Verwaltungsrats-Lexikon

BCM (Business Continuity Management)

Systematische Vorbereitung und Steuerung der Geschäftskontinuität bei Krisen, Ausfällen und Katastrophen mit Plänen, Strukturen, Übungen und Tests.

Definition

Business Continuity Management (BCM) ist die systematische Vorbereitung und Steuerung der Geschäftskontinuität bei Krisen, Ausfällen und Katastrophen. Ziel ist die schnelle Wiederherstellung kritischer Geschäftsprozesse mit minimalen Schäden für Kunden, Mitarbeitende, Lieferanten und Reputation.

BCM umfasst die Vorbereitung (Pläne, Strukturen, Übungen), die Reaktion im Krisenfall und die Wiederherstellung danach. Es ist Teil eines reifen Risiko-Management-Frameworks und in regulierten Branchen verbindlich.

Komponenten

Policy und Strategie

  • BCM-Policy mit Geltungsbereich, Verantwortlichkeiten, Zielen.
  • BCM-Strategie mit risikobasierter Priorisierung.
  • Verbindung zu Unternehmensstrategie und Risikoappetit.

Business Impact Analysis (BIA)

  • Identifikation kritischer Geschäftsprozesse.
  • Bewertung der Auswirkungen ihres Ausfalls über Zeit.
  • Definition Maximum Tolerable Period of Disruption (MTPD).
  • Recovery Time Objective (RTO) und Recovery Point Objective (RPO).
  • Abhängigkeiten von IT, Daten, Personal, Lieferanten, Standorten.

Business Continuity Plans (BCP)

  • Detaillierte Pläne je kritischem Prozess.
  • Aktivierungs-Kriterien und Eskalationswege.
  • Rollen und Verantwortlichkeiten.
  • Backup-Lösungen und Workarounds.
  • Kommunikationspläne.

Disaster Recovery Plans (DRP)

  • IT-spezifische Wiederherstellungspläne.
  • Backup-Strategien (3-2-1-Regel, Air-Gap).
  • Failover-Mechanismen.
  • Wiederherstellungs-Schritte.

Krisenstabs-Strukturen

  • Klare Rollen (Krisenstabsleiter, Kommunikation, IT, Operations).
  • Eskalations-Wege.
  • 24/7-Erreichbarkeit.
  • Backup-Verantwortliche.

Übungen und Tests

  • Tabletop, Walkthrough, Funktional, Full-Scale.
  • Mindestens jährlich für kritische Prozesse.
  • Lessons Learned dokumentiert.
  • Plan-Anpassung nach Übungen.

Reporting und Review

  • Regelmässige BCM-Reife-Bewertung.
  • Reporting an Audit Committee und VR.
  • Externe Audits oder Zertifizierung.

Rechtsgrundlage

Aktienrecht

  • OR Art. 716a Abs. 1 Ziff. 3: Risiko-Management und Finanzkontrolle.
  • OR Art. 717: Sorgfaltspflicht.
  • OR Art. 754: Verantwortlichkeit.

Standards

  • ISO 22301: Business Continuity Management Systems mit Zertifizierungs-Möglichkeit.
  • ISO 22313: Guidance.
  • NIST SP 800-34: Contingency Planning Guide.

Regulatorisch

  • FINMA-RS Operationelle Risiken: BCM-Anforderungen für Banken und Versicherungen.
  • NIS2 (EU): für kritische Sektoren mit EU-Geschäft.
  • Branchenspezifisch: GMP, Heilmittelrecht, Telekommunikationsrecht.

Business Impact Analysis

Die BIA ist die zentrale Grundlage des BCM:

Prozess-Identifikation

  • Alle wesentlichen Geschäftsprozesse erfassen.
  • Klassifikation nach Kritikalität.
  • Eigentümer und Verantwortliche.

Auswirkungs-Analyse

  • Finanzielle Auswirkungen (Umsatzverlust, Strafen).
  • Operative Auswirkungen (Kunden-Service, Mitarbeitende).
  • Reputations-Auswirkungen.
  • Compliance-Auswirkungen.
  • Zeitliche Eskalation (1 Stunde, 1 Tag, 1 Woche, 1 Monat).

MTPD, RTO, RPO

  • MTPD: Maximum Tolerable Period of Disruption.
  • RTO: Recovery Time Objective, max. Zeit bis Wiederherstellung.
  • RPO: Recovery Point Objective, max. Datenverlust in Zeit.

Abhängigkeiten

  • IT-Systeme.
  • Daten und Datenquellen.
  • Personal (Schlüssel- und Substituten-Ressourcen).
  • Lieferanten und Drittparteien.
  • Standorte und Infrastruktur.

Szenarien

IT-Ausfälle

  • Hardware-Ausfall (Server, Netzwerk, Storage).
  • Software-Ausfall (Applikation, Datenbank).
  • Cyber-Angriffe (Ransomware, DDoS).
  • Datenkorruption.

