Business Impact Analyse (BIA): kritische Prozesse, RTO, RPO und MTPD analysieren

Eine Business Impact Analyse untersucht, welche Auswirkungen der Ausfall von Geschäftsprozessen, Leistungen, Standorten, IT-Systemen, Daten, Lieferanten oder Schlüsselpersonen auf eine Organisation haben kann. Im Zentrum steht nicht die Frage, welches Ereignis eintritt, sondern welche Folgen eine Unterbrechung für die Organisation hätte.

Die BIA zeigt, welche Geschäftsprozesse wirklich kritisch sind, wie lange ein Ausfall tolerierbar wäre, welche Leistungen zuerst wiederhergestellt werden müssen und welche Ressourcen für Notbetrieb und Wiederanlauf erforderlich sind. Damit verhindert die Business Impact Analyse, dass alle Prozesse gleich behandelt werden, obwohl sie für den Fortbestand der Organisation sehr unterschiedliche Bedeutung haben.

Eine professionelle BIA liefert strukturierte Antworten auf zentrale Fragen:

• Welche Geschäftsprozesse und Services sind geschäftskritisch?
• Welche finanziellen, operativen, rechtlichen, regulatorischen und reputationsbezogenen Auswirkungen entstehen bei einem Ausfall?
• Ab welchem Zeitpunkt wird eine Unterbrechung nicht mehr tolerierbar?
• Welche Wiederanlaufzeiten und Datenanforderungen sind erforderlich?
• Welche Mitarbeitenden, IT-Systeme, Daten, Gebäude, Lieferanten und Dienstleister sind für den Wiederanlauf notwendig?
• Welche Prozesse müssen im Ereignisfall zuerst stabilisiert oder wiederhergestellt werden?

Das Ziel der Business Impact Analyse ist die nachvollziehbare Bewertung von Ausfallauswirkungen und Kritikalitäten. Sie schafft Transparenz darüber, welche Leistungen für Kunden, Bevölkerung, Patienten, Geschäftspartner, Behörden, Eigentümer oder interne Anspruchsgruppen besonders wichtig sind.

Die BIA bildet damit die fachliche Grundlage für Wiederanlaufprioritäten, Notbetriebsanforderungen, Ressourcenplanung, IT-Anforderungen, Lieferantenanforderungen und spätere Business Continuity Massnahmen. Sie unterstützt Geschäftsleitung, Prozessverantwortliche, BCM-Verantwortliche, IT, Krisenmanagement und Risikomanagement bei der sachlichen Priorisierung begrenzter Ressourcen.

Typische Ziele einer BIA sind:

• Identifikation kritischer Geschäftsprozesse und Services
• Bewertung von Ausfallauswirkungen über definierte Zeiträume
• Festlegung von maximal tolerierbaren Ausfallzeiten
• Definition von RTO, RPO und Wiederanlaufprioritäten
• Ermittlung notwendiger Ressourcen für Notbetrieb und Wiederherstellung
• Analyse von Abhängigkeiten zwischen Prozessen, IT, Personal, Standorten und Lieferanten
• Schaffung einer belastbaren Grundlage für BCM-Strategie, Business Continuity Pläne und IT Service Continuity Anforderungen

Eine Business Impact Analyse betrachtet nicht nur finanzielle Schäden. Viele Organisationen sind besonders stark von rechtlichen Verpflichtungen, regulatorischen Anforderungen, Leistungsaufträgen, Kundenverpflichtungen, Reputationsrisiken oder Sicherheitsaspekten betroffen.

Je nach Organisation werden unter anderem folgende Auswirkungsdimensionen bewertet:

Finanzielle Auswirkungen
Dazu gehören Umsatzausfälle, Mehrkosten, Konventionalstrafen, Vertragsverletzungen, Produktionsverluste, Zusatzaufwände, Wiederherstellungskosten oder Liquiditätsbelastungen.

Operative Auswirkungen
Bewertet werden Auswirkungen auf Leistungserbringung, Produktion, Logistik, Servicequalität, Kundenbetreuung, Verfügbarkeit interner Leistungen, Lieferfähigkeit oder Bearbeitungsrückstände.

