Inhalt in Kürze
- 43 % aller Unternehmen, die von einem schweren Cybervorfall getroffen werden, machen binnen zwei Jahren dicht — und der häufigste Grund ist nicht der Schaden selbst, sondern das fehlende Konzept, wie man den Geschäftsbetrieb am Laufen hält.
- Ein Business Continuity Plan (BCP) ist der zentrale Leitfaden Ihres Business Continuity Managements (BCM). Er beantwortet eine einzige Frage: „Was tun wir konkret, wenn das Schlimmste passiert — und wie schnell sind wir wieder arbeitsfähig?”
- Seit NIS-2 (Oktober 2024) ist ein BCP für rund 30.000 deutsche Unternehmen Pflicht. Die Geschäftsleitung haftet persönlich — Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes.
- Der Weg zum BCP führt über fünf Schritte: Risikoanalyse, Business Impact Analyse, Wiederherstellungsstrategien, Dokumentation, Test & Übung. ISO 22301 und BSI-Standard 200-4 liefern den Rahmen.
- Kosten im Mittelstand: 8.000–25.000 € Ersterstellung, 3.000–8.000 € pro Jahr für Pflege. Durchschnittlicher Ransomware-Schaden laut Bitkom 2025: 266.000 € — die Rechnung macht sich selbst.
Ein verschlüsseltes Produktionsnetz am Montagmorgen. Ein Feuer im Serverraum am Freitagabend. Ein Lieferant, der plötzlich insolvent ist und die ganze Supply Chain reißt. Die meisten Unternehmen überleben solche Vorfälle — wenn sie vorher wissen, was zu tun ist. Die 43 %, die es nicht schaffen, haben eines gemeinsam: Sie hatten keinen Plan.
Dieser Artikel zeigt Ihnen, wie Sie einen Business Continuity Plan erstellen, der im Ernstfall wirklich funktioniert — und nicht nur als Compliance-Dokument in der Schublade verstaubt. Wir orientieren uns an der internationalen Norm ISO 22301 und dem deutschen BSI-Standard 200-4 (BCM), ergänzt um die harten Anforderungen aus NIS-2. Aus 18 Jahren Praxis als IT-Dienstleister in Hamburg — und aus den Krisen, die wir bei Kunden schon gesehen haben.
Was ist ein Business Continuity Plan?
Ein Business Continuity Plan (BCP) ist ein dokumentiertes Regelwerk, das festlegt, wie ein Unternehmen kritische Geschäftsprozesse während und nach einer schweren Störung aufrechterhält oder schnellstmöglich wiederherstellt. Er ist das operative Kernstück des Business Continuity Managements (BCM) — der übergeordneten Management-Disziplin, die sich mit der Widerstandsfähigkeit einer Organisation beschäftigt.
Ein BCP beantwortet konkret:
- Welche Prozesse dürfen niemals länger als X Stunden ausfallen?
- Welche Ressourcen (IT, Personal, Gebäude, Lieferanten) sind dafür zwingend nötig?
- Welche Alternativen gibt es, wenn die primären Ressourcen ausfallen?
- Wer entscheidet im Ernstfall was — und wer informiert wen?
- Wie stellen wir wieder her — technisch, organisatorisch, kommunikativ?
Der BCP deckt das gesamte Unternehmen ab: IT, Personal, Gebäude, Lieferanten, Kunden, Behörden. Die IT-spezifische Wiederherstellung ist ein Unterkapitel — der Disaster Recovery Plan (DRP), den wir in Disaster Recovery Plan für Unternehmen im Detail beschreiben.
BCM vs. Disaster Recovery vs. Notfallplan — der Unterschied
Die Begriffe werden im Alltag häufig verwechselt. Für einen funktionierenden BCP ist die saubere Trennung aber wichtig — sonst schreiben Sie drei Dokumente, die sich gegenseitig widersprechen.