Standort-Ausfälle

  • Brand.
  • Hochwasser, Erdbeben.
  • Sicherheits-Vorfälle (Bombenalarm, Anschlag).
  • Unzugänglichkeit (Strike, Polizei-Operation).

Personal-Ausfälle

  • Pandemie mit hohem Krankenstand.
  • Streik.
  • Schlüsselpersonen-Ausfall.
  • Anschlag oder Geiselnahme.

Lieferanten-Ausfälle

  • Insolvenz.
  • Cyber-Angriff bei kritischem Lieferanten.
  • Naturkatastrophe in Lieferanten-Region.

Energie und Infrastruktur

  • Strom-Ausfall.
  • Telekommunikations-Ausfall.
  • Wasser-Ausfall.

Regulatorische und politische Krisen

  • Sanktionen mit Geschäfts-Wegfall.
  • Lizenz-Entzug.
  • Politische Eskalation in einem Markt.

Praxis Schweiz

Banken und Versicherungen

FINMA verlangt formales BCM mit BIA, BCP, DRP, regelmässigen Tests. Backup-Rechenzentren, Hot Sites, Disaster Recovery sind Standard. Cyber-Übungen mit Red Teams und Tabletop sind etabliert.

Industrie

Pandemie hat BCM in der Industrie stark professionalisiert. Lieferketten-Resilienz ist zentrales Thema. Standort-Diversifikation in einigen Branchen.

Pharma

GMP-Anforderungen mit Continuity-Aspekten. Wirkstoffsicherheit, Lagerhaltung, Backup-Lieferanten als BCM-Elemente.

Kritische Infrastruktur

Energie, Telekommunikation, Gesundheitswesen unterstehen besonderen BCM-Anforderungen. NCSC-Meldepflicht bei Cyber-Vorfällen seit 2024.

KMU

Pragmatisches BCM mit Basis-Plänen: Cloud-Backup, Notfall-Kontaktliste, einfache Eskalations-Wege. Externe IT-Dienstleister mit Disaster Recovery as a Service als Alternative.

Übungen und Tests

Tabletop-Übungen

  • Diskussion eines Szenarios mit Krisenstab.
  • Plan-Durchgang ohne Aktivierung.
  • 2 bis 4 Stunden.

Walkthrough-Tests

  • Schrittweiser Plan-Durchgang.
  • Prüfung der Vollständigkeit.

Funktionale Tests

  • Test einzelner Komponenten (Backup, Failover, Telefonliste).
  • Häufiger durchführbar.

Full-Scale-Übungen

  • Komplette Aktivierung mit Backup-Standorten.
  • Mehrere Stunden bis Tage.
  • Hoher Aufwand, alle 2 bis 3 Jahre für kritische Prozesse.

Cyber-Übungen

  • Red Team Tests.
  • Phishing-Simulationen.
  • Incident-Response-Übungen.

Lieferanten-Übungen

  • Kommunikation mit Lieferanten bei Ausfall-Szenarien.
  • Backup-Lieferanten-Aktivierung.

VR-Verantwortung

Der VR muss:

  • BCM-Programm verabschieden.
  • BIA und Strategie würdigen.
  • Übungs-Ergebnisse erhalten.
  • Materielle Vorfälle behandeln.
  • Investitionen in BCM und Disaster Recovery prüfen.
  • Eigene Rolle im Krisenfall klären.
  • Notfallnachfolge des VRP regeln.
  • Eigene Tabletop-Übungen durchführen.

Häufige Fehler

  • Veraltete BCM-Pläne ohne regelmässige Aktualisierung.
  • Fehlende oder seltene Übungen.
  • Unterressourcierte BCM-Funktion.
  • Fokus auf IT-Disaster-Recovery ohne breitere Geschäftskontinuität.
  • Vernachlässigung von Lieferanten-Continuity.
  • Unklare Krisenstabs-Strukturen.
  • Fehlende Kommunikation an Mitarbeitende und Stakeholder.
  • Mangelnde VR-Befassung bis zur Krise.
  • Fehlende Lessons Learned nach echten Vorfällen.
  • BCM als Papierübung ohne kulturelle Verankerung.

Aktuelle Trends

  • Cyber-Resilienz als Schwerpunkt mit Ransomware-Vorbereitung.
  • Cloud-basierte Disaster Recovery as a Service.
  • Pandemie-Lessons in BCM-Plänen verankert.
  • Klimarisiken als Szenario-Treiber.
  • Lieferketten-Resilienz als eigener BCM-Bereich.
  • ISO 22301 Zertifizierung zunehmend als Branchenstandard.
  • Cyber-Übungen mit höherer Realitätsnähe.

Abgrenzung

  • Krisenmanagement ist die operative Reaktion, BCM ist breiter und präventiv.
  • Disaster Recovery ist IT-fokussiert, BCM ist breiter.
  • Risiko-Management ist Oberrahmen, BCM ist eine Massnahme zur Risikominderung.
  • Cyber Incident Response ist Spezialfall für Cybervorfälle.
  • Notfallnachfolge ist Personalkontinuität, Teil von BCM.

