Zum Hauptinhalt springen
30 Oktober 2025

BCM-Strategie: Ziele und Elemente der Business Continuity Strategie

Inhaltsverzeichnis

Isometrische BCM-Visualisierung mit vier Säulen, vernetzten Servern, Gebäuden, Personen und Kettenglied als Resilienz-Symbol.

Wie reagiert Ihr Unternehmen, wenn das Unerwartete eintritt? 

Was passiert, wenn ein kritisches IT-System, das Hauptgebäude oder ein Schlüsselpartner plötzlich ausfällt? Wie lange könnten Sie den Betrieb aufrechterhalten, ohne dass der Schaden existenzbedrohend wird? 

Diese Fragen führen direkt zum Kern einer wirksamen BCM-Strategie (Business Continuity Management Strategie). Sie legt fest, wie ein Unternehmen auf Notfälle reagiert, welche Risiken akzeptiert oder vermieden werden und welche Massnahmen sicherstellen, dass geschäftskritische Prozesse auch im Ausnahmefall funktionieren. 

Als Berater, der seit über 35 Jahren mit Business- und IT Service Continuity Management arbeitet, sehe ich: Unternehmen, die ihre BCM-Strategie bewusst und strukturiert entwickeln, sind im Ernstfall klar im Vorteil. Sie wissen, was zu tun ist – und wer es tut. 

Blogserie: Business Continuity Management

Dieser Blogartikel ist der Leitartikel einer mehrteiligen Serie der sich an Entscheidungsträger und Fachverantwortliche aus BCM, Risikomanagement, IT und anderen Unternehmensbereichen richtet. Es gibt einen Überblick, wie die einzelnen Elemente des Business Continuity Management Systems aufgebaut sind und gemeinsam zur Stärkung resilienter Geschäftsprozesse beitragen.

Dies ist Teil 4 von 9 der Serie über Business Continuity Management.

Teil 1: Der Aufbau eines Business Continuity Management Systems (BCMS)
Teil 2: Tipps zur Erstellung einer Business Impact Analyse (BIA)
Teil 3: Risikoanalyse: Checkliste zur Erstellung einer Risikoanalyse
Teil 5: Konzeption und Implementierung
Teil 6: Organisation und Prozesse
Teil 7: Business Continuity Pläne BCP: Die Erstellung eines Business Continuity Plans
Teil 8: Tests, Reviews und Training
Teil 9: Pflege und Aktualisierung

Der Schwerpunkt dieses Artikels liegt auf der BCM-Strategie als verbindendes Element zwischen Analyse, Planung und Umsetzung.

Die untenstehende Abbildung zeigt das Zusammenspiel aller wesentlichen Elemente eines Business Continuity Management Systems (BCMS). Sie zeigt, wie Risikoanalyse, Business Impact Analyse (BIA), Planung, Umsetzung, Tests und Verbesserungen ineinandergreifen:

Warum eine BCM-Strategie entscheidend ist

Die BCM-Strategie ist das verbindende Element zwischen Analyse, Planung und Umsetzung. Sie baut auf den Ergebnissen der Risikoanalyse und der Business Impact Analyse (BIA) auf und übersetzt diese Erkenntnisse in konkrete Handlungsoptionen. 
Ihr Ziel ist es, im Notfall gezielt und abgestimmt reagieren zu können, anstatt erst im Krisenmoment zu entscheiden.

Sie definiert, wie ein Unternehmen mit Risiken umgeht, wie lange Ausfälle tolerierbar sind und mit welchen Massnahmen der Betrieb sichergestellt wird. 
Damit entsteht die Grundlage für ein strukturiertes Vorgehen im Ereignisfall – mit klaren Verantwortlichkeiten, definierten Wiederanlaufzeiten und abgestimmten Ressourcen. 

