• 31.03.2026
  • Fachbeitrag
  • Hacking & Abwehr
  • Management, Awareness und Compliance

Wenn die IT stillsteht: Wie Business Continuity Unternehmen handlungsfähig hält

Angesichts steigender Cyberrisiken und komplexer IT-Abhängigkeiten reicht Prävention allein nicht mehr aus. Wie der folgende Artikel zeigt, wird Business Continuity zum strategischen Wettbewerbsfaktor: Sie sichert kritische Prozesse, minimiert Ausfallzeiten und begrenzt Schäden und macht Unternehmen widerstandsfähig im Ernstfall.

Geschrieben von Markus Zeischke

Abstrakte Darstellung von Business Continuity mit goldenen Leiterbahnen, Sternen und der Beschriftung „Business Continuity“ auf dunklem Hintergrund.

Inhalt

Vom Schutzdenken zur Resilienzstrategie
BCDR als wirtschaftliche Kernentscheidung
Moderne Bedrohungen erfordern neue Schutzmechanismen
BSI-Standard 200-4: Der Fahrplan für Business Continuity
Organisation schlägt Technologie
So erstellen Sie eine BCDR-Strategie Schritt für Schritt
Resilienz als Wettbewerbsfaktor
Weitere Beiträge der it-sa Expo&Congress zum Thema
FAQ zu Business Continuity

Gleichzeitig gewinnt Cyberresilienz in Europa eine neue strategische Bedeutung. Angriffe auf Unternehmen zielen längst nicht mehr nur auf Lösegeldzahlungen, sondern zunehmend auf wirtschaftliche Stabilität, Lieferketten und kritische Infrastrukturen. Staaten und staatsnahe Akteure nutzen Cyberoperationen gezielt als geopolitisches Instrument. Für Unternehmen bedeutet das: Resilienz ist nicht mehr nur IT-Schutz – sie wird Teil wirtschaftlicher und gesellschaftlicher Stabilität.

Ein Montagmorgen, 7:52 Uhr. Die Mitarbeitenden eines mittelständischen Unternehmens schalten ihre Rechner ein und nichts geht mehr. Verschlüsselte Dateien, ein Erpresserschreiben auf dem Bildschirm, die Produktion steht still. Was folgt, sind nicht nur Stunden, sondern oft Wochen des Stillstands: Datenverlust, Vertragsstrafen, Reputationsschäden. Für viele Unternehmen ist ein solches Ereignis existenzbedrohend.

Dass solche Szenarien keine Ausnahme sind, belegen die aktuellen Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI): Allein im Januar 2026 wurden rund 4,61 Millionen neue Malware-Varianten registriert. Das entspricht 149.000 neuen Schadprogrammen pro Tag. Gleichzeitig lag der BSI-Botnetz-Index bei 800 Punkten: achtmal so viele aktiv infizierte Systeme wie noch 2019.

Was können Unternehmen machen, wenn ein Angriff trotz vieler Sicherheitsmaßnahmen gelingt? Genau darum geht es bei Business Continuity – dem Plan, der dafür sorgt, dass ein Unternehmen auch dann weiterarbeiten kann, wenn ein Teil seiner IT ausfällt oder kompromittiert wurde. Wer diesen Plan nicht hat, muss im schlimmsten Moment improvisieren.

 

Vom Schutzdenken zur Resilienzstrategie

Lange galt in Unternehmen ein einfaches Prinzip: Wer gut genug geschützt ist, wird nicht angegriffen. Firewalls, Virenscanner, Zugangsbeschränkungen – die Logik war die einer Festung. Doch diese Denkweise hat ein fundamentales Problem: Sie funktioniert nur, solange die Mauern halten.

Immer mehr europäische Sicherheitsverantwortliche denken heute anders. Das Prinzip heißt Assume Breach. Übersetzt: Geh davon aus, dass der Angriff bereits stattgefunden hat. Nicht als Pessimismus, sondern als Strategie. Wer nicht mehr fragt „Wie verhindern wir jeden Angriff?", sondern „Wie bleiben wir handlungsfähig, wenn er gelingt?", trifft grundlegend andere Entscheidungen. 

Dieser Wandel ist kein rein technischer. Resilienz bedeutet, dass eine Organisation auch dann funktioniert, wenn Teile von ihr ausfallen: Mitarbeitende wissen, was zu tun ist. Es existieren Kommunikationswege, die nicht von betroffenen Systemen abhängen. 

Gerade in Europa, wo Lieferketten, Energieversorgung und Produktionsprozesse tief digital verwoben sind, kann ein einzelner Ausfall Wellen schlagen, die weit über das betroffene Unternehmen hinausgehen.

