Business Continuity Strategie: Optionen, Notbetrieb und Wiederanlauf festlegen

Eine Business Continuity Strategie beschreibt die grundsätzlichen Lösungsansätze, mit denen eine Organisation ihre kritischen Geschäftsprozesse auch unter erschwerten Bedingungen fortführen oder wiederherstellen kann. Sie übersetzt Analyseergebnisse in konkrete strategische Vorgaben für Notbetrieb, Wiederanlauf, Ressourcen, Standorte, IT, Lieferanten, Kommunikation und spätere Business Continuity Pläne.

Im Unterschied zur Business Impact Analyse bewertet die Strategie nicht primär die Auswirkungen eines Ausfalls. Sie beantwortet vielmehr die Frage, wie die definierten Wiederanlaufanforderungen erreicht werden können. Im Unterschied zum Business Continuity Plan beschreibt sie noch nicht jede operative Handlung im Ereignisfall, sondern legt die gewählte Lösungsrichtung, Prioritäten und Massnahmenoptionen fest.

Eine wirksame Business Continuity Strategie stellt sicher, dass nicht nur bekannt ist, welche Prozesse kritisch sind, sondern auch entschieden wird, wie diese Prozesse im Ereignisfall geschützt, fortgeführt oder wiederhergestellt werden.

Das Ziel einer Business Continuity Strategie ist die Auswahl geeigneter, wirksamer und wirtschaftlich vertretbarer Massnahmen zur Sicherstellung kritischer Leistungen. Die Strategie schafft Entscheidungsgrundlagen für Geschäftsleitung, BCM-Verantwortliche, Fachbereiche, IT, Krisenorganisation und weitere Schlüsselstellen.

Eine gute BCM-Strategie beantwortet insbesondere folgende Fragen:

• Welche Leistungen müssen bei einer Unterbrechung prioritär aufrechterhalten werden?
• Welche Prozesse können vorübergehend reduziert, manuell betrieben oder später wiederhergestellt werden?
• Welche Mindestleistungen müssen im Notbetrieb erbracht werden?
• Welche Ressourcen werden für Notbetrieb und Wiederanlauf benötigt?
• Welche alternativen Standorte, Arbeitsformen oder Lieferanten stehen zur Verfügung?
• Welche IT-Services, Daten, Applikationen und Kommunikationsmittel müssen verfügbar sein?
• Welche Strategieoptionen sind organisatorisch, technisch und finanziell realistisch?
• Welches Restrisiko wird durch die Geschäftsleitung akzeptiert?

Eine Business Continuity Strategie entsteht nicht isoliert. Sie basiert auf validierten Wiederanlaufanforderungen, Kritikalitäten, Risiken, Abhängigkeiten und verfügbaren Ressourcen. Besonders wichtig sind die Anforderungen aus der Business Impact Analyse, die Ergebnisse der Risikoanalyse sowie die Einschätzung von Fachbereichen, IT, Lieferantenmanagement, Krisenmanagement und Geschäftsleitung.

Die Strategie muss aus fachlichen Anforderungen konkrete Entscheidungsoptionen ableiten. Dazu gehören beispielsweise die Entscheidung für einen Ersatzstandort, eine Homeoffice-Lösung, einen manuellen Ersatzprozess, zusätzliche Lagerbestände, redundante IT-Services, alternative Lieferanten oder vertraglich gesicherte Wiederherstellungsleistungen.

Entscheidend ist nicht die maximale Absicherung jedes einzelnen Prozesses. Ziel ist eine angemessene, nachvollziehbare und wirtschaftlich vertretbare Lösung für die wirklich kritischen Leistungen.

Business Continuity Strategien können je nach Organisation sehr unterschiedlich aussehen. Häufig werden mehrere Optionen kombiniert, damit kritische Leistungen im Business Continuity Management trotz unterschiedlichen Ausfallszenarien handlungsfähig bleiben.

Der Notbetrieb beschreibt, welche Mindestleistungen während einer Störung weiterhin erbracht werden müssen. Dabei wird festgelegt, welche Aktivitäten priorisiert, reduziert, manuell durchgeführt oder temporär ausgesetzt werden.

