Business Continuity Management nach NIS-2

“Was machen wir, wenn morgen alles ausfällt?” Diese Frage stellen sich die wenigsten Unternehmen ernsthaft – bis es passiert. Dann ist Panik. NIS-2 will, dass Sie sich die Frage vorher stellen. Und dass Sie eine Antwort haben.

Was NIS-2 verlangt

Die Richtlinie fordert “Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement”. Das klingt technisch, meint aber drei konkrete Dinge.

Business Continuity: Wie arbeiten Sie weiter, wenn wichtige Systeme ausfallen? Disaster Recovery: Wie stellen Sie die IT-Systeme wieder her? Krisenmanagement: Wer koordiniert, wer kommuniziert, wie treffen Sie Entscheidungen unter Druck?

Das ist eine der zehn Mindestanforderungen. Sie können sie nicht ignorieren.

Die Bausteine

Business Impact Analyse

Der Anfang von allem. Sie müssen verstehen, was passiert, wenn etwas ausfällt. Nicht theoretisch, sondern konkret.

Welche Prozesse sind unverzichtbar? Die Auftragsabwicklung? Die Produktion? Der Kundenservice? Wie lange kann jeder dieser Prozesse ausfallen, bevor der Schaden kritisch wird? Was brauchen diese Prozesse – welche Systeme, welche Daten, welche Menschen?

Aus dieser Analyse ergeben sich zwei wichtige Kennzahlen: Die Recovery Time Objective (RTO) – wie schnell müssen Sie wieder laufen? Und die Recovery Point Objective (RPO) – wie viel Datenverlust ist tolerierbar? Wenn Ihre RPO vier Stunden ist, brauchen Sie mindestens alle vier Stunden ein Backup. Wenn Ihre RTO acht Stunden ist, muss die Wiederherstellung in acht Stunden machbar sein.

Der Business Continuity Plan

Der BCP beschreibt, wie Sie weiterarbeiten, wenn etwas schiefgeht. Nicht ob, sondern wie.

Wann wird der Plan aktiviert? Wer entscheidet das? Welche Eskalationsstufen gibt es? Wer ist wofür verantwortlich? Was sind die Notfallprozeduren für kritische Geschäftsprozesse? Wie kommunizieren Sie – intern und extern?

Ein praktisches Beispiel: Das ERP-System fällt aus. Was passiert? Sofort: Umstellung auf manuelle Auftragserfassung. Parallel: Information an Kunden über mögliche Verzögerungen. Im Hintergrund: IT arbeitet an der Wiederherstellung. Das muss vorher durchdacht sein, nicht im Moment der Krise.

Der Disaster Recovery Plan

Der DRP fokussiert auf die IT. Welche Systeme haben Priorität? Wie stellen Sie jedes einzelne wieder her? Wie sieht Ihre Backup-Strategie aus? Welche technischen Voraussetzungen brauchen Sie? Wer macht was?

Der DRP ist technischer als der BCP. Er enthält konkrete Wiederherstellungsprozeduren, Schritt für Schritt.

Krisenmanagement

Wenn es wirklich ernst wird, brauchen Sie einen Krisenstab. Wer sitzt darin? Wer beruft ihn ein? Wer hat welche Entscheidungsbefugnisse? Wie kommunizieren Sie intern und extern? Wie ist die Schnittstelle zu Behörden – die BSI-Meldung muss auch in der Krise funktionieren?

Und danach: Lessons Learned. Was lief gut, was schlecht, was ändern Sie beim nächsten Mal?

Backup-Management – die Basics

Die 3-2-1-Regel ist ein guter Anfang: Drei Kopien Ihrer Daten, auf zwei verschiedenen Speichermedien, davon eine an einem anderen Standort.

Aber das reicht heute nicht mehr. Ransomware verschlüsselt alles, was sie erreichen kann – auch die Backups im Netzwerk. Deshalb brauchen Sie mindestens eine Kopie offline oder air-gapped. Kein Netzwerkzugriff, physisch getrennt. Das ist Ihr letzter Rettungsanker.

Was muss gesichert werden? Offensichtlich die Geschäftsdaten. Aber auch Konfigurationen, Systemeinstellungen, Installationsmedien, Lizenzen. Und – oft vergessen – Schlüsselmaterial. Wenn Ihre Verschlüsselungsschlüssel weg sind, nützen Ihnen die verschlüsselten Backups nichts.

Und dann der wichtigste Punkt: Testen Sie die Wiederherstellung. Backups, die nie getestet wurden, sind wertlos. Sie glauben, sie funktionieren, und im Ernstfall stellen Sie fest, dass irgendetwas nicht stimmt. Mindestens jährlich vollständige Restore-Tests, dokumentiert, mit Zeitmessung. Stimmen Ihre angenommenen RTOs mit der Realität überein?