Besonders Betreiber kritischer Infrastrukturen (KRITIS) – etwa Energie, Transport, Gesundheitswesen oder Finanzsysteme – stehen im Fokus moderner Angriffe. Hier kann ein IT-Ausfall nicht nur wirtschaftliche Schäden verursachen, sondern auch gesellschaftliche Auswirkungen haben.

Die wirtschaftliche Konsequenz ist ernüchternd: Die Kosten, die durch Stillstand entstehen – verpasste Aufträge, Vertragsstrafen, Wiederherstellung, Reputationsverlust – übersteigen in vielen Fällen den eigentlichen Schaden durch den Angriff selbst. Downtime ist teuer. Oft teurer als alles andere.

Business Continuity und Disaster Recovery (BCDR) ist die organisierte Antwort auf diese Erkenntnis. Kein Notfallordner, der verstaubt. Kein Krisenplan, den niemand kennt. Sondern die konkrete Vorbereitung darauf, dass man auch dann Entscheidungen treffen, liefern und kommunizieren kann, wenn die gewohnte Infrastruktur wegbricht. Unternehmen, die das ernst nehmen, haben in dem Moment, in dem es darauf ankommt, einen entscheidenden Vorsprung – gegenüber dem Angreifer, aber auch dem Wettbewerb.

 

BCDR als wirtschaftliche Kernentscheidung

Lange war Business Continuity eine Angelegenheit der IT-Abteilung: Backup-Frequenzen, Speicherorte, Wiederherstellungszeiten. Diese Zeiten sind vorbei, denn hinter den nüchternen Abkürzungen RTO und RPO – Recovery Time Objective und Recovery Point Objective – stecken Fragen, die unmittelbar ins Herz eines Unternehmens gehen:

  • Wie lange darf eine Produktionslinie stillstehen, bevor Verträge platzen?
  • Wie viele Stunden kann ein Zahlungsdienstleister offline sein, bevor Kunden das Vertrauen verlieren?
  • Wie viel Datenverlust ist wirtschaftlich noch verkraftbar?

Das sind keine Infrastrukturparameter. Das sind Managemententscheidungen und sie sollten auch als solche getroffen werden.

Für europäische Unternehmen kommt dabei eine weitere Dimension hinzu: Resilienz darf nicht nur funktionieren. Sie muss es auch auf eine Art tun, die mit den hiesigen Anforderungen an Datenschutz, Governance und Regulierung vereinbar ist.

Mit der NIS-2-Richtlinie und der DORA-Verordnung verschärft der europäische Gesetzgeber die Anforderungen an Cyberresilienz deutlich. Unternehmen müssen künftig nachweisen können, dass sie kritische Geschäftsprozesse auch im Krisenfall aufrechterhalten können, Risiken systematisch bewerten und klare Notfallprozesse etabliert haben.

DORA für den Finanzsektor, NIS2 für kritische Infrastrukturen: Der europäische Gesetzgeber hat in den vergangenen Jahren unmissverständlich signalisiert, dass Ausfallsicherheit keine freiwillige Kür ist.

Resilienz bedeutet in Europa also: nicht nur schnell wieder auf den Beinen sein, sondern auch auf dem richtigen Fundament.

 

Moderne Bedrohungen erfordern neue Schutzmechanismen

Wer glaubt, ein gutes Backup sei die Antwort auf jeden Angriff, unterschätzt, wie professionell Angreifer heute vorgehen. Moderne Ransomware-Gruppen wissen, dass ein Unternehmen mit intakten Backups wenig Grund hat zu zahlen. Also greifen sie die Backups zuerst an.

Die Vorgehensweise ist dabei oft erschreckend geduldig: Angreifer bewegen sich wochenlang unbemerkt durch ein Netzwerk. Kartieren die Infrastruktur. Identifizieren Sicherungssysteme. Und löschen oder verschlüsseln sie, bevor sie ihre eigentliche Erpressung starten. Was zurückbleibt, ist ein Unternehmen, das glaubte, vorbereitet zu sein, und es im entscheidenden Moment nicht war.

Die Konsequenz ist ein Umdenken darüber, was ein Backup überhaupt leisten muss:

  • Unveränderbare Backups, sogenannte Immutable Backups, können nachträglich weder verändert noch gelöscht werden, selbst dann nicht, wenn Angreifer Administratorenrechte übernommen haben.
  • Physisch oder logisch getrennte Speicherumgebungen sorgen dafür, dass kompromittierte Systeme nicht als Brücke in die Sicherungsinfrastruktur dienen können.
  • Und Zero-Trust-Prinzipien, ursprünglich für den Netzwerkzugang entwickelt, finden zunehmend Anwendung im Backup-Bereich: Kein System erhält automatisch Vertrauen, auch das eigene nicht.

Der Gedanke dahinter ist so simpel wie weitreichend: Die Wiederherstellungsinfrastruktur muss selbst als kritische Infrastruktur behandelt werden. Ein Unternehmen ist nur so resilient wie seine letzte saubere, unangreifbare Kopie.