Typische Fragestellungen:

• Welche Mindestleistung muss aufrechterhalten werden?
• Welche Leistungen können während des Notbetriebs reduziert werden?
• Welche Mitarbeitenden und Rollen sind zwingend erforderlich?
• Welche Arbeitsmittel, Daten und Kommunikationswege werden benötigt?
• Welche Kunden, Bürger, Patienten oder internen Anspruchsgruppen müssen weiterhin versorgt werden?

Die Wiederanlaufstrategie legt fest, wie kritische Prozesse nach einer Unterbrechung geordnet wiederhergestellt werden. Sie beschreibt Prioritäten, Reihenfolge, Abhängigkeiten, Ressourcenbedarf und Entscheidungswege für die Wiederaufnahme des Betriebs.

Typische Fragestellungen:

• Welche Prozesse werden zuerst wiederhergestellt?
• Welche Vorleistungen oder IT-Services müssen vorher verfügbar sein?
• Welche Rückstände entstehen und wie werden sie abgearbeitet?
• Welche Fachbereiche, Provider oder Lieferanten sind beteiligt?
• Wann gilt ein Prozess als wiederhergestellt?

Wenn Gebäude, Arbeitsplätze oder Standorte nicht verfügbar sind, können Ersatzstandorte, Ausweicharbeitsplätze, Homeoffice, dezentrale Arbeitsmodelle oder temporäre Arbeitsflächen erforderlich sein.

Typische Strategieelemente:

• Ersatzarbeitsplätze für kritische Funktionen
• Homeoffice-Regelungen für priorisierte Rollen
• Zugang zu Dokumenten, Fachapplikationen und Kommunikationsmitteln
• räumliche Trennung kritischer Teams
• Standortausweichkonzepte für zentrale Funktionen
• Mindestanforderungen an Infrastruktur, Sicherheit und Datenschutz

Wenn IT-Systeme, Datenverbindungen oder Fachapplikationen nicht verfügbar sind, können manuelle Ersatzverfahren erforderlich werden. Diese müssen realistisch, vorbereitet und mit den betroffenen Fachbereichen abgestimmt sein.

Typische Strategieelemente:

• Papierformulare oder Offline-Listen
• manuelle Freigabe- und Entscheidungsprozesse
• alternative Kommunikationswege
• reduzierte Leistungsvarianten
• temporäre Dokumentation von Geschäftsvorfällen
• spätere Nacherfassung in regulären Systemen

Viele kritische Geschäftsprozesse sind von IT-Services, Daten, Fachapplikationen, Netzwerken, Identitätsdiensten, Cloud-Services oder Kommunikationsplattformen abhängig. Die Business Continuity Strategie muss daher mit IT Service Continuity, Disaster Recovery und Cyber-Notfallmanagement abgestimmt sein.

Typische Strategieelemente:

• priorisierte Wiederherstellung kritischer IT-Services
• Abstimmung von Wiederanlaufzeiten und Datenverlusttoleranzen
• Backup-, Restore- und Wiederherstellungsanforderungen
• alternative Kommunikations- und Zugriffsmöglichkeiten
• Notfallzugänge, Ersatzgeräte und Notarbeitsplätze
• Schnittstelle zu Disaster Recovery Plan und IT-Runbooks

Externe Lieferanten, Provider, Dienstleister und Outsourcing-Partner können für kritische Leistungen entscheidend sein. Die Strategie muss festlegen, wie Abhängigkeiten reduziert, vertraglich abgesichert oder durch Alternativen ergänzt werden.

Typische Strategieelemente:

• alternative Lieferanten oder Provider
• Mindestanforderungen an Lieferanten-Continuity
• vertragliche Wiederherstellungszusagen
• Eskalationskontakte und Kommunikationswege
• Sicherheitsbestände oder alternative Bezugsquellen
• Bewertung von Single Points of Failure

Personalausfälle, Schlüsselpersonenabhängigkeiten oder fehlende Verfügbarkeit von Fachwissen können kritische Prozesse beeinträchtigen. Die Strategie muss festlegen, wie Mindestbesetzung, Stellvertretung, Know-how-Sicherung und Einsatzplanung sichergestellt werden.