Rechtliche und regulatorische Auswirkungen
Relevant sind gesetzliche Pflichten, aufsichtsrechtliche Vorgaben, Datenschutzanforderungen, Meldepflichten, vertragliche Verpflichtungen oder Vorgaben von Behörden, Kunden oder Prüfstellen.

Reputationsbezogene Auswirkungen
Ein längerer Ausfall kann Vertrauen bei Kunden, Mitarbeitenden, Öffentlichkeit, Behörden, Geschäftspartnern oder Medien beeinträchtigen. Die BIA bewertet, ab wann ein Reputationsschaden wahrscheinlich oder kritisch wird.

Auswirkungen auf Sicherheit und Schutz
Bei bestimmten Organisationen können Prozessausfälle Auswirkungen auf Personen, Patienten, Bevölkerung, Umwelt, Informationssicherheit, physische Sicherheit oder kritische Infrastrukturen haben.

Auswirkungen auf Kunden und Anspruchsgruppen
Die BIA bewertet, welche Kundengruppen, Bürger, Partner, Lieferanten, interne Organisationseinheiten oder externe Stellen durch einen Ausfall betroffen wären und welche Erwartungen an Wiederanlauf und Kommunikation bestehen.

Die Business Impact Analyse verwendet zentrale Kennzahlen, um Wiederanlaufanforderungen nachvollziehbar zu bestimmen. Besonders wichtig sind MTPD, RTO und RPO.

MTPD – Maximum Tolerable Period of Disruption
Die MTPD beschreibt die maximal tolerierbare Dauer einer Unterbrechung. Sie zeigt, ab welchem Zeitpunkt die Auswirkungen eines Prozessausfalls für die Organisation nicht mehr akzeptabel sind. Die MTPD ist eine fachliche und geschäftliche Bewertung. Sie beantwortet die Frage: Wie lange darf ein Prozess höchstens ausfallen, bevor der Schaden kritisch wird?

RTO – Recovery Time Objective
Das RTO beschreibt die angestrebte Wiederanlaufzeit. Es legt fest, innerhalb welcher Zeit ein Prozess, Service oder System nach einer Störung wieder verfügbar sein soll. Das RTO darf nicht länger sein als die maximal tolerierbare Ausfallzeit. Es wird aus der BIA abgeleitet und dient als Vorgabe für BCM-Strategien, Business Continuity Pläne, IT Service Continuity und Disaster Recovery.

RPO – Recovery Point Objective
Das RPO beschreibt den maximal tolerierbaren Datenverlust. Es zeigt, auf welchen Datenstand nach einem Ausfall zurückgegriffen werden muss. Das RPO ist besonders relevant für digitale Prozesse, Fachapplikationen, Datenbanken, Transaktionssysteme, Dokumentenmanagement, Kundenportale und andere datenabhängige Leistungen.

Eine professionelle BIA folgt einem strukturierten Vorgehen. Dadurch werden Ergebnisse vergleichbar, nachvollziehbar und prüfbar.

1. Geltungsbereich und Methodik festlegen
Zuerst wird definiert, welche Organisationseinheiten, Geschäftsprozesse, Standorte, Services oder kritischen Leistungen analysiert werden. Gleichzeitig werden Bewertungsdimensionen, Zeitintervalle, Kritikalitätsklassen und Verantwortlichkeiten festgelegt.

2. Prozesse und Leistungen erfassen
Die relevanten Geschäftsprozesse, Services und Leistungen werden strukturiert aufgenommen. Dabei werden Prozessverantwortliche, Standorte, Kunden, interne Empfänger, externe Anspruchsgruppen und wesentliche Prozessziele erfasst.

3. Auswirkungen über Zeit bewerten
Für jeden Prozess wird bewertet, welche Auswirkungen ein Ausfall nach bestimmten Zeiträumen hätte. Typische Zeitintervalle sind beispielsweise 4 Stunden, 8 Stunden, 24 Stunden, 2 Tage, 5 Tage oder länger. Die konkreten Zeitklassen sollten zur Organisation passen.