Häufige Fragen

Was ist Business Continuity Management?
Business Continuity Management (BCM) ist die systematische Vorbereitung und Steuerung der Geschäftskontinuität bei Krisen, Ausfällen und Katastrophen. Es umfasst Business Impact Analysis, Business Continuity Plans, Disaster Recovery Plans, Krisenstabs-Strukturen, Übungen und Tests. Ziel ist die schnelle Wiederherstellung kritischer Geschäftsprozesse mit minimalen Schäden für Kunden, Mitarbeitende und Reputation.
Welche Standards prägen BCM?
ISO 22301 ist die internationale Norm für Business Continuity Management Systems mit Anforderungen an Policy, Risikoanalyse, BIA, Strategie, Plans, Übungen, Review. Branchenspezifische Standards ergänzen: FINMA-Rundschreiben Operationelle Risiken für Finanzdienstleister, GMP für Pharma, NIS2 für kritische Infrastruktur in der EU. ISO 22301 Zertifizierung ist möglich.
Was ist eine Business Impact Analysis?
Die BIA identifiziert kritische Geschäftsprozesse, bewertet die Auswirkungen ihres Ausfalls über Zeit, definiert maximale tolerierbare Ausfallzeit (MTPD) und Recovery Time Objective (RTO), priorisiert Wiederherstellung, identifiziert Abhängigkeiten (IT-Systeme, Daten, Personal, Lieferanten, Standorte). Sie ist Grundlage für BCM-Strategie und -Pläne und sollte mindestens jährlich aktualisiert werden.
Was sind RTO und RPO?
Recovery Time Objective (RTO) ist die maximale akzeptable Zeit vom Ausfall bis zur Wiederherstellung eines Prozesses. Recovery Point Objective (RPO) ist der maximale akzeptable Datenverlust gemessen in Zeit. Beispiel: RTO 4 Stunden, RPO 15 Minuten bedeutet Wiederherstellung innert 4 Stunden mit max. 15 Minuten Datenverlust. Beide bestimmen Disaster-Recovery-Architektur und -Kosten.
Welche Szenarien deckt BCM ab?
IT-Ausfälle (Hardware, Software, Cyber-Angriffe, Ransomware), Standort-Ausfälle (Brand, Hochwasser, Erdbeben), Personal-Ausfälle (Pandemie, Streiks, Schlüsselpersonen), Lieferanten-Ausfälle, Energie- und Infrastruktur-Ausfälle, regulatorische und politische Krisen, Naturkatastrophen. Szenarien werden risikobasiert priorisiert. Pandemie-Szenarien sind seit 2020 systematisch in BCM-Plänen.
Wie testet man BCM?
Tabletop-Übungen (Diskussion von Szenarien mit Krisenstab), Walkthrough-Tests (Plan-Durchgang ohne Aktivierung), funktionale Tests (Test einzelner Komponenten), Full-Scale-Übungen (komplette Aktivierung mit Backup-Standorten), Cyber-Übungen (Red Team, Phishing-Simulationen), Lieferanten-Übungen. Mindestens jährliche Übungen, Lessons Learned dokumentiert. ISO 22301 verlangt regelmässige Übungen und Tests.
Welche Rolle hat der Verwaltungsrat?
Der VR muss BCM-Programm verabschieden, BIA und Strategie würdigen, Übungs-Ergebnisse erhalten, materielle Vorfälle behandeln, Investitionen in BCM und Disaster Recovery prüfen, eigene Rolle im Krisenfall klären, Notfallnachfolge des VR-Präsidenten regeln. Reife Organisationen testen BCM auch auf VR-Ebene mit Tabletop-Übungen.
Welche Fehler treten häufig auf?
Häufig sind veraltete BCM-Pläne ohne regelmässige Aktualisierung, fehlende oder seltene Übungen, unterressourcierte BCM-Funktion, Fokus auf IT-Disaster-Recovery ohne breitere Geschäftskontinuität, Vernachlässigung von Lieferanten-Continuity, unklare Krisenstabs-Strukturen, fehlende Kommunikation an Mitarbeitende, mangelnde VR-Befassung bis zur Krise, fehlende Lessons Learned nach echten Vorfällen.

Verwandte Einträge

  • KrisenmanagementSystematische Steuerung einer Gesellschaft in akuten Bedrohungssituationen — strategische, operative und kommunikative Verantwortung des Verwaltungsrats.
  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
  • Cyber Incident ResponseSystematische Reaktion auf Cybervorfälle mit Detection, Containment, Eradication, Recovery und Lessons Learned sowie Meldepflichten und Krisenkommunikation.
  • Cyber-GovernanceVerantwortung des Verwaltungsrats für die Steuerung von Cyberrisiken, Schutzkonzepten, Meldewegen und Resilienz.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →