Business-Impact-Analyse: Fragebogen

Im Folgenden wird ein umfangreicher Fragebogen präsentiert, der für die Durchführung einer Business Impact Analyse in einem Industrieunternehmen entwickelt wurde. Der Fragebogen ist firmenneutral gehalten, d.h. er kann unabhängig von branchenspezifischen Gegebenheiten angewandt werden. Er ist so strukturiert, dass er die beschriebenen Methodikschritte praktisch umsetzt.

Die Gliederung erfolgt nach Funktionsbereichen des Unternehmens, um eine klare Zuständigkeit und Übersicht zu gewährleisten. Typische Bereiche in Industrieunternehmen – wie Verwaltung, Produktion, Logistik/Lager, Prüflabor, Betriebsgastronomie sowie Anlieferung/Empfang – werden jeweils separat betrachtet. Diese Aufteilung ermöglicht es, die Besonderheiten jedes Bereichs gezielt anzusprechen. So unterscheiden sich z.B. die kritischen Prozesse in der Fertigung grundlegend von denen in der Verwaltung; der Fragebogen trägt dem durch angepasste Fragestellungen Rechnung.

Jeder Abschnitt enthält eine Reihe von Fragen bzw. Aufforderungen zur Datenerhebung. Zur besseren Verständlichkeit und Nachvollziehbarkeit sind viele Fragen mit Kommentierungen versehen. Diese Kommentare (im Fließtext unter oder über den Fragen) erläutern den Zweck der Frage, geben Hintergrundinformationen oder verweisen auf relevante Standards und Pflichten. So wird etwa bei Fragen nach personenbezogenen Daten auf die DSGVO hingewiesen, oder bei Fragen zur Notstromversorgung auf anerkannte technische Standards. Die Kommentierung dient also dazu, den Fragebogen wissenschaftlich zu fundieren und dem Anwender (bspw. dem BCM-Verantwortlichen im Unternehmen) zusätzliche Hinweise zur Beantwortung zu geben.

Der Fragebogen erhebt qualitative wie quantitative Informationen. Er ist darauf ausgelegt, in Interviews oder Workshops mit den jeweiligen Fachabteilungen eingesetzt zu werden. Die Fragen können schriftlich beantwortet oder als Leitfaden für mündliche Befragungen dienen. Wichtig ist, dass pro Funktionsbereich in der Regel mehrere Prozesse zu betrachten sind – daher sind die Fragen oft als Prozess-bezogen formuliert, damit sie für jeden identifizierten Prozess separat beantwortet werden können.

Im Sinne der wissenschaftlichen Qualität wurden sämtliche Fragen und Kommentare an geltenden Normen, Standards und Gesetzen gespiegelt. Somit entsteht ein Fragebogen, der nicht nur praktisch hilft, alle nötigen BIA-Daten zu erheben, sondern auch Compliance-Aspekte und Best Practices integriert.

Kommentar: Der Verwaltungsbereich umfasst alle administrativen und unterstützenden Funktionen, wie z.B. Finanzbuchhaltung, Controlling, Personalwesen, Einkauf, IT-Service/Helpdesk, Vertrieb/Marketing (Backoffice) etc. Obwohl diese Funktionen nicht direkt an der physischen Produkterstellung beteiligt sind, können Störungen hier erhebliche Auswirkungen haben – etwa wenn Lohn- und Gehaltszahlungen nicht erfolgen können, notwendige Bestellungen für die Produktion ausbleiben oder IT-Systeme ungepflegt bleiben. Zudem sind in Verwaltungsprozessen häufig gesetzliche Pflichten (Steuerzahlungen, Berichtspflichten) und personenbezogene Daten involviert, was besondere Sorgfalt in Bezug auf Datenschutz und Compliance erfordert.

• Wichtige Verwaltungsprozesse identifizieren: Welche Kernaufgaben und -prozesse werden in Ihrem Verwaltungsbereich durchgeführt? Bitte listen Sie die wesentlichen Geschäftsprozesse der Verwaltung auf (z.B. Finanzbuchhaltung, Kreditoren/Debitoren, Personalverwaltung, Einkauf/Beschaffung, IT-Support, Vertriebssachbearbeitung, etc.). Geben Sie zu jedem Prozess eine kurze Beschreibung der Aufgabe und des Outputs. Kommentar: Diese Frage dient dazu, die Landschaft der Verwaltungsprozesse abzubilden. Die Auflistung bildet die Basis für alle folgenden Impact-Betrachtungen.

• Prozesskritikalität einschätzen: Für jeden der oben genannten Verwaltungsprozesse: Wie kritisch ist dieser Prozess für den fortlaufenden Geschäftsbetrieb? Schätzen Sie die Kritikalität auf einer Skala (gering – mittel – hoch – kritisch) ein. Kommentar: Hier soll eine erste Einschätzung vorgenommen werden, idealerweise anhand definierter Kriterien (vgl. Tabelle 1 zu Schadensklassen). Kriterien könnten z.B. sein: finanzielle Bedeutung (Budgetvolumen des Prozesses), rechtliche Notwendigkeit (gesetzliche Vorgaben, z.B. Steuererklärung muss erfolgen), Frequenz (täglicher Prozess vs. jährlicher Prozess) etc. Diese Selbsteinstufung wird später durch detaillierte Fragen untermauert.

• Auswirkungen eines Ausfalls – qualitativ: Welche Auswirkungen hätte ein Ausfall des jeweiligen Prozesses auf das Unternehmen? Beschreiben Sie für jeden Prozess die Konsequenzen, falls er für unterschiedliche Dauer nicht verfügbar ist: kurzfristig (z.B. 1 Tag), mittelfristig (z.B. 1 Woche) und längerfristig (z.B. 2–4 Wochen). Kommentar: Diese offene Frage soll Denkprozesse anregen: Ein Tag Ausfall der Buchhaltung mag noch unkritisch sein, aber eine Woche könnte bereits bedeuten, dass Zahlungen ausbleiben und Mahngebühren anfallen. Längerer Ausfall könnte z.B. den Monatsabschluss unmöglich machen (mit rechtlichen Folgen, etwa Verstoß gegen handelsrechtliche Buchführungspflichten). Durch die Staffelung der Zeiträume wird ersichtlich, ab wann der Schaden signifikant wird.

• Finanzielle Auswirkungen quantifizieren: Lassen sich die potentiellen finanziellen Schäden eines Ausfalls beziffern? Bitte geben Sie – sofern möglich – eine Schätzung an, welche finanziellen Verluste oder Mehrkosten ein Ausfall des Prozesses pro Tag verursachen würde. Kommentar: Die Quantifizierung hilft, die zuvor qualitativ beschriebenen Auswirkungen greifbar zu machen. In der Verwaltung sind finanzielle Schäden oft indirekt (z.B. Vertragsstrafen, Opportunitätskosten durch Verzögerungen). Auch „Kosten“ im Sinne von entgangenen Einsparungen (z.B. Skontoverlust, wenn Rechnungen nicht rechtzeitig bezahlt werden) können hier erwähnt werden. Wenn eine Quantifizierung schwer fällt, kann auch in Kategorien (z.B. <10k€/Tag, 10–50k€/Tag, >50k€/Tag) geschätzt werden.

• Rechtliche/vertragliche Auswirkungen: Würde ein Ausfall dieses Prozesses gesetzliche Pflichten oder vertragliche Vereinbarungen verletzen? Zum Beispiel: Steuererklärungen oder Meldungen, die nicht fristgerecht erfolgen; Arbeitsrecht (z.B. Lohnzahlungspflicht zum Monatsende); Lieferverträge, die nicht erfüllt werden können, weil Bestellungen nicht rechtzeitig ausgeführt werden. Liste Sie entsprechende Pflichten auf und die Fristen, die einzuhalten sind. Kommentar: Diese Frage deckt die Compliance-Dimension ab. In der Verwaltung gibt es zahlreiche Deadlines (Steuertermine, Monatsabschlüsse, Meldungen an Behörden). Ein Versäumnis kann zu Geldstrafen oder rechtlichen Sanktionen führen. Die Nennung der konkreten Pflichten ermöglicht später gezielte Maßnahmen (z.B. Alternativverfahren vorbereiten, um Löhne notfalls manuell auszuzahlen).

• Maximal tolerierbare Ausfallzeit (MTD): Wie lange kann der jeweilige Verwaltungsprozess maximal ausfallen, ohne dass irreversibler oder nicht hinnehmbarer Schaden entsteht? Geben Sie für jeden Prozess eine Schätzung der maximal tolerierbaren Ausfallzeit in Stunden oder Tagen an. Kommentar: Hier wird die MTD gemäß der Definition aus Kap.2 erfasst. Diese Angabe ist kritisch für die spätere Priorisierung. Beispielsweise könnte für die Lohnbuchhaltung die MTD vielleicht 5–7 Tage betragen (bis zur nächsten Gehaltszahlung), während für den IT-Helpdesk die MTD eher 1–2 Tage sein mag, da sonst die IT-Störungen kumulativ zu groß werden. Die genauen Zahlen kommen erfahrungsgemäß durch Diskussionsprozesse zustande und sollten konservativ (lieber etwas kürzer) angegeben werden.

• Wiederanlaufzeit (RTO): Welches Wiederanlaufziel wird für den Prozess angestrebt? D.h., innerhalb welches Zeitraums sollte der Prozess im Notfall idealerweise wieder funktionieren, um größeren Schaden zu vermeiden? (Angabe in Stunden/Tag, muss kleiner oder gleich der obigen MTD sein.) Kommentar: Die RTO-Frage schärft den Blick auf die Zielsetzung: Während MTD eine Schmerzgrenze markiert, ist RTO das planerische Ziel. So wird bspw. dokumentiert: "MTD = 5 Tage, daher RTO = 3 Tage" für einen Prozess. Diese RTO fließt später in Notfallpläne ein, z.B. in Form von Vorgaben an das IT-Team, ein Ersatzsystem innerhalb von 72 Stunden bereitzustellen.

• Minimalbetrieb und Ressourcen: Welche Ressourcen sind erforderlich, um den Prozess im Notfall auf Minimum-Betrieb weiterzuführen? Betrachten Sie folgende Ressourcenarten:

• Personal: Minimale Anzahl an Mitarbeitenden und erforderliche Qualifikationen, um den Prozess notdürftig am Laufen zu halten. (Benennen Sie Schlüsselpersonen, ohne die es nicht geht.)

• IT-Systeme/Technik: Wichtige Software, Datenbanken, Geräte, Maschinen, die für den Prozess unerlässlich sind. (Bsp.: ERP-System für Bestellwesen; Kommunikationsmittel; spezifische Arbeitsgeräte.)

• Infrastruktur/Räumlichkeiten: Benötigt der Prozess einen bestimmten Ort oder eine Einrichtung? (Bsp.: Zugriff auf Aktenarchiv im Verwaltungsgebäude, oder kann Tätigkeit im Home-Office erfolgen?)

• Externe Abhängigkeiten: Gibt es Zulieferungen oder Dienstleistungen von extern (z.B. Rechenzentrum, Cloud-Dienst, Dienstleister für Lohnabrechnung), die für den Prozess essenziell sind?

Diese mehrteilige Frage zielt darauf ab, den Notfall-Betrieb gedanklich durchzuspielen. Die Idee ist herauszufinden: "Was brauche ich mindestens, damit der Prozess X überhaupt irgendwie weitergehen kann?" Oft stellt man fest, dass z.B. bestimmte Software auf Laptops installiert sein muss oder mindestens 2 von 5 Mitarbeitern verfügbar sein müssen. Diese Infos sind Gold wert für die Notfallplanung – z.B. um festzulegen, welche Mitarbeiter Teil des Krisenstabs/Notfallteams sein sollten, oder welche Anwendungen unbedingt auf Notebooks vorgehalten werden müssen. Auch Aspekte wie Home-Office-Fähigkeit oder Remote-Zugriff werden hier relevant (gerade in Verwaltung kann das ein Notfallszenario sein: z.B. Gebäude unbenutzbar, aber Arbeit von anderswo möglich).

• Datensicherung und DSGVO-Aspekte: Werden in den Verwaltungsprozessen personenbezogene Daten verarbeitet (z.B. Mitarbeiterdaten, Kundendaten)? Falls ja: Sind Backups bzw. Datenwiederherstellungspläne vorhanden, um die Verfügbarkeit dieser Daten im Notfall sicherzustellen? Kommentar: Diese Frage greift den Datenschutz (DSGVO) und IT-Sicherheitsaspekt heraus. Gemäß Art. 32 DSGVO müssen geeignete Maßnahmen getroffen werden, um die Verfügbarkeit personenbezogener Daten bei einem Zwischenfall rasch wiederherzustellen. In Verwaltungsprozessen – speziell Personal und Vertrieb – sind i.d.R. sensible Daten im Spiel, daher muss die BIA prüfen, ob z.B. regelmäßige Backups existieren, ob Offsite-Datenspeicherung vorhanden ist, und ob im Krisenfall der Datenschutz gewahrt bleibt (z.B. keine ungeprüfte Notfall-IT nutzen, die Datenlecks verursachen könnte). Außerdem gilt: Wenn etwa Gehaltsabrechnungen personenbezogene Daten enthalten, muss im Notfall sichergestellt sein, dass diese Daten nicht verloren gehen oder unbefugt offengelegt werden (Vertraulichkeit/Integrität).

• Abhängigkeiten von anderen Prozessen: Ist der Verwaltungsprozess selbst abhängig von der Vorarbeit anderer Prozesse oder liefert er umgekehrt Vorleistungen an andere Prozesse? Dokumentieren Sie pro Prozess: a) Eingehende Abhängigkeiten – ohne welche vor- oder zuliefernden Prozesse kann dieser Prozess nicht arbeiten?; b) Ausgehende Abhängigkeiten – welche anderen Bereiche/Prozesse wären vom Ausfall dieses Verwaltungsprozesses unmittelbar betroffen? Kommentar: Hier wird die interne Vernetzung adressiert. Beispiel: Der Prozess "Einkauf" (Bestellungen auslösen) hängt vom vorgelagerten Prozess "Bedarfsmeldung aus Produktion" ab. Fällt die Produktion aus, hat der Einkauf nichts zu bestellen (eingehende Abhängigkeit). Umgekehrt hängt die Produktion vom Einkauf ab (ausgehende Abhängigkeit) hinsichtlich Materialnachschub. Solche Wechselseitigkeiten sollte man hier sichtbar machen, um spätere Dominoeffekte in der BIA-Auswertung zu berücksichtigen. Dies trägt zu einer bereichsübergreifenden Notfallplanung bei – etwa, dass Notfallpläne des Einkaufs und der Produktion aufeinander abgestimmt werden.

• Manuelle Workarounds: Gibt es für den Prozess manuelle Alternativen oder Workarounds, mit denen ein Ausfall überbrückt werden könnte? Zum Beispiel: Falls das IT-System ausfällt, könnten Vorgänge zeitweilig auf Papier oder in Excel dokumentiert werden? Falls Personal fehlt, können andere Abteilungen übergangsweise unterstützen? Beschreiben Sie mögliche Überbrückungsmaßnahmen. Kommentar: Oft lassen sich administrative Prozesse zumindest zeitweise ersatzweise durchführen, wenn auch ineffizient. Etwa könnten Bestellungen per Telefon statt via System aufgegeben werden, Rechnungen manuell geschrieben werden usw. Solche improvisierten Lösungen mindern die Auswirkungen eines Ausfalls. Die Frage soll diese Ideen sammeln. Ein Fehlen jeglicher Workarounds würde bedeuten, dass der Prozess vollständig von bestimmten Ressourcen abhängt – was wiederum dessen Kritikalität erhöht.

• Notfall-Dienstleister oder Auslagerungsmöglichkeiten: Besteht die Option, den Prozess im Krisenfall auszulagern oder durch externe Hilfe aufrechtzuerhalten? Beispielsweise durch einen externen Buchhaltungsservice, einen Personaldienstleister, ein Ausweichrechenzentrum etc.? Kommentar: Hier geht es um Strategien der Ausfallsicherheit. Manche Verwaltungsaufgaben kann man im Notfall an Dritte geben, wenn Vereinbarungen existieren. Ein Beispiel: falls die eigene IT komplett ausfällt, könnte ein externer IT-Dienstleister kritische Anwendungen hosten (sofern vorbereitet). Oder: Bei Ausfall der internen Lohnabrechnung könnte eine Steuerberatungskanzlei einspringen. Das Vorhandensein solcher Optionen deutet auf höhere Resilienz hin. Falls solche nicht existieren, könnte die Empfehlung später sein, darüber nachzudenken (insbesondere für hochkritische admin. Prozesse).

Die obigen Fragen 1–12 wiederholen sich sinngemäß für jeden identifizierten Prozess im Verwaltungsbereich. In einem Fragebogenformular würden diese Fragen also pro Prozess ausgefüllt. Der Übersicht halber sind sie hier zusammengefasst aufgelistet.

Kommentar: Der Bereich Produktion oder Fertigung bildet das Herzstück eines Industrieunternehmens. Hier werden die eigentlichen Produkte hergestellt, sodass ein Ausfall direkt Umsätze und Unternehmensziele gefährdet. Produktionsprozesse sind oft zeitkritisch (z.B. Just-in-Time-Fertigung, Taktstraßen) und eng verzahnt mit Materialzulieferung, Qualitätssicherung und Versand. Zusätzlich spielen hier Arbeitsschutz und Arbeitssicherheit eine wichtige Rolle, da Ausfälle nicht nur wirtschaftliche Schäden, sondern potenziell auch Gefahren für Mitarbeiter (z.B. durch Anlagenfehler) bedeuten können. Bei der BIA im Produktionsbereich ist daher sowohl der geschäftliche Impact als auch die sicherheitstechnische Komponente zu betrachten.

• Wesentliche Produktionsprozesse: Welche Hauptproduktionsprozesse laufen in Ihrem Unternehmen ab? Listen Sie die verschiedenen Produktionslinien oder -schritte auf (z.B. Vormontage, Endmontage, Qualitätsprüfung in Linie, Verpackung) und beschreiben Sie kurz deren Output/Produkt. Falls mehrere Produktgruppen existieren, differenzieren Sie nach Produktfamilien. Kommentar: Ziel ist es, die Produktionslandschaft strukturiert zu erfassen. In komplexen Fertigungen gibt es evtl. mehrere Linien oder Werkstätten. Jeder identifizierte Prozessschritt wird in den folgenden Fragen analysiert.

• Produktionsrate und Puffer: Wie viel produziert der Prozess pro Zeiteinheit (Stunde/Tag) und gibt es Pufferlager oder Zwischenlager, die einen kurzzeitigen Ausfall überbrücken könnten? Kommentar: Diese Frage ermittelt die unmittelbare Auswirkung eines Stopps. Wenn z.B. 1000 Einheiten pro Tag produziert werden und kein Puffer existiert, bedeutet jeder Ausfalltag 1000 Einheiten Rückstand. Gibt es jedoch z.B. ein Zwischenlager mit Halbfabrikaten, könnte ein kurzer Ausfall kompensiert werden. Das Vorhandensein von Puffern mindert die Kritikalität geringfügig.

• Ausfallszenarien und Ursachen: Welche typischen Störungsursachen könnten die Produktion unterbrechen (z.B. Maschinenausfall, Stromausfall, IT-Steuerungsausfall, Materialmangel, Personalausfall durch Krankheit/Streik)? Und wie unterscheiden sich die Auswirkungen je nach Szenario? Kommentar: Diese offene Frage dient dazu, die Bandbreite an Risiken im Produktionsumfeld zu beleuchten. Sie ist weniger quantitativ, sondern qualitativer Natur und sensibilisiert dafür, dass nicht jeder Ausfall gleich abläuft (z.B. Totalausfall vs. Teilausfall einer Maschine). Dies hilft später ggf. auch bei der Ableitung von konkreten Maßnahmen pro Risikotyp.

• Maximal tolerierbare Stillstandszeit (MTD): Wie lange kann die Produktion stillstehen, ohne dass das Unternehmen nachhaltigen Schaden nimmt? Geben Sie die MTD für die Gesamtproduktion und ggf. für einzelne Produktionsschritte an. Kommentar: Hier wird nach der MTD im Produktionskontext gefragt. Oft ist diese sehr gering: in Just-in-Time Umgebungen vielleicht wenige Stunden, sonst ggf. 1–2 Tage (bevor Kunden abspringen, Vertragsstrafen wegen Lieferverzug greifen, oder Lager voll/leer laufen). Es kann sinnvoll sein, zwischen MTD pro Produktlinie und einer globalen MTD zu unterscheiden. Beispielsweise könnte der Ausfall einer Nebenschiene länger toleriert werden als der Ausfall der Hauptlinie.

• Wiederanlaufzeit (RTO): Welches Wiederanlaufziel (RTO) wird für die Produktionsprozesse angestrebt? Innerhalb welcher Zeit sollte die Fertigung nach einem Stopp wieder anlaufen, um größere Auftragsverluste zu vermeiden? Kommentar: Da Produktion oft kritisch ist, wird die RTO meist in Stunden angegeben (z.B. Anlauf der Notproduktion innerhalb 4 Stunden). Diese Zahl hängt aber stark vom Sektor ab – in der Prozessindustrie (z.B. Chemie) kann Anfahren länger dauern als in einer Montagefertigung. Hier sollte realistisch eingeschätzt werden, was mit Notfallplänen erreichbar ist. Die RTO ist meist deutlich < MTD (z.B. MTD 48h, RTO 24h), um Puffer zu behalten.