Die folgende Darstellung zeigt, aus welchen vier Elementen sich eine wirksame BCM-Strategie zusammensetzt und wie sie aufeinander aufbauen: 

Nachfolgend werden die Massnahmen der drei Phasen beschrieben:

1. Ziele der Business Continuity Management (BCM) Strategie  

Die BCM-Strategie bildet die Grundlage für alle nachfolgenden Pläne und Massnahmen. 
Sie sorgt dafür, dass Entscheidungen im Krisenfall vorab getroffen und abgestimmt sind. 

Konkret verfolgt sie folgende Ziele: 

  • Verknüpfung mit der Risikoanalyse: Einbezug der dort definierten Risikostrategieoptionen. 
  • Definition maximal tolerierbarer Ausfallzeiten (RTO/RPO): Auf Basis der Business Impact Analyse. 
  • Priorisierung kritischer Geschäftsbereiche: Nur jene Prozesse, die den Fortbestand des Unternehmens sichern, 
    werden dem BCM zugewiesen und aktiv abgesichert. 
  • Festlegung von Lösungsansätzen: Wie soll im Ereignisfall reagiert werden – technisch, organisatorisch, personell? 
  • Festlegung des Umfangs der Business-Continuity-Massnahmen für die kritischen Ressourcen (IT, Personal, Gebäude/Facilities, externe Lieferanten) – inkl. abgestimmter Schnittstellen. 
  • Festlegung der Akzeptanz von Auswirkungen ohne vorbereitete Überbrückungs- und Wiederherstellungsmassnahmen (temporäre Degradationen/Impact-Toleranzen), basierend auf BIA und Risikobeurteilung. 

Die BCM-Strategie berücksichtigt zudem klar zugewiesene Verantwortlichkeiten; eine Übersicht möglicher Rollen findet sich im Anhang. 

2. Risikostrategie – Den richtigen Umgang mit Risiken finden

Die Risikostrategie ist das Fundament jeder BCM-Strategie. 
Sie definiert, wie ein Unternehmen mit den identifizierten Risiken umgeht. Dabei stehen vier Grundoptionen zur Verfügung: 

  1. Risikoübernahme: Das Risiko wird bewusst akzeptiert.
  2. Risikotransfer: Das Risiko wird auf Dritte übertragen, z. B. Versicherungen oder Outsourcing-Partner. 
  3. Risikovermeidung: Der betroffene Prozess wird geändert oder eingestellt. 
  4. Risikoreduktion: Durch technische oder organisatorische Massnahmen wird die Eintrittswahrscheinlichkeit oder Auswirkung verringert.

Für jeden kritischen Prozess werden diese Optionen individuell bewertet. 
Wichtig ist, dass die gewählte Risikostrategie dokumentiert und in der BCM-Strategie verankert ist. 
So wird transparent, welche Restrisiken bewusst akzeptiert und welche Risiken aktiv adressiert werden. 

Während die Risikostrategie den Umgang mit Risiken beschreibt, legt die Kontinuitätsstrategie fest, wie der Betrieb trotz Störung weitergeführt werden kann. 

3. Kontinuitätsstrategie – Wie Prozesse auch im Ausnahmefall funktionieren 

Sie ist der massgeschneiderte Plan auf Prozessebene, der sicherstellt, dass unternehmenskritische Tätigkeiten auch im Ausnahmezustand funktionieren. 

Je nach Kritikalität unterscheidet man zwei Ansätze: 

  • Vereinfachte Kontinuitätsstrategie: Für Prozesse mit geringeren Auswirkungen reicht oft eine einfache Checkliste, die regelmässig überprüft wird.
  • Umfassende BCM-Strategie mit Business Continuity Plan (BCP): Für hochkritische Prozesse sind detaillierte Notfallpläne erforderlich, die regelmässig getestet und aktualisiert werden. 

Diese Strategien bilden die Basis für konkrete Wiederanlaufmassnahmen im Ereignisfall – vom IT-Wiederherstellungsplan bis zur Personaldisposition. 