Typische Strategieelemente:

• Mindestbesetzung für kritische Leistungen
• Stellvertretungsregelungen und Kompetenzaufbau
• Schichtmodelle oder Priorisierung von Schlüsselrollen
• Wissensdokumentation und Zugriff auf Arbeitsanweisungen
• Schutz besonders kritischer Teams
• Unterstützung durch externe Fachstellen

Eine Business Continuity Strategie muss auch festlegen, wie im Ereignisfall kommuniziert und eskaliert wird. Dabei geht es nicht um vollständige Krisenkommunikationspläne, sondern um strategische Vorgaben für Informationsflüsse, Entscheidungswege und Anspruchsgruppen.

Typische Strategieelemente:

• Eskalationskriterien und Entscheidungswege
• interne Kommunikationskanäle
• Kommunikation mit Kunden, Behörden, Lieferanten und Partnern
• Melde- und Informationspflichten
• Abstimmung mit Krisenstab, Fachbereichen und Geschäftsleitung
• alternative Kommunikationsmittel bei IT- oder Telekommunikationsausfällen

Nicht jede Strategieoption ist gleich wirksam, wirtschaftlich oder umsetzbar. Deshalb müssen mögliche Optionen systematisch bewertet und dokumentiert werden. Eine nachvollziehbare Bewertung verhindert, dass Strategien nur auf Annahmen, Einzelmeinungen oder technischen Wunschlösungen beruhen.

Bewertungskriterien können sein:

• Wirksamkeit zur Erreichung der Wiederanlaufanforderungen
• organisatorische Umsetzbarkeit
• technische Machbarkeit
• Kosten und Nutzen
• benötigte Ressourcen
• Abhängigkeiten von IT, Personal, Standorten oder Lieferanten
• Umsetzungsdauer
• regulatorische oder vertragliche Anforderungen
• Auswirkungen auf Kunden, Mitarbeitende und Betrieb
• verbleibendes Restrisiko

Die gewählte Business Continuity Strategie sollte durch die zuständigen Entscheidungsträger genehmigt werden. Besonders bei Investitionen, akzeptierten Restrisiken oder organisatorischen Veränderungen ist ein klarer Managemententscheid erforderlich.

Eine Bewertungsmatrix hilft, unterschiedliche Strategieoptionen vergleichbar zu machen. Sie sollte nicht zu komplex sein, aber die wesentlichen Entscheidungskriterien sichtbar machen.

Typische Bewertungsspalten sind:

• kritischer Prozess oder Service
• Wiederanlaufanforderung
• Strategieoption
• erwartete Wirkung
• Kosten oder Ressourcenbedarf
• technische Machbarkeit
• organisatorische Umsetzbarkeit
• Abhängigkeiten
• Restrisiko
• empfohlene Option
• Entscheid durch Management oder zuständiges Gremium

Die Bewertungsmatrix bildet eine wichtige Brücke zwischen Analyse, Strategieentscheid und späterer Umsetzung. Sie macht transparent, warum eine Option gewählt, verworfen oder für später zurückgestellt wurde.

Die Business Continuity Strategie ist die Brücke zwischen Analyse und operativer Planung. Zuerst werden kritische Prozesse, Ausfallauswirkungen, Wiederanlaufanforderungen und Abhängigkeiten analysiert. Danach werden geeignete Strategieoptionen entwickelt, bewertet und entschieden. Erst anschliessend werden Business Continuity Pläne, Checklisten, Wiederanlaufverfahren, Notbetriebsabläufe und Übungsprogramme erstellt.

Damit verhindert die Strategie, dass Pläne ohne klare Entscheidungsgrundlage entstehen. Sie sorgt dafür, dass operative Dokumente auf genehmigten Prioritäten, realistischen Ressourcen und akzeptierten Restrisiken basieren.

Ein typischer Ablauf:

1. Kritische Leistungen und Wiederanlaufanforderungen ermitteln
2. Risiken, Szenarien und Abhängigkeiten bewerten
3. mögliche Strategieoptionen entwickeln
4. Optionen nach Wirkung, Machbarkeit, Kosten und Restrisiko beurteilen
5. bevorzugte Strategie auswählen und genehmigen
6. Massnahmen, Pläne und Wiederanlaufverfahren ableiten
7. Strategie durch Übungen, Tests und Reviews überprüfen

Eine professionelle Business Continuity Strategie sollte konkrete und prüfbare Ergebnisse liefern. Sie dient nicht nur als Konzept, sondern als verbindliche Grundlage für Umsetzung, Planung, Budgetierung und Verbesserung.

