Business Continuity
Business Continuity (Geschäftskontinuität) bezeichnet die Fähigkeit eines Unternehmens, kritische Geschäftsprozesse auch bei schwerwiegenden Störungen aufrechtzuerhalten oder schnellstmöglich wiederherzustellen.
Ausführliche Erklärung
Business Continuity Management (BCM) ist ein strukturierter Managementprozess, der Unternehmen auf Krisensituationen vorbereitet. Er identifiziert kritische Geschäftsprozesse, bewertet potenzielle Bedrohungen und entwickelt Strategien, um den Betrieb im Störfall fortführen zu können. Das Spektrum möglicher Ereignisse reicht von IT-Ausfällen, Cyberangriffen und Ransomware über Personalausfälle und Lieferkettenunterbrechungen bis zu Naturkatastrophen oder Infrastrukturausfällen.
Für KMU gewinnt Business Continuity zunehmend an Bedeutung. Rund 80 Prozent der kleinen und mittleren Unternehmen in Deutschland verfügen laut Bitkom über keinen dokumentierten Notfallplan, obwohl die Kosten eines IT-Ausfalls schnell zwischen 5.000 und 10.000 Euro pro Stunde betragen können. Der internationale Standard ISO 22301 definiert die Anforderungen an ein Business Continuity Management System (BCMS) und kann als Orientierung dienen. Das deutsche BSI hat mit dem BSI-Standard 200-4 einen praxisnahen Leitfaden speziell für KMU entwickelt, der drei Reifegrade unterscheidet: reaktiv, aufbauend und standardisiert.
Rechtlich verschärft sich die Lage durch die NIS2-Richtlinie, die in Deutschland seit Dezember 2025 und in Österreich ab Oktober 2026 gilt. Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in definierten kritischen Sektoren. Business Continuity Management ist dabei eine der zentralen Pflichtmaßnahmen. Geschäftsführungen haften persönlich für die Umsetzung. Auch kleinere Unternehmen geraten über ihre Lieferketten unter Druck, entsprechende Nachweise zu erbringen.
Ein tragfähiges BCM umfasst mehrere Elemente: die Analyse kritischer Geschäftsprozesse (Business Impact Analysis), die Festlegung maximal tolerierbarer Ausfallzeiten, die Dokumentation von Notfallplänen, regelmäßige Übungen und eine kontinuierliche Anpassung an neue Risiken. Entscheidend ist, dass Business Continuity kein einmaliges Projekt darstellt, sondern ein fortlaufender Prozess unter Verantwortung der Geschäftsleitung.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 65 Mitarbeitenden in Linz erleidet einen Ransomware-Angriff, der das gesamte ERP-System lahmlegt. Dank eines vorbereiteten Business Continuity Plans kann das Team innerhalb von vier Stunden auf ein abgesichertes Backup-System umschalten, Mandantenkommunikation über ein vorab definiertes Sekundärsystem aufrechterhalten und kritische Fristen einhalten. Ohne BCM hätte der Ausfall mehrere Tage gedauert.