4. MTPD, RTO und RPO bestimmen
Auf Basis der Auswirkungsbewertung werden maximal tolerierbare Ausfallzeiten, Wiederanlaufziele und Datenanforderungen abgeleitet. Diese Werte müssen fachlich plausibel, realistisch und für spätere Massnahmen verwendbar sein.

5. Ressourcen und Abhängigkeiten analysieren
Die BIA ermittelt, welche Ressourcen für den Notbetrieb und Wiederanlauf erforderlich sind. Dazu gehören Mitarbeitende, Schlüsselpersonen, IT-Systeme, Daten, Applikationen, Gebäude, Arbeitsplätze, Anlagen, Lieferanten, Dienstleister, Dokumente, Fahrzeuge, Kommunikation und weitere Hilfsmittel.

6. Kritikalität und Wiederanlaufprioritäten festlegen
Die Ergebnisse werden verdichtet und priorisiert. Daraus entsteht eine nachvollziehbare Rangfolge kritischer Prozesse und Services. Diese Priorisierung unterstützt die Geschäftsleitung und die Krisenorganisation bei Entscheidungen unter Zeitdruck.

7. Ergebnisse dokumentieren und validieren
Die BIA-Ergebnisse werden in einem Bericht, einer Auswertung oder einem BIA-Cockpit dokumentiert. Wichtig ist die Validierung mit Prozessverantwortlichen, BCM-Verantwortlichen, IT, Geschäftsleitung und relevanten Fachstellen. Nur validierte Ergebnisse sollten als Grundlage für Strategien, Pläne und Wiederanlaufmassnahmen verwendet werden.

Die Qualität einer Business Impact Analyse hängt wesentlich von der Datenerhebung ab. In der Praxis bewähren sich strukturierte Workshops mit Prozessverantwortlichen, Fachbereichen, IT, Risikomanagement, Krisenmanagement und weiteren Schlüsselpersonen.

Ein BIA-Workshop sollte klar vorbereitet sein. Die Teilnehmenden müssen wissen, welche Prozesse bewertet werden, welche Bewertungslogik gilt und welche Ergebnisse erwartet werden. Fragebogen, Bewertungsmatrix, Prozessliste und Hilfstabellen erleichtern eine einheitliche Datenerhebung.

Typische Inhalte eines BIA-Workshops sind:

• Beschreibung des Prozesses oder Services
• Leistungsempfänger, Kunden und Anspruchsgruppen
• Auswirkungen eines Ausfalls über definierte Zeiträume
• maximal tolerierbare Ausfallzeit
• gewünschte Wiederanlaufzeit
• Daten- und Informationsanforderungen
• personelle Mindestbesetzung
• notwendige IT-Systeme und Anwendungen
• Abhängigkeiten von Gebäuden, Anlagen, Lieferanten und Dienstleistern
• manuelle Ersatzverfahren oder Notbetriebsoptionen
• bestehende Schwachstellen und offene Massnahmen

Eine Business Impact Analyse sollte nicht nur als Datensammlung verstanden werden. Entscheidend sind verwertbare Ergebnisse, die für Entscheidungen, Priorisierung und Umsetzung genutzt werden können.

Typische BIA-Ergebnisse sind:

• Übersicht kritischer Geschäftsprozesse und Services
• Kritikalitätsbewertung je Prozess
• MTPD, RTO und RPO je Prozess oder Service
• Wiederanlaufprioritäten
• Ressourcenbedarf für Notbetrieb und Wiederherstellung
• Abhängigkeiten zu IT-Systemen, Daten, Standorten, Lieferanten und Dienstleistern
• Prozess- und Serviceabhängigkeiten
• Anforderungen an Notarbeitsplätze, Ersatzverfahren oder manuelle Workarounds
• Anforderungen an Kommunikation, Eskalation und Entscheidungswege
• Handlungsbedarf für BCM-Strategie, Business Continuity Pläne, ITSCM und Disaster Recovery
• Management Summary mit priorisierten Empfehlungen

ISO 22317 bietet eine international anerkannte Leitlinie für die Durchführung einer Business Impact Analyse. Sie unterstützt Organisationen dabei, die BIA strukturiert, nachvollziehbar und anschlussfähig an ein Business Continuity Management System umzusetzen.