• Auswirkungen eines Produktionsausfalls: Beschreiben Sie die Konsequenzen eines Produktionsstopps in folgenden Zeithorizonten: nach 1 Stunde, nach einem Arbeitstag, nach 3 Tagen, nach 1 Woche. Berücksichtigen Sie dabei: entgangene Produktionsmenge (Stückzahl), Auswirkungen auf Liefertermine/Kunden, finanzielle Verluste (z.B. Vertragsstrafen, Eilzuschläge für Nachproduktion), evtl. Schaden an Anlagen/Produkten (z.B. wenn Werkstoffe verderben bei langem Stillstand). Kommentar: Diese gestufte Analyse konkretisiert die Impact-Analyse speziell fürs Produktionsumfeld. Bereits kurze Ausfälle können in der Fertigung teuer sein (z.B. Anfahren eines Stahlwerks nach 1h Stromausfall verursacht hohen Energie- und Materialverlust). Nach 3 Tagen Stillstand könnten Schichten ausfallen, Kundenlieferungen verpasst werden etc. Die Antwort auf diese Frage untermauert die MTD/RTO mit konkreten Beispielen und kann quantifiziert werden (z.B. "nach 1 Woche ca. 5 Mio. € Umsatzverlust und Verlust von Marktanteilen").

• Produktionsalternativen/Notproduktion: Können bei Ausfall einer Produktionslinie alternative Fertigungsmöglichkeiten genutzt werden? Etwa: Ausweichmaschinen, manuelle Fertigung in kleinem Umfang, Produktion bei einem Schwesterwerk oder Lohnfertiger. Beschreiben Sie mögliche Notfall-Workarounds (z.B. reduzierte Produktion mit Notstromaggregat, Outsourcing bestimmter Fertigungsschritte temporär). Kommentar: Diese Frage sucht nach vorhandenen Resilienzmechanismen. Hat das Unternehmen z.B. redundante Maschinen oder kann bei einem Partnerunternehmen produzieren? In einigen Branchen gibt es Notfallabkommen (etwa zwischen Automobilzulieferern, im Katastrophenfall Produktion zu teilen). Falls keine Alternativen bestehen, zeigt das die volle Abhängigkeit auf. Gibt es hingegen z.B. die Möglichkeit, in Handarbeit zumindest 10% der üblichen Menge herzustellen, könnte das einige Auswirkungen mildern.

• Personal und Schichtbetrieb: Wie viele Mitarbeiter sind im Produktionsprozess minimal erforderlich, um einen Notbetrieb aufrechtzuerhalten? Gibt es Schlüsselpersonen, ohne die der Betrieb nicht möglich ist (z.B. ein Meister mit bestimmter Zertifizierung für Anlagen)? Und: Bestehen für Schlüsselpersonal Vertretungsregelungen oder Nachbesetzungsmöglichkeiten im Krisenfall? Kommentar: Hier wird der Personalbedarf im Notfallbetrieb abgefragt. Produktion ist oft personalkritisch: etwa müssen gewisse Sicherheitsbestimmungen eingehalten werden (kein Betrieb ohne Aufsichtsperson, z.B. gemäß Betriebssicherheitsverordnung). Diese Frage beleuchtet auch die Abhängigkeit von Expertenwissen: wenn nur ein Ingenieur das Anfahren der Anlage beherrscht, ist dessen Verfügbarkeit kritisch – eine Erkenntnis, die evtl. zu Maßnahmen wie Training von Stellvertretern führen sollte.

• Technische Abhängigkeiten: Welche technischen Systeme sind für die Produktion absolut kritisch? (Beispiele: industrielle Steuerungsanlagen/SCADA, Robotik, Fördertechnik, Energieversorgung, Druckluft, Kühlwasser, etc.) Listen Sie die Infrastruktur auf, deren Ausfall sofort den Produktionsstopp bewirkt. Kommentar: Diese Frage dient dazu, die Abhängigkeit von Versorgungsmedien und Technik klarzulegen. In Produktionsumgebungen sind oft technische Infrastrukturen wie Strom, Klima, IT-Systeme (MES – Manufacturing Execution System, ERP-Verknüpfung) integraler Bestandteil. Das spätere BCM muss hier ansetzen, z.B. Notstrom sichern (bei Stromausfall), redundante Netzwerke einrichten (bei IT-Ausfall) etc. Normen wie die DIN EN 50600 für Rechenzentren definieren Verfügbarkeitsklassen für technische Infrastruktur – z.B. muss für höchste Verfügbarkeit redundante Stromversorgung bestehen. Solche Prinzipien können auch auf Produktionsanlagen übertragen werden (z.B. doppelte Auslegung kritischer Anlagenteile).

• Wartung und geplante Stillstände: Gibt es regelmäßige, geplante Produktionsstopps (z.B. Wartungsfenster), und wie werden diese gehandhabt? (Können ggf. geplante Wartungen genutzt werden, um ungeplante Ausfälle zu überbrücken?) Kommentar: Dieser Aspekt zielt darauf ab, geplante Downtimes zu erfassen, die oft existieren (Wartung am Wochenende etc.). Wenn diese bekannt sind, lässt sich überlegen, ob man notfalls ungeplante Ereignisse mit geplanten kombinieren kann – z.B. einen Stromausfall nutzen, um sofort Wartungen durchzuführen, sodass keine extra Ausfallzeit mehr nötig ist. Außerdem zeigen geplante Stillstände, wie lang Produktion ohne Betrieb planmäßig überlebt – das kann Hinweis auf die MTD sein (wenn etwa jedes Jahr 3 Tage Revision ist, scheint 3 Tage Ausfall verkraftbar zu sein unter vorbereiteten Umständen).

• Arbeitsschutz und Notfallpläne: Welche Arbeitsschutzmaßnahmen und Notfallprozeduren existieren bereits für Störfälle in der Produktion? (Beispielsweise: Evakuierungspläne bei Brand, Not-Aus-Schalter und deren Prozeduren, Ersthelfer-Team bei Unfällen.) Sind diese Pläne in das BCM integriert? Kommentar: Diese Frage verknüpft die betrieblichen Notfallpläne (die oft von Arbeitssicherheit/Facility Management verantwortet werden) mit dem Business Continuity-Aspekt. Gemäß §10 Arbeitsschutzgesetz müssen Arbeitgeber Vorkehrungen für Erste Hilfe, Brandbekämpfung und Evakuierung treffen. In Produktionsbereichen gibt es typischerweise konkrete Notfallpläne (z.B. Alarmplan bei Chemieunfall, Feuerwehrplan). Diese dienen primär dem Personenschutz und Schadensbegrenzung. Für die BIA ist relevant: Nach dem unmittelbaren Notfall (z.B. Brand gelöscht, Mitarbeiter in Sicherheit) – wie geht es weiter in Richtung Wiederaufnahme der Produktion? Diese Frage soll sicherstellen, dass vorhandene Notfall- und Gefahrenabwehrpläne anschlussfähig sind an Business Continuity Überlegungen. Ideal ist, wenn nach Abarbeitung der akuten Notfallmaßnahmen direkt BCM-Pläne greifen (z.B. Backup-Produktionsstätte hochfahren).

• Externe Abhängigkeiten (Lieferanten/Kunden): Wie stark ist die Produktion von Zulieferern abhängig (Material, Komponenten, Dienstleistungen)? Gibt es für kritische Zulieferteile Lagerbestände oder Zweitlieferanten? Und umgekehrt: Welche Kundenvertragsbedingungen bestehen hinsichtlich Lieferzeiten, und ab wann würde ein Produktionsausfall zu Konventionalstrafen oder Auftragsverlust führen? Kommentar: Hier werden Supply-Chain-Aspekte erhoben, da die Produktion eingebettet ist in Vor- und Nachgelagerte Lieferketten. Kritische Zukaufteile (z.B. ein Spezialteil ohne Zweitquelle) können den Produktionsprozess stoppen – was Teil der Impact-Analyse sein muss. Ebenso wichtig: Kundenverpflichtungen. Viele Industrieunternehmen haben just-in-sequence Lieferverträge: ein Ausfall kann schnell Strafen nach sich ziehen. Diese Frage quantifiziert und qualifiziert solche externen Druckpunkte (z.B. "Lieferant X könnte maximal 2 Tage Ausfall überbrücken; Kunde Y darf max. 12h Lieferverzug haben laut Vertrag").

• Produktion nachholen: Kann ausgefallene Produktion nachträglich nachgeholt werden (über Sonderschichten, Wochenendarbeit, höhere Auslastung) oder ist verlorene Kapazität unwiederbringlich? Kommentar: Wenn man z.B. 3 Tage Produktion verliert, könnte man durch Samstagsarbeit und Überstunden evtl. Rückstand aufholen. Diese Möglichkeit mindert den langfristigen Impact (Umsatz wird verspätet aber doch realisiert). In anderen Fällen (etwa Energie oder Verkehrsdienstleistungen) ist verloren = verloren. Die Antwort hilft, den Langfristschaden besser abzuschätzen.

Kommentar: In vielen Industriebetrieben gibt es ein Hochregallager oder allgemeiner einen Logistikbereich, der für die Lagerung von Rohstoffen, Zwischenprodukten und Fertigwaren sowie für die Versandabwicklung zuständig ist. Dieser Bereich ist das Bindeglied zwischen Produktion und Außenwelt – Störungen hier können sowohl die Materialversorgung der Fertigung als auch die Lieferfähigkeit an Kunden gefährden. Hochregallager sind häufig automatisiert (mit Regalbediengeräten, Lagerverwaltungssystemen etc.) und daher anfällig für IT- oder Mechanikausfälle. Zudem hängen sie von Transportmitteln (Flurförderzeuge, LKW-Verkehr) und oft auch von just-in-time-Anforderungen ab. Die BIA muss hier insbesondere die Umschlagkapazität, Lagerreichweiten und IT-Abhängigkeiten untersuchen.

• Lagerfunktion und Kapazität: Welche Funktionen erfüllt das Lager? (z.B. Rohstofflager, Ersatzteillager, Zwischenlager für Produktion, Fertigwarenlager für Versand.) Wie groß ist die Lagerkapazität und wie ist der aktuelle Durchschnittsbestand (Tage Reichweite)? Kommentar: Dies dient zum Verständnis, welche Pufferzeiten das Lager dem Unternehmen ermöglicht. Ein hoher Bestand (z.B. 2 Wochen Fertigwaren auf Lager) bedeutet, dass ein kurzer Produktionsausfall evtl. am Markt gar nicht bemerkt wird, weil aus Lager geliefert wird. Umgekehrt, wenn kaum Lager vorgehalten wird, ist man auf kontinuierliche Produktion angewiesen.

