Business Continuity Plan (BCP)

Business Continuity Plan: Inhalt, Aufbau und Umsetzung eines BCP

Was ist ein Business Continuity Plan?

Ein Business Continuity Plan, kurz BCP, beschreibt, wie kritische Geschäftsprozesse bei Störungen, Krisen oder Ausfällen fortgeführt oder innerhalb definierter Wiederanlaufzeiten wiederhergestellt werden. Der Business Continuity Plan ist ein zentrales Element des Business Continuity Managements und sorgt dafür, dass Unternehmen auch in ausserordentlichen Situationen handlungsfähig bleiben.

Ein BCP legt fest, welche Prozesse priorisiert werden, welche Rollen und Verantwortlichkeiten gelten, welche Ressourcen benötigt werden und welche Massnahmen im Ereignisfall umgesetzt werden müssen. Dazu gehören unter anderem Eskalationswege, Kommunikationsabläufe, Ersatzverfahren, Wiederanlaufprozesse, Kontaktlisten, Checklisten und Entscheidungsgrundlagen.

Business Continuity Pläne werden typischerweise für kritische Geschäftsprozesse, Standorte, Organisationseinheiten, IT-Services, Lieferketten oder zentrale Dienstleistungen erstellt. Sie helfen Unternehmen, Betriebsunterbrüche zu begrenzen, finanzielle Schäden zu reduzieren, Kundenverpflichtungen einzuhalten und die eigene Reputation zu schützen.

Ein wirksamer Business Continuity Plan ist praxisnah, verständlich und aktuell. Er muss im Ereignisfall schnell anwendbar sein und sollte regelmässig getestet, überprüft und weiterentwickelt werden.

Ziele eines Business Continuity Plans

Das wichtigste Ziel eines Business Continuity Plans ist die Sicherstellung der Geschäftskontinuität. Kritische Leistungen sollen auch bei Störungen möglichst aufrechterhalten oder innerhalb definierter Fristen wiederhergestellt werden. Damit unterstützt der BCP die Widerstandsfähigkeit des Unternehmens und reduziert die Auswirkungen von Krisen, Ausfällen und Unterbrechungen.

Ein Business Continuity Plan schafft Klarheit darüber, was im Ereignisfall zu tun ist. Er definiert Verantwortlichkeiten, Prioritäten, Kommunikationswege und konkrete Handlungsanweisungen. Dadurch wird vermieden, dass unter Zeitdruck improvisiert werden muss.

Zu den wichtigsten Zielen eines Business Continuity Plans gehören:

  • Aufrechterhaltung kritischer Geschäftsprozesse
  • Reduktion von Ausfallzeiten und Folgeschäden
  • Schutz von Kunden, Mitarbeitenden, Daten, Infrastruktur und Reputation
  • klare Priorisierung von Prozessen, Ressourcen und Wiederanlaufmassnahmen
  • Unterstützung von Krisenstab, Fachbereichen und Geschäftsleitung
  • Erfüllung regulatorischer, vertraglicher und normativer Anforderungen
  • Verbesserung der organisatorischen Resilienz
  • Nachweis der Vorbereitung gegenüber Kunden, Behörden, Auditoren und Versicherern

Ein Business Continuity Plan ist damit nicht nur ein Notfalldokument, sondern ein operatives Führungsinstrument für ausserordentliche Situationen.

Business Continuity Plan im BCM-Prozess

Der Business Continuity Plan ist Teil des übergeordneten Business Continuity Managements. Während das Business Continuity Management den gesamten Managementprozess beschreibt, ist der Business Continuity Plan das konkrete operative Dokument für die Fortführung und Wiederherstellung kritischer Geschäftsprozesse.

Im BCM-Prozess entsteht der Business Continuity Plan nicht isoliert. Er basiert auf den Ergebnissen der Business Impact Analyse, der Risikoanalyse und der BCM-Strategie. Erst wenn bekannt ist, welche Prozesse kritisch sind, welche Auswirkungen ein Ausfall hätte und welche Wiederanlaufzeiten erforderlich sind, kann ein wirksamer Business Continuity Plan erstellt werden.

