Business Continuity — Definition und Bedeutung für die Cybersicherheit
Business Continuity ist die Fähigkeit eines Unternehmens, kritische Geschäftsprozesse trotz Störungen, Cyberangriffen oder Ausfällen aufrechtzuerhalten und geordnet wiederherzustellen. Für NIS2-betroffene Unternehmen bedeutet Business Continuity, dass nicht nur IT-Systeme gesichert werden, sondern auch Betrieb, Entscheidungswege, Kommunikation, Backup-Management und Krisensteuerung belastbar organisiert sein müssen.
Was ist Business Continuity?
Business Continuity beschreibt die geplante Aufrechterhaltung des Geschäftsbetriebs unter außergewöhnlichen Bedingungen. Gemeint ist also nicht nur die Frage, wie ein Server nach einem Vorfall wieder startet, sondern wie Ihr Unternehmen seine wichtigsten Leistungen weiter erbringt, interne Abläufe priorisiert und Schäden für Kunden, Partner und Aufsicht begrenzt.
Im Kern verbindet Business Continuity organisatorische, technische und personelle Maßnahmen. Dazu gehören die Identifikation kritischer Prozesse, definierte Notfallrollen, Kommunikationswege, Ersatzverfahren, getestete Backups und klare Wiederanlaufziele. Eine gute Business-Continuity-Strategie beantwortet daher immer drei praktische Fragen: Was muss zuerst weiterlaufen, wie lange darf der Ausfall dauern und wie viel Datenverlust ist maximal tolerierbar?
| Kernbegriff | Bedeutung |
|---|---|
| BIA | Die Business Impact Analysis bewertet, welche Prozesse, Systeme und Abhängigkeiten für den Geschäftsbetrieb kritisch sind. |
| RTO | Das Recovery Time Objective definiert, wie schnell ein Prozess oder System wieder verfügbar sein muss. |
| RPO | Das Recovery Point Objective legt fest, wie viel Datenverlust zeitlich maximal akzeptabel ist. |
Warum ist Business Continuity für NIS2 wichtig?
Business Continuity ist unter NIS2 keine freiwillige Best Practice, sondern Teil des Maßnahmenkatalogs. Art. 21 Abs. 2 lit. c der Richtlinie (EU) 2022/2555 nennt ausdrücklich Maßnahmen zur Aufrechterhaltung des Betriebs, insbesondere Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement. In Deutschland wird diese Logik durch § 30 Abs. 2 Nr. 3 BSIG aufgegriffen. Für betroffene Einrichtungen heißt das: Ein bloßes Sicherheitskonzept reicht nicht, wenn der Betrieb im Ernstfall nicht geordnet weitergeführt werden kann.
Praktisch ist Business Continuity deshalb eng mit Risikoanalyse, Incident Response und der Backup-Strategie verbunden. Die NIS2-Richtlinie in Deutschland verlangt ein risikobasiertes Vorgehen. Unternehmen müssen wissen, welche Dienste wesentlich sind, welche Abhängigkeiten bestehen und wie Krisenentscheidungen unter Zeitdruck getroffen werden.
ISO 22301 liefert dafür den etablierten Rahmen für ein Business-Continuity-Management-System. Die Norm macht deutlich, dass Business Continuity dokumentiert, getestet und regelmäßig verbessert werden muss. Ein Notfallordner im Intranet ist noch kein belastbares Business Continuity Management.
Business Continuity vs. Disaster Recovery
Business Continuity und Disaster Recovery werden oft verwechselt, meinen aber nicht dasselbe. Disaster Recovery konzentriert sich primär auf die Wiederherstellung von IT-Systemen, Daten und Infrastruktur nach einem Ausfall. Business Continuity ist weiter gefasst und stellt die Frage, wie das Unternehmen während und nach der Störung arbeitsfähig bleibt.
Kurz gesagt: Disaster Recovery ist ein Teil von Business Continuity, aber nicht der ganze Begriff. Wenn ein deutsches Unternehmen zwar Backups einspielen kann, aber keine Prioritäten für Aufträge, Kundenkommunikation, manuelle Ersatzprozesse oder Krisenentscheidungen definiert hat, fehlt Business Continuity trotz funktionierender IT-Wiederherstellung.
Praxisbeispiel aus Deutschland
Ein mittelständischer Medizintechnikhersteller aus Nordrhein-Westfalen wird durch Ransomware getroffen. Das ERP-System fällt aus, Versanddaten sind verschlüsselt und die Produktion kann Aufträge nicht mehr sauber priorisieren. Ohne Business Continuity würde das Unternehmen zuerst nur die IT-Reparatur betrachten. Mit einer vorbereiteten Business-Continuity-Struktur läuft der Krisenstab sofort an, kritische Produktlinien werden priorisiert, ein manuelles Versandverfahren aktiviert und Kunden mit festen Eskalationswegen informiert.
Die vorher durchgeführte BIA zeigt, dass Ersatzteilversorgung und regulatorisch relevante Lieferdokumentation zuerst wiederhergestellt werden müssen. Für das ERP gilt ein RTO von acht Stunden, für Produktions- und Auftragsdaten ein RPO von einer Stunde. Parallel greift der technische Disaster Recovery-Plan. Das Beispiel zeigt den Unterschied klar: Disaster Recovery bringt die IT zurück, Business Continuity hält das Unternehmen in der Zwischenzeit handlungsfähig.
Wie Unternehmen Business Continuity pragmatisch aufbauen
Business Continuity sollte mit wenigen klaren Schritten aufgebaut werden. Erstens identifizieren Sie mit einer BIA die geschäftskritischen Prozesse. Zweitens definieren Sie RTO und RPO für die wichtigsten Systeme und Daten. Drittens verknüpfen Sie diese Ziele mit Backups, Wiederanlaufplänen und Krisenrollen. Viertens testen Sie die Annahmen regelmäßig, statt sie nur zu dokumentieren.
Besonders wichtig ist die Verzahnung mit operativen Sicherheitsprozessen. Wenn Incident Response nur technische Eskalation abdeckt, aber keine Geschäftsfortführung, entsteht im Ernstfall eine Führungslücke. Wenn Backups vorhanden sind, aber nicht getestet werden, bleibt das RPO theoretisch. Und wenn die Geschäftsleitung nicht weiß, welche Prozesse zuerst stabilisiert werden müssen, hilft selbst gute Technik nur begrenzt. Für viele Unternehmen ist deshalb eine strukturierte NIS2-Schulung sinnvoll, um Business Continuity nicht isoliert in der IT zu belassen.
Häufig gestellte Fragen (FAQ)
Was ist Business Continuity?
Business Continuity ist die organisierte Aufrechterhaltung kritischer Geschäftsprozesse bei Störungen, Ausfällen oder Cyberangriffen. Ziel ist nicht nur die technische Wiederherstellung, sondern die Fortführung zentraler Leistungen mit klaren Prioritäten, Rollen und Wiederanlaufzielen.
Warum ist Business Continuity für NIS2 wichtig?
Business Continuity ist für NIS2 wichtig, weil Art. 21 Abs. 2 lit. c ausdrücklich Maßnahmen zu Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement verlangt. Betroffene Unternehmen müssen damit zeigen, dass sie wesentliche Dienste auch im Ernstfall geordnet absichern und wiederanlaufen lassen können.