| Dokument | Umfang | Hauptfrage | Eigentümer |
|---|---|---|---|
| BCM (Business Continuity Management) | Strategie & Rahmen | „Wie machen wir das Unternehmen krisenresistent?” | Geschäftsführung |
| BCP (Business Continuity Plan) | Operatives Regelwerk | „Wie halten wir kritische Prozesse in einer Krise am Laufen?” | BCM-Verantwortlicher |
| DRP (Disaster Recovery Plan) | IT-Wiederherstellung | „Wie holen wir Server, Daten, Apps zurück ans Netz?” | IT-Leitung |
| Notfallplan / IRP | Erste Reaktion (1–4 h) | „Wer ruft wen an, wer entscheidet was — jetzt?” | Krisenstab |
| Krisenhandbuch | Kommunikation & Führung | „Wie kommunizieren wir mit Mitarbeitern, Kunden, Behörden, Presse?” | Geschäftsführung + PR |
Der BCP ist also weder nur ein IT-Dokument noch nur eine Checkliste für die ersten Minuten — er ist das strategische Kernstück, das alles zusammenhält. Wer nur einen Disaster-Recovery-Plan hat, kann seine IT wiederherstellen — aber wenn gleichzeitig das Büro abgebrannt ist, sitzt das Team trotzdem auf der Straße.
Die 5 Schritte zum Business Continuity Plan
Der folgende Ablauf orientiert sich an ISO 22301 (internationaler Standard) und BSI-Standard 200-4 (deutscher BCM-Standard, seit 2023 aktualisiert). Er funktioniert für KMU ebenso wie für Mittelständler — nur die Tiefe unterscheidet sich.
- Risikoanalyse (Kontext & Bedrohungen): Welche Ereignisse können uns treffen? Naturereignisse, Cyberangriffe, Personalausfall, Lieferkettenabrisse, Energieausfall, rechtliche Veränderungen. Je Szenario: Eintrittswahrscheinlichkeit × Schadenspotenzial. Ergebnis: eine priorisierte Top-10-Liste der relevanten Risiken für Ihr Unternehmen — nicht die generische aus dem Internet.
- Business Impact Analyse (BIA): Welche Prozesse sind kritisch — und wie lange können wir ohne sie überleben? Pro Prozess: MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective), RPO (Recovery Point Objective). Ohne BIA ist alles Weitere nur geraten.
- Wiederherstellungsstrategien definieren: Für jeden kritischen Prozess: Wie bringen wir ihn binnen RTO wieder ans Laufen? Backup, Ausweichstandort, Cloud-Failover, externe Dienstleister, manuelle Ersatzprozesse. Pro Ressource eine konkrete Maßnahme — keine „dann rufen wir schon jemanden an".
- BCP dokumentieren (Plan & Runbooks): Die Strategie wird zum operativen Dokument. Krisenstab-Struktur, Eskalationspfade, Rollen & Stellvertreter, Kommunikations-Templates, Ressourcen-Listen, Runbooks für die Top-Szenarien. Inklusive Offline-Version — ein BCP auf dem verschlüsselten Server ist im Ransomware-Fall wertlos.
- Testen, üben, verbessern: Einmal pro Jahr Vollübung, alle 3–6 Monate Teiltests. Jeder Test produziert Erkenntnisse — die gehen zurück in den Plan. BCP ist nie „fertig", er ist ein lebendes Dokument. BSI-Standard 200-4 nennt das den „Kontinuierlichen Verbesserungsprozess" (KVP).
Der größte Fehler, den wir sehen: BCPs, die aussehen wie ISO-Compliance-Dokumente — 80 Seiten, niemand liest sie, niemand kennt seine Rolle. Ein guter BCP passt auf eine A4-Matrix plus 5 Runbooks von je 2 Seiten. Im Ernstfall greifen Sie nach der Checkliste, nicht nach dem Roman.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
NIS-2 und BCM — was jetzt Pflicht ist
Das deutsche NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft (nach der EU-Richtlinie vom Oktober 2024). Es macht aus BCM ein gesetzliches Muss — und zwar für deutlich mehr Unternehmen als viele Geschäftsführer denken. Detailliertes Vorgehen dazu in unserer NIS-2-Beratung Hamburg.
Betroffen sind in Deutschland rund 30.000 Unternehmen:
- „Wesentliche Einrichtungen” — Großunternehmen ab 250 Mitarbeiter oder 50 Mio. € Umsatz in kritischen Sektoren (Energie, Wasser, Gesundheit, Banken, Transport, digitale Infrastruktur).