Ein typischer BCM-Prozess umfasst folgende Schritte:

  1. Festlegung von BCM-Policy, Geltungsbereich und Organisation
  2. Durchführung der Business Impact Analyse
  3. Analyse relevanter Risiken und Ausfallszenarien
  4. Definition der BCM-Strategie
  5. Erstellung von Business Continuity Plänen
  6. Durchführung von Übungen und Tests
  7. Review, Aktualisierung und kontinuierliche Verbesserung

Der Business Continuity Plan übersetzt die strategischen BCM-Vorgaben in konkrete Massnahmen. Er beantwortet die Frage: Wie wird der Betrieb im Ereignisfall praktisch fortgeführt oder wiederhergestellt?

Inhalte eines Business Continuity Plans

Ein Business Continuity Plan sollte klar strukturiert, verständlich und handlungsorientiert sein. Im Ereignisfall bleibt wenig Zeit für lange Konzepte oder unklare Zuständigkeiten. Deshalb muss der BCP die wichtigsten Informationen kompakt und praxistauglich bereitstellen.

Typische Inhalte eines Business Continuity Plans sind:

  • Zweck und Geltungsbereich des Plans
  • betroffene Geschäftsprozesse, Standorte, Systeme oder Organisationseinheiten
  • Auslösekriterien und Eskalationsstufen
  • Rollen, Verantwortlichkeiten und Stellvertretungen
  • Kontaktlisten für interne und externe Anspruchsgruppen
  • Sofortmassnahmen nach Eintritt einer Störung
  • Verfahren für Notbetrieb, Ersatzprozesse und Wiederanlauf
  • benötigte Ressourcen, Mitarbeitende, Systeme, Daten und Dokumente
  • Kommunikationsabläufe für Mitarbeitende, Kunden, Lieferanten und Behörden
  • Abhängigkeiten zu IT, Gebäuden, Dienstleistern und Lieferketten
  • Wiederanlaufziele wie RTO und RPO
  • Checklisten für die Umsetzung
  • Schnittstellen zu Krisenmanagement, IT-Notfallmanagement und Disaster Recovery
  • Vorgaben zu Übungen, Tests, Review und Aktualisierung

Ein guter Business Continuity Plan ist nicht theoretisch, sondern praktisch nutzbar. Er sollte so formuliert sein, dass verantwortliche Personen im Ereignisfall schnell erkennen, welche Schritte notwendig sind und wer welche Aufgaben übernimmt.

Business Impact Analyse als Grundlage des BCP

Die Business Impact Analyse, kurz BIA, ist eine zentrale Grundlage für den Business Continuity Plan. Sie zeigt, welche Geschäftsprozesse für das Unternehmen besonders kritisch sind und welche Auswirkungen ein Ausfall hätte. Ohne Business Impact Analyse besteht die Gefahr, dass Business Continuity Pläne auf Annahmen statt auf belastbaren Entscheidungsgrundlagen beruhen.

Im Rahmen der Business Impact Analyse werden die Auswirkungen von Prozessausfällen bewertet. Dabei werden finanzielle Schäden, operative Auswirkungen, rechtliche und regulatorische Folgen, Auswirkungen auf Kunden, Reputation, Lieferfähigkeit und Sicherheit betrachtet.

Die BIA liefert wichtige Informationen für den Business Continuity Plan, insbesondere:

  • kritische Geschäftsprozesse und Services
  • maximale tolerierbare Ausfallzeiten
  • Wiederanlaufprioritäten
  • notwendige Mitarbeitende und Schlüsselpersonen
  • benötigte IT-Systeme, Daten, Anwendungen und Infrastruktur
  • Abhängigkeiten von Standorten, Lieferanten und Dienstleistern
  • Anforderungen an Notbetrieb und Wiederherstellung
  • Eskalations- und Entscheidungsbedarf im Ereignisfall

Auf dieser Basis kann der Business Continuity Plan gezielt auf die wirklich kritischen Prozesse ausgerichtet werden. Die Business Impact Analyse verhindert, dass alle Prozesse gleich behandelt werden, obwohl sie unterschiedliche Bedeutung für das Unternehmen haben.