Eine ISO-22317-orientierte BIA hilft insbesondere dabei, Bewertungsmethodik, Datenerhebung, Analyse, Validierung und Dokumentation konsistent aufzubauen. Dadurch werden Ergebnisse prüfbar und für interne Audits, externe Reviews, ISO-22301-orientierte BCM-Strukturen oder Management Reviews besser nutzbar.

Wichtig ist jedoch: Eine Business Impact Analyse sollte nicht nur formal korrekt sein. Sie muss zur Organisation passen, verständlich sein und konkrete Entscheidungen ermöglichen. Eine zu komplexe BIA erzeugt zwar Daten, aber nicht zwingend bessere Entscheidungen. Entscheidend ist eine angemessene, nachvollziehbare und praxistaugliche Methodik.

Die Business Impact Analyse ist ein Analyseinstrument. Sie beantwortet die Frage, welche Prozesse kritisch sind, welche Auswirkungen ein Ausfall hätte und welche Wiederanlaufanforderungen gelten. Die BCM-Strategie beschreibt anschliessend, wie diese Anforderungen erfüllt werden sollen. Sie definiert Optionen, Massnahmen, Notbetriebsformen, Wiederanlaufansätze und Ressourcenentscheide. Der Business Continuity Plan beschreibt danach die konkrete operative Umsetzung im Ereignisfall. Er legt Rollen, Eskalation, Kommunikation, Sofortmassnahmen, Notbetrieb und Wiederanlaufverfahren fest. Damit ist die BIA die Grundlage für Strategie und Plan, ersetzt diese aber nicht. Eine gute BIA schafft belastbare Entscheidungsgrundlagen; die Strategie legt die Lösungsrichtung fest; der Business Continuity Plan macht die Umsetzung im Ereignisfall anwendbar.

Eine Business Impact Analyse ist besonders sinnvoll, wenn eine Organisation:

• ein Business Continuity Management neu aufbauen möchte
• bestehende BCM-Dokumente professionalisieren will
• kritische Geschäftsprozesse systematisch identifizieren muss
• Wiederanlaufzeiten nicht nur schätzen, sondern nachvollziehbar begründen möchte
• RTO und RPO für IT, Fachbereiche oder Provider definieren muss
• Anforderungen an Disaster Recovery oder IT Service Continuity ableiten möchte
• Business Continuity Pläne auf belastbare Grundlagen stellen will
• regulatorische, vertragliche oder ISO-22301-orientierte Nachweise benötigt
• Geschäftsleitung, Audit, Kunden oder Behörden mit nachvollziehbaren Ergebnissen überzeugen muss
• kritische Abhängigkeiten von Lieferanten, Dienstleistern oder IT-Systemen besser verstehen will

Eine BIA-Vorlage hilft, Daten einheitlich zu erfassen und Ergebnisse vergleichbar auszuwerten. Sie sollte jedoch nicht nur als Formular verstanden werden. Entscheidend ist, dass die Vorlage zur Organisation, zu den Prozessen, zur Kritikalität und zu den Entscheidungsbedürfnissen passt.

Eine gute BIA-Vorlage enthält typischerweise:

• Prozessname und Prozessverantwortung
• Leistungsbeschreibung und Empfänger der Leistung
• Auswirkungsbewertung je Zeitintervall
• MTPD, RTO und RPO
• personelle Mindestbesetzung
• benötigte IT-Systeme, Daten und Anwendungen
• notwendige Gebäude, Arbeitsplätze, Anlagen und Infrastruktur
• Lieferanten- und Dienstleisterabhängigkeiten
• manuelle Ersatzverfahren oder Workarounds
• Wiederanlaufpriorität
• offene Massnahmen und Entscheidungsbedarf

Die Ergebnisse sollten in einer Management Summary und einer Detailauswertung dokumentiert werden. So erhalten Geschäftsleitung und Fachbereiche sowohl eine strategische Übersicht als auch konkrete Grundlagen für die weitere Umsetzung.

In unserem Download-Bereich finden Sie zahlreiche Fachbroschüren und Informationen als PDF-Dokumente zum Download.