Zum Hauptinhalt springen

Konzeption und Implementierung von BCM-/ITSCM-Lösungen

Konzeption und Implementierung von BCM-/ITSCM-Lösungen

Sind Sie sicher, dass Ihre BCM-Strategie im Ernstfall funktionieren würde?

Unklare Verantwortlichkeiten, unrealistische RTO-/RPO-Ziele oder ungetestete Massnahmen führen schnell zu einer trügerischen Scheinsicherheit. Damit Sie im Ernstfall handlungs- und entscheidungsfähig bleiben, müssen praxistaugliche Lösungen konzipiert, umgesetzt und getestet werden. Die Phase «Konzeption & Implementierung» schliesst diese Lücke zwischen Anspruch und Realität. Sie macht aus BIA, Risikoanalyse und Strategie wirksame Lösungen – nicht nur auf dem Papier.

Blogserie: Business Continuity Management

Dieser Blogartikel ist der Leitartikel einer mehrteiligen Serie der sich an Entscheidungsträger und Fachverantwortliche aus BCM, Risikomanagement, IT und anderen Unternehmensbereichen richtet. Es gibt einen Überblick, wie die einzelnen Elemente des Business Continuity Management Systems aufgebaut sind und gemeinsam zur Stärkung resilienter Geschäftsprozesse beitragen.

Dies ist Teil 5 von 9 der Serie über Konzeption und Implementierung von BCM-/ITSCM Lösungen.

Teil 1: Der Aufbau eines Business Continuity Management Systems (BCMS)
Teil 2: Tipps zur Erstellung einer Business Impact Analyse (BIA)
Teil 3: Risikoanalyse: Checkliste zur Erstellung einer Risikoanalyse
Teil 4: BCM-Strategie: Ziele und Elemente der BCM-Strategie
Teil 6: Organisation und Prozesse
Teil 7: Business Continuity Pläne BCP: Die Erstellung eines Business Continuity Plans
Teil 8: Tests, Reviews und Training
Teil 9: Pflege und Aktualisierung
Teil 10: Krisenmanagement

Der Schwerpunkt dieses Artikels liegt auf der Konzeption und Implementierung als verbindendem Schritt zwischen BCM-Strategie und operativer Notfallplanung. Wir zeigen, wie aus den Ergebnissen von BIA und Risikoanalyse sowie der definierten Strategie konkrete, testbare Massnahmen entstehen – technisch, organisatorisch und vertraglich.

Die untenstehende Abbildung zeigt das Zusammenspiel der BCMS-Elemente – von Risikoanalyse und Business Impact Analyse (BIA) über die Strategie hin zur Konzeption & Implementierung, den Business-Continuity-Plänen (BCP), Tests und der kontinuierlichen Verbesserung. Der Fokus dieses Teils liegt auf dem Übergang von der Strategie in die Umsetzung: Rollen klären, Architekturen wählen, Verträge absichern und Testbarkeit sicherstellen.

Bausteine Business Continuity Management

1. Zweck und Bedeutung der Konzeption & Implementierung

Ein funktionierendes BCM steht und fällt mit der praktischen Umsetzbarkeit. Normen und Regulierungen wie ISO 22301, BSI 200-4, DORA oder NIS2 verlangen ausdrücklich konkrete Massnahmen und deren Wirksamkeitsnachweis.

Während BIA und RA festlegen, was kritisch ist, und die BCM-Strategie beschreibt, wie sich das Unternehmen vorbereitet, sorgt die Phase Konzeption & Implementierung dafür, dass

  • geeignete Lösungsansätze entwickelt werden,
  • Verantwortlichkeiten klar definiert sind,
  • technische und organisatorische Massnahmen umgesetzt sind,
  • und die Grundlage für BCPs sowie Tests geschaffen wird.

2. Lösungsdesign und Handlungsoptionen

Auf Basis von BIA, RA und Strategie werden Vorsorgelösungen entwickelt bzw. geplant. Es gibt selten die eine Lösung – aber für jedes Szenario eine passende und wirtschaftlich realistische Option. Bewährt hat sich die Differenzierung nach vier Hauptszenarien:

  • Ausfall IT-Systeme
  • Ausfall Personal
  • Ausfall Gebäude / Arbeitsplätze
  • Ausfall Lieferanten/Provider

Nachfolgend die zentralen Schwerpunkte im Lösungsdesign.