- „Wichtige Einrichtungen” — Mittelgroße Unternehmen ab 50 Mitarbeiter oder 10 Mio. € Umsatz in erweiterten Sektoren (Produktion, Lebensmittel, Chemie, Forschung, digitale Dienste, Abfall).
- Plus Lieferketten: Wer als Zulieferer für NIS-2-Pflichtige arbeitet, kommt faktisch mit rein — über Vertragsklauseln.
Was Art. 21 NIS-2 konkret zum Thema BCM fordert:
| Anforderung | Was das für den BCP bedeutet |
|---|---|
| Risikomanagement (lit. a) | Dokumentierte Risikoanalyse, mindestens jährlich aktualisiert |
| Incident Handling (lit. b) | Dokumentierter Notfall-Response-Prozess mit 24/72-Std-Meldefristen |
| Business Continuity & Krisenmanagement (lit. c) | Formaler BCP mit BIA, RTO/RPO, Backup-Konzept und Krisenstab |
| Lieferketten-Sicherheit (lit. d) | Lieferanten-BCP-Nachweise in kritischen Beziehungen |
| Schwachstellen- & Patch-Management (lit. e) | Dokumentiertes Patch-Regime — Details siehe Patch-Management-Leitfaden |
| Kryptographie & Zugangskontrollen (lit. h/i) | Verschlüsselte Backups, MFA für Admin-Zugänge |
Bußgelder: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Persönliche Haftung der Geschäftsleitung — nicht versicherbar, nicht delegierbar.
Wer unsicher ist, ob er betroffen ist, sollte keine Stunde länger warten:
Branchenspezifische Anforderungen — KRITIS, Banken, Healthcare
Über NIS-2 hinaus gibt es Branchen mit deutlich schärferen BCM-Anforderungen. Wer hier arbeitet, kennt die Pflichten meist schon — hier der Kurzüberblick, damit Sie Ihren BCP richtig aufhängen.
| Branche | Regelwerk | BCM-Besonderheiten |
|---|---|---|
| KRITIS-Betreiber (Energie, Wasser, ITK, Transport) | IT-SiG 2.0 + BSI-KritisV | Nachweis alle 2 Jahre gegenüber BSI, Systeme zur Angriffserkennung (SzA) Pflicht |
| Banken & Versicherungen | DORA, BAIT/VAIT, MaRisk | Operational Resilience, schärfere RTOs, DORA-Testpflicht |
| Healthcare (Krankenhäuser ab 30.000 Fällen/Jahr) | KHZG + § 75c SGB V | Patient-Safety-first-Prinzip, IT-Sicherheitsgesetz-Pflichten |
| Öffentliche Verwaltung | NIS-2 + OZG + IT-Grundschutz | BSI-IT-Grundschutz-Kompendium verbindlich, IT-Grundschutz-Baustein CON.3 |
| Steuer- & Rechtsberater | BRAO, StBerG + DSGVO | Mandantengeheimnis, Offlinebackups mit Rechteschranken — Details in IT für Steuerkanzleien |
| Architektur- & Bauunternehmen | Projektverträge, VOB, HOAI | Modell-/Planverlust-Szenarien, lange Projektlaufzeiten — mehr in IT für Bauunternehmen |
Für alle diese Branchen gilt: Die generische BCP-Vorlage aus dem Netz reicht nicht. Sie brauchen eine Anpassung an die branchenspezifischen Prozesse und regulatorischen Meldewege.
Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück. Ein echter BCP hätte uns Wochen und hunderttausend Euro gespart.
Business Impact Analyse (BIA) — so gehen Sie vor
Die BIA ist der Teil, an dem die meisten BCP-Projekte scheitern — nicht weil er schwer ist, sondern weil er ehrlich ist. Sie müssen den Finger auf die Wunden legen, die sonst gerne ignoriert werden. Wir machen das bei unseren Managed-IT-Kunden in vier Arbeitsschritten:
1. Prozesse inventarisieren. Nicht nur die großen — auch die Hintergrundprozesse. Lohnbuchhaltung, Fakturierung, Wareneingang, Produktionsplanung, Kundenservice, Vertrieb. Typischerweise landen Sie bei 25–60 Prozessen in einem klassischen Mittelständler.
