Business Continuity Management, kurz BCM, bezeichnet den systematischen, unternehmensweiten Ansatz, kritische Geschäftsprozesse auch während und unmittelbar nach schwerwiegenden Störungen wie Cyberangriffen, Naturereignissen oder technischen Ausfällen zuverlässig aufrechtzuerhalten oder rasch wiederherzustellen.
Ein umfassendes BCM umfasst die Identifikation kritischer Geschäftsprozesse, die Analyse möglicher Störungsszenarien, die Entwicklung konkreter Notfallpläne sowie deren regelmäßige Überprüfung durch Tests und Übungen. Ziel ist es, im Ernstfall nicht erst improvisieren zu müssen, sondern auf bereits vorbereitete, erprobte Abläufe zurückgreifen zu können.
Für Unternehmen ist BCM relevant, weil ein Cybervorfall wie ein Ransomware-Angriff nicht nur IT-Systeme, sondern den gesamten Geschäftsbetrieb betreffen kann. Ein strukturiertes BCM stellt sicher, dass kritische Prozesse wie Zahlungen, Kommunikation mit Kunden oder die Fortführung laufender Projekte auch bei einem IT-Ausfall zumindest eingeschränkt weiterlaufen können.
Für Architektur- und Ingenieurbüros bedeutet dies konkret, vorab zu klären, wie bei einem Ausfall der zentralen Projektplattform oder BIM-Umgebung weitergearbeitet werden kann, wie Auftraggeber im Ernstfall informiert werden und welche Fristen möglicherweise angepasst werden müssen, um Vertragsstrafen oder Terminverzug bestmöglich zu vermeiden.
Abzugrenzen ist BCM von anerkannten Standards wie ISO 27001 oder einem Informationssicherheitsmanagementsystem, die einen breiteren Rahmen für IT-Sicherheit vorgeben, sowie vom Cyber Resilience Act als regulatorischem Rahmenwerk. Bei Unternehmen, die zur Critical National Infrastructure zählen, sind BCM-Anforderungen häufig zusätzlich gesetzlich vorgeschrieben.
Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist ein grundlegendes Business Continuity Management relevant, weil es Ihnen hilft, im Ernstfall eines Cybervorfalls oder eines anderen schwerwiegenden Ausfalls nicht überstürzt handeln zu müssen, sondern auf bereits durchdachte, vorbereitete Abläufe zurückzugreifen. Bereits ein einfacher, schriftlich festgehaltener Notfallplan mit klaren Zuständigkeiten, alternativen Kommunikationswegen und einer Priorisierung besonders kritischer Projekte kann im Ernstfall erheblichen Schaden und Zeitverlust vermeiden. Für Cyberversicherer ist ein dokumentiertes BCM zudem ein wichtiges Argument bei der Bewertung Ihres gesamten Risikomanagements, da es zeigt, dass Ihr Unternehmen auch auf schwerwiegende Störungen strukturiert vorbereitet ist und nicht ausschließlich auf technische Präventionsmaßnahmen setzt.
Nach einem mehrtägigen Ausfall der zentralen Projektplattform durch einen Ransomware-Angriff stellt ein Ingenieurbüro fest, dass es keinen abgestimmten Plan gibt, wie die Kommunikation mit mehreren Auftraggebern in dieser Zeit fortgeführt werden soll. Nach der Bewältigung des akuten Vorfalls entwickelt die Geschäftsführung gemeinsam mit einem externen Berater ein grundlegendes Business-Continuity-Konzept, das alternative Kommunikationswege, eine klare Priorisierung besonders dringender Projekte sowie feste Zuständigkeiten für den Ernstfall festlegt. Als es Monate später erneut zu einem technischen Ausfall kommt, kann das Büro dank des vorbereiteten Plans deutlich schneller und geordneter reagieren als beim ersten Vorfall. Die Geschäftsführung überprüft den Plan seither einmal jährlich gemeinsam mit allen zuständigen Führungskräften.
Business Continuity Management bezeichnet den systematischen Ansatz, kritische Geschäftsprozesse auch während und nach schwerwiegenden Störungen wie Cyberangriffen aufrechtzuerhalten oder rasch wiederherzustellen.
Bereits ein einfacher, schriftlich festgehaltener Notfallplan mit klaren Zuständigkeiten und alternativen Abläufen kann für kleinere Büros einen erheblichen praktischen Nutzen im Ernstfall bieten.
Ein Ausfall der zentralen Projektplattform oder BIM-Umgebung kann laufende Bauprojekte gefährden, weshalb vorab geklärte Notfallabläufe und Kommunikationswege wichtig sind.
Ein IT-Sicherheitskonzept fokussiert primär die Prävention technischer Vorfälle, während BCM zusätzlich regelt, wie kritische Geschäftsprozesse während und nach einer Störung fortgeführt werden.
Ein dokumentiertes Business Continuity Management gilt als Zeichen eines strukturierten, umfassenden Risikomanagements und kann sich positiv auf die Bewertung durch einen Cyberversicherer auswirken.
• ISMS (Informationssicherheitsmanagementsystem) – bildet einen breiteren organisatorischen Rahmen, innerhalb dessen BCM eine wichtige Rolle spielt.
• ISO 27001 – als anerkannter Standard adressiert unter anderem Anforderungen an ein funktionierendes Business Continuity Management.
• Cyber Resilience Act (CRA) – regulatorisches Rahmenwerk, das Anforderungen an Widerstandsfähigkeit und damit auch an BCM stellen kann.
• Cyberversicherung – ein dokumentiertes BCM unterstützt die Bewertung des gesamten Risikomanagements eines Unternehmens.