Massnahmen Szenario «Ausfall IT-Systeme»  

Je nach Anforderungen ist der Einsatz georedundanter Rechenzentren (Georedundanz / Multi-Region-Cloud) ein absolutes Muss. Das bedeutet jedoch nicht, dass jedes System und jede Komponente vollständig redundant aufgebaut werden muss. Ob es sich bei diesen Rechenzentren um eigene Standorte, Cloud- oder Hybridlösungen handelt, lassen wir an dieser Stelle offen.

Idealerweise werden standardisierte Lösungsarchitekturen und Verfahren definiert, die den unterschiedlichen Anforderungen der Geschäftsprozesse Rechnung tragen. Nicht alles ist gleich wichtig und muss permanent «Aktiv-Aktiv» betrieben werden. Ziel ist eine praxistaugliche Balance aus Business Continuity Management (BCM), IT Service Continuity Management (ITSCM) und Disaster Recovery (DR).

Entscheidend sind (nicht abschliessend):

  • definierte RTO/RPO-Werte
  • Datenverlusttoleranz
  • Kosten & Komplexität
  • Resilienz gegenüber lokalen/regionalen Ereignissen
  • gesetzliche und regulatorische Anforderungen (z. B. ISO 22301, DORA, NIS2)

Es würde den Rahmen dieses Artikels sprengen, im Detail auf die verschiedenen BCM/ITSCM-Architekturmodelle für Disaster Recovery im Einzelnen einzugehen, aber einen Überblick möchten wir an dieser Stelle aufführen.


[1] Unabhängig vom gewählten Architekturkonzept ist ein physisch und logisch getrenntes, zeitlich entkoppeltes und regelmässig getestetes Backup zwingend erforderlich, da Hochverfügbarkeit und Replikation keinen Schutz vor logischen Fehlern, Cyberangriffen oder Totalverlust bieten.

Massnahmen Szenario «Ausfall Personal» 

Ein vollständiger Personalausfall ist in mittleren/grossen Unternehmen selten – Schlüsselpersonen fallen jedoch durchaus aus. In der BIA sollten diese identifiziert und der Minimalbedarf an Ressourcen festgelegt werden.

Präventive Ansätze:

  • Liste ehemaliger Mitarbeitender für temporäre Verstärkung
  • Stellvertretungsregelungen
  • Job-Sharing / Job-Rotation
  • teamübergreifendes Wissensverständnis fördern
  • Aus- und Weiterbildung
  • dokumentierte Kernprozesse (fokussiert auf das Wesentliche)
  • BC-Pläne / Notfall-Checklisten
  • Kooperation mit externen Fachpartnern

Massnahmen dem Szenario «Ausfall Gebäude / Arbeitsplätze» 

Für Services: Remote Access/Home-Office; für Produktion/Labore: Ausweichstandorte, Übergangslösungen mit Herstellern/Partnern.
Essentials: aktuelle, getestete Backups an verschiedenen Standorten und regelmäßige Recovery-Tests.

Massnahmen Szenario «Ausfall Lieferanten/Provider»

Externe Dienstleister sind häufig tief in Kernprozesse integriert und kurzfristig kaum ersetzbar. Umso wichtiger ist die Vorsorge:

  • Insourcing-Optionen prüfen: Welche Leistungen können temporär intern übernommen werden?
  • Alternativanbieter vorbereiten: Qualifizierte Second-Source mit Onboarding-Plan.
  • Dual-Sourcing dort, wo kritisch: Reduziert Abhängigkeiten und verkürzt Wiederanlaufzeiten.
  • Verbindliche Governance: Klar definierte SLAs, KPIs, Audit- und Testrechte, Exit-Regelungen, Daten-/Code-Escrow, Security-Anhänge.
  • Nachweise & Compliance: Zertifizierungen, Resilienz-Reports, Disaster-Recovery-Tests mit Protokollen.
  • Vertragliche Absicherung der BIA-Vorgaben: RTO/RPO und Testzyklen müssen explizit im Vertrag stehen – eine RTO von 48 h ist nur wirksam, wenn sie rechtlich zugesichert und regelmässig nachgewiesen wird.