• Automatisierungsgrad: Ist das Hochregallager weitgehend automatisiert (Regalbediengeräte, automatische Förderbänder, Warehouse-Management-System)? Was passiert bei Technikausfall – kann der Betrieb manuell weitergeführt werden (z.B. per Stapler manuell kommissionieren), und wenn ja in welchem Umfang (Prozentsatz der normalen Leistung)? Kommentar: Hochautomatisierte Lager sind effizient, aber bei Systemausfall oft gelähmt. Die Frage prüft, ob Fallback-Optionen bestehen. Manche Lager haben Notbetriebsmodi (manueller Override der Maschinen, etc.), andere nicht. Angenommen, man kann manuell nur 20% der normalen Umschlagmenge bewegen – dann ist klar, dass längerfristig ein Engpass entsteht.

• Maximal tolerierbare Ausfallzeit (MTD): Wie lange könnte das Lager/Versandwesen ausfallen, ohne dass die Produktion stoppt (wegen fehlender Nachschubmaterialien) und ohne dass Kundenaufträge massenhaft verspätet werden? Geben Sie eine MTD für den Lagerbetrieb an. Kommentar: Hier wird im Prinzip doppelt geprüft: Einerseits Lager als Versorgung der Produktion – wenn kein Material entnommen werden kann, ruht bald die Fertigung; andererseits Lager als Bereitsteller für Versand – Lieferstopp. Die MTD könnte z.B. "12 Stunden" sein, wenn danach die Produktionsbänder stillstehen, oder "2 Tage", wenn das Lager gut gefüllt ist aber dann keine Warenausgänge mehr erfolgen können. Meist wird man konservativ die kürzeste kritische Dauer nehmen.

• Wiederanlaufzeit (RTO): Angestrebte RTO für den Lager/Logistik-Betrieb nach einem Ausfall? Kommentar: Z.B. "RTO = 8 Stunden", weil man bei einem Lager-IT-Ausfall plant, binnen eines Arbeitstags zumindest einen manuellen Notprozess aufzusetzen. Dies hängt von Notfallplanung ab (ggf. existieren mobile Datenerfassungsgeräte, Offline-Listen, etc. für den Notfallbetrieb).

• Auswirkungen eines Logistikausfalls: Beschreiben Sie die Auswirkungen, wenn der Lager- und Versandbetrieb z.B. für einen Tag, für drei Tage und für eine Woche unterbrochen wäre. Berücksichtigen Sie: Volllaufende Lager (kein Platz für weitere Produktion), Produktionsstillstand mangels Material, Vertragsstrafen für Lieferverzug, Imageverlust bei Kunden für nicht gelieferte Waren, Überlastung nach Wiederanlauf durch Rückstau. Kommentar: Diese gestufte Analyse konkretisiert, wann es kritisch wird. Vielleicht kann ein Tag überbrückt werden durch Wochenendschicht nachholen; aber nach drei Tagen stauen sich die LKW, Kunden schreien. Nach einer Woche könnte Lager überfüllt sein und Produktion müsste drosseln. Diese Infos validieren MTD/RTO.

• Kühl- oder Gefahrgutlager? Falls im Lager temperaturempfindliche oder gefährliche Güter lagern: Welche speziellen Anforderungen bestehen im Notfall? (Bsp.: Kühlhaus – wie lange bleibt es kalt bei Stromausfall? Gefahrstofflager – was passiert bei Lüftungsausfall, Brand etc.?) Kommentar: Spezifische Lagerarten erfordern besondere Notfallmaßnahmen. Etwa Notstrom für Kühlaggregate (Lebensmittel, Pharma). Die Frage hebt diese Besonderheiten hervor, da sie in BIA oft übersehen werden. Zudem relevant für Arbeitsschutz und Umwelt (Leckagen, Emissionen bei Störfällen).

• IT-System und Daten: Welches Lagerverwaltungssystem (LVS) oder welche IT wird eingesetzt, und sind die Lagerdaten (Bestände, Stellplätze) regelmäßig gesichert? Könnte man im Notfall auf Papierlisten oder eine Ersatz-IT ausweichen? Kommentar: Das LVS ist die Ader des modernen Lagers. Ein Verlust der Bestandsdaten wäre fatal (man wüsste nicht, wo was liegt). Daher hier klar die Frage nach Datensicherungs- und Wiederherstellungsplänen – das sollte im Sinne von Art. 32 DSGVO und guter IT-Praxis vorhanden sein (auch wenn hier vielleicht weniger personenbezogene Daten als vielmehr Bestandsdaten betroffen sind). Ein gut vorbereitetes Lager hat z.B. tägliche Backups und Notfallprozeduren (manueller Lagerbetrieb mit Ausdrucken).

• Personal und Schichtplanung: Wie viele Mitarbeiter sind im Lager/Versand tätig und was wäre der Minimalbestand an Personal, um zumindest kritische Ein- und Auslagerungen durchzuführen? Sind im Notfall (z.B. bei Grippewelle) andere Mitarbeiter einsetzbar (z.B. aus Verwaltung) mit Staplerschein etc.? Kommentar: Hier ähnlich wie in Produktion – Personal als Faktor. Hochregallager haben oft Schichtbetrieb. Wenn eine ganze Schicht ausfällt, wie kompensieren? Und Mindestpersonal, z.B. mindestens 2 Personen (Sicherheitsvorschriften), etc.

• Externe Dienstleister: Ist ein externer Logistikdienstleister involviert (Spedition, 3PL-Provider) und wie sind die vertraglichen Vereinbarungen bei Störungen? (Liefern Spediteure später nach, lagern sie zwischen, etc.?) Kommentar: Oft sind Speditionen auf Zeitschienen. Wenn der eigene Warenausgang stockt, stauen sich LKW. Haben die Spediteure Pufferlager oder können Umlenkungen erfolgen? Diese Infos zeigen, ob externe Supply-Chain-Resilienz vorhanden ist oder alles am eigenen Lager hängt.

• Alternative Routen/Standorte: Gibt es die Möglichkeit, im Notfall auf einen Alternativ-Standort auszuweichen für Lagerung oder Versand? (Beispiel: Anmietung von Außenlägern, Nutzung eines Konsignationslagers beim Kunden, Umleitung von Lieferungen über anderen Standort.) Kommentar: Diese Frage prüft strategische Notfalloptionen. Falls das Hauptlager z.B. durch Brand unbenutzbar ist, existiert irgendwo Lagerkapazität zur Not? Manche Firmen haben Notfall-Abkommen mit Logistikern oder nutzen verteilte Lager. Wenn nein, sollte man worst-case davon ausgehen, dass Lagerausfall = Totalausfall Lieferfähigkeit.

Kommentar: Viele produzierende Unternehmen unterhalten eigene Prüflabore oder Qualitätssicherungsstellen, in denen Materialien, Zwischenprodukte oder Endprodukte geprüft und freigegeben werden. Ein Ausfall des Prüflabors kann dazu führen, dass Produkte nicht ausgeliefert werden dürfen (Qualität nicht nachgewiesen) oder dass fehlerhafte Produkte unentdeckt bleiben, was spätere Reklamationen verursacht. Zudem können in bestimmten Branchen (z.B. Medizintechnik, Automobil, Lebensmittel) gesetzliche Vorgaben vorschreiben, dass jede Charge getestet wird – ein Laborausfall hätte hier unmittelbaren rechtlichen Impact. Die BIA für Labore betrachtet insbesondere Regulatorien, Spezialgeräte und fachliches Know-how, da Labore oft von wenigen Experten mit unikaler Ausstattung betrieben werden.

• Prüfumfang und Frequenz: Welche Prüfungen werden im eigenen Labor durchgeführt? Listen Sie die wichtigsten Testprozesse auf (z.B. Wareneingangskontrolle, Inprozess-Prüfung, Endabnahmeprüfung, Zertifizierungstests) und wie häufig bzw. nach jedem wievielten Produkt diese stattfinden (Stichwort: Prüfintervalle). Kommentar: Veranschaulicht den Umfang – z.B. jede gefertigte Charge wird geprüft, oder stichprobenartig. Hohe Frequenz bedeutet, dass ein Laborausfall sofort produktionsrelevant wird.

• Regulatorische Anforderungen: Sind die Prüfungen gesetzlich oder normativ vorgeschrieben (etwa gemäß ISO-Normen, behördlichen Auflagen, Kundenvorschriften)? Was passiert, wenn Prüfungen ausbleiben – darf das Produkt ohne Prüfung weiter, oder absolut nicht? Kommentar: Hier wird die Compliance-Abhängigkeit deutlich. In z.B. Pharma gilt: Keine Freigabe = Produkt darf nicht raus. In anderen Branchen eventuell Kulanz möglich. Wenn Gesetze betroffen: z.B. Medizinprodukte müssen Qualitätskontrollen dokumentiert haben – ein Ausfall könnte illegalen Vertrieb bedeuten.

• Maximal tolerierbare Ausfallzeit (MTD): Wie lange kann das Labor außer Betrieb sein, bevor es die Produktion oder Auslieferung ernsthaft limitiert? (Bsp.: Produktion muss nach 2 Tagen stoppen, weil unverifizierte Produkte nicht weiter verarbeitet werden dürfen.) Kommentar: Diese MTD könnte überraschend kurz sein, wenn keine ungetesteten Produkte erlaubt sind. Oder es gibt Puffer (man lagert produzierte Ware zwischen bis Test wieder geht). Wichtig festzustellen.

• Wiederanlaufzeit (RTO): Angestrebte RTO für die Prüfprozesse? Kommentar: Vermutlich sehr kurz, z.B. < MTD, denn man möchte schnell wieder testen können. Mögliche RTO-Strategie: mobiles Labor rufen oder externe Labore nutzen.

• Geräte und Kalibrierung: Welche Schlüsselgeräte hat das Labor, und sind diese im Notfall ersetzbar? Gibt es ggf. Ersatzgeräte oder Ausweichmöglichkeiten, falls z.B. ein Prüfgerät ausfällt oder der Laborraum nicht nutzbar ist (Brand etc.)? Wie schnell könnten externe Dienstleister Tests übernehmen? Kommentar: Prüfgeräte (z.B. Spektrometer, Röntgen, Zugfestigkeitsprüfer) sind oft teuer und einzigartig im Betrieb. Diese Frage zielt auf Redundanzen. Vielleicht hat man 2 identische Geräte? Oder man hat Wartungsverträge für schnellen Ersatz? Oder man kennt ein Auftragslabor, das im Notfall einspringen kann.