Typische Szenarien

Ransomware-Angriff

Alle Systeme verschlüsselt, Betrieb steht still. Was tun?

Sie brauchen Offline-Backups, auf die die Angreifer keinen Zugriff hatten. Sie brauchen manuelle Notfallprozesse für die Zeit, bis die Systeme wieder laufen. Sie brauchen einen Kommunikationsplan für Kunden und Partner. Und Sie müssen koordinieren: IT-Forensik, um zu verstehen was passiert ist. Behörden, weil Sie melden müssen. Vielleicht externe Hilfe.

Rechenzentrums-Ausfall

Alle gehosteten Anwendungen nicht verfügbar. Ob Brand, Wasserschaden oder Stromausfall – das Ergebnis ist dasselbe.

Hier hilft Failover zu einem Ausweichrechenzentrum oder in die Cloud. Priorisierte Wiederherstellung der kritischsten Systeme zuerst. Kommunikation an betroffene Nutzer. Überwachung des Wiederherstellungsfortschritts.

Lieferanten-Ausfall

Ihr kritischer IT-Dienstleister ist nicht verfügbar. Vielleicht wurde er selbst angegriffen, vielleicht ist er insolvent.

Haben Sie alternative Dienstleister identifiziert? Haben Sie vertragliche Exit-Regelungen? Haben Sie eigene Kapazitäten für einen Übergang? Das ist Teil der Lieferkettensicherheit, aber es ist auch BCM.

Übungen und Tests

Ein Plan, den niemand kennt und der nie getestet wurde, ist nutzlos. Schlimmer: Er gibt Ihnen ein falsches Sicherheitsgefühl.

Tabletop Exercises sind der einfachste Einstieg. Sie setzen sich mit den relevanten Leuten zusammen und spielen ein Szenario durch. “Es ist Freitagabend 18 Uhr, alle Systeme sind verschlüsselt. Was tun wir?” Kostengünstig, wenig störend für den Betrieb, aber effektiv, um Lücken in der Planung aufzudecken. Machen Sie das halbjährlich.

Funktionsübungen testen einzelne Komponenten: Funktioniert der Backup-Restore? Funktioniert der Failover? Erreichen wir alle auf der Notfall-Kontaktliste? Quartalsweise bis jährlich, je nach Komponente.

Vollübungen simulieren ein komplettes Szenario. Ressourcenintensiv, aber der realistischste Test Ihrer Reaktionsfähigkeit. Einmal im Jahr sollte das drin sein.

Die häufigsten Fehler

Pläne, die nur auf Papier existieren. Niemand hat sie gelesen, niemand weiß, wo sie liegen, niemand hat sie je angewendet. Lösung: Regelmäßige Schulungen und Übungen.

Backups ohne Restore-Tests. “Wir haben Backups” ist keine Aussage. “Wir haben letzte Woche erfolgreich einen vollständigen Restore getestet” ist eine Aussage. Lösung: Mindestens quartalsweise Restore-Tests.

Veraltete Kontaktdaten. Der Notfallkontakt hat die Firma vor zwei Jahren verlassen. Die Handynummer des Geschäftsführers ist alt. Lösung: Regelmäßige Aktualisierung und Verifizierung.

Notfallpläne auf den Systemen, die ausgefallen sind. Die Ransomware hat alles verschlüsselt, inklusive der Dokumentation, was Sie bei einer Ransomware-Attacke tun sollen. Lösung: Offline-Kopien an einem sicheren Ort.

Zu optimistische RTOs. Sie haben definiert, dass das ERP-System in vier Stunden wiederhergestellt sein muss. Aber Sie haben das nie getestet, und in der Realität dauert es zwölf Stunden. Lösung: Realistische Tests, Puffer einplanen.

Der Punkt

Business Continuity Management ist keine Bürokratie-Übung. Es ist Überlebensstrategie. Ein Cyberangriff, ein technischer Ausfall, eine Naturkatastrophe – irgendetwas wird irgendwann passieren. Die Frage ist nicht ob, sondern wann. Und dann macht es einen enormen Unterschied, ob Sie vorbereitet sind oder nicht.

Die Schritte: Analysieren, was kritisch ist und wie lange es ausfallen darf. Planen, wie Sie weiterarbeiten und wie Sie wiederherstellen. Umsetzen – Backups, Redundanzen, Notfallressourcen. Testen, regelmäßig, und aus den Tests lernen.

Das ist kein einmaliges Projekt. Systeme ändern sich, Prozesse ändern sich, Bedrohungen ändern sich. BCM ist ein kontinuierlicher Prozess. Aber die Investition zahlt sich aus – im Ernstfall kann sie den Unterschied machen zwischen einem ärgerlichen Vorfall und einer existenzbedrohenden Krise.