4. Lösungsansätze und Handlungsoptionen 

Als Grundlage für die BCM-Strategie der Geschäftsprozesse können generische Lösungsansätze und Handlungsoptionen ausformuliert werden.

  • Dabei werden für jedes relevante Schadenszenario gemäss BIA Lösungsansätze / Strategieoptionen definiert. Typischerweise sind dies die 4 Szenarien: Ausfall gesamte IT; Ausfall Personal; Ausfall Gebäude und Ausfall wichtige Lieferanten/Provider.
  • Die Ausarbeitung der Massnahmen muss die relevanten Schnittstellen zu benachbarten Prozessen berücksichtigen.
  • Für die Ausarbeitung der BCM-Strategie und der darauf basierenden Business Continuity Pläne BCP sind idealerweise Standard-Templates anzubieten.
  • So wie die BIA sind sowohl die BCM-Strategie als auch der Massnahmenplan durch die Verantwortlichen freizugeben.

Fazit 

Die BCM-Strategie ist weit mehr als ein Dokument. Sie ist das strategische Rückgrat des gesamten Business Continuity Management Systems. 

Sie definiert, wie Risiken behandelt, welche Prozesse priorisiert und welche Massnahmen im Krisenfall umgesetzt werden. Nur mit einer klaren Strategie lassen sich Notfallpläne wirksam gestalten, testen und fortlaufend verbessern. 

Meine Empfehlung aus der Praxis: 
Entwickeln Sie Ihre BCM-Strategie auf Basis klarer Fakten (BIA, Risikoanalyse) – und testen Sie sie regelmässig. Nur so wird sie im Ernstfall wirklich tragen.

Anhänge

Anhang 1 – Mögliche Strategieoptionen für die Kontinuitätsstrategien pro Prozess  

Ausfall kritische Ressource IT:  

  • Redundanzen (z.B. zweites, georedundantes RZ mit vorbereiteter IT-Infrastruktur / kritisches Equipment wie z.B. Laborgeräte doppelt, Dual-Provider Strategie, u.a.)
  • Redundante Stromversorgung (Dual-Power) und Festplatten mit Ausfallsicherheit (RAID-Systeme)  
  • Ersatzhardware / Serviceverträge / Service Level Agreements mit Lieferanten  
  • Technische Wiederanlaufverfahren und entsprechende Notfallpläne  
  • Gesicherten Zugang zu Systemen von ausserhalb (Remote Access, VPN)  
  • Einsatz einer Virtual Desktop Infrastructure (VDI), um den Zugriff auf kritische Systeme unabhängig vom Standort zu ermöglichen  
  • Kommunikationsplattform (unabhängig der firmeneigenen IT-Infrastruktur)  
  • Sicherstellung relevanter (geschützter) Informationen ausserhalb der firmeneigenen Infrastrukturen  
  • Outsourcing von Prozessen / Prozessteilen  
  • Notfallorganisation für Bewältigung des ausserordentlichen Ereignisses

Ausfall kritische Ressource Personal:  

  • Stellvertretungsregelungen und Stellvertreter 
  • Organisatorische Regelungen z.B. in Bezug auf Präsenz  
  • Aus-/Weiterbildung  
  • Wissensmanagement  
  • Jobsharing / Job-Rotation  
  • Verständnis über Teamgrenzen fördern  
  • Checklisten und Prozessbeschreibungen   
  • Liste mit ehemaligen Mitarbeitenden   
  • Externe Partner mit Fachkenntnissen

Ausfall kritische Ressource Gebäude / Facility:   
Grundsätzlich: Standort-unabhängiges Arbeiten ist wo möglich und sinnvoll zu ermöglichen.  

  • Home-Office Infrastruktur
  • Remote Access, VPN  
  • Betriebliche Notfallarbeitsplätze an anderen eigenen Standorten   
  • Betriebliche Notfallarbeitsplätze bei Partnern oder Anbietern   
  • Zugriff auf relevante Informationen (lokal bzw. unabhängig von firmeneigener Infrastruktur)

Ausfall kritische Ressource Dienstleister / Lieferanten: 
Meist sind externe Dienstleister und Lieferanten sehr stark in Geschäftsprozesse eingebunden, so dass diese kurzfristig nicht ersetzt werden können. Umso mehr lohnt es sich, vorgängige Überlegungen für Alternativen zu prüfen.  

