Business Continuity Plan: Inhalt, Aufbau und Umsetzung eines BCP

Das wichtigste Ziel eines Business Continuity Plans ist die Sicherstellung der Geschäftskontinuität. Kritische Leistungen sollen auch bei Störungen möglichst aufrechterhalten oder innerhalb definierter Fristen wiederhergestellt werden. Damit unterstützt der BCP die Widerstandsfähigkeit des Unternehmens und reduziert die Auswirkungen von Krisen, Ausfällen und Unterbrechungen.

Ein Business Continuity Plan schafft Klarheit darüber, was im Ereignisfall zu tun ist. Er definiert Verantwortlichkeiten, Prioritäten, Kommunikationswege und konkrete Handlungsanweisungen. Dadurch wird vermieden, dass unter Zeitdruck improvisiert werden muss.

Zu den wichtigsten Zielen eines Business Continuity Plans gehören:

• Aufrechterhaltung kritischer Geschäftsprozesse
• Reduktion von Ausfallzeiten und Folgeschäden
• Schutz von Kunden, Mitarbeitenden, Daten, Infrastruktur und Reputation
• klare Priorisierung von Prozessen, Ressourcen und Wiederanlaufmassnahmen
• Unterstützung von Krisenstab, Fachbereichen und Geschäftsleitung
• Erfüllung regulatorischer, vertraglicher und normativer Anforderungen
• Verbesserung der organisatorischen Resilienz
• Nachweis der Vorbereitung gegenüber Kunden, Behörden, Auditoren und Versicherern

Ein Business Continuity Plan ist damit nicht nur ein Notfalldokument, sondern ein operatives Führungsinstrument für ausserordentliche Situationen.

Der Business Continuity Plan ist Teil des übergeordneten Business Continuity Managements. Während das Business Continuity Management den gesamten Managementprozess beschreibt, ist der Business Continuity Plan das konkrete operative Dokument für die Fortführung und Wiederherstellung kritischer Geschäftsprozesse.

Im BCM-Prozess entsteht der Business Continuity Plan nicht isoliert. Er basiert auf den Ergebnissen der Business Impact Analyse, der Risikoanalyse und der BCM-Strategie. Erst wenn bekannt ist, welche Prozesse kritisch sind, welche Auswirkungen ein Ausfall hätte und welche Wiederanlaufzeiten erforderlich sind, kann ein wirksamer Business Continuity Plan erstellt werden.

Ein typischer BCM-Prozess umfasst folgende Schritte:

1. Festlegung von BCM-Policy, Geltungsbereich und Organisation
2. Durchführung der Business Impact Analyse
3. Analyse relevanter Risiken und Ausfallszenarien
4. Definition der BCM-Strategie
5. Erstellung von Business Continuity Plänen
6. Durchführung von Übungen und Tests
7. Review, Aktualisierung und kontinuierliche Verbesserung

Der Business Continuity Plan übersetzt die strategischen BCM-Vorgaben in konkrete Massnahmen. Er beantwortet die Frage: Wie wird der Betrieb im Ereignisfall praktisch fortgeführt oder wiederhergestellt?

Ein Business Continuity Plan sollte klar strukturiert, verständlich und handlungsorientiert sein. Im Ereignisfall bleibt wenig Zeit für lange Konzepte oder unklare Zuständigkeiten. Deshalb muss der BCP die wichtigsten Informationen kompakt und praxistauglich bereitstellen.

Typische Inhalte eines Business Continuity Plans sind:

• Zweck und Geltungsbereich des Plans
• betroffene Geschäftsprozesse, Standorte, Systeme oder Organisationseinheiten
• Auslösekriterien und Eskalationsstufen
• Rollen, Verantwortlichkeiten und Stellvertretungen
• Kontaktlisten für interne und externe Anspruchsgruppen
• Sofortmassnahmen nach Eintritt einer Störung
• Verfahren für Notbetrieb, Ersatzprozesse und Wiederanlauf
• benötigte Ressourcen, Mitarbeitende, Systeme, Daten und Dokumente
• Kommunikationsabläufe für Mitarbeitende, Kunden, Lieferanten und Behörden
• Abhängigkeiten zu IT, Gebäuden, Dienstleistern und Lieferketten
• Wiederanlaufziele wie RTO und RPO
• Checklisten für die Umsetzung
• Schnittstellen zu Krisenmanagement, IT-Notfallmanagement und Disaster Recovery
• Vorgaben zu Übungen, Tests, Review und Aktualisierung

Ein guter Business Continuity Plan ist nicht theoretisch, sondern praktisch nutzbar. Er sollte so formuliert sein, dass verantwortliche Personen im Ereignisfall schnell erkennen, welche Schritte notwendig sind und wer welche Aufgaben übernimmt.