Bewertung der Handlungsoptionen

Damit Entscheidungen nachvollziehbar und finanziell tragbar sind, werden Massnahmen anhand klarer Kriterien bewertet:

  • Wirksamkeit
  • Kosten/Aufwand
  • Realisierbarkeit
  • Abhängigkeiten
  • Compliance
  • Risiko bei Nicht-Umsetzung

Diese Bewertung bildet die Grundlage für Management-Entscheide, Priorisierung und Roadmap – und sorgt dafür, dass zuerst die wirksamsten, bezahlbaren und auditfesten Lösungen umgesetzt werden.

3. Umsetzungsplanung und Implementierung

Die Umsetzung richtet sich nach den Gegebenheiten der Unternehmung – entscheidend ist eine klare Priorisierung nach Risiko, Nutzen, Kosten und Regulatorik. Aus BIA und Risikoanalyse entsteht ein Massnahmen-Backlog, das nach Wirksamkeit, Realisierbarkeit, Abhängigkeiten, Compliance und dem Risiko bei Nicht-Umsetzung bewertet wird. Daraus folgt eine Roadmap mit realistischen Etappenzielen, abgestimmt mit Wartungsfenstern und dem Betrieb.

Leitfragen für die Planung:

  • Welche Lösungen erzielen mit geringem Aufwand eine hohe Wirkung?
  • Welche Lösungen erfordern Prozessanpassungen oder Vereinbarungen mit Dritten?
  • Welche Lösungen bedingen hohe Investitionen und umfangreiche Implementierungsarbeiten?
  • Welche Lösungen müssen wegen regulatorischer Anforderungen priorisiert werden?

Rollen sind eindeutig: Business definiert Anforderungen und Akzeptanzkriterien (inkl. RTO/RPO), IT setzt um, der Betrieb verantwortet Monitoring, Runbooks und Notfallverfahren, BCM/Compliance sichern Methode, Prüfung und Reporting. Qualitätssicherung beginnt im Design, mündet in sauberer Dokumentation und nachweislichen Tests gegen RTO/RPO; Backups werden per Recovery-Probe verifiziert. Regelmässige Übungen (Table-Top bis End-to-End) minimieren Betriebsrisiken und liefern belastbare Verbesserungen.

Bei externen Providern gehören RTO/RPO, Testpflichten, Audit- und Testrechte, Exit-Regelungen, Daten-/Code-Escrow und Security-Anhänge in die Verträge; seriöse Anbieter liefern Transparenz und Nachweise (z. B. ISAE 3402 Typ II). IKS-Kontrollen und Risikomanagement stellen die Aktualität sicher: Verantwortliche bestätigen jährlich, dass BIA, IT-DR und BCP aktuell, gültig und regelmässig geprüft sind. So wird Planung zur gelebten, auditfesten Umsetzung.

4. Typische Fallstricke und Best Practices

Typische Fallstricke

  • RTO-Vorgaben werden nicht erfüllt
  • Unklare Verantwortlichkeiten zwischen Business und IT
  • Fokus nur auf IT, ohne Organisation
  • Unterschätzte Komplexität
  • Fehlende/ungenügende Tests
  • Unvollständige Dokumentation
  • Drittparteien-Abhängigkeiten ungeklärt
  • Implementierung ohne Prozessänderungen

Best Practices

  • Frühe Einbindung der Fachbereiche
  • Iteratives Vorgehen – kleine Schritte, sichtbare Erfolge
  • Kombination technischer und organisatorischer Massnahmen
  • Klare Dokumentation und IKS-Verankerung
  • Testbarkeit bereits in Konzeption und Verträgen berücksichtigen

Fazit 

Die Konzeption & Implementierung ist die Brücke zwischen Strategie und operativer Notfallplanung. Nur praxistaugliche, robuste, getestete Lösungen ermöglichen schnelles, wirksames Handeln im Ereignisfall.

Erfolgsfaktoren:

  • klare Anforderungen
  • strukturierte Lösungsentwicklung
  • abgestimmte Planung/Roadmap
  • testbare technische & organisatorische Massnahmen
  • gelebte Zusammenarbeit zwischen Business, IT und externen Partnern


Anhänge

Anhang 1 – Die Konzeption und Umsetzung in den gesetzlichen Standards

Die Konzeption und Implementierung von BCM-Lösungen wird in vielen internationalen Normen, regulatorischen Vorgaben und Best-Practice-Standards adressiert. Gemeinsam fordern sie, dass Kontinuitätslösungen:

  • auf klaren Anforderungen basieren,
  • strukturiert ausgewählt werden,
  • technisch und organisatorisch umsetzbar sind,
  • getestet, dokumentiert und kontinuierlich verbessert werden.