BSI-Standard 200-4: Der Fahrplan für Business Continuity

Das BSI stellt mit dem BSI-Standard 200-4 eine praxisnahe Grundlage bereit, um ein Business Continuity Management System (BCMS) strukturiert aufzubauen. Der Standard richtet sich bewusst an beide Enden der Erfahrungsskala: Wer neu in das Thema einsteigt, findet einen klar gegliederten Einstieg. Wer bereits ein BCM betreibt, bekommt einen normativen Anforderungskatalog mit konkreten MUSS- und SOLLTE-Anforderungen.

Für Unternehmen mit internationaler Ausrichtung relevant: Der Standard ist auf die ISO 22301:2019 gemappt, den weltweit anerkannten Rahmen für BCM. Wer nach BSI-Standard 200-4 arbeitet, bewegt sich also nicht im deutschen Sonderweg, sondern auf einem Fundament, das international anschlussfähig ist.

Organisation schlägt Technologie

Die beste Backup-Infrastruktur nützt allerdings wenig, wenn niemand weiß, wer im Ernstfall das Wort hat. Das ist keine Übertreibung, sondern eine häufige Ursache dafür, dass Unternehmen trotz guter technischer Vorbereitung in Krisen ins Straucheln geraten.

Denn wenn ein Angriff läuft, läuft er in Echtzeit. Und in Echtzeit rächt sich jede ungeklärte Zuständigkeit: 

  • Wer informiert die Kunden und wann?
  • Wer entscheidet, welche Systeme zuerst wiederhergestellt werden?
  • Wer darf externe Dienstleister beauftragen, ohne erst drei Unterschriften einzuholen?
  • Wer übernimmt die Kommunikation mit Aufsichtsbehörden?

Jede Stunde, die mit internen Abstimmungen vergeht, ist eine Stunde, in der Produktion stillsteht, Verträge gefährdet werden und Vertrauen verloren geht. Der wirtschaftliche Schaden wächst dabei nicht linear, er wächst mit jeder Verzögerung schneller.

Unternehmen, die Resilienz ernst nehmen, behandeln genau diese Fragen als Kernbestandteil ihrer Governance. BCDR ist bei ihnen in Risikomanagement und Compliance-Strukturen eingebettet, Verantwortlichkeiten sind auf Vorstandsebene verankert, und Szenarien werden regelmäßig geprobt. nicht um Schwächen zu dokumentieren, sondern um sie zu beheben, bevor es darauf ankommt.

Resilienz ist kein Zustand, den man einmal erreicht. Sie ist ein Prozess, den man kontinuierlich pflegt.

So erstellen Sie eine BCDR-Strategie Schritt für Schritt

Eine belastbare Business-Continuity- und Disaster-Recovery-Strategie entsteht nicht spontan im Krisenfall. Sie sollte systematisch aufgebaut und regelmäßig getestet werden. In der Praxis folgen viele Unternehmen einem ähnlichen Vorgehen:

1. Kritische Geschäftsprozesse identifizieren: Welche Systeme und Prozesse sind geschäftskritisch? Produktion, ERP, Zahlungsverkehr oder Kundenportale haben oft höchste Priorität.

2. Business Impact Analyse (BIA) durchführen: Die BIA bewertet, welche wirtschaftlichen Schäden entstehen, wenn bestimmte Systeme ausfallen, etwa Produktionsstillstand oder Vertragsstrafen.

3. RTO und RPO definieren: Unternehmen legen fest, wie schnell Systeme wiederhergestellt werden müssen und wie viel Datenverlust maximal tolerierbar ist.

4. Technische Wiederherstellungsstrategie planen: Dazu gehören Backup-Strategien, alternative Infrastruktur, Cloud-Recovery oder Failover-Mechanismen.

5. Krisenorganisation und Verantwortlichkeiten festlegen: Ein Incident- oder Crisis-Team muss klar definierte Rollen haben, von Kommunikation über IT-Recovery bis zur Entscheidungsebene.

6. Tests und Übungen durchführen: Tabletop-Übungen und Recovery-Tests zeigen, ob Pläne im Ernstfall wirklich funktionieren.

7. Strategie regelmäßig aktualisieren: Neue Systeme, regulatorische Anforderungen oder Bedrohungslagen müssen kontinuierlich berücksichtigt werden.

Resilienz als Wettbewerbsfaktor

Erinnern wir uns an den Maschinenbauer vom Anfang. Zwei Unternehmen, gleiche Branche, ähnliche Größe und eines Tages trifft beide derselbe Angriff. Das Unternehmen ohne belastbares Notfallkonzept steht drei Wochen still. Das Unternehmen mit erprobter Business-Continuity-Strategie ist nach 36 Stunden wieder operativ. Der Unterschied zwischen beiden ist kein technisches Geheimnis: Es ist Vorbereitung.