Die Business Impact Analyse, kurz BIA, ist eine zentrale Grundlage für den Business Continuity Plan. Sie zeigt, welche Geschäftsprozesse für das Unternehmen besonders kritisch sind und welche Auswirkungen ein Ausfall hätte. Ohne Business Impact Analyse besteht die Gefahr, dass Business Continuity Pläne auf Annahmen statt auf belastbaren Entscheidungsgrundlagen beruhen.

Im Rahmen der Business Impact Analyse werden die Auswirkungen von Prozessausfällen bewertet. Dabei werden finanzielle Schäden, operative Auswirkungen, rechtliche und regulatorische Folgen, Auswirkungen auf Kunden, Reputation, Lieferfähigkeit und Sicherheit betrachtet.

Die BIA liefert wichtige Informationen für den Business Continuity Plan, insbesondere:

• kritische Geschäftsprozesse und Services
• maximale tolerierbare Ausfallzeiten
• Wiederanlaufprioritäten
• notwendige Mitarbeitende und Schlüsselpersonen
• benötigte IT-Systeme, Daten, Anwendungen und Infrastruktur
• Abhängigkeiten von Standorten, Lieferanten und Dienstleistern
• Anforderungen an Notbetrieb und Wiederherstellung
• Eskalations- und Entscheidungsbedarf im Ereignisfall

Auf dieser Basis kann der Business Continuity Plan gezielt auf die wirklich kritischen Prozesse ausgerichtet werden. Die Business Impact Analyse verhindert, dass alle Prozesse gleich behandelt werden, obwohl sie unterschiedliche Bedeutung für das Unternehmen haben.

Eine Business Continuity Plan Vorlage hilft Unternehmen, BCP-Dokumente strukturiert und vollständig aufzubauen. Sie stellt sicher, dass wichtige Inhalte wie Rollen, Eskalation, Kommunikationswege, kritische Prozesse, Wiederanlaufziele, Ressourcen und Checklisten nicht vergessen werden.

Eine gute BCP-Vorlage sollte jedoch nicht einfach unverändert übernommen werden. Jeder Business Continuity Plan muss zur Organisation, zu den Geschäftsprozessen, Standorten, IT-Systemen, Lieferketten, regulatorischen Anforderungen und Wiederanlaufzielen passen.

Eine Business Continuity Plan Checkliste sollte mindestens folgende Punkte abdecken:

• Ist der Geltungsbereich des BCP klar definiert?
• Sind kritische Geschäftsprozesse und Services beschrieben?
• Liegt eine aktuelle Business Impact Analyse vor?
• Sind RTO, RPO und Wiederanlaufprioritäten festgelegt?
• Sind Rollen, Verantwortlichkeiten und Stellvertretungen definiert?
• Sind Eskalationswege und Auslösekriterien dokumentiert?
• Sind Kontaktlisten aktuell und zugänglich?
• Sind Notbetrieb, Ersatzverfahren und Wiederanlaufmassnahmen beschrieben?
• Sind Abhängigkeiten zu IT, Gebäuden, Dienstleistern und Lieferanten erfasst?
• Ist die Kommunikation mit Mitarbeitenden, Kunden, Lieferanten und Behörden geregelt?
• Wurde der Business Continuity Plan getestet?
• Werden Erkenntnisse aus Übungen und Ereignissen systematisch umgesetzt?
• Wird der BCP regelmässig aktualisiert?

Eine professionelle Business Continuity Plan Vorlage unterstützt die Umsetzung, ersetzt aber nicht die fachliche Analyse. Entscheidend ist, dass der BCP auf Business Impact Analyse, Risikoanalyse und BCM-Strategie basiert und im Ereignisfall tatsächlich anwendbar ist.

Unsere Fachbroschüren und Checklisten unterstützen Unternehmen beim Aufbau und bei der Überprüfung von Business Continuity Plänen. Sie enthalten praxisnahe Hinweise zu BIA, RTO, RPO, Rollen, Kommunikation, Übungen und kontinuierlicher Aktualisierung.