Typische Ergebnisse sind:

• genehmigte Strategieoptionen je kritischem Prozess oder Service
• definierte Notbetriebsanforderungen
• Wiederanlaufprioritäten und Wiederanlaufansätze
• Vorgaben für Ersatzstandorte, Homeoffice oder alternative Arbeitsformen
• Anforderungen an IT Service Continuity und Disaster Recovery
• Anforderungen an Lieferanten, Provider und Dienstleister
• Mindestressourcen und personelle Mindestbesetzung
• definierte manuelle Ersatzverfahren oder Workarounds
• Bewertungsmatrix mit Kosten, Wirkung, Machbarkeit und Restrisiko
• Managemententscheid zu akzeptierten Restrisiken
• Massnahmenplan zur Umsetzung der Strategie
• Vorgaben für Business Continuity Pläne, Übungen und Tests

In der Praxis entstehen Business Continuity Strategien häufig zu spät, zu allgemein oder zu technisch. Dadurch fehlen klare Entscheidungen, und spätere Pläne bleiben unvollständig oder schwer anwendbar.

Häufige Fehler sind:

• Strategieoptionen werden nicht aus validierten Anforderungen abgeleitet
• Wiederanlaufanforderungen werden ungeprüft übernommen
• IT-Lösungen werden definiert, ohne fachliche Prioritäten zu berücksichtigen
• Notbetriebsvarianten sind nicht realistisch getestet
• manuelle Ersatzverfahren sind zu allgemein beschrieben
• Lieferantenabhängigkeiten und Providerzusagen bleiben unklar
• Kosten, Nutzen und Restrisiko werden nicht transparent bewertet
• die Geschäftsleitung genehmigt keine klare Zielvariante
• Strategien werden nicht in Pläne, Übungen und Massnahmen überführt
• Änderungen in Prozessen, IT, Standorten oder Lieferketten werden nicht nachgeführt

Eine wirksame Business Continuity Strategie vermeidet diese Schwachstellen durch klare Methodik, saubere Bewertung, nachvollziehbare Entscheide und konkrete Umsetzungsvorgaben.

Die Business Impact Analyse zeigt, welche Prozesse kritisch sind, welche Auswirkungen ein Ausfall hätte und welche Wiederanlaufanforderungen gelten. Die Business Continuity Strategie legt fest, mit welchen Optionen und Massnahmen diese Anforderungen erreicht werden sollen.

Der Business Continuity Plan beschreibt danach die konkrete Anwendung im Ereignisfall. Er enthält Rollen, Eskalation, Kommunikation, Sofortmassnahmen, Notbetrieb, Wiederanlaufverfahren und Checklisten.

IT Service Continuity Management und Disaster Recovery konkretisieren die technischen Wiederherstellungsanforderungen für IT-Services, Daten, Plattformen, Infrastruktur und Provider. Die Business Continuity Strategie stellt sicher, dass diese technischen Lösungen zu den fachlichen Prioritäten passen.

Eine Business Continuity Strategie ist besonders wichtig, wenn eine Organisation:

• kritische Prozesse und Services nicht nur analysieren, sondern wirksam absichern will
• nach einer Business Impact Analyse konkrete Massnahmen ableiten muss
• Wiederanlaufzeiten fachlich, technisch und finanziell realistisch umsetzen möchte
• Notbetrieb, Ersatzstandorte oder alternative Arbeitsformen definieren muss
• Abhängigkeiten von IT, Lieferanten, Standorten oder Schlüsselpersonen reduzieren will
• Disaster Recovery und fachliche Wiederanlaufanforderungen besser abstimmen möchte
• Investitionen in Resilienz, Redundanz oder Ersatzlösungen begründen muss
• Geschäftsleitung oder Verwaltungsrat klare Entscheidungsgrundlagen benötigt
• bestehende Business Continuity Pläne auf belastbare Strategien abstützen will
• Audit-, Kunden-, Behörden- oder ISO-22301-orientierte Nachweise verbessern möchte