Business Continuity

Business Continuity beschreibt die Fähigkeit eines Unternehmens, seine kritischen Geschäftsprozesse auch dann aufrechtzuerhalten, wenn es zu Störungen kommt. Solche Störungen reichen von einem Leitungsausfall über einen Serverdefekt bis hin zu einem Cyberangriff mit Ransomware oder einem Brand im Gebäude. Ziel ist nicht, jede Störung zu verhindern, sondern ihre Auswirkungen auf den Betrieb so gering wie möglich zu halten.

Das systematische Vorgehen dahinter wird als Business Continuity Management bezeichnet. Es betrachtet das Unternehmen ganzheitlich: nicht nur die IT, sondern auch Räume, Personal, Lieferanten und Kommunikation. Im Mittelpunkt steht die Frage, welche Prozesse das Unternehmen unbedingt am Laufen halten muss und wie lange ein Ausfall jeweils verkraftbar ist.

Abzugrenzen ist Business Continuity von der reinen Notfallwiederherstellung. Während Letztere sich auf das technische Wiederanlaufen von Systemen konzentriert, fragt Business Continuity übergreifend, wie das Geschäft selbst weiterläuft, etwa über Ausweichprozesse, alternative Kommunikationswege oder vorbereitete manuelle Abläufe. Die Technik ist also nur ein Teil des Gesamtbildes.

Am Anfang steht meist eine Analyse der geschäftskritischen Abläufe, häufig als Business Impact Analyse bezeichnet. Hier wird ermittelt, welche kritischen Anwendungen und Daten unverzichtbar sind, welcher Schaden pro Ausfallstunde entsteht und wie schnell ein Prozess wieder verfügbar sein muss. Aus diesen Vorgaben leiten sich die technischen und organisatorischen Maßnahmen ab.

Auf technischer Seite gehören dazu durchdachte Backup-Strategien, Ausfallsicherheit durch Redundanz, Fallback-Konzepte für die Netzanbindung sowie eine garantierte Verfügbarkeit über SLA mit den Dienstleistern. Organisatorisch ergänzen Notfallkonzepte mit klaren Zuständigkeiten, Eskalationswegen und regelmäßigen Tests das Bild. Wichtig ist, dass ein Plan nicht nur existiert, sondern auch geübt wird, denn im Ernstfall zählt jede Minute.

Zwei Kennzahlen tauchen dabei immer wieder auf: Die Recovery Time Objective beschreibt, wie schnell ein Prozess nach einem Ausfall wieder laufen muss, die Recovery Point Objective, wie viel Datenverlust maximal hinnehmbar ist. Diese Werte bestimmen, wie aufwendig und teuer die Absicherung ausfallen darf. Sie ehrlich festzulegen ist oft die schwierigste, aber wichtigste Entscheidung im gesamten Prozess.

Viele mittelständische Unternehmen unterschätzen, wie abhängig der Betrieb inzwischen von funktionierender IT und Kommunikation ist. Stehen ERP, E-Mail oder die Telefonanlage still, können Aufträge nicht bearbeitet, Rechnungen nicht gestellt und Kunden nicht erreicht werden. Schon wenige Stunden Ausfall verursachen messbare Kosten und beschädigen im schlimmsten Fall das Vertrauen von Kunden und Partnern.

Hinzu kommt, dass Anforderungen von Versicherungen, Auftraggebern und teilweise auch der Regulierung wachsen. Wer in Lieferketten als verlässlicher Partner gelten will, muss nachweisen können, dass er auf Störfälle vorbereitet ist. Business Continuity ist damit nicht nur Risikoabsicherung, sondern auch ein Argument im Wettbewerb und ein Baustein einer ernst gemeinten Cyber-Security-Strategie.

Gerade kleinere Betriebe scheuen oft den vermeintlich hohen Aufwand. Dabei muss ein erster tragfähiger Plan nicht teuer sein: Schon klar dokumentierte Zuständigkeiten, getestete Backups und ein verlässliches Fallback für die Internetanbindung decken die häufigsten Risiken ab. Der Aufwand lässt sich anschließend Schritt für Schritt an den tatsächlichen Bedarf anpassen.

Bei ITTK betrachten wir Business Continuity nicht als Produkt, das man kauft, sondern als Konzept, das zum jeweiligen Unternehmen passen muss. Ein Handwerksbetrieb mit einem Standort hat andere Anforderungen als ein Dienstleister mit mehreren Niederlassungen in NRW und standortübergreifenden Systemen. Entsprechend setzen wir bei der Analyse der tatsächlichen Risiken an, statt vorgefertigte Pakete zu verkaufen.

Weil wir herstellerneutral arbeiten, bewerten wir die Maßnahmen rein nach Nutzen und Aufwand für den Kunden. Für Unternehmen im Raum Düsseldorf bedeutet das konkret: Wir prüfen, ob die vorhandene Anbindung, die Backups und die Verträge im Ernstfall tatsächlich tragen, und zeigen ehrlich auf, wo Lücken bestehen und mit welchen Schritten sie sich schließen lassen. So entsteht ein Plan, der im Alltag praktikabel bleibt und nicht nur in der Schublade liegt.

Ein Business-Continuity-Plan entfaltet seinen Wert erst, wenn er regelmäßig getestet und aktualisiert wird. Systeme ändern sich, neue kritische Anwendungen kommen hinzu, Zuständigkeiten verschieben sich. Wird der Plan nicht gepflegt, beschreibt er nach kurzer Zeit einen Zustand, den es so nicht mehr gibt, und versagt im Ernstfall genau dann, wenn es darauf ankommt.

Sinnvoll sind daher regelmäßige Übungen, in denen ein Ausfallszenario durchgespielt wird: Lässt sich ein Backup wirklich in der erwarteten Zeit zurückspielen, greift das Fallback der Internetanbindung, wissen die Mitarbeiter, wen sie informieren müssen? Solche Tests decken Schwachstellen auf, bevor ein echter Vorfall sie offenlegt. Business Continuity ist damit kein Projekt mit Enddatum, sondern ein fortlaufender Prozess, der mit dem Unternehmen mitwächst.