Zum Hauptinhalt springen

Organisation und Prozesse im BCM / ITSCM

BCM Strategie - Organisation und Prozess

Wer entscheidet, wenn in den ersten 30 Minuten einer Krise niemand zuständig ist?

Was passiert, wenn eine Störung eskaliert und niemand weiss, wer den Krisenstab aktiviert? Wer entscheidet über den Notbetrieb, während Kunden, Aufsichtsbehörden und Medien bereits Antworten erwarten?

Diese Fragen führen direkt zum Kern einer wirksamen BCM-Organisation. Sie legt fest, wer im Ereignisfall entscheidet, wie eskaliert wird und welche Prozesse dafür sorgen, dass Strategie und Pläne tatsächlich in Handlung übersetzt werden.

Als Fachverantwortlicher Continuity Management, der seit mehr als 30 Jahren mit IT-, Projekt- und Continuity-Organisationen arbeitet, sehe ich: Unternehmen mit einer klar definierten Krisenorganisation verlieren im Ernstfall keine Zeit mit der Frage, wer zuständig ist – sie handeln.

Blogserie: Business Continuity Management

Dieser Blogartikel ist der Leitartikel einer mehrteiligen Serie der sich an Entscheidungsträger und Fachverantwortliche aus BCM, Risikomanagement, IT und anderen Unternehmensbereichen richtet. Es gibt einen Überblick, wie die einzelnen Elemente des Business Continuity Management Systems aufgebaut sind und gemeinsam zur Stärkung resilienter Geschäftsprozesse beitragen.

Dies ist Teil 6 von 10 der Serie über Organisation und Prozesse im BCM-/ITSCM.

Teil 1: Der Aufbau eines Business Continuity Management Systems (BCMS)
Teil 2: Tipps zur Erstellung einer Business Impact Analyse (BIA)
Teil 3: Risikoanalyse: Checkliste zur Erstellung einer Risikoanalyse
Teil 4: BCM-Strategie: Ziele und Elemente der BCM-Strategie
Teil 5: Konzeption und Implementierung von BCM-/ITSCM-Lösungen
Teil 7: Business Continuity Pläne BCP: Die Erstellung eines Business Continuity Plans
Teil 8: Tests, Reviews und Training
Teil 9: Pflege und Aktualisierung
Teil 10: Krisenmanagement

Der Schwerpunkt dieses Beitrags liegt auf der Organisation und den Prozessen als operativem Führungsrahmen des BCMS – dem Bindeglied zwischen BCM-/ITSCM-Strategie und den nachfolgenden Business Continuity und Disaster Recovery Plänen.

Die untenstehende Abbildung zeigt das Zusammenspiel aller wesentlichen Elemente eines Business Continuity Management Systems. Der Schwerpunkt dieses Beitrags liegt auf dem Baustein «Organisation und Prozesse».

Bausteine Business Continuity Management

1. Zweck und Bedeutung von Organisation und Prozessen

Eine Störung oder Krise prüft nicht die Existenz eines Plans, sondern dessen Wirksamkeit unter Druck: Sind Informationen rechtzeitig verfügbar, Rollen klar, und entstehen daraus konkrete Handlungen? Weiss die Organisation, wer entscheidet, wer informiert und wer Massnahmen auslöst? Genau hier setzt der Baustein «Organisation und Prozesse» an.

Für das Top-Management ist dieser Baustein besonders relevant: Er sichert die Führbarkeit des Unternehmens im Ereignisfall. Ohne definierte Entscheidungsrechte und Eskalationswege entstehen Verzögerungen und widersprüchliche Kommunikation – eine gute BCM-/ITSCM-Organisation schafft stattdessen Orientierung und ermöglicht priorisiertes Handeln.

Eine wirksame Krisenorganisation muss weder gross noch kompliziert sein – sie muss zur Unternehmensgrösse, Kritikalität der Leistungen und bestehenden Führungsorganisation passen. Ziel ist ein schlankes Betriebsmodell, auch Führungsrhythmus genannt (siehe Anhang 4), das im Normalbetrieb gepflegt und im Ereignisfall ohne lange Anlaufzeit aktiviert wird. 

Die Kernfragen lauten:

  • Welche Ereignisse lösen eine Eskalation aus und wer darf diese auslösen? (Eskalationsschema)
  • Welche Rollen sind im Ereignisfall zwingend und verbindlich besetzt? (Aufbauorganisation)
  • Welche Kompetenzen haben Krisenstab oder Notfallstab und welche die Fachbereiche, wie IT, Kommunikation, Personal, Recht oder die Produktion? (Rollenverständnis)
  • Wie werden kritische Ressourcen priorisiert, wenn nicht alle Anforderungen gleichzeitig erfüllt werden können? (Entscheidungslogik)
  • Welche Informationen benötigt die Geschäftsleitung, um rechtzeitig fundierte Entscheidungen treffen zu können? (Kommunikationswege und Entscheidungslogik)

Praxis-Tipp: Prüfen Sie die Organisation aus Sicht einer realen Störung. Wenn unklar ist, wer in den ersten 30 Minuten entscheidet, informiert oder priorisiert, ist die Organisation noch nicht ausreichend notfall- oder krisenfest, sprich resilient.

2. Governance, Rollen und das AKV-Prinzip

BCM-Governance beschreibt, wie Aufgaben, Kompetenzen und Verantwortung für Business Continuity im Unternehmen verteilt und überwacht werden, dasselbe gilt für ITSCM-Governance im IT Service Continuity Management. Sie ist keine rein formale Disziplin. Sie legt fest, wie strategische Vorgaben in operative Handlungsfähigkeit übersetzt werden und wie das Top-Management Transparenz über den Reifegrad, die Verantwortlichkeiten und allenfalls offene Massnahmen erhält.

Bewährt hat sich eine klare Trennung zwischen drei Ebenen:

  • Strategische Ebene: Oberstes Führungsorgan, Geschäftsleitung oder zuständiges Managementgremium mit Gesamtverantwortung für Resilienz, Risikoakzeptanz, Priorisierung und Ressourcen.
  • Taktische Ebene: BCM-/ITSCM-Verantwortliche, Notfall-/Krisenstabsleitung, Risiko- und Legal/Compliance-Funktion, Kommunikations-Funktion sowie verantwortliche Führungskräfte der Fachbereiche.
  • Operative Ebene: Prozessverantwortliche, IT-Betrieb, Service Owner, Facility, HR, operative Kommunikation und Social Media, Einkauf und externe Dienstleister.

Für jede Rolle sollten Aufgaben, Kompetenzen und Verantwortung nach dem AKV-Prinzip dokumentiert sein: «Aufgaben» beschreiben, was zu tun ist, «Kompetenzen», welche Entscheide oder Mittel – Personal, Budget – eingesetzt werden dürfen, und «Verantwortung», wofür die Rolle rechenschaftspflichtig ist. Ergänzend gehören Stellvertretungen, Erreichbarkeiten und Mindestanforderungen an die Ausbildung dazu.

Element Kernfrage Beispiel im BCM Managementrelevanz
AufgabenWas ist zu tun?BIA pflegen, BCP erstellen, Eskalation auslösen, Lagebild erstellen.Verhindert Lücken und Doppelspurigkeiten.
KompetenzenWas darf entschieden werden?Notbetrieb freigeben, externe Kommunikation auslösen, Prioritäten setzen.Beschleunigt Entscheidungen unter Zeitdruck.
VerantwortungWofür wird Rechenschaft getragen?Aktualität der Pläne, Einhaltung der Meldewege, Umsetzung offener Massnahmen.Schafft Steuerbarkeit und Nachvollziehbarkeit.

Wichtig ist die Unterscheidung zwischen dem präventiven Normalbetrieb – Pflege, Reviews, Reporting, Verbesserung – und dem reaktiven Ereignisfall, in dem sich der Fokus auf Lagebeurteilung, Entscheidungsfindung, Priorisierung und kontrollierte Rückkehr in den Normalbetrieb verschiebt.

Praxis-Tipp: Eine AKV-Matrix sollte nicht nur Rollen benennen, sondern optimalerweise konkrete Entscheidungs­rechte enthalten. Gerade die Befugnis zur Aktivierung des Notfall- oder Krisenstabs, zur Priorisierung von Ressourcen und zur Freigabe externer Kommunikation muss vorab geklärt und möglichst widerspruchsfrei dokumentiert sein.

3. Eskalations-, Melde- und Führungsprozess

Eskalations- und Meldeprozesse stellen sicher, dass relevante Ereignisse frühzeitig erkannt, triagiert (bewertet) und an die richtige Entscheidungsinstanz weitergeleitet werden. Sie müssen einfach genug sein, um auch ausserhalb der Bürozeiten zu funktionieren, und präzise genug, um Fehlalarme und unnötige Eskalationen möglichst zu vermeiden.

Der Eskalationsprozess umfasst diese Schritte:

  1. Erkennung: Störung, Sicherheitsereignis, Lieferunterbruch oder andere Beeinträchtigung wird durch Fachbereich, IT, Lieferant oder Monitoring erkannt.
  2. Triage: Erstbewertung hinsichtlich Sicherheit von Personen, Kritikalität, betroffener Prozesse, regulatorischer Pflichten und möglicher Aussenwirkung.
  3. Klassifikation: Einordnung als Betriebsstörung, Major Incident, Notfall oder Krise anhand definierter Kriterien.
  4. Eskalation/Alarmierung: Information an die zuständige Führungsinstanz, beispielsweise Incident Management, Krisenstabsleitung oder Geschäftsleitung.
  5. Vorbereitung: Aufbau eines Lagebilds, Entscheide zu Sofortmassnahmen.

Die Schwellenwerte für eine Eskalation sollten aus der BIA, der Risikoanalyse, regulatorischen Anforderungen und der Unternehmensstrategie abgeleitet werden. Auslöser können beispielsweise drohende Überschreitungen von RTO-Werten, die Gefährdung von Mit­arbei­tenden, ein Ausfall kritischer Lieferanten, eine relevante Cyberlage, erhebliche Medienwirkung oder gesetzliche Meldepflichten sein. Festgehalten werden sollten Sie optimalerweise in der Schnittstellen­beschreibung, siehe hierzu auch das nachfolgende Kapitel 4, sowie zusammengefasst als Eskalationsmatrix.

Beispiel einer Eskalationsmatrix

Sie zeigt die Eskalationswege und deren Schwellenwerte und dient so als Hilfestellung für die einzelnen Teams.

Ausprägung Major Incident IT-Notfall Krise Katastrophe
TypEinfachKompliziertKomplexChaotisch
OrganisationMajor Incident Task ForceIT-NotfallstabKrisenstabStaat
Planbar und LösungsdauerJa, < 4 Std.Ja, < 24 Std.Nein, Tage bis WochenNein, nicht relevant
Geschäftsbereiche betroffen112-xAlle
Umfang IT-Services1-n nicht business-relevante1-2 business-kritischeMehrere business-kritischeGesamtes Unternehmen
IT betroffenJaJaJaNein
PersonalausfallNeinJa, < 25%Ja, ≥ 25%Ja
GebäudeausfallNeinJa, nur NebengebäudeJaJa
LieferantenausfallNeinJaJaJa
Umgebung betroffenNeinNeinNeinJa

Praxis-Tipp: Definieren Sie eine einheitliche Ereignisklassifikation. Begriffe wie «Notfall», «Krise», «Major Incident» oder «BCM-Aktivierung» müssen unternehmensweit gleich verstanden werden. Nutzen Sie keine Synonyme bei wichtigen Begriffen, also eine «Krise», kann nicht alternativ ein «Notfall» oder eine «Katastrophe» sein.

4. Schnittstellen zu Incident Management, ITSCM und Lieferanten

Organisation und Prozesse entfalten ihre Wirkung nur, wenn die Schnittstellen zu bestehenden Managementsystemen klar sind – etwa zu Incident Management, Informationssicherheit, interner Kommunikation, Lieferantensteuerung oder Arbeitssicherheit. BCM sollte diese nicht ersetzen, sondern gezielt verbinden.

Besonders wichtig ist die Schnittstelle zwischen Business und IT: Die Fachbereiche definieren priorisierte Leistungen und Übergangslösungen im Business Continuity Plan (BCP), während ITSCM und DRP (Disaster Recovery Plan) festlegen, wie Systeme, Daten und Services technisch wiederhergestellt werden. Im Ereignisfall müssen beide Perspektiven zusammengeführt werden – technische Wiederherstellung ohne geschäftliche Priorisierung ist so wenig zielführend wie geschäftliche Vorgaben ohne technische Umsetzbarkeit.

Auch externe Dienstleister sind organisatorisch einzubinden: Für kritische Services müssen Ansprechpartner, Eskalationswege, minimale Leistungsniveaus im Notbetrieb, Exitpläne und Mitwirkungspflichten bei Tests festgelegt sein – insbesondere bei Cloud-Providern, Outsourcing-Partnern, Logistikdienstleistern und Facility Management.

Wichtig ist zudem, die Pflegeprozesse für BCM- und ITSCM-Dokumente in den täglichen IT-Betrieb zu integrieren, damit sie nicht veralten – etwa in ITIL-Prozesse wie Service Level, Incident-, Event- und Supplier Management sowie in die Onboarding-/Offboarding-Prozesse der Personalabteilung, um Kontaktlisten und Notfallnummern aktuell zu halten.

5. Hilfsmittel, Dokumentation und Entscheidungsgrundlagen

In einer Krise werden umfangreiche Handbücher selten gelesen – Hilfsmittel müssen kurz, aktuell und sofort nutzbar sein und den Führungsprozess unterstützen, statt zusätzliche Komplexität zu schaffen. Entscheidend ist die Balance zwischen Nachvollziehbarkeit, Praktikabilität und Pflegeaufwand.

Folgende Hilfsmittel haben sich im Notfallkonzept bewährt:

  • Rollen- und AKV-Matrix mit Stellvertretungen und Erreichbarkeiten.
  • Eskalationsmatrix mit Schwellenwerten, Meldewegen und Entscheidungsinstanzen.
  • Lagebild-Template mit betroffenen Prozessen, Auswirkungen, offenen Entscheiden, Risiken und nächsten Massnahmen.
  • Risikobeurteilung mit bester / schlechtester und wahrscheinlichster Entwicklung.
  • Entscheidungs- und Massnahmenlog mit Verantwortlichen, Terminen und Status.
  • Kommunikationsmatrix mit Zielgruppen, Kanälen, Freigaben und vorbereiteten Textbausteinen.
  • Kontaktlisten, Lieferantenkontakte und Notfallzugänge, verfügbar auch bei Ausfall zentraler IT-Systeme.

Für das Top-Management sind vor allem Lagebild und Risikobeurteilung relevant. Sie sollten nicht mit operativen Details überfrachtet werden, sondern die entscheidenden Fragen beantworten: Was ist passiert? Welche kritischen Leistungen sind betroffen? Welche Auswirkungen drohen wann? Welche Optionen und Entscheidungen bestehen? Welche Restrisiken werden akzeptiert?

Die Dokumentation gehört in bestehende Governance- und Kontrollprozesse: periodische Reviews, Aktualisierung bei wesentlichen Änderungen, zentrale Ablage, Offline-Verfügbarkeit kritischer Unterlagen und Nachverfolgung offener Massnahmen im IKS oder Risikomanagement.

Praxis-Tipp: Prüfen Sie Ihre Krisendokumentation regelmässig mit einem einfachen Alltagstest: Wählen Sie einen alten Ereignisfall oder ein realistisches Störungsszenario und fragen Sie eine stellvertretende Person, ob diese innerhalb von einer vorgegebenen, kurzen Zeit (z.B. 20 Minuten) die wichtigsten Informationen findet, versteht und anwenden kann. Dazu gehören Kontaktwege, Rollen und Eskalationsmatrix vor der Alarmierung oder Lagebild, Entscheide und nächste Massnahmen im Ereignisfall. Alles, was in diesem Test nicht sofort auffindbar, verständlich oder nutzbar ist, sollte gekürzt, vereinfacht oder aktualisiert werden. (Siehe dazu auch Teil 8 Tests und Übungen in unserer Reihe).