RTO und RPO sind wichtige Kennzahlen im Business Continuity Plan. Sie helfen, Wiederanlaufziele zu definieren und geeignete Massnahmen für Notbetrieb, Wiederherstellung und Disaster Recovery abzuleiten.

Das Recovery Time Objective, kurz RTO, beschreibt die angestrebte Zeit, innerhalb der ein Prozess, Service oder System nach einer Störung wieder verfügbar sein muss. Je kürzer das RTO, desto höher sind in der Regel die Anforderungen an Organisation, Technik, Personal und Ressourcen.

Das Recovery Point Objective, kurz RPO, beschreibt den maximal tolerierbaren Datenverlust. Es zeigt, bis zu welchem Zeitpunkt Daten nach einem Ereignis wiederhergestellt werden müssen. Das RPO ist besonders relevant für IT-Systeme, Datenbanken, Fachanwendungen und digitale Geschäftsprozesse.

Wiederanlaufprioritäten legen fest, welche Prozesse zuerst wiederhergestellt werden müssen. Sie basieren auf der Business Impact Analyse und berücksichtigen unter anderem Kundenverpflichtungen, regulatorische Anforderungen, finanzielle Auswirkungen, Abhängigkeiten zwischen Prozessen und verfügbare Ressourcen.

Ein Business Continuity Plan sollte deshalb klar festlegen:

• welche Prozesse besonders kritisch sind
• welche RTO- und RPO-Werte gelten
• welche Wiederanlaufreihenfolge vorgesehen ist
• welche Ressourcen für den Wiederanlauf benötigt werden
• welche Abhängigkeiten zu IT, Personal, Gebäuden und Dienstleistern bestehen
• welche Ersatzverfahren bis zur vollständigen Wiederherstellung genutzt werden

RTO, RPO und Wiederanlaufprioritäten sind entscheidend, damit Business Continuity Pläne realistisch, überprüfbar und wirksam sind.

Typische Ergebnisse eines BCP-Projekts sind ein Business Continuity Plan, Prozess- und Ressourcenübersichten, Wiederanlaufprioritäten, RTO-/RPO-Vorgaben, Kommunikationsvorlagen, Checklisten, Übungsunterlagen und ein Massnahmenplan. Das folgende Video zeigt beispielhafte BCP-Deliverables.

Ein Business Continuity Plan und ein Disaster Recovery Plan verfolgen unterschiedliche, aber eng miteinander verbundene Ziele. Beide Dokumente sind wichtige Bestandteile einer umfassenden Notfall- und Kontinuitätsplanung.

Der Business Continuity Plan fokussiert auf die Fortführung und Wiederherstellung kritischer Geschäftsprozesse. Er beschreibt, wie ein Unternehmen bei Störungen handlungsfähig bleibt, welche organisatorischen Massnahmen greifen, welche Ersatzprozesse genutzt werden und wie Verantwortlichkeiten, Kommunikation und Wiederanlauf gesteuert werden.

Der Disaster Recovery Plan, kurz DRP, konzentriert sich stärker auf die technische Wiederherstellung von IT-Systemen, Daten, Anwendungen, Netzwerken und Infrastruktur. Er beschreibt, wie technische Services nach einem Ausfall wiederhergestellt werden und welche IT-Massnahmen erforderlich sind, um definierte RTO- und RPO-Ziele zu erreichen.

Der Unterschied lässt sich vereinfacht so darstellen:

• Business Continuity Plan: Fortführung und Wiederherstellung der Geschäftsprozesse
• Disaster Recovery Plan: Wiederherstellung von IT-Systemen, Daten und technischer Infrastruktur

In der Praxis müssen BCP und DRP eng aufeinander abgestimmt sein. Viele Geschäftsprozesse sind heute stark von IT, Daten, Kommunikation und externen Dienstleistern abhängig. Ein Business Continuity Plan ist deshalb nur dann wirksam, wenn die technischen Wiederherstellungsmassnahmen aus dem Disaster Recovery Plan zu den Anforderungen der Geschäftsprozesse passen.

Klare Rollen und Verantwortlichkeiten sind ein wesentlicher Bestandteil jedes Business Continuity Plans. Im Ereignisfall muss eindeutig festgelegt sein, wer entscheidet, wer informiert, wer Massnahmen umsetzt und wer den Wiederanlauf koordiniert.