  • Insourcing der ausgelagerten Arbeiten 
  • Alternative Anbieter als Option   
  • Dual-Strategie mit zwei externen Anbietern  
  • Regelmässige Überprüfung des externen Anbieters (SLA, Audits, Tests)  
  • Zertifizierte Anbieter wählen  
  • Anforderungen aus der BIA in jedem Fall vertraglich absichern

Anhang 2 – Die BCM-Strategie in den gesetzlichen Standards 

Weitere Informationen zur Durchführung einer BCM-Strategie finden Sie in verschiedenen internationalen Standards: 

ISO/IEC 22301:2019 – Security and resilience – Business continuity management systems – Requirements  

  • Internationaler BCM-Standard
  • BIA ist Pflichtbestandteil zur Ermittlung kritischer Aktivitäten, Auswirkungen und Wiederanlaufzeiten. Kapitel 8.3: Strategie zur Geschäftskontinuität  
  • Grundlage für Aufbau eines zertifizierbaren BCM-Systems. 

ISO 22313 – Guidance on Business Continuity Management Systems  

  • Ergänzt ISO 22301 durch Anleitungen und Erläuterungen.  
  • Liefert praktische Hinweise zur Umsetzung der Anforderungen von ISO 22301. 
  • Nützlich für die Entwicklung von Strategien und zur Auswahl geeigneter Massnahmen. 

FINMA-Rundschreiben 2023/1 – «Operationelle Risiken und Resilienz – Banken» 

  • Das FINMA-Rundschreiben 2023/1 – „Operationelle Risiken und Resilienz – Banken“ richtet sich an ein breites Spektrum von beaufsichtigten Finanzinstituten in der Schweiz  
  • Im FINMA-Rundschreiben wird die BCM-Strategie explizit im Teil IV. Management der operationellen Risiken und anschliessend vertieft  
  • Weitere Details sind im Kapitel V: Sicherstellung der operationellen Widerstandsfähigkeit thematisiert. 

BSI-Standard 200-4 (DE)

  • Deutscher Standard für Business Continuity Management (Nachfolger des BSI 100-4)
  • Im Kapitel 10.1 stellt das BSI konkrete Strategievorschläge vor und gibt eine Anleitung, wie diese auf institutionelle Bedürfnisse angepasst werden können.   
  • Es geht darum, aus verschiedenen Ansätzen (z. B. Redundanz, mobile Arbeitsplätze, Cloud-Lösungen) geeignete Massnahmen auszuwählen, zu bewerten und zu kombinieren. 

NIST SP 800-34 

  • Verbindlich für US-Bundesbehörden; der Standard wird jedoch in vielen anderen Ländern beachtet und eingesetzt, vor allem bei grossen Organisationen mit kritischer Infrastruktur  
  • Im NIST (National Institute of Standards and Technology) geht es nicht um „Business Continuity Management Strategie“ als fest definierten Begriff wie in ISO 22301, aber die strategische Planung zur Aufrechterhaltung kritischer Prozesse und IT-Systeme ist ein zentrales Thema.  