6. Typische Fallstricke und Best Practices

Typische Fallstricke Best Practices
Unklare Entscheidungsrechte: Niemand weiss, wer Notbetrieb, Priorisierung oder externe Kommunikation freigibt.Entscheidungsrechte in AKV-Matrix resp. RACI festlegen und durch die GL bestätigen lassen.
Parallelorganisation: Krisenstab, Linie, IT und Kommunikation arbeiten mit unterschiedlichen Informationen gleichzeitig nebeneinander.Verantwortlichkeiten definieren, gemeinsames Lagebild führen, klare Führungsrhythmen und eindeutige Auftragsverfolgung etablieren.
Zu komplexe Dokumentation: Hilfsmittel sind im Ereignisfall nicht schnell verwendbar.One-Pager, «Roter Faden» für den Stab, Checklisten und Templates für den Führungsrhythmus bereitstellen.
Nicht gepflegte Kontaktdaten und Stellvertretungen.Pflegepflicht im IKS oder Managementsystem verankern und periodisch bestätigen lassen.
Lieferanten sind organisatorisch nicht eingebunden.Kritische Provider vertraglich und operativ in Eskalation, Notbetrieb und Übungen integrieren.

Fazit 

Organisation und Prozesse sind der operative Führungsrahmen eines BCMS. Sie stellen sicher, dass Strategien, technische Lösungen und organisatorische Massnahmen im Ereignisfall koordiniert eingesetzt werden können. Für das Top-Management steht dabei weniger die Detailtiefe einzelner Pläne im Vordergrund, sondern die Fähigkeit, unter Unsicherheit schnell, nachvollziehbar und priorisiert zu entscheiden.

Ein wirksames Rollenmodell mit klaren AKV, belastbare Eskalationswege mit Schwellenwerten und praxistaugliche Hilfsmittel reduzieren Reaktionszeiten und erhöhen die Handlungssicherheit. Damit schafft dieser Baustein die Voraussetzung dafür, dass die Business Continuity Pläne und Disaster Recovery Pläne nicht nur dokumentiert, sondern im Unternehmen klar verankert und durchs Management nachweislich geführt werden – ergo im Ernstfall funktionieren!

Merksatz:

In der Krise zählt nicht, wer formal zuständig wäre, sondern wer vorbereitet ist, entscheiden darf und sicherstellt, dass die Unternehmung handlungsfähig bleibt.


Anhänge

Anhang 1 – Organisation und Prozesse in gängigen Standards

Internationale Standards und regulatorische Vorgaben fordern sinngemäss, dass Rollen, Verantwortlichkeiten, operative Steuerung und kontinuierliche Verbesserung festgelegt und überprüft werden. Für die praktische Umsetzung sind insbesondere folgende Bezüge relevant:

  • ISO 22301 / ISO 22313: Führungsverantwortung, Rollen, Kompetenzen, dokumentierte Informationen und operative Planung für Business Continuity.
  • BSI-Standard 200-4: Aufbau einer Notfallorganisation, Beschreibung von Rollen, Alarmierung, Eskalation, Geschäftsfortführung und Wiederanlauf.
  • ISO 27031 / ITSCM: Einbettung der technischen Wiederherstellung in Geschäftsanforderungen und Notfallprozesse.
  • DORA, NIS2 und branchenspezifische Aufsicht: Anforderungen an operationelle Resilienz, IKT-Risikomanagement, Incident Reporting, Testbarkeit und Drittparteiensteuerung.
  • FINMA-orientierte Anforderungen: Governance, operationelle Risiken, Resilienz, kritische Funktionen, Outsourcing und Managementverantwortung.

