alle wesentlichen Abläufe: Auftragsbearbeitung, Produktion, Kundenservice, Buchhaltung, IT-Betrieb, Logistik.
2. Kritikalität bewerten. Welche Prozesse müssen innerhalb von Stunden laufen? Welche können einen Tag warten? Welche eine Woche?
3. Ausfallkosten berechnen. Pro Prozess: entgangener Umsatz, Vertragsstrafen, Produktivitätsverlust, Reputationsschaden.
4. Abhängigkeiten dokumentieren. Welche IT-Systeme, Dienstleister und Ressourcen stehen hinter jedem Prozess?
5. Maßnahmen ableiten. Für jeden kritischen Prozess: Backup-Strategie, Ausweichstandort, manuelle Überbrückung.

Die BIA ist kein einmaliges Projekt. Aktualisieren Sie sie jährlich oder nach wesentlichen Änderungen an Ihren Geschäftsprozessen -- etwa nach einer Einführung neuer Software, einem Standortwechsel oder einer Umstrukturierung.

BCM-Übungen und Tests: Resilienz systematisch aufbauen

Ein Notfallplan, der nie getestet wurde, ist ein Risiko. Er vermittelt Sicherheit, die nicht existiert. Erst der Ernstfall zeigt, ob Ihre Wiederanlaufpläne funktionieren -- und dann ist es zu spät für Korrekturen. BCM-Übungen schließen diese Lücke.

Das NIS2-Umsetzungsgesetz fordert regelmäßige Tests der Notfallpläne. Wer darauf verzichtet, riskiert nicht nur längere Ausfallzeiten im Ernstfall, sondern auch Bußgelder und persönliche Haftung der Geschäftsführung.

Drei Übungstypen für KMU

Tabletop-Übung. Das Krisenstab-Team sitzt am Tisch und geht ein Szenario verbal durch. "Ransomware hat den Fileserver verschlüsselt -- was tun wir?" Dauer: 1 bis 2 Stunden. Kosten: praktisch null. Ergebnis: Lücken in Zuständigkeiten und Kommunikationsketten werden sichtbar. Für die meisten KMU ist das der beste Einstieg.

Simulation. Einzelne Systeme werden gezielt abgeschaltet oder isoliert. Das IT-Team stellt das ERP-System aus dem Backup wieder her, während der Betrieb weiterläuft. Dauer: halber Tag. Ergebnis: Sie messen reale Wiederherstellungszeiten und prüfen, ob Ihr RTO haltbar ist.

Full-Scale-Test. Ein vollständiges Ausfallszenario wird durchgespielt: Server down, Kommunikation gestört, Krisenstab aktiviert. Alle Abteilungen sind beteiligt. Dauer: ein bis zwei Tage. Ergebnis: Die Widerstandsfähigkeit Ihres gesamten Business Continuity Management Systems wird unter realen Bedingungen geprüft.

Empfehlung: Führen Sie mindestens einmal jährlich eine Tabletop-Übung durch. Alle zwei Jahre empfiehlt sich eine Simulation oder ein Full-Scale-Test. Dokumentieren Sie nach jeder Übung die Erkenntnisse und passen Sie Ihre Notfallpläne an. So verbessern Sie die Implementierung Ihres BCM kontinuierlich und stärken die Resilienz Ihres Unternehmens systematisch.

BCM, Incident Response und ISO 22301: Standards für Ihre Widerstandsfähigkeit

BCM und Incident Response ergänzen sich. Incident Response beantwortet die Frage: "Was tun wir in den ersten 72 Stunden nach einem Vorfall?" Business Continuity Management beantwortet die Frage: "Wie halten wir den Geschäftsbetrieb aufrecht, während wir den Vorfall bewältigen?"

Ohne ein funktionierendes BCMS fehlt dem Incident-Response-Team die Grundlage: Welche Systeme haben Priorität? Welche Geschäftsprozesse müssen zuerst wiederhergestellt werden? Wie kommunizieren wir mit Kunden, wenn die E-Mail ausfällt?

Die Notfallplanung verbindet beide Bereiche. Sie definiert die konkreten Handlungsanweisungen, die im Ernstfall greifen. Wer sein BCM systematisch nach ISO 22301 oder BSI-Standard 200-4 aufbaut, stärkt die Widerstandsfähigkeit des gesamten Unternehmens -- und erfüllt gleichzeitig die Anforderungen an ein Continuity Management System nach internationalem Standard.

Häufige Fragen (FAQ)

Was ist Business Continuity Management einfach erklärt?

Business Continuity Management (BCM) ist ein systematischer Ansatz, um den Geschäftsbetrieb bei Störungen aufrechtzuerhalten. Es umfasst die Identifikation kritischer Prozesse, die Erstellung von Notfallplänen und regelmäßige Tests -- damit Ihr Unternehmen auch bei Cyberangriffen, Stromausfällen oder Lieferengpässen handlungsfähig bleibt.

Ist BCM für KMU gesetzlich vorgeschrieben?

Ja, für viele KMU. Das NIS2-Umsetzungsgesetz fordert in §30 BSIG ausdrücklich die "Aufrechterhaltung des Betriebs". Auch die DSGVO verlangt in Art. 32 die Fähigkeit, Systeme nach einem Vorfall rasch wiederherzustellen. Geschäftsführer haften unter NIS2 persönlich.

Was kostet eine Stunde Betriebsausfall ein KMU?

Je nach Branche und Unternehmensgröße liegen die Ausfallkosten bei 5.000 bis 10.000 Euro pro Stunde. Darin enthalten sind Produktivitätsverlust, entgangene Umsätze, Vertragsstrafen und Reputationsschäden.

Was ist der Unterschied zwischen RTO und RPO?

RTO (Recovery Time Objective) ist die maximale Ausfallzeit, die ein System toleriert, bis es wiederhergestellt sein muss. RPO (Recovery Point Objective) ist der maximale Datenverlust in Stunden -- also wie alt das letzte Backup sein darf. Beide Werte definieren Sie pro System individuell.

Welchen Standard gibt es für BCM in Deutschland?

Der BSI-Standard 200-4 ist die deutsche Referenz für Business Continuity Management. Das BSI bietet zudem eine kostenlose Broschüre "Einstieg ins BCM für KMU" mit einem 3-Stufen-Modell: reaktiv, aufbauend und standardisiert. International gilt die ISO 22301 als Standard für Continuity Management Systems.