Business Continuity Plan Vorlage / Checkliste

Eine Business Continuity Plan Vorlage hilft Unternehmen, BCP-Dokumente strukturiert und vollständig aufzubauen. Sie stellt sicher, dass wichtige Inhalte wie Rollen, Eskalation, Kommunikationswege, kritische Prozesse, Wiederanlaufziele, Ressourcen und Checklisten nicht vergessen werden.

Eine gute BCP-Vorlage sollte jedoch nicht einfach unverändert übernommen werden. Jeder Business Continuity Plan muss zur Organisation, zu den Geschäftsprozessen, Standorten, IT-Systemen, Lieferketten, regulatorischen Anforderungen und Wiederanlaufzielen passen.

Eine Business Continuity Plan Checkliste sollte mindestens folgende Punkte abdecken:

  • Ist der Geltungsbereich des BCP klar definiert?
  • Sind kritische Geschäftsprozesse und Services beschrieben?
  • Liegt eine aktuelle Business Impact Analyse vor?
  • Sind RTO, RPO und Wiederanlaufprioritäten festgelegt?
  • Sind Rollen, Verantwortlichkeiten und Stellvertretungen definiert?
  • Sind Eskalationswege und Auslösekriterien dokumentiert?
  • Sind Kontaktlisten aktuell und zugänglich?
  • Sind Notbetrieb, Ersatzverfahren und Wiederanlaufmassnahmen beschrieben?
  • Sind Abhängigkeiten zu IT, Gebäuden, Dienstleistern und Lieferanten erfasst?
  • Ist die Kommunikation mit Mitarbeitenden, Kunden, Lieferanten und Behörden geregelt?
  • Wurde der Business Continuity Plan getestet?
  • Werden Erkenntnisse aus Übungen und Ereignissen systematisch umgesetzt?
  • Wird der BCP regelmässig aktualisiert?

Eine professionelle Business Continuity Plan Vorlage unterstützt die Umsetzung, ersetzt aber nicht die fachliche Analyse. Entscheidend ist, dass der BCP auf Business Impact Analyse, Risikoanalyse und BCM-Strategie basiert und im Ereignisfall tatsächlich anwendbar ist.

Business Continuity Plan Fachbroschüren

Unsere Fachbroschüren und Checklisten unterstützen Unternehmen beim Aufbau und bei der Überprüfung von Business Continuity Plänen. Sie enthalten praxisnahe Hinweise zu BIA, RTO, RPO, Rollen, Kommunikation, Übungen und kontinuierlicher Aktualisierung.

RTO, RPO und Wiederanlaufprioritäten

RTO und RPO sind wichtige Kennzahlen im Business Continuity Plan. Sie helfen, Wiederanlaufziele zu definieren und geeignete Massnahmen für Notbetrieb, Wiederherstellung und Disaster Recovery abzuleiten.

Das Recovery Time Objective, kurz RTO, beschreibt die angestrebte Zeit, innerhalb der ein Prozess, Service oder System nach einer Störung wieder verfügbar sein muss. Je kürzer das RTO, desto höher sind in der Regel die Anforderungen an Organisation, Technik, Personal und Ressourcen.

Das Recovery Point Objective, kurz RPO, beschreibt den maximal tolerierbaren Datenverlust. Es zeigt, bis zu welchem Zeitpunkt Daten nach einem Ereignis wiederhergestellt werden müssen. Das RPO ist besonders relevant für IT-Systeme, Datenbanken, Fachanwendungen und digitale Geschäftsprozesse.

Wiederanlaufprioritäten legen fest, welche Prozesse zuerst wiederhergestellt werden müssen. Sie basieren auf der Business Impact Analyse und berücksichtigen unter anderem Kundenverpflichtungen, regulatorische Anforderungen, finanzielle Auswirkungen, Abhängigkeiten zwischen Prozessen und verfügbare Ressourcen.