Anhang 2 – Beispiel-Rollenmodell für den Krisenstab (nicht abschliessend)

Rolle / Gremium Normalbetrieb Ereignisfall
GeschäftsleitungPolicy, Strategie, Ressourcen, Risikoakzeptanz und Management Review.Strategische Entscheide, Priorisierung, Freigabe wesentlicher Kommunikation und Rückkehrstrategie.
BCM-VerantwortlicherGesamtverantwortung für das BCM-System, BCMS koordinieren, Methoden, Reviews, Reporting und Verbesserungen steuern.Unterstützung des Krisenstabs, Bereitstellung von Grundlagen, Nachführung von Lessons Learned.
KrisenstabsleitungKrisenorganisation vorbereiten, Übungen und Führungsprozesse etablieren.Lageführung, Entscheidungsrhythmus, Auftragskontrolle und Eskalation zur Geschäftsleitung.
ProzessverantwortlicheBIA, Prozessabhängigkeiten, minimale Ressourcen und BCP-Inhalte aktuell halten.Auswirkungen beurteilen, Notprozesse aktivieren, Wiederanlauf fachlich

Anhang 3 – Beispiel RACI-Matrix (nicht abschliessend)

BCM-Aufgabe / Entscheidung GL Krisenstabsleitung BCM Verantw. Prozessverantw. ITSCM Manager
BCM Governance und Rollenmodell festlegenAIRII
BCM-Scope genehmigenAIRCC
Risikoakzeptanz BCM festlegenAIRCC
Ressourcen für BCM sicherstellenAICRC
BCM-Strategie erstellen und aktualisierenCIA/RCC
BCM-Strategie abnehmen / verabschiedenAIRCI
Regulatorische Vorgaben überwachenCIA/RCC
Business Impact Analyse (BIA) anstossen und koordinierenA/RRC
BIA durchführen und RTO/RPO/Ressourcen erfassenA/RRC
BIA abnehmen / verabschiedenCIRAI
BCM-Klassen und Wiederanlaufprioritäten plausibilisierenIICRA

Kürzel Bedeutung Beschreibung
AAccountableRechenschaftspflichtig; genehmigt, entscheidet oder trägt die Gesamtverantwortung.
RResponsibleDurchführungsverantwortlich; führt die Aufgabe aus oder koordiniert die Ausführung.
CConsultedFachlich einzubeziehen; liefert Input oder Review.
IInformedZu informieren; erhält Ergebnis-, Status- oder Eskalationsinformation.

Anhang 4 – Führungsrhythmus

Der Führungsrhythmus ist der festgelegte Takt, in dem eine Organisation während einer Störung oder Krise ihre Lage beurteilt, Entscheidungen trifft, Massnahmen steuert und kommuniziert – strukturiert und nachvollziehbar statt reaktiv und chaotisch.

Typischerweise besteht der Führungsrhythmus aus wiederkehrenden Zyklen:

  1. Lage erfassen, Überblick schaffen, Sofortmassnahmen erteilen
    Welche Services, Prozesse, Standorte, Lieferanten, IT-Systeme oder Mitarbeitenden sind betroffen? Welche Auswirkungen bestehen auf Kunden, regulatorische Pflichten, Sicherheit, Finanzen und Reputation? Müssen Massnahmen sofort ausgeführt werden, um z. B. thematisch vor die Krise zu gelangen?
  2. Lage, Risiken und Chancen beurteilen
    Wie kritisch ist die Situation? Welche zeitkritischen Geschäftsprozesse sind gefährdet? Welche RTOs, MTPDs oder Wiederanlaufprioritäten sind relevant? Welche Szenarien sind wahrscheinlich?
  3. Entscheide treffen
    Zum Beispiel Aktivierung des Krisenstabs, Auslösung von Business-Continuity-Plänen, Umschaltung auf Ersatzstandorte, Workarounds, Priorisierung knapper Ressourcen oder Eskalation an Geschäftsleitung und Behörden.
  4. Aufträge erteilen
    Massnahmen werden klar zugewiesen: Wer macht was bis wann? Welche Abhängigkeiten bestehen? Welche Teams, Lieferanten oder externen Stellen müssen eingebunden werden?
  5. Umsetzung verfolgen, kontrollieren
    Offene Punkte, Risiken, Blocker und Entscheidungsbedarfe werden regelmässig überprüft. Der Status wird in einem Action Log, Lagebild oder Krisenjournal festgehalten.
  6. Kommunizieren
    Interne und externe Kommunikation erfolgen abgestimmt: Mitarbeitende, Management, Kunden, Lieferanten, Behörden, Medien oder Aufsichtsstellen erhalten adressatengerechte Informationen.