ISO/IEC 22301:2019Security and resilience – Business continuity management systems – Requirements

  • Internationaler, zertifizierbarer Standard für Business Continuity Management Systeme (BCMS).
  • Definiert verbindliche Anforderungen an Strategie, Konzeption, Implementierung und Betrieb von BCM-Massnahmen.
  • Kapitel 8.3 – Business Continuity Strategy:
    Vorgaben zur Entwicklung und Auswahl geeigneter Kontinuitätsstrategien basierend auf BIA und Risikoanalyse.
  • Kapitel 8.4 – Business Continuity Plans and Procedures:
    Anforderungen an die Umsetzung der gewählten Strategien in konkrete, dokumentierte Lösungen.
  • Liefert den normativen Rahmen, um BCM-Lösungen systematisch zu planen, umzusetzen, zu testen und kontinuierlich zu verbessern.
  • Grundlage für den Aufbau eines audit- und zertifizierbaren BCM-Systems.

ISO 22313 – Guidance on Business Continuity Management Systems

  • Leitfaden zur praktischen Umsetzung der Anforderungen aus ISO 22301.
  • Beschreibt detailliert, wie Kontinuitätsstrategien in wirksame Lösungen überführt werden können.
  • Enthält praxisnahe Erläuterungen zur Auswahl von Vorsorgemassnahmen, Bewertung von Lösungsoptionen und Integration von IT-, Personal-, Gebäude- und Lieferantenlösungen
  • Besonders hilfreich bei der Konzeption und Implementierungsplanung, da Umsetzungsvarianten und Entscheidungslogiken erläutert werden.
  • Dient als Brücke zwischen normativer Anforderung und operativer Umsetzung.

FINMA-Rundschreiben 2023/1 – «Operationelle Risiken und Resilienz – Banken»

  • Das FINMA-Rundschreiben 2023/1 – „Operationelle Risiken und Resilienz – Banken“ richtet sich an ein breites Spektrum von beaufsichtigten Finanzinstituten in der Schweiz
  • Verlangt eine systematische Konzeption und Umsetzung von Massnahmen zur Sicherstellung der operationellen Widerstandsfähigkeit.
  • Teil IV – Management der operationellen Risiken:
    Verankert BCM und Resilienz als integralen Bestandteil der Unternehmenssteuerung.
  • Teil V – Sicherstellung der operationellen Widerstandsfähigkeit:
    • Anforderungen an Vorsorgemassnahmen
    • Abdeckung schwerer, aber plausibler Szenarien
    • Abhängigkeiten von IT, Personal und Drittparteien
  • Impliziert, dass BCM-Lösungen wirksam, getestet und nachvollziehbar implementiert sein müssen – nicht nur konzeptionell vorhanden.

BSI-Standard 200-4 (DE)

  • Deutscher Standard für Business Continuity Management (Nachfolger des BSI 100-4)
  • Sehr praxisorientierter Ansatz für die Konzeption, Auswahl und Umsetzung von BCM-Massnahmen.
  • Kapitel 10 – BCM-Strategien und Vorsorgemassnahmen:
    • Konkrete Strategievorschläge
    • Systematische Bewertung und Kombination von Massnahmen
  • Behandelt explizit, Redundanzkonzepte, Ausweicharbeitsplätze, Mobile Arbeitsformen, Cloud- und IT-Lösungen
  • Besonders geeignet als Methodenbaukasten für die Implementierung von BCM-Lösungen in Organisationen.