Ein Business Continuity Plan sollte deshalb eine klare Notfallorganisation enthalten. Diese kann je nach Unternehmen unterschiedlich aufgebaut sein, umfasst aber häufig Geschäftsleitung, Krisenstab, BCM-Verantwortliche, Prozessverantwortliche, IT, Kommunikation, HR, Facility Management, Legal, Einkauf, Lieferantenmanagement und weitere Fachbereiche.

Wichtige Rollen im Business Continuity Plan sind zum Beispiel:

• Entscheidungsträger für Aktivierung und Eskalation
• Verantwortliche für kritische Geschäftsprozesse
• BCM-Koordination und Dokumentation
• IT- und Disaster-Recovery-Verantwortliche
• Kommunikationsverantwortliche
• Ansprechpartner für Kunden, Lieferanten, Behörden und Partner
• Stellvertretungen für Schlüsselpersonen

Eskalationswege definieren, wann ein Ereignis von der operativen Ebene an Management, Krisenstab oder Geschäftsleitung gemeldet wird. Sie helfen, kritische Situationen frühzeitig zu erkennen und angemessen zu reagieren.

Ein wirksamer Business Continuity Plan beschreibt nicht nur Funktionen, sondern auch konkrete Aufgaben, Entscheidungsbefugnisse und Stellvertretungen. Dadurch bleibt das Unternehmen auch dann handlungsfähig, wenn Schlüsselpersonen nicht verfügbar sind.

Kommunikation ist ein kritischer Erfolgsfaktor im Business Continuity Plan. Störungen und Krisen führen häufig zu Unsicherheit bei Mitarbeitenden, Kunden, Lieferanten, Behörden und weiteren Anspruchsgruppen. Eine klare, koordinierte und zeitnahe Kommunikation hilft, Vertrauen zu erhalten und Fehlentscheidungen zu vermeiden.

Der Business Continuity Plan sollte definieren, wer im Ereignisfall informiert wird, welche Kommunikationskanäle genutzt werden und wer für die Freigabe von Botschaften verantwortlich ist. Dabei müssen interne und externe Kommunikation aufeinander abgestimmt sein.

Wichtige Kommunikationsinhalte im Business Continuity Plan sind:

• Alarmierung und Information der verantwortlichen Personen
• interne Kommunikation an Mitarbeitende und Führungskräfte
• Kommunikation mit Kunden und Geschäftspartnern
• Abstimmung mit Lieferanten und Dienstleistern
• Information von Behörden, Aufsichtsstellen oder Versicherern
• Kommunikation mit Medien, falls erforderlich
• Nutzung alternativer Kommunikationskanäle bei IT- oder Telefonausfall

Ein Kommunikationsplan sollte auch Vorlagen für Erstmeldungen, Statusupdates, Lageinformationen und Kundeninformationen enthalten. Dadurch kann im Ereignisfall schneller, konsistenter und kontrollierter kommuniziert werden.

Ein Business Continuity Plan ist nur wirksam, wenn er regelmässig überprüft, geübt und aktualisiert wird. Ein Plan, der nie getestet wurde, kann im Ernstfall falsche Annahmen, veraltete Kontaktdaten oder unklare Zuständigkeiten enthalten.

Übungen und Tests zeigen, ob der Business Continuity Plan in der Praxis funktioniert. Sie helfen, Schwachstellen zu erkennen, Rollen zu trainieren und die Zusammenarbeit zwischen Fachbereichen, Krisenmanagement, IT und Geschäftsleitung zu verbessern.

Typische Formen von BCP-Übungen sind:

• Dokumentenreview und Plausibilitätsprüfung
• Tabletop-Übungen mit Szenarien
• Alarmierungs- und Kommunikationstests
• Tests von Ersatzverfahren und manuellen Prozessen
• Wiederanlauftests für kritische Systeme und Prozesse
• kombinierte Übungen mit Krisenstab und IT-Notfallmanagement

Nach jeder Übung sollten Erkenntnisse dokumentiert und Verbesserungsmassnahmen definiert werden. Verantwortlichkeiten, Fristen und Umsetzungsstand sollten klar nachverfolgt werden.

Auch organisatorische Änderungen können eine Aktualisierung des Business Continuity Plans erforderlich machen. Dazu gehören neue Geschäftsprozesse, neue IT-Systeme, Standortveränderungen, Wechsel von Lieferanten, neue regulatorische Anforderungen oder veränderte Risikosituationen.

Ein Business Continuity Plan sollte deshalb mindestens jährlich überprüft und bei wesentlichen Veränderungen sofort angepasst werden.