2. Kritikalität bewerten. Pro Prozess vier Fragen:
- Was kostet uns eine Stunde Ausfall? (finanziell, reputativ, rechtlich)
- Ab welcher Ausfallzeit wird der Schaden existenzbedrohend? (MTPD)
- Gibt es gesetzliche Fristen, die wir reißen? (z. B. DSGVO-Meldung, BAFA, Zoll)
- Betrifft der Ausfall Menschenleben oder kritische Infrastruktur?
3. RTO und RPO festlegen. Pro kritischem Prozess zwei Zahlen:
- RTO (Recovery Time Objective): Wie schnell muss der Prozess wieder laufen? (z. B. 4 h, 24 h, 72 h)
- RPO (Recovery Point Objective): Wie viele Daten dürfen wir maximal verlieren? (z. B. 1 h, 4 h, 24 h)
Beispiel RTO/RPO einer Hamburger Spedition:
| Prozess | RTO | RPO | Begründung |
|---|---|---|---|
| Transportdisposition | 2 h | 15 min | Jede Stunde Stillstand = 40.000 € Konventionalstrafen |
| Buchhaltung & Fakturierung | 24 h | 24 h | Monatsabschluss hat harte Fristen |
| Marketing-Website | 72 h | 24 h | Kein direkter Umsatzausfall |
| Archiv (10+ Jahre alt) | 1 Woche | 1 Woche | Nur für Audits relevant |
4. Ressourcenbedarf ableiten. Pro Prozess: Welche IT-Systeme, welches Personal, welche Räume, welche Lieferanten sind zwingend? Das ist die Brücke zur Wiederherstellungsstrategie in Schritt 3.
Eine saubere BIA ist aufwändig — für 30 Prozesse rechnen Sie mit 3–5 Arbeitstagen Geschäftsführung plus 5–8 Tagen Fachbereiche. Aber: Ohne BIA sind alle RTO-/RPO-Angaben gefühlt. Und gefühlt reicht unter NIS-2 nicht mehr.
Kosten eines BCP im KMU — mit konkreten Zahlen
Ein BCP ist keine Nebenkosten-Position. Gleichzeitig ist er kein Sechsstelliges-Projekt, wenn man ihn richtig angeht. Hier unsere Erfahrungswerte aus KMU-Projekten in Hamburg und Norddeutschland:
| Position | 10–30 MA | 30–80 MA | 80–150 MA |
|---|---|---|---|
| BIA & Risikoanalyse | 3.000–6.000 € | 6.000–10.000 € | 10.000–15.000 € |
| Strategie & Dokumentation | 4.000–8.000 € | 8.000–12.000 € | 12.000–18.000 € |
| Technische Umsetzung (Backup, Failover) | ab 150 €/Monat | ab 400 €/Monat | ab 800 €/Monat |
| Erste Vollübung | 2.000–3.000 € | 3.000–5.000 € | 5.000–8.000 € |
| Laufende Pflege & Übungen/Jahr | 3.000–5.000 € | 5.000–8.000 € | 8.000–15.000 € |
Zum Einordnen: Der durchschnittliche Ransomware-Schaden im Mittelstand liegt laut Bitkom-Cybercrime-Studie 2025 bei 266.000 €. Ein Produktionsausfall von einer Woche kostet ein 50-Mitarbeiter-Unternehmen im Schnitt 80.000–150.000 € allein an direkten Kosten — ohne Vertrauensverluste. Unser IT-Kosten-Kalkulator hilft, die laufenden IT-Kosten realistisch zu planen.
Ein Tipp aus der Praxis: Ziehen Sie den BCP nicht als isoliertes Projekt auf. Wenn Sie ohnehin an Managed IT Services oder NIS-2-Compliance arbeiten, sinken die Grenzkosten deutlich — weil die BIA ohnehin nötig ist, das Backup-Konzept ohnehin nötig ist, die Rollen ohnehin geklärt werden müssen.