Der Führungsrhythmus wird meist über feste Rapporte oder Meetings operationalisiert, beispielsweise alle 30, 60 oder 120 Minuten – je nach Dynamik des Ereignisses. In der akuten Phase ist der Takt eng; in der stabilisierten Phase wird er verlängert.


Anhang 5 – Glossar

AKV – Aufgaben, Kompetenzen und Verantwortung

Das AKV-Prinzip stellt sicher, dass Rollen nicht nur beschrieben, sondern auch mit Entscheidungsrechten und Rechenschaftspflichten versehen sind.

BCM – Business Continuity Management BCM

BCM ist ein Managementsystem mit dem Ziel, die Widerstandsfähigkeit einer Organisation gegenüber schwerwiegenden Störungen zu erhöhen und die Fortführung kritischer Geschäftsprozesse sicherzustellen.

BCMS – Business Continuity Management System

Managementsystem zur Planung, Umsetzung, Pflege und Verbesserung der organisatorischen Resilienz.

BCP – Business Continuity Plan

Der BCP ist die dokumentierte Umsetzung der BCM-Strategie für definierte Ausfallszenarien. Er enthält detaillierte Notfallverfahren, Verantwortlichkeiten, Kommunikationswege und Massnahmen zur Wiederherstellung, inklusive Übergaben an Disaster‑Recovery‑Pläne, um kontrollierte Reaktionen sicherzustellen.

BIABusiness Impact Analyse

Die BIA ist ein Verfahren zur Identifikation kritischer Geschäftsprozesse, ihrer Abhängigkeiten und der Auswirkungen von Ausfällen. In der BIA werden Auswirkungskennzahlen wie maximale Wiederanlaufzeiten (RTO) und der maximale Datenverlust (RPO) bestimmt.

Eskalation

Strukturierte Weiterleitung einer Störung an eine höhere oder spezialisierte Entscheidungsinstanz aufgrund definierter Kriterien.

Führungsrhythmus

Ist der festgelegte Takt im BCM- und ITSCM-Ereignisfall, in dem eine Organisation während einer Störung oder Krise ihre Lage beurteilt, Entscheidungen trifft, Mass­nahmen steuert und kommuniziert. Er sorgt dafür, dass das Continuity-Management nicht reaktiv und chaotisch läuft, sondern strukturiert, priorisiert und nachvollziehbar.

Krisenstab

Temporäre Führungsorganisation zur Lagebeurteilung, Entscheidungsfindung, Kommunikation und Steuerung wesentlicher Massnahmen im Ereignisfall.

Lagebild

Verdichtete Darstellung der aktuellen Situation, Auswirkungen, Risiken, Optionen, Entscheide und offenen Massnahmen.

MTPD – Maximum Tolerable Period of Disruption

Maximal tolerierbare Dauer, während der ein Geschäftsprozess, eine Dienstleistung oder Ressource unterbrochen sein darf, bevor nicht akzeptable Auswirkungen für die Organisation entstehen.

RACI

Hilfsmittel zur Zuordnung von Verantwortlichkeiten, Abkürzung für Responsible, Accountable, Consulted, Informed.

RPO – Recovery Point Objective

Das RPO beschreibt die maximal zulässige Datenverlustspanne im Falle eines Ausfalls – d. h. wie weit zurück (z. B. eine Stunde) Daten wiederhergestellt werden müssen, um den Betrieb fortzusetzen. Auch dieser Wert wird prozessabhängig über die BIA bestimmt.

RTO – Recovery Time Objective

Das RTO ist der maximal tolerierbare Zeitraum, innerhalb dessen ein Prozess oder System nach einem Ausfall wieder einsatzfähig sein muss. Es wird prozessspezifisch festgelegt, basierend auf den Ergebnissen der BIA (z. B. Wiederherstellung innerhalb 4 Stunden)

Martin Zwyssig, Mitglied der Geschäftsleitung, Bereichsleiter Services

Martin Zwyssig ist Mitgründer der Firma In&Out und Mitglied der Geschäftsleitung. Er beschäftigt sich seit mehr als 35 Jahren mit Business- und IT Service Continuity Management in verschiedenen Branchen.

Martin Zwyssig per E-Mail kontaktieren
LinkedIn Profil besuchen