Ein Business Continuity Plan sollte deshalb klar festlegen:

  • welche Prozesse besonders kritisch sind
  • welche RTO- und RPO-Werte gelten
  • welche Wiederanlaufreihenfolge vorgesehen ist
  • welche Ressourcen für den Wiederanlauf benötigt werden
  • welche Abhängigkeiten zu IT, Personal, Gebäuden und Dienstleistern bestehen
  • welche Ersatzverfahren bis zur vollständigen Wiederherstellung genutzt werden

RTO, RPO und Wiederanlaufprioritäten sind entscheidend, damit Business Continuity Pläne realistisch, überprüfbar und wirksam sind.

Typische BCP-Deliverables, Vorlagen und Projektergebnisse

Typische Ergebnisse eines BCP-Projekts sind ein Business Continuity Plan, Prozess- und Ressourcenübersichten, Wiederanlaufprioritäten, RTO-/RPO-Vorgaben, Kommunikationsvorlagen, Checklisten, Übungsunterlagen und ein Massnahmenplan. Das folgende Video zeigt beispielhafte BCP-Deliverables.

Business Continuity Plan vs. Disaster Recovery Plan

Ein Business Continuity Plan und ein Disaster Recovery Plan verfolgen unterschiedliche, aber eng miteinander verbundene Ziele. Beide Dokumente sind wichtige Bestandteile einer umfassenden Notfall- und Kontinuitätsplanung.

Der Business Continuity Plan fokussiert auf die Fortführung und Wiederherstellung kritischer Geschäftsprozesse. Er beschreibt, wie ein Unternehmen bei Störungen handlungsfähig bleibt, welche organisatorischen Massnahmen greifen, welche Ersatzprozesse genutzt werden und wie Verantwortlichkeiten, Kommunikation und Wiederanlauf gesteuert werden.

Der Disaster Recovery Plan, kurz DRP, konzentriert sich stärker auf die technische Wiederherstellung von IT-Systemen, Daten, Anwendungen, Netzwerken und Infrastruktur. Er beschreibt, wie technische Services nach einem Ausfall wiederhergestellt werden und welche IT-Massnahmen erforderlich sind, um definierte RTO- und RPO-Ziele zu erreichen.

Der Unterschied lässt sich vereinfacht so darstellen:

  • Business Continuity Plan: Fortführung und Wiederherstellung der Geschäftsprozesse
  • Disaster Recovery Plan: Wiederherstellung von IT-Systemen, Daten und technischer Infrastruktur

In der Praxis müssen BCP und DRP eng aufeinander abgestimmt sein. Viele Geschäftsprozesse sind heute stark von IT, Daten, Kommunikation und externen Dienstleistern abhängig. Ein Business Continuity Plan ist deshalb nur dann wirksam, wenn die technischen Wiederherstellungsmassnahmen aus dem Disaster Recovery Plan zu den Anforderungen der Geschäftsprozesse passen.

Rollen, Verantwortlichkeiten und Eskalation

Klare Rollen und Verantwortlichkeiten sind ein wesentlicher Bestandteil jedes Business Continuity Plans. Im Ereignisfall muss eindeutig festgelegt sein, wer entscheidet, wer informiert, wer Massnahmen umsetzt und wer den Wiederanlauf koordiniert.

Ein Business Continuity Plan sollte deshalb eine klare Notfallorganisation enthalten. Diese kann je nach Unternehmen unterschiedlich aufgebaut sein, umfasst aber häufig Geschäftsleitung, Krisenstab, BCM-Verantwortliche, Prozessverantwortliche, IT, Kommunikation, HR, Facility Management, Legal, Einkauf, Lieferantenmanagement und weitere Fachbereiche.