7 häufige Fehler bei BCP-Projekten — und wie Sie sie vermeiden
Aus Dutzenden Audits bei Neukunden — diese Muster sehen wir immer wieder:
- Der BCP ist ein ISO-Compliance-Dokument, kein operativer Plan. 120 Seiten Fließtext, niemand kennt seine Rolle, im Ernstfall scrollt keiner durch. Fix: Matrix-Format, 5 Runbooks à 2 Seiten, Offline-Ausdruck im Notfallkoffer.
- Die BIA fehlt — RTOs sind geraten. „4 Stunden” klingt gut, ist aber nie gerechnet. Im Ernstfall reißt man alle Ziele. Fix: BIA mit Geschäftsführung und Fachbereichen gemeinsam rechnen.
- Der BCP wird nie getestet. Dokument erstellt, abgeheftet, zwei Jahre vergessen. Passwörter veraltet, Kontakte tot, Prozesse geändert. Fix: Jährliche Vollübung plus Tabletop-Tests pro Quartal — siehe auch Resilienz-Leitfaden für Geschäftsführer.
- Backups laufen — aber Restore wurde nie geprüft. Das klassische „Wir haben Backups” ohne „Wir haben Restore-Zeiten getestet”. Details zur Prüfung in Wie teste ich die Datensicherung? — Pflichtlektüre.
- Krisenstab ohne Stellvertreter. Geschäftsführer im Urlaub, IT-Leiter krank — Krise blockiert. Fix: Jede Rolle hat Primary + Secondary, beide kennen den Plan.
- Kommunikation fehlt komplett. Was sagen wir Kunden, Mitarbeitern, Presse, Behörden? Wer entscheidet die Message? Fix: Kommunikationsmatrix plus vorbereitete Holding-Statements.
- Lieferkette nicht berücksichtigt. Der eigene Betrieb läuft — aber der Cloud-Anbieter ist down, der Telekom-Anschluss tot, der Softwarehersteller insolvent. Fix: Lieferanten-Risiko in BIA aufnehmen, kritische Verträge mit SLAs und Wiederanlaufpflichten.
„Wir sind zu klein für so einen Plan." — Das ist genau das Gegenteil der Realität. Ein Großkonzern hat Puffer. Ein 30-Mann-Betrieb nicht. Wenn die IT zwei Wochen steht, ist nicht mehr die Frage „Wie kommen wir zurück?", sondern „Haben wir noch Kunden, wenn wir zurück sind?" KMU brauchen den BCP dringender als Konzerne — nur einfacher.
Checkliste: BCP-Bereitschaft in 10 Punkten
Prüfen Sie Ihr Unternehmen anhand dieser 10 Fragen. Für jedes „Nein” steht ein konkretes Risiko.
- Dokumentierte Risikoanalyse mit Top-10 aktualisiert innerhalb der letzten 12 Monate?
- Business Impact Analyse mit MTPD/RTO/RPO für alle kritischen Prozesse vorhanden?
- Krisenstab-Struktur dokumentiert inkl. Stellvertreter, Erreichbarkeit außerhalb der Geschäftszeiten geklärt?
- Runbooks für die Top-5-Szenarien (Ransomware, Serverausfall, Standortverlust, Personal-/Schlüsselmitarbeiterausfall, Lieferkettenabriss) vorhanden?
- Backup-Strategie nach 3-2-1-Regel (3 Kopien, 2 Medien, 1 offline/offsite), Offline-Kopie air-gapped? Mehr dazu in [Brauche ich internes und externes Backup?](/it-dienstleistungen/brauche-ich-sowohl-ein-internes-als-auch-externes-backup "Brauche ich sowohl ein internes als auch externes Backup?")
- Restore-Test innerhalb der letzten 6 Monate tatsächlich durchgeführt — nicht nur „Backup läuft grün"?
- Kommunikationsmatrix mit Templates für Mitarbeiter, Kunden, Presse, Aufsichtsbehörden?
- Ausweichplatz definiert (zweites Büro, Homeoffice-Readiness, Cloud-Failover) — und im letzten Jahr angefahren?
- Lieferanten-BCP für die kritischen Drittanbieter vertraglich nachgewiesen (insb. Cloud, IT-Dienstleister, Telekom)?
- Jährliche Vollübung mit dokumentiertem Ergebnis und Verbesserungsmaßnahmen durchgeführt?