Anhang 3 – Die BCM-Strategie in den gesetzlichen Standards 

Rollen und Verantwortlichkeiten im Business Continuity Management (nicht abschliessend)  

Rolle  Aufgabe  
BCM-Verantwortlicher  Gesamtverantwortung für das BCM-System, Koordination aller Aktivitäten, Pflege der BIA und BCP, Planung von Schulungen und Tests.  
Prozessverantwortliche  Erstellung der BIA und des BCP für ihren Bereich, Risikoanalyse, Definition von Wiederherstellungszeiten (RTO/RPO), Mitwirkung bei Tests.  
Krisenstabsleitung  Leitung im Ereignisfall, Aktivierung der Notfallpläne, Entscheidungsfindung, Kommunikation mit der Geschäftsleitung.  
IT-Notfallmanager  Technische Wiederherstellung der Systeme, Kontaktstelle zu internen/externen IT-Dienstleistern, Überprüfung der Redundanzmassnahmen.  
Kommunikationsverantwortlicher  Sicherstellung interner/externer Kommunikation im Krisenfall, Abstimmung mit Stab und Geschäftsleitung, Kommunikationstraining und Vorlagenmanagement.  
HR/Personalverantwortliche  Koordination von Vertretungen und alternativen Arbeitsmodellen, Mobilisierung von Personal-ressourcen, Betreuung der Mitarbeitenden im Krisenfall.  
Rechtsabteilung  Beratung bei rechtlichen Risiken im Krisenfall, Prüfung von Verträgen (SLA, Lieferanten), Begleitung bei Datenschutz- und Haftungsfragen, Kommunikation mit Behörden, Absicherung der Notfallmassnahmen im Einklang mit geltendem Recht.  
Externe Ansprechpartner  Koordination mit ausgelagerten Dienstleistern, Verhandlung und Kontrolle von SLAs, Integration externer Leistungen in BCM-Massnahmen.  

Anhang 4 – Glossar

Business Continuity Management BCM
BCM ist ein Managementsystem mit dem Ziel, die Widerstandsfähigkeit einer Organisation gegenüber schwerwiegenden Störungen zu erhöhen und die Fortführung kritischer Geschäftsprozesse sicherzustellen.   

Business Impact Analyse BIA   
Die BIA ist ein Verfahren zur Identifikation kritischer Geschäftsprozesse, ihrer Abhängigkeiten und der Auswirkungen von Ausfällen. In der BIA werden Auswirkungskennzahlen wie maximale Wiederanlaufzeiten (RTO) und der maximale Datenverlust (RPO) bestimmt.  

Business Continuity Plan BCP  
Der BCP ist die dokumentierte Umsetzung der BCM-Strategie für definierte Ausfallszenarien. Er enthält detaillierte Notfallverfahren, Verantwortlichkeiten, Kommunikationswege und Massnahmen zur Wiederherstellung, inklusive Übergaben an DisasterRecoveryPläne, um kontrollierte Reaktionen sicherzustellen.  

Recovery Time Objective RTO   
Das RTO ist der maximal tolerierbare Zeitraum, innerhalb dessen ein Prozess oder System nach einem Ausfall wieder einsatzfähig sein muss. Es wird prozessspezifisch festgelegt, basierend auf den Ergebnissen der BIA (z. B. Wiederherstellung innerhalb 4 Stunden)  

Recovery Point Objective RPO   
Das RPO beschreibt die maximal zulässige Datenverlustspanne im Falle eines Ausfalls – d. h. wie weit zurück (z. B. eine Stunde) Daten wiederhergestellt werden müssen, um den Betrieb fortzusetzen. Auch dieser Wert wird prozessabhängig über die BIA bestimmt.  

Risikoanalyse RA  
Die Risikoanalyse ist der strukturierte Prozess zur Identifikation, Bewertung und Priorisierung von Risiken, die sich aus potenziellen Bedrohungen und Schwachstellen ergeben. Ziel ist es, fundierte Entscheidungen über Schutzmassnahmen, Vorsorge und Risikobehandlung zu ermöglichen.   

Martin Zwyssig, Mitglied der Geschäftsleitung, Bereichsleiter Services

Martin Zwyssig ist Mitgründer der Firma In&Out und Mitglied der Geschäftsleitung. Er beschäftigt sich seit mehr als 35 Jahren mit Business- und IT Service Continuity Management in verschiedenen Branchen.

Martin Zwyssig per E-Mail kontaktieren
LinkedIn Profil besuchen

Weitere Artikel