NIST SP 800-34

  • Herausgegeben vom National Institute of Standards and Technology (NIST)
  • Verbindlicher Standard für US-Bundesbehörden; international weit verbreitet, insbesondere im IT-Umfeld.
  • Fokus auf strategische Planung, Implementierung und Betrieb von Vorsorgelösungen für IT-Systeme.
  • Beschreibt einen strukturierten Lebenszyklus:
    • Strategie & Lösungsdesign
    • Implementierung technischer und organisatorischer Massnahmen
    • Tests, Schulungen und Wartung
  • Besonders relevant für:
    • Disaster Recovery
    • technische Implementierung von BCM-Massnahmen

Anhang 2 – Glossar

Business Continuity Management BCM
BCM ist ein Managementsystem mit dem Ziel, die Widerstandsfähigkeit einer Organisation gegenüber schwerwiegenden Störungen zu erhöhen und die Fortführung kritischer Geschäftsprozesse sicherzustellen.   

Business Continuity Management System BCMS
Ergänzend zur obigen Beschreibung ist ein BCMS gemäss ISO/IEC 22301 als Managementsystem aufgebaut und folgt dem PDCA-Zyklus (Plan–Do–Check–Act).

Business Impact Analyse BIA   
Die BIA ist ein Verfahren zur Identifikation kritischer Geschäftsprozesse, ihrer Abhängigkeiten und der Auswirkungen von Ausfällen. In der BIA werden Auswirkungskennzahlen wie maximale Wiederanlaufzeiten (RTO) und der maximale Datenverlust (RPO) bestimmt.  

Business Continuity Plan BCP  
Der BCP ist die dokumentierte Umsetzung der BCM-Strategie für definierte Ausfallszenarien. Er enthält detaillierte Notfallverfahren, Verantwortlichkeiten, Kommunikationswege und Massnahmen zur Wiederherstellung, inklusive Übergaben an DisasterRecoveryPläne, um kontrollierte Reaktionen sicherzustellen.  

Edge Computing
Edge Computing bezeichnet ein IT-Architekturprinzip, bei dem Datenverarbeitung und -speicherung möglichst nahe am Entstehungsort der Daten („am Rand“, Edge) stattfinden – statt zentral in einem Rechenzentrum oder in der Cloud.

Georedundanz
Georedundanz bedeutet, dass IT-Systeme oder Daten in mindestens zwei geografisch getrennten Rechenzentren redundant vorhanden sind, um Ausfälle durch Katastrophen, Unwetter oder technische Fehler zu verhindern und die Verfügbarkeit sicherzustellen, indem ein Standort den Betrieb des anderen übernehmen kann. Dabei werden die Daten oft synchron oder asynchron repliziert, wobei ein ausreichender physischer Abstand wichtig ist, um lokale Ereignisse auszuschliessen. 

Microservices / Kubernetes
Microservices und Kubernetes sind moderne Architektur- und Betriebsansätze für Software-Systeme. Microservices beschreiben, wie Anwendungen gebaut sind, Kubernetes beschreibt, wie sie betrieben werden. Microservices sind viele kleine, unabhängige Services. Kubernetes ist eine Open-Source-Plattform zur Orchestrierung von containerisierten Anwendungen.

Recovery Time Objective RTO   
Das RTO ist der maximal tolerierbare Zeitraum, innerhalb dessen ein Prozess oder System nach einem Ausfall wieder einsatzfähig sein muss. Es wird prozessspezifisch festgelegt, basierend auf den Ergebnissen der BIA (z. B. Wiederherstellung innerhalb 4 Stunden)  

Recovery Point Objective RPO   
Das RPO beschreibt die maximal zulässige Datenverlustspanne im Falle eines Ausfalls – d. h. wie weit zurück (z. B. eine Stunde) Daten wiederhergestellt werden müssen, um den Betrieb fortzusetzen. Auch dieser Wert wird prozessabhängig über die BIA bestimmt.  

Risikoanalyse RA  
Die Risikoanalyse ist der strukturierte Prozess zur Identifikation, Bewertung und Priorisierung von Risiken, die sich aus potenziellen Bedrohungen und Schwachstellen ergeben. Ziel ist es, fundierte Entscheidungen über Schutzmassnahmen, Vorsorge und Risikobehandlung zu ermöglichen.   

Martin Zwyssig, Mitglied der Geschäftsleitung, Bereichsleiter Services

Martin Zwyssig ist Mitgründer der Firma In&Out und Mitglied der Geschäftsleitung. Er beschäftigt sich seit mehr als 35 Jahren mit Business- und IT Service Continuity Management in verschiedenen Branchen.

Martin Zwyssig per E-Mail kontaktieren
LinkedIn Profil besuchen