Wichtige Rollen im Business Continuity Plan sind zum Beispiel:

  • Entscheidungsträger für Aktivierung und Eskalation
  • Verantwortliche für kritische Geschäftsprozesse
  • BCM-Koordination und Dokumentation
  • IT- und Disaster-Recovery-Verantwortliche
  • Kommunikationsverantwortliche
  • Ansprechpartner für Kunden, Lieferanten, Behörden und Partner
  • Stellvertretungen für Schlüsselpersonen

Eskalationswege definieren, wann ein Ereignis von der operativen Ebene an Management, Krisenstab oder Geschäftsleitung gemeldet wird. Sie helfen, kritische Situationen frühzeitig zu erkennen und angemessen zu reagieren.

Ein wirksamer Business Continuity Plan beschreibt nicht nur Funktionen, sondern auch konkrete Aufgaben, Entscheidungsbefugnisse und Stellvertretungen. Dadurch bleibt das Unternehmen auch dann handlungsfähig, wenn Schlüsselpersonen nicht verfügbar sind.

Kommunikation im Ereignisfall

Kommunikation ist ein kritischer Erfolgsfaktor im Business Continuity Plan. Störungen und Krisen führen häufig zu Unsicherheit bei Mitarbeitenden, Kunden, Lieferanten, Behörden und weiteren Anspruchsgruppen. Eine klare, koordinierte und zeitnahe Kommunikation hilft, Vertrauen zu erhalten und Fehlentscheidungen zu vermeiden.

Der Business Continuity Plan sollte definieren, wer im Ereignisfall informiert wird, welche Kommunikationskanäle genutzt werden und wer für die Freigabe von Botschaften verantwortlich ist. Dabei müssen interne und externe Kommunikation aufeinander abgestimmt sein.

Wichtige Kommunikationsinhalte im Business Continuity Plan sind:

  • Alarmierung und Information der verantwortlichen Personen
  • interne Kommunikation an Mitarbeitende und Führungskräfte
  • Kommunikation mit Kunden und Geschäftspartnern
  • Abstimmung mit Lieferanten und Dienstleistern
  • Information von Behörden, Aufsichtsstellen oder Versicherern
  • Kommunikation mit Medien, falls erforderlich
  • Nutzung alternativer Kommunikationskanäle bei IT- oder Telefonausfall

Ein Kommunikationsplan sollte auch Vorlagen für Erstmeldungen, Statusupdates, Lageinformationen und Kundeninformationen enthalten. Dadurch kann im Ereignisfall schneller, konsistenter und kontrollierter kommuniziert werden.

Übungen, Tests und Aktualisierung

Ein Business Continuity Plan ist nur wirksam, wenn er regelmässig überprüft, geübt und aktualisiert wird. Ein Plan, der nie getestet wurde, kann im Ernstfall falsche Annahmen, veraltete Kontaktdaten oder unklare Zuständigkeiten enthalten.

Übungen und Tests zeigen, ob der Business Continuity Plan in der Praxis funktioniert. Sie helfen, Schwachstellen zu erkennen, Rollen zu trainieren und die Zusammenarbeit zwischen Fachbereichen, Krisenmanagement, IT und Geschäftsleitung zu verbessern.

Typische Formen von BCP-Übungen sind:

  • Dokumentenreview und Plausibilitätsprüfung
  • Tabletop-Übungen mit Szenarien
  • Alarmierungs- und Kommunikationstests
  • Tests von Ersatzverfahren und manuellen Prozessen
  • Wiederanlauftests für kritische Systeme und Prozesse
  • kombinierte Übungen mit Krisenstab und IT-Notfallmanagement

Nach jeder Übung sollten Erkenntnisse dokumentiert und Verbesserungsmassnahmen definiert werden. Verantwortlichkeiten, Fristen und Umsetzungsstand sollten klar nachverfolgt werden.

Auch organisatorische Änderungen können eine Aktualisierung des Business Continuity Plans erforderlich machen. Dazu gehören neue Geschäftsprozesse, neue IT-Systeme, Standortveränderungen, Wechsel von Lieferanten, neue regulatorische Anforderungen oder veränderte Risikosituationen.

Ein Business Continuity Plan sollte deshalb mindestens jährlich überprüft und bei wesentlichen Veränderungen sofort angepasst werden.