• Personal/Know-how: Wie viele Laboranten/Ingenieure betreuen die Prüfungen und gibt es kritisches Spezialwissen? Was passiert bei Ausfall des Laborleiters oder Prüfers – sind Vertretungen vorhanden? Kommentar: Wenn nur eine Person qualifiziert ist, Tests durchzuführen oder zu beurteilen (z.B. zertifizierter Schweißprüfer etc.), ist das ein Single-Point-of-Failure. Hier anzugeben, ob Ausfall menschlich kompensierbar ist (vielleicht kann Produktionsingenieur zeitweise helfen, oder Externer hinzugezogen werden).

• Prüfdokumentation und IT: Werden Prüfdaten elektronisch erfasst (Prüfsoftware, LIMS – Laboratory Information Management System) und sind diese Daten gesichert? Könnte bei IT-Ausfall die Dokumentation manuell auf Papier erfolgen und später nachgetragen werden? Kommentar: Wichtig für DSGVO und Qualität: Prüfdaten oft rückverfolgungspflichtig (z.B. ISO 9001 fordert Aufzeichnungen). Datenverlust wäre fatal, daher Backup? Und Workaround: oft kann man temporär Papier nutzen.

• Konsequenzen eines Prüfausfalls: Beschreiben Sie, wie sich ein Ausfall des Prüfwesens nach 1 Tag, 3 Tagen, 1 Woche auswirkt. (Z.B.: Nach 1 Tag staut sich Prüfgegenstand, nach 3 Tagen volles Zwischenlager, nach 1 Woche Produktionstop, evtl. Lieferverzug, evtl. Verletzung von Normen/Zertifikatsauflagen.) Kommentar: Dies ähnelt der gestuften Impact-Betrachtung, zugeschnitten auf QS. Oft lassen sich ein paar Tage puffern, aber irgendwann muss gestoppt werden, sonst verliert man Zertifizierung oder riskiert Qualität.

• Externe Prüfstellen: Können erforderliche Prüfungen im Notfall von einem externen Labor oder Partner übernommen werden? Gibt es bereits Absprachen oder Verträge dazu? Kommentar: Wenn ja, Resilienz hoch. Wenn nein, Abhängigkeit total. Manche Branchen haben z.B. unabhängige Prüforganisationen (TÜV, SGS etc.), aber teuer und evtl. langsam. Hier festhalten ob diese Option besteht.

• Lagerung von Proben/Mustern: Werden im Labor Proben oder Rückstellmuster aufbewahrt, die z.B. gekühlt werden müssen? Falls ja, was passiert bei Ausfall der Kühlung/Strom? (Ähnlich wie Frage im Lager, aber hier relevant für z.B. chemische Proben oder Rückstellmuster für rechtliche Zwecke.) Kommentar: Falls zutreffend, Notstrom für Laborkühlschränke etc. Thema. Falls nicht, überspringbar.

Kommentar: Die Betriebsgastronomie (Kantine, Cafeteria) ist für das Kerngeschäft nicht unmittelbar wertschöpfend, aber für das Wohl der Mitarbeiter und den reibungslosen Tagesablauf wichtig. In Schichtbetrieben oder abgelegenen Standorten kann die Verpflegung eine große Rolle für die Mitarbeiterzufriedenheit und -gesundheit spielen. Ein Ausfall der Kantine ist selten existenzgefährdend fürs Unternehmen, kann aber indirekt Einfluss haben (Motivationsverlust, Mitarbeiter müssen das Gelände verlassen für Essen, Zeitverlust). Zudem unterliegt die Gastronomie Lebensmittelsicherheitsauflagen, weshalb bei Störungen (z.B. Stromausfall -> Kühlung) Hygiene und Sicherheit beachtet werden müssen.

• Kapazität und Alternativen: Versorgt die Kantine alle Mitarbeiter? Gibt es Alternativen im Umkreis oder automatisierte Lösungen (Essensautomaten), falls die Kantine ausfällt? Kommentar: Wenn z.B. in einem Industriepark Restaurants in Laufnähe sind, ist ein Kantinenausfall verkraftbar (Mitarbeiter weichen aus). In isolierten Standorten jedoch kritisch (Mitarbeiter müssten weit fahren in der Pause). Dies bestimmt, wie kritisch die Verpflegung wirklich ist.

• Maximal tolerierbare Ausfallzeit: Wie lange könnte die Kantine geschlossen bleiben, ohne dass der Betriebsablauf leidet? (Angaben in Tagen – etwa: 1 Tag problemlos, bis 1 Woche machbar mit Provisorien, länger problematisch?) Kommentar: Hier wird MTD qualitativ abgefragt. Wahrscheinlich relativ lang tolerierbar (zur Not dauern Mittagspausen länger oder Caterer wird engagiert). Aber es soll intern bewertet werden.

• Verderblichkeit und Hygiene: Was passiert mit Lebensmittelvorräten, wenn die Kantine ausfällt (insb. bei Kühltechnik-Ausfall)? Gibt es Pläne zur Vermeidung von Gesundheitsgefahren (Verdorbene Ware entsorgen, Reinigung)? Kommentar: Ein BCM-Aspekt hier: Auch beim Kantinenbetrieb muss man im Notfall z.B. bei Stromausfall Lebensmittel wegwerfen, um Vergiftungen zu vermeiden. Evtl. HACCP-Pläne vorhanden. Das hat weniger BC-Impact, aber Arbeitsschutz und Lebensmittelsicherheit.

• Personal und Notbetrieb: Wie viele Kantinenmitarbeiter gibt es und könnte ein eingeschränkter Service aufrechterhalten werden (z.B. nur kalte Snacks statt warmes Essen) bei Personalausfall oder Küchenausfall? Kommentar: Resilienzfrage: Kann man improvisieren (z.B. Sandwiches kaufen statt kochen), um Minimalversorgung zu sichern?

• Vertragliche Verpflichtungen: Falls Catering über externen Anbieter läuft: Was regelt der Vertrag bei Ausfällen (z.B. bei Streik des Caterers)? Kommentar: Falls relevant – werden die Mitarbeiter dann entschädigt oder alternative Lieferanten gestellt?

• Auswirkungen: Welche Auswirkungen hätte eine Kantinenschließung auf die Mitarbeiter und evtl. die Produktion (z.B. verlängerte Pausen, Unzufriedenheit, logistische Probleme)? Kommentar: Hier kann erwähnt werden, falls z.B. Schichtarbeiter keine andere Verpflegung haben, könnten sie ggf. ineffizienter arbeiten oder oft das Gelände verlassen was Sicherheitskontrollen belastet etc. Eher weiche Faktoren, aber in BIA darf es genannt sein.

Kommentar: Der Bereich Anlieferung und Empfang umfasst typischerweise den Werkschutz / Pforte, die Warenannahme und den Versand/Empfang von Lieferungen sowie gegebenenfalls einen Empfangsbereich für Besucher. Obwohl teilweise Überschneidung mit Logistik (Wareneingang/-ausgang) besteht, liegt der Fokus hier auf der organisatorischen Abwicklung und Sicherheit: Prüfen von Lieferpapieren, Einweisung von LKW, Eingangskontrolle von Besuchern, Telefonswitchboard etc. Ein Ausfall dieser Funktionen könnte die Sicherheit (unkontrollierter Zugang) beeinträchtigen und logistische Abläufe verzögern.

• Zutrittskontrolle: Was passiert, wenn die Werkschutz/Pforten-Funktion ausfällt (z.B. Schranke defekt, Sicherheitspersonal nicht da)? Besteht Risiko unautorisierten Zutritts oder kann das Werk notfalls geschlossen bleiben? Kommentar: Dies betrifft Security-Aspekte. Im BCM muss auch betrachtet werden, ob z.B. bei Komplettausfall der Zugangskontrolle erhöhte Diebstahlgefahr o.Ä. besteht oder ob Betriebsfremde unkontrolliert reinkommen könnten – was evtl. Versicherungsrisiken birgt.

• Kommunikation: Wenn der zentrale Empfang/Telefonvermittlung ausfällt (z.B. bei Strom/Telefonausfall), wie erreichen Kunden/Lieferanten das Unternehmen? Gibt es Backup-Telefonlisten, Notfall-Handynummern veröffentlicht? Kommentar: Externe Erreichbarkeit gehört zur BC-Planung (z.B. Notfallkontakt auf Webseite). Hier wird Ist-Zustand erfragt.

• Warenannahme: Wie wird die Anlieferung von Materialien gehandhabt und was wäre die Folge, wenn für einige Zeit niemand da ist, der Lieferungen entgegennimmt oder die Lagerzuordnung vornimmt? (Können Fahrer Sendungen abladen ohne Quittung? Gibt es Ersatzarrangements?) Kommentar: Wenn Wareneingang personalabhängig ist, bei Ausfall stauen sich LKW vorm Werk, Material kommt nicht rein -> Produktion leidet. Vielleicht gäbe es Notregel (Wachmann nimmt Papiere, lagert paletten auf Hof). Das zeigt Ausfalltoleranz.

• Versand/Expedition: Was passiert, wenn Warenausgänge nicht administrativ abgefertigt werden können? (Keine Lieferscheine, keine Zollpapiere, etc.) Wie lange könnte Versand improvisiert ohne Systeme/Papiere laufen? Kommentar: In vielen Firmen kann man zur Not Ware raus schicken und später Papier nachreichen, aber z.B. Zollgut geht nicht ohne Papiere. Erfragt also, wie kritisch die Administration hier ist.

• Maximale Ausfallzeit: Wie lange kann der Empfang/Anlieferbereich ausfallen, bevor es zu erheblichen Störungen kommt (z.B. 1 Tag tolerierbar, ab 2. Tag LKW-Rückstau, Kundenreklamationen wegen kein Ansprechpartner)? Kommentar: MTD für diesen Bereich. Vermutlich moderat (vielleicht 1–2 Tage), da kurzfristig intern vielleicht jemand anderes einspringt.

• Notfallmaßnahmen: Gibt es definierte Notfallprozeduren für den Ausfall des Empfangs/der Logistikkoordination? (Beispiel: Aushang "Bei geschlossener Pforte anrufen unter X", Werkschutz von anderem Standort springt ein, etc.) Kommentar: Falls Unternehmen gut vorbereitet: ja, dann Resilienz höher. Wenn nein, Lücke.

• Personalausfall: Wie viele Personen besetzen den Empfang/Anlieferung regulär (Schichtsystem?) und gibt es Springer, falls jemand ausfällt? Kommentar: Basic, ob da single-person risk besteht (z.B. Nachtschicht nur 1 Person).