Wer 8 von 10 schafft, ist gut aufgestellt. Wer unter 5 landet, hat ein echtes Compliance- und Existenz-Risiko — NIS-2 hin oder her.
Was Sie diese Woche konkret tun können
Drei Schritte, die Sie ohne großes Projekt sofort umsetzen können — und die 80 % des späteren BCP-Aufwands vorentlasten:
- Top-5-Prozesse auf einer Seite notieren. Ihre fünf Lieblings-Geschäftsprozesse, ohne die der Laden morgen stillsteht. Dazu jeweils: Wie lange können wir maximal ohne? Welche IT-Systeme hängen dran? Wer weiß, wie sie laufen?
- Backup-Realitätscheck. Rufen Sie Ihren IT-Verantwortlichen oder Dienstleister an und fragen Sie genau das: „Wann haben wir das letzte Mal einen kompletten Restore getestet — und wie lange hat er gedauert?” Wenn die Antwort „weiß ich nicht” lautet, haben Sie Ihr erstes BCM-Problem gefunden.
- NIS-2-Check machen. Zwei Minuten, klare Antwort, ob und wie Sie betroffen sind. Wenn ja, ist der BCP nicht optional. Wenn nein, sparen Sie sich Bürokratie.
Unsere [Cybersicherheits-Checkliste für KMU](/downloads/cybersicherheits-checkliste "Cybersicherheits-Checkliste für KMU — 20 Punkte kostenlos") — 20 konkrete Punkte inklusive BCM-Fundamente, die jedes Hamburger Unternehmen sofort umsetzen kann. Keine Registrierung, direkter PDF-Download.
Fazit — der BCP ist die günstigste Versicherung, die es gibt
Ein Business Continuity Plan ist keine Pflichtübung für Konzerne. Er ist die Blaupause, mit der ein Unternehmen eine schwere Krise überlebt — oder eben nicht. Die Bitkom-Zahlen sind eindeutig: 43 % der von schweren Cybervorfällen getroffenen Unternehmen machen binnen 2 Jahren dicht. Der Unterschied zwischen den 57 %, die es schaffen, und den 43 %, die es nicht schaffen, ist selten Glück. Meist ist es Vorbereitung.
Die gute Nachricht: Ein funktionierender BCP muss nicht teuer sein. 8.000–25.000 € Ersterstellung für ein KMU — gegen einen durchschnittlichen Schaden von 266.000 €. Das ist keine Kosten-Nutzen-Rechnung, das ist eine Überlebensfrage. Und unter NIS-2 seit Oktober 2024 auch eine Haftungsfrage.
Ihr nächster Schritt
Wenn Sie unsicher sind, wo Ihr Unternehmen beim Thema Business Continuity steht — wir prüfen das gemeinsam mit Ihnen in 15 Minuten. Ohne Vertriebsdruck, ohne Pflicht zu irgendwas. Sie bekommen eine ehrliche Einschätzung, was jetzt dringend ist, was warten kann, und wo Sie bei NIS-2 stehen.
Als IT-Systemhaus in Hamburg betreuen wir über 150 Unternehmen in Hamburg, Bremen, Kiel und Lübeck — vom Handwerksbetrieb bis zum Industrieunternehmen. BCM, Backup-Konzepte, Disaster Recovery und NIS-2-Umsetzung gehören bei den meisten unserer Managed-IT-Kunden zum Standard. Mehr zum Thema finden Sie auch in unserem Leitfaden Cybersecurity und im Praxisbericht Cyber-Risiko-Analyse Mittelstand.
15 Minuten Klarheit zu Ihrem BCP-Status.
Kostenlos. Ohne Vertriebsdruck. Ehrliche Einschätzung von Geschäftsführer zu Geschäftsführer.
Erstgespräch buchen →Weiterführende Quellen:
- BSI IT-Grundschutz-Kompendium — Modul CON.3 „Datensicherungskonzept” und DER.4 „Notfallmanagement”
- BSI-Standard 200-4: Business Continuity Management — deutscher BCM-Standard, aktualisiert 2023
- ISO 22301 Business Continuity Management Systems — internationale Norm
- Bitkom Cybercrime-Studienbericht 2025 (PDF) — Schadenshöhe, Betroffenheit, Insolvenzraten im deutschen Mittelstand