Fragen

Ihre Fragen werden durch unsere Experten & Berater für Business Continuity Plan (BCP) gerne beantwortet.

Sie haben ein Anliegen oder suchen fachliche Unterstützung für die Umsetzung eines Business Continuity Plan (BCP)? Gerne helfen wir weiter.

Newsletter

Neuigkeiten nicht verpassen

Verpassen Sie weder News noch fachliche Neuheiten, die wir unseren treuen Abonnenten vorbehalten.

 
Ihre E-Mail-Adresse wird nur dazu genutzt, Ihnen unseren Newsletter und Informationen über unsere Tätigkeiten zu senden. Ihnen steht jederzeit der Abmeldelink zur Verfügung, den wir in jede gesendete E-Mail einfügen.

Benutzereinstellungen für Cookies
Wir verwenden Cookies, um sicherzustellen, dass Sie die beste Erfahrung auf unserer Website machen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Weiter lesen
Unbedingt erforderliche Cookies
Diese Cookies sind unerlässlich, um sicherzustellen, dass der Besucher in bestimmten Funktionen der Website navigieren und sie nutzen kann. Ohne sie können wesentliche Teile der Webseite nicht verwendet werden. Entsprechend sind diese Cookies immer aktiviert. Sie werden nur dann eingesetzt, wenn Sie unsere Website besuchen und werden in der Regel nach dem Schliessen Ihres Browsers gelöscht. Ausserdem werden sie verwendet, um bei Zugriff mit einem mobilen Gerät die optimierte Website-Darstellung abzurufen, damit z. B. Ihr Datenvolumen nicht unnötig verbraucht wird. Auch erleichtern die Cookies den Seitenwechsel von http zu https, sodass die Sicherheit der übertragenen Daten gewährleistet bleibt.
Marketing-Cookies
Marketing-Cookies werden genutzt, um gezielter für den Nutzer relevante und an seine Interessen angepasste Inhalte anzubieten. Sie werden ausserdem dazu verwendet, die Effektivität von Kampagnen zu messen und zu steuern. Sie registrieren z. B., ob man eine Webseite besucht hat oder nicht, sowie welche Inhalte genutzt worden sind. Mithilfe dieser Informationen wird ein Interessensprofil erstellt, sodass nur für Sie interessante Inhalte angezeigt werden. Wenn Sie Ihre Zustimmung zu Marketing-Cookies widerrufen, bedeutet dies nicht, dass Sie in der Folge weniger Inhalte sehen oder erhalten. Es bedeutet vielmehr, dass die Inhalte, die Sie sehen und erhalten, nicht individuell auf Ihre Bedürfnisse zugeschnitten sind.
linkedin.com
Annehmen
Decline
Leistungs-Cookies
Diese Cookies sammeln Daten über das Benutzerverhalten. Auf dieser Basis wird die Webseite bezüglich Inhalt und Funktionalität auf das allgemeine Nutzungsverhalten abgestimmt. Die gesammelten Informationen werden grundsätzlich in aggregierter Form weiterverarbeitet, es sei denn, ein Besucher hat einer personenbezogenen Auswertung gesondert ausdrücklich zugestimmt. Leistungs-Cookies werden ausschliesslich verwendet, um die Leistung der Website zu verbessern und das Online-Erlebnis auf die Bedürfnisse der Nutzer abzustimmen.
Google Analytics
Annehmen
Decline
Funktionale Cookies
Funktionale Cookies ermöglichen der Webseite, getätigte Angaben, wie z. B. den Benutzernamen oder die Sprachauswahl, zu speichern und dem Nutzer darauf basierend verbesserte und personalisierte Funktionen anzubieten. Die gesammelten Informationen werden ausschliesslich in aggregierter Form ausgewertet. Da wir Ihnen eine Website bieten möchten, die auf optimale Benutzerfreundlichkeit ausgelegt ist, empfehlen wir die Aktivierung dieser Cookies. Funktionale Cookies werden z. B. auch genutzt, um von Ihnen gewünschte Funktionen wie die Wiedergabe von Videos zu aktivieren.
Speichern