Die Fragen in Abschnitt 3 sind darauf ausgelegt, detaillierte Informationen für die Business Impact Analyse zu sammeln. Sie sollten möglichst von den jeweiligen Fachverantwortlichen beantwortet werden, idealerweise im Rahmen moderierter Workshops. Dabei ist darauf zu achten, dass die Antworten dokumentiert und durch Unterschriften oder Freigaben bestätigt werden, um die Verbindlichkeit sicherzustellen. Viele Unternehmen integrieren solche Fragebögen in ihr Risikomanagement-System oder nutzen digitale Tools, doch das hier vorgestellte Format lehnt sich an einen klassischen, textbasierten Fragebogen an, der universell einsetzbar ist.

Die erhaltenen Daten aus dem Fragebogen müssen anschließend in einer konsolidierten BIA-Auswertung zusammengeführt werden. Dort werden die Risikoklassen, RTOs und Ressourcenbedarfe in Übersichten (z.B. Tabellen) verdichtet, sodass das Management auf einen Blick die kritischsten Bereiche erkennt. Beispielsweise kann eine Tabelle die Top-10 kritischsten Prozesse aller Bereiche mit MTD/RTO darstellen. Genauso können Diagramme hilfreich sein (etwa Ausfallzeit vs. Schadenhöhe). Diese Auswertung ist jedoch nicht Teil des Fragebogens selbst, sondern der anschließenden Analyseschritte im BCM-Prozess.

Zusammenfassend bietet der obige Fragenkatalog einen umfassenden Leitfaden, um alle relevanten Aspekte der Business Impact Analyse in einem Industrieunternehmen zu erheben. Von administrativen Abhängigkeiten bis zu produktionstechnischen Engpässen, von rechtlichen Vorgaben bis zu logistischen Schnittstellen – alle Schwerpunkte werden adressiert.

Eine Business Impact Analyse und das daraus abgeleitete Business Continuity Management berühren verschiedene rechtliche Pflichten des Unternehmens. In Deutschland existieren zahlreiche Gesetze und Verordnungen, die zwar nicht explizit eine "BIA" verlangen, jedoch Aspekte der IT- und Betriebssicherheit, Risikovorsorge und Ausfallsicherheit regeln. Im Folgenden werden die wichtigsten rechtlichen Quellen – insbesondere das BSI-Gesetz und IT-Sicherheitsgesetz, die Datenschutz-Grundverordnung (DSGVO) sowie das Arbeitsschutzrecht – in Bezug auf BCM und BIA kommentiert.

Das BSI-Gesetz (BSIG), konkret §8a BSIG, verpflichtet Betreiber Kritischer Infrastrukturen dazu, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT zu treffen. Durch das IT-Sicherheitsgesetz (2015 eingeführt, 2021 als "IT-SiG 2.0" novelliert) wurden diese Pflichten nochmals verschärft. Kritische Infrastrukturen (KRITIS) – d.h. Unternehmen aus Sektoren wie Energie, Wasser, Gesundheit, Finanzwesen, Transport etc. – müssen die Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme nach dem Stand der Technik sicherstellen. Zwar wird eine Business Impact Analyse nicht namentlich gefordert, doch implizieren die Vorgaben ein systematisches Risikomanagement und Notfallmanagement: Unternehmen müssen Risiken bewerten, Schutzmaßnahmen einführen und über Notfallpläne und Wiederherstellungsstrategien verfügen. Insbesondere fordert das IT-SiG explizit, dass KRITIS-Betreiber „geeignete Vorkehrungen treffen, um die Kontinuität der angebotenen Dienste zu gewährleisten“. Dazu zählen u.a. die Implementierung eines alarmierungsfähigen BCM und regelmäßige Übungen. Mit anderen Worten: Für kritische Sektoren ist ein funktionierendes Business Continuity Management de facto gesetzlich vorgeschrieben, inklusive vorbereiteter Pläne für den Ernstfall.

Die Einhaltung dieser Vorgaben wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht. Betreiber müssen regelmäßig die Umsetzung nachweisen (§8a BSIG), etwa durch Auditberichte oder Zertifizierungen. Bei Verstößen drohen Sanktionen und – im Fall tatsächlicher Ausfälle mit Versorgungsbeeinträchtigung – auch zivilrechtliche Haftungsrisiken. Obwohl Industrieunternehmen außerhalb der KRITIS-Definition (z.B. klassische produzierende Gewerbe ohne KRITIS-Einstufung) nicht unmittelbar unter §8a BSIG fallen, setzen sich doch branchenübergreifend diese Standards guter Praxis durch. Viele Unternehmen orientieren sich freiwillig an BSI-Standards und ISO-Normen, um ihre Resilienz zu steigern und im Ernstfall vorbereitet zu sein. Zudem kann es in Lieferbeziehungen Forderungen geben, dass ein Unternehmen Continuity-Pläne vorhält (Stichwort: Zulieferer von Automobilherstellern müssen Notfallkonzepte nachweisen).

Erwähnenswert ist in diesem Zusammenhang auch das geplante „KRITIS-Dachgesetz“, das 2024/25 auf den Weg gebracht wurde. Dieses Gesetz zielt darauf ab, die verschiedenen KRITIS-Regelungen zu harmonisieren und vermutlich weitere Sektoren (z.B. verarbeitendes Gewerbe) in Grundpflichten einzubeziehen. Hier ist in den kommenden Jahren mit einer Erweiterung der Compliance-Anforderungen zu rechnen, eventuell analog zur EU NIS-2-Richtlinie, die auch stärkere Business-Continuity-Vorkehrungen in einer breiteren Unternehmenslandschaft fordert.

Zusammengefasst verpflichten BSI-Gesetz und IT-Sicherheitsgesetz (in ihrer aktuellen Form) vor allem KRITIS-Unternehmen zur Vorsorge. Kernpunkte sind ein aktives Risikomanagement, Incident Response, Notfallmechanismen und Nachweisführung. Eine BIA ist hier ein geeignetes Werkzeug, um die Grundlage für all diese Elemente zu legen – sie identifiziert ja die kritischen Prozesse und tolerierbaren Ausfallzeiten, anhand derer man dann angemessene Vorkehrungen dimensioniert. Für nicht direkt regulierte Unternehmen ist die Kenntnis dieser Gesetze trotzdem relevant, da sie Best Practices und zukünftige Trends spiegeln.

Die europäische Datenschutz-Grundverordnung (DSGVO) hat seit Mai 2018 Geltung und adressiert primär den Schutz personenbezogener Daten. Im Kontext von BCM und BIA ist insbesondere Art. 32 DSGVO hervorzuheben: Dieser Artikel fordert von Verantwortlichen und Auftragsverarbeitern, technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Explizit genannt wird dabei auch „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“. Diese Formulierung entspricht im Grunde einem Wiederanlaufziel (RTO) für Daten und Prozesse aus Datenschutzsicht.

Konkret bedeutet das: Wenn in einem Geschäftsprozess personenbezogene Daten verarbeitet werden (sei es Mitarbeiter-, Kunden- oder Lieferantendaten), muss das Unternehmen dafür sorgen, dass diese Daten auch im Falle eines Vorfalls (z.B. Cyberangriff, Hardware-Ausfall, Feuer im Rechenzentrum) zeitnah wieder verfügbar sind. Für die BIA heißt das, solche Prozesse haben automatisch eine rechtliche Kritikalität. Ein Ausfall, der den Zugriff auf personenbezogene Daten verhindert, könnte nicht nur geschäftsschädlich, sondern auch ein Datenschutzverstoß sein, falls keine Vorsorge getroffen wurde. Die Aufsichtsbehörden könnten Maßnahmen ergreifen oder Bußgelder verhängen, wenn z.B. mangelhafte Backups dazu führen, dass Daten irreversibel verloren gehen oder wochenlang nicht zugreifbar sind.

Aus Art. 32 DSGVO leiten sich somit Anforderungen an Datensicherungsstrategien, Backup- und Restore-Konzepte und generell an das IT-Notfallmanagement ab. In einer BIA sollten daher für jeden relevanten Prozess Fragen nach Backup und Datenwiederherstellung (siehe Frage 9 im Verwaltungskatalog) gestellt werden, um die DSGVO-Compliance zu prüfen. Weiterhin verlangt die DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen – was im BCM-Kontext durch regelmäßige Tests der Notfallpläne erfüllt werden kann (z.B. Restore-Tests von Backups, Simulation von Serverausfällen).

Neben Art. 32 sind auch Art. 33/34 DSGVO (Meldepflichten bei Datenschutzverletzungen) relevant: Ein Vorfall, der zu Verlust oder Unzugänglichkeit personenbezogener Daten führt, kann eine meldepflichtige Datenpanne sein, sofern die Verfügbarkeit nicht zeitnah wiederhergestellt werden kann. Ein BCM, das rasche Wiederherstellung vorsieht, hilft solche Meldungen zu vermeiden oder zumindest die Auswirkungen gering zu halten.

Zusammenfassend integriert die DSGVO einen Availability-Aspekt in den Datenschutz. Für die BIA heißt das: Prozesse mit personenbezogenen Daten müssen so betrachtet werden, dass die Verfügbarkeitsanforderungen aus Datenschutzsicht erfüllt sind. Ein praktisches Beispiel: Die Personalabteilung verarbeitet Mitarbeiterdaten – ein BCM-Plan muss sicherstellen, dass z.B. Gehaltsabrechnungen (die personenbezogene Finanzdaten enthalten) auch im Krisenfall pünktlich und datenschutzkonform erstellt werden können. Ebenso müssen Kundendatenbanken im Notfall aus Backup wiederherstellbar sein, um Geschäft und DSGVO einzuhalten. BIA-Ergebnisse können hier die Grundlage liefern, etwa indem sie die maximal tolerierte Offline-Zeit solcher Datenbanken definieren und so die Backup-Frequenz bestimmen.

Das Arbeitsschutzrecht – namentlich das Arbeitsschutzgesetz (ArbSchG) und einschlägige Verordnungen – verpflichtet Arbeitgeber, für die Sicherheit und Gesundheit der Beschäftigten zu sorgen, auch in Notfällen. §10 ArbSchG schreibt vor, dass Arbeitgeber die Maßnahmen zu treffen haben, die zur Ersten Hilfe, Brandbekämpfung und Evakuierung der Beschäftigten erforderlich sind. Praktisch bedeutet dies, dass jedes Unternehmen Notfallpläne für akute Gefahrenlagen haben muss: z.B. Räumungsübungen, Alarmierungswege, ausgebildete Ersthelfer und Brandschutzhelfer, etc. Diese Pläne sind primär auf Menschenleben und Unfallschutz ausgerichtet, nicht auf Geschäftsfortführung – doch es gibt Überschneidungen mit dem BCM.