Europa steht wirtschaftlich unter Druck: Digitalisierung, geopolitische Verwerfungen und wachsende regulatorische Anforderungen erhöhen die Komplexität, während die Fehlertoleranz sinkt.

Gleichzeitig wächst der politische Anspruch an digitale Souveränität und resilientere digitale Infrastrukturen. Unternehmen werden damit zunehmend Teil dieser europäischen Resilienzstrategie – als Betreiber kritischer Systeme, als Bestandteil digitaler Lieferketten oder als Anbieter sicherer Technologien.

In diesem Umfeld wird Resilienz zum Wettbewerbsvorteil. Unternehmen, die nach einem Angriff schnell wieder handlungsfähig sind, sichern Vertrauen bei Kunden, Partnern, Investoren und Regulatoren.

Business Continuity ist dabei kein Produkt und kein einmaliges Projekt, sondern eine unternehmerische Fähigkeit. Sie muss kontinuierlich aufgebaut, getestet und weiterentwickelt werden.

Die zentrale Erkenntnis: Zukunftsfähig ist nicht das Unternehmen, das jeden Angriff verhindern will, sondern dasjenige, das schneller wieder handlungsfähig wird als andere.

FAQ zu Business Continuity

Viele Unternehmen gehen davon aus, dass regelmäßige Backups automatisch Resilienz bedeuten. In der Realität reicht ein Backup allein oft nicht aus.

Typische Schwachstellen klassischer Backup-Strategien sind:

  • Backups sind im selben Netzwerk erreichbar wie produktive Systeme
  • Administratorrechte erlauben das Löschen oder Verschlüsseln der Sicherungen
  • Wiederherstellungsprozesse wurden nie real getestet
  • Recovery dauert länger als die definierten RTO-Vorgaben

Moderne Angreifer zielen deshalb häufig zuerst auf Backup-Infrastrukturen. Ohne zusätzliche Schutzmaßnahmen wie Immutable Backups, Netzwerksegmentierung oder Air-Gap-Architekturen kann ein Backup im Ernstfall wertlos sein BCDR erweitert das klassische Backup-Konzept daher um organisatorische, technische und strategische Maßnahmen.

Gerade kleine und mittelständische Unternehmen setzen zunehmend auf spezialisierte BCDR-Plattformen, um Wiederherstellung und Ausfallsicherheit zu automatisieren. Auf diese typischen Funktionen moderner BCDR-Lösungen sollten Sie bei der Auswahl achten:

  • Automatisierte Backup- und Recovery-Prozesse
  • Immutable-Backup-Mechanismen
  • Orchestrierte Disaster-Recovery-Workflows
  • Cloud-basierte Wiederherstellung
  • Kontinuierliche Recovery-Tests
  • Monitoring kritischer Systeme

Außerdem sollten Sie bei der Auswahl diese Punkte im Blick haben:

  • Integration in bestehende Infrastruktur
  • Unterstützung hybrider Cloud-Umgebungen
  • Compliance-Funktionen für NIS2 oder DORA
  • Skalierbarkeit bei steigenden Datenmengen

Eine passende Lösung ersetzt jedoch keine Strategie: Technologie ist nur ein Baustein einer funktionierenden Resilienzstrategie.

Die Weiterentwicklung von Business-Continuity-Strategien wird zunehmend durch neue Technologien geprägt:

1. KI-gestützte Recovery-Analyse: KI-Modelle analysieren Logs und Systemzustände, um Wiederherstellungsprozesse zu beschleunigen und priorisieren kritische Systeme automatisch.

2. Automatisierte Disaster-Recovery-Orchestrierung: Recovery-Prozesse werden immer stärker automatisiert, um menschliche Fehler im Krisenfall zu vermeiden.

3. Zero-Trust-Prinzipien im Backup-Bereich: Backup-Systeme werden zunehmend isoliert und streng authentifiziert, um Manipulation durch kompromittierte Accounts zu verhindern.

4. Cloud-basierte Resilienz-Architekturen: Viele Unternehmen setzen auf hybride Infrastrukturmodelle, bei denen Cloud-Ressourcen als Recovery-Umgebung dienen.

5. Regulierung als Treiber für BCM: Vorgaben wie NIS2, DORA oder der Cyber Resilience Act erhöhen den Druck auf Unternehmen, Resilienz strategisch aufzubauen.

BCM ist für alle Organisationen relevant, deren Geschäftsprozesse von IT-Systemen abhängig sind. Besonders stark regulierte Branchen wie Finanzsektor, Industrie oder kritische Infrastrukturen sind gesetzlich zu entsprechenden Maßnahmen verpflichtet.

Autor

Markus Zeischke

Markus Zeischke

IT-Autor & Senior Content Manager

The Digitale