In einer ganzheitlichen Kontinuitätsplanung sollten die Schnittstellen zwischen den sofortigen Gefahrenabwehrmaßnahmen und den Business Continuity Maßnahmen klar definiert sein. Beispiel: Bei einem Brandalarm wird zunächst evakuiert und Feuerwehr gerufen (Arbeitsschutzmaßnahme). Ist der Brand gelöscht und die Sicherheit der Mitarbeiter gewährleistet, übernimmt das BCM mit dem Ziel, den Geschäftsbetrieb schnellstmöglich wieder aufzunehmen (gegebenenfalls an einem Ausweichstandort, mit Ersatzmitteln etc.). Eine BIA kann hierzu beitragen, indem sie die Auswirkungen solcher Notfälle auf die Geschäftsprozesse vorwegnimmt und Planungen einbezieht. Etwa: Was passiert mit der Produktion, wenn die Halle wegen Chemieunfall 3 Tage gesperrt ist? Solche Szenarien liegen an der Schnittstelle von Sicherheit und Continuity.

Des Weiteren fordert das ArbSchG im Rahmen der Gefährdungsbeurteilung (§5 ArbSchG) auch, Notfälle zu berücksichtigen. Zwar liegt der Schwerpunkt auf Personengefährdungen, aber indirekt schützt das auch die Betriebsabläufe – ein explodierender Kessel gefährdet Leben und legt die Produktion lahm. Anlagensicherheit (geregelt z.B. im Betriebssicherheitsrecht, Störfallverordnung) zielt ebenfalls darauf ab, schwere Unfälle zu verhüten; wenn aber doch einer passiert, greifen die Notfallpläne.

Für das BCM bedeutend ist, dass gesetzlich vorgeschriebene Notfallübungen (z.B. jährliche Evakuierungsübung) durchgeführt werden, denn sie können mit BC-Tests kombiniert werden. Einige Unternehmen integrieren z.B. einen IT-Ausfalltest in eine Feuerdrill-Übung: Die Mitarbeiter arbeiten vom Notfallbüro, während das Hauptgebäude gesperrt ist – so wird sowohl Evakuierung geprobt als auch der Notbetrieb getestet.

Auch die Pflichten aus der DGUV-Vorschrift 1 (Grundsätze der Prävention) §22 spiegeln §10 ArbSchG und fordern Notfallorganisation. Diese sind zwar primär auf Unfallrettung bezogen, aber ein gut vorbereitetes Unternehmen wird die Erkenntnisse daraus ins BCM einfließen lassen. Beispielsweise: Wenn die BIA zeigt, dass ein Prozess nur mit bestimmter Mindestbesetzung laufen kann, muss der Evakuierungsplan sicherstellen, dass nach einer Evakuierung diese Schlüsselpersonen informiert bleiben, wann und wie sie zurückkehren können, um den Betrieb wieder aufzunehmen.

In Summe schreibt das Arbeitsschutzrecht eine Reihe von präventiven und reaktiven Notfallmaßnahmen vor, die eng mit der Business Continuity verzahnt werden sollten. Rechtlich im Vordergrund steht der Schutz von Beschäftigten – was selbstverständlich Priorität hat –, doch aus Unternehmenssicht möchte man nach Sicherung von Leib und Leben auch die materiellen Werte und die Geschäftsfähigkeit erhalten. Eine BIA berücksichtigt daher idealerweise auch, welche arbeitsschutzrechtlichen Abhängigkeiten es gibt (z.B. „ohne Evakuierungsdurchsage darf niemand zurück an die Arbeit“ – was die RTO beeinflusst) und welche Auflagen nach einem Unfall erfüllt werden müssen (z.B. behördliche Abnahmen vor Wiederinbetriebnahme einer Anlage).

Fazit rechtliche Einordnung: Kein Gesetz fordert explizit „Mache eine Business Impact Analyse und einen Fragebogen dazu“. Jedoch setzen die relevanten Rechtsnormen – IT-Sicherheit/KRITIS, Datenschutz, Arbeitsschutz – einen Rahmen, der BCM-ähnliche Elemente verlangt: Kontinuitätspläne, Datenverfügbarkeit, Notfallorganisation. Unternehmen tun gut daran, die BIA-Ergebnisse auch zur Erfüllung dieser Pflichten zu nutzen. Beispielsweise kann der BIA-Bericht Nachweise liefern für Prüfungen durch Aufsichtsbehörden (etwa: wie wurde Risiken Rechnung getragen?) oder Inputs geben für Dokumentationen (z.B. der im IT-Sicherheitskatalog geforderten Sicherheitskonzepte).

Der vorgestellte Fragebogen integriert an verschiedenen Stellen Hinweise auf Gesetze (siehe etwa DSGVO bei Daten, ArbSchG bei Evakuierung). Damit wird sichergestellt, dass die rechtliche Compliance parallel zur rein wirtschaftlichen Impact-Analyse berücksichtigt wird.

Neben gesetzlichen Vorgaben existiert eine Reihe von Normen, Standards und Best-Practice-Richtlinien, die Unternehmen als Orientierung für Business Continuity Management und speziell die Durchführung einer Business Impact Analyse dienen. Diese Standards sind in der Regel freiwillig, genießen aber hohe Anerkennung und werden oft von Auditoren herangezogen, wenn es um Zertifizierungen oder Bewertungen geht. Im Folgenden werden die wichtigsten einschlägigen Standards systematisch ausgewertet und kommentiert: International voran die ISO 22301 (und begleitende ISO 22317 für BIA) sowie national insbesondere die BSI-Standards (insb. 200-3 und 200-4). Auch auf branchenspezifische Normen wie die DIN EN 50600 (für Rechenzentren, relevant im Facility Management Kontext) wird eingegangen.

ISO 22301 ist der international anerkannte Standard für Business Continuity Management Systeme (BCMS). Er legt Anforderungen fest, wie Organisationen ein BCM einführen, betreiben, überwachen und kontinuierlich verbessern sollen. Die Norm folgt dem High-Level-Structure-Modell (Plan-Do-Check-Act) und integriert Business Continuity in einen Managementsystem-Ansatz, ähnlich wie ISO 9001 für Qualität oder ISO 27001 für Informationssicherheit. Zentral in ISO 22301 ist der Abschnitt 8.2, der die Business Impact Analysis (BIA) und Risikobewertung behandelt. ISO 22301 fordert, dass ein Unternehmen die für die Aufrechterhaltung seines Geschäftsbetriebs kritischen Aktivitäten identifiziert sowie deren Abhängigkeiten und Wiederanlaufziele bestimmt. Insbesondere verlangt die Norm, dass maximale Ausfallzeiten (MTPD/MAO) definiert und Wiederanlaufziele (RTO) festgelegt werden. Diese Größen müssen dokumentiert und vom Top-Management genehmigt sein, da sie als Grundlage für Strategien und Ressourcenplanung dienen.

ISO 22301 selbst gibt kein konkretes Verfahren vor, wie die BIA durchzuführen ist – hier kommt die ISO/TS 22317 ins Spiel. ISO/TS 22317:2015 (Technical Specification) ist ein Leitfaden, der speziell für die Business Impact Analyse entwickelt wurde. Er bietet einen detaillierten, Schritt-für-Schritt orientierten Rahmen, um eine BIA durchzuführen. Dabei werden z.B. folgende Empfehlungen gegeben: - Definition des Anwendungsbereichs der BIA (Scope: welche Teile der Organisation werden betrachtet). - Entwicklung eines BIA-Fragebogens und Identifikation relevanter Beteiligter. - Sammlung von Impact-Informationen je Prozess, einschließlich quantitativer und qualitativer Daten. - Ermittlung von Prioritized Activities: also geschäftskritische Aktivitäten, sortiert nach Dringlichkeit. - Ableitung von Recovery Objectives (RTO, RPO, Minimum Business Continuity Objective – MBCO, etc.). - Dokumentation und Bericht der BIA-Ergebnisse.

Die ISO 22317 betont auch die Wichtigkeit, Annahmen (assumptions) klar festzuhalten und bei Änderungen (neue Produkte, veränderte Rahmenbedingungen) die BIA anzupassen. Da es sich um eine Technical Specification handelt, ist ISO 22317 nicht direkt zertifizierbar, ergänzt aber ISO 22301 inhaltlich.

Für ein wissenschaftliches Vorgehen – wie in dieser Ausarbeitung – liefern ISO 22301 und ISO 22317 sozusagen die theoretische Legitimation für den Aufbau des Fragebogens. Viele der beschriebenen Konzepte (MTD, RTO, kritische Ressourcen, Interdependenzen) stammen aus dem Wortlaut bzw. Geist dieser Normen. So deckt der vorgestellte Fragebogen genau jene Punkte ab, die ISO 22301 als erforderlich definiert, um später Strategien zu entwickeln: Er identifiziert essenzielle Geschäftsprozesse, bewertet deren Auswirkungen bei Ausfall und bestimmt erforderliche Ressourcen und Zeitziele. Damit schafft er die evidenzbasierte Grundlage, um z.B. nach ISO 22301 implementierte Continuity-Pläne zielgenau auszurichten.

Ein Unternehmen, das eine Zertifizierung nach ISO 22301 anstrebt, würde von einem Auditor geprüft bekommen, ob es eine fundierte BIA durchgeführt hat. Der hier entworfene Fragenkatalog könnte dabei als Nachweis dienen, dass systematisch alle relevanten Aspekte abgefragt wurden (natürlich zusammen mit der konsolidierten Auswertung). In der Praxis wird oft gefordert, dass BIA-Berichte vom Top-Management freigegeben und zumindest jährlich überprüft werden – ein Zeichen dafür, wie strategisch wichtig diese Analyse ist.

Zusätzlich sei erwähnt: ISO 22301 verweist auch darauf, dass man Risikoanalyse und BIA nicht vermengen, aber verzahnen sollte. Risikoanalyse (Gefährdungsanalyse) betrachtet Eintrittswahrscheinlichkeit und Schadensausmaß für bestimmte Ereignisse, während BIA von den Prozessen her denkt (Schadensausmaß bei Ausfall, unabhängig von Ursache). In der ISO-Philosophie liefert die BIA die Business-Prioritäten und die Risikoanalyse die Bedrohungsszenarien. Beide zusammen führen dann zu angemessenen Continuity-Strategien. Daher empfehlen Standards oft, zunächst die BIA (was ist kritisch?) und danach die Risikoanalyse (wodurch bedroht?) zu machen. Der vorliegende Fragebogen tangiert primär die BIA; Risiken (Ursachen) wurden zwar teilweise in Fragen angerissen (z.B. „typische Störungsursachen“ in Produktion), aber eine vollständige Risikoanalyse erfordert darüber hinaus eine andere Methodik (Wahrscheinlichkeiten, Schadensmatrizen etc.), die im BIA-Tool nicht voll abgedeckt ist.

Zusammenfassend sind ISO 22301 und ISO 22317 als Gold-Standard für BCM/BIA zu sehen. Unternehmen, die diese Normen befolgen, haben einen international anerkannten Rahmen. Für unsere Zwecke bestätigt dies, dass der gewählte inhaltliche Zuschnitt des Fragebogens state of the art ist. Die Normen unterstreichen z.B. die Bedeutung quantitativer Analysen (wo möglich), das Top-Management-Commitment und den Zyklus aus regelmäßiger Überprüfung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen des IT-Grundschutzes ebenfalls Standards veröffentlicht, die für BCM und BIA relevant sind. Insbesondere: - BSI-Standard 200-3 „Risikoanalyse auf der Basis von IT-Grundschutz“ (Version 1.0 von 2017), - BSI-Standard 200-4 „Notfallmanagement (Business Continuity Management)“ (noch recht neu, als Nachfolger des älteren BSI-100-4).

BSI-Standard 200-3 liefert ein Framework für das Risikomanagement in Ergänzung zum IT-Grundschutz. Der IT-Grundschutz selbst geht zunächst von standardisierten Sicherheitsmaßnahmen aus, basierend auf einer Schutzbedarfsfeststellung der Informationswerte. Diese Schutzbedarfsfeststellung ist sehr nah an einer BIA, allerdings aus IT-Perspektive: Es wird je Objekt (Anwendung, System) eingeschätzt, welche Auswirkungen Verlust der Verfügbarkeit, Vertraulichkeit oder Integrität hätte (Kategorisierung in Normal, Hoch, Sehr Hoch). Damit werden kritische Systeme identifiziert. Anschließend erlaubt BSI 200-3, für diese kritischen Fälle eine detailliertere Risikoanalyse durchzuführen, die über den Grundschutz hinausgeht. Im Kontext BIA ist vor allem der Aspekt Impact-Analyse aus BSI 200-3 bemerkenswert: Der Standard sieht vor, die Konsequenzen von Sicherheitsvorfällen zu bewerten. Das deckt sich mit dem BIA-Ansatz, die Auswirkungen von Ausfällen zu betrachten. Allerdings ist 200-3 eher Bedrohungsorientiert (was passiert bei Bedrohung X) während BIA prozessorientiert (was passiert bei Ausfall Prozess Y). Beide Ansätze ergänzen sich: In der Praxis kann man aus der BIA ableiten, welche Prozesse/Informationswerte „Sehr hoch“ eingestuft werden müssen (Schutzbedarfskategorie), und für diese dann mit BSI 200-3 die spezifischen Risiken analysieren.

BSI-Standard 200-4 (veröffentlicht in den letzten Jahren, analog zu vormals BSI-100-4) adressiert direkt das Notfallmanagement bzw. BCM. Er beschreibt einen strukturierten Ansatz, um die Geschäftskontinuität einer Organisation sicherzustellen. BSI 200-4 orientiert sich ebenfalls an ISO 22301, enthält aber auch einige detaillierte Hinweise, wie z.B. die Erstellung von Notfallplänen, Einbindung ins ISMS und Verzahnung mit dem IT-Grundschutz. Besonders relevant: BSI 200-4 umfasst die Business Impact Analyse als Kernkomponente des BCM-Prozesses. Es betont, dass zunächst eine BIA und eine ergänzende Risikoanalyse durchgeführt werden müssen, um dann auf dieser Basis Notfallstrategien und Pläne zu entwickeln. In gewissem Sinne stellt BSI 200-4 also einen Leitfaden dar, wie die in ISO 22301 geforderten Aktivitäten konkret umgesetzt werden können, angepasst auf die deutsche Verwaltung/Unternehmenslandschaft.

Ein Beispiel aus BSI 200-4: Dort wird empfohlen, das Notfallmanagement in die bestehende Aufbauorganisation zu integrieren, Rollen wie Notfallmanager und Notfallkoordinatoren zu benennen und ein Notfallhandbuch zu erstellen, in dem BIA-Ergebnisse, Notfallpläne etc. niedergelegt sind. Der Bezug zur BIA wird dadurch klar, dass z.B. vorgeschlagen wird, im Notfallhandbuch Tabellen mit Prioritäten (RTOs) der Prozesse aufzunehmen – genau das Ergebnis unseres Fragebogens. Auch sollen Abhängigkeiten und Ressourcen klar dokumentiert werden (z.B. IT-Notfallplanung verknüpft mit Geschäftsprozessen laut BIA).

Aus Facility-Management-Sicht interessant: BSI 200-4 behandelt nicht nur IT-Notfälle, sondern alle Arten von Geschäftsunterbrechungen (also auch Gebäudeschäden, Ausfall von Personal usw.). Damit ist es ein ganzheitlicher Standard, der gut auf industrielle Anwendung passt.

Die hier entwickelte BIA ist konform mit den Empfehlungen des BSI: Zunächst wurden Schutzbedarfe ermittelt (in den Fragen zur Kritikalität und Impact), dann RTO/MTD bestimmt, dann Notfallanforderungen (Ressourcen etc.). Dieser Datenkranz kann 1:1 in den IT-Grundschutz-Workflow eingebracht werden. Beispielsweise könnte man aus den Fragen 8–10 (Ressourcen, Abhängigkeiten) direkt die im IT-Grundschutz-Modell geforderten „Strukturanalysen“ und „Verfügbarkeitsanforderungen“ ableiten.

In der Praxis haben viele deutsche Unternehmen ein ISMS nach BSI-Grundschutz oder ISO 27001 – hier sollte BCM idealerweise integriert sein. BSI 200-3 und 200-4 stellen sicher, dass BCM nicht isoliert läuft, sondern als Teil der Informationssicherheit und des Risikomanagements gesehen wird. Für eine Habilitations-Argumentation lässt sich feststellen: Die BSI-Standards liefern wissenschaftlich fundierte, anerkannte Vorgehensweisen, die den in dieser Arbeit vorgestellten Fragebogen inhaltlich untermauern. So wird zum Beispiel in BSI 200-3 darauf hingewiesen, dass eine zusätzliche Analyse erforderlich ist für „wertvolle“ Prozesse/Systeme, was genau das ist, was unsere BIA leistet – nämlich über den Grundschutz hinaus Details zu erheben, um maßgeschneiderte Maßnahmen abzuleiten.

Die Norm DIN EN 50600 ist eine europäische Normenreihe für Rechenzentren und Rechenzentrums-Infrastruktur. Warum ist sie in diesem Kontext relevant? Zum einen, weil sie im Facility Management Sektor verankert ist und Vorgaben für Planung, Bau und Betrieb von Rechenzentren macht. Zum anderen, weil sie ein Klassifikationsschema für Verfügbarkeit enthält, das exemplarisch zeigt, wie man technische Infrastruktur nach Kontinuitätsanforderungen auslegen kann. Viele Industrieunternehmen betreiben eigene Serverräume oder kleine Rechenzentren für Produktions-IT und Verwaltung – hier bietet DIN EN 50600 Anhaltspunkte, wie robust (redundant) diese ausgeführt sein sollten, je nach benötigter Verfügbarkeit.

DIN EN 50600 definiert vier Verfügbarkeitsklassen (Klasse 1 bis 4) für Rechenzentren: - Klasse 1: Geringe Maßnahmen zur Verfügbarkeitssteigerung. Sowohl Wartungsarbeiten als auch Störungen können jederzeit zu ungeplanten Unterbrechungen führen. (Impliziert: keine Redundanz, Single-Point-of-Failure vorhanden.) - Klasse 2: Erhöhte Verfügbarkeit durch redundante Komponenten. Wartungen können teilweise ohne Unterbrechung erfolgen, aber technische Störungen können nach wie vor unvorhergesehen Ausfälle verursachen. - Klasse 3: Wartungen sind ohne Betriebsunterbrechung möglich. Redundante Systeme und weitere Vorsorgemaßnahmen erlauben es, dass der Betrieb in den meisten Fällen auch bei Fehlern weiterläuft. - Klasse 4: Höchste Verfügbarkeit und Zuverlässigkeit. Anforderungen von Klasse 3 plus umfassende Vorsorgemaßnahmen, sodass der Betrieb in jedem Fall aufrechterhalten bleibt; Ausfälle sind nahezu ausgeschlossen.

Diese Klassifizierung spiegelt im Grunde verschiedene Grade von Business Continuity wider, bezogen auf IT-Infrastruktur. Ein Rechenzentrum Klasse 4 wäre für Prozesse nötig, die praktisch keinen Ausfall tolerieren (24/7-Betrieb, z.B. Börsenhandelssysteme, kritische Leitsysteme). Klasse 1 reicht für unkritische Anwendungen. Warum ist das wichtig? In der BIA werden die Anforderungen an Verfügbarkeit festgestellt (z.B. RTO = 4 Stunden). Normen wie DIN EN 50600 helfen dann, die technische Umsetzung abzuleiten: Will ich RTO sehr niedrig halten, brauche ich eher Klasse 3 oder 4 Infrastruktur, d.h. voll redundante Stromversorgung, Netz, Klima etc..

Gerade im Facility Management ist DIN EN 50600 ein Thema, weil es auch bauliche, physische Sicherheit und energetische Aspekte abdeckt. So werden auch Schutzklassen definiert (für physische Sicherheit), und Granularitätsstufen für Energie-Monitoring. Für BCM relevant ist vor allem der Teil Verfügbarkeit und physische Sicherheit: Ein Brand im Rechenzentrum etwa wäre ein GAU – Klasse 4 sieht Brandfrüherkennung, Gaslöschanlagen etc. vor, um das Risiko zu minimieren.

Ein Unternehmen, das seine IT nach DIN EN 50600 Klasse 3+ auslegt, erfüllt damit schon einen hohen Continuity-Standard für IT-Services. In der BIA wird ja auch nach technischen Abhängigkeiten gefragt (z.B. "welche IT-Systeme sind kritisch, ist deren Ausfall tolerierbar?"). Wenn herauskommt "Mailserver Ausfall max. 4h tolerierbar", sollte das Rechenzentrum oder Cloud-Service diese Verfügbarkeit bieten.

DIN EN 50600 ist keine Pflichtnorm, aber sie gilt als "Regel der Technik". D.h. hält man sich daran, kann man im Schadenfall nachweisen, nach Stand der Technik vorgesorgt zu haben. Für BCM-Literatur kann man das so interpretieren: Die Norm liefert benchmarks, an denen sich die eigene Infrastruktur messen lässt.

In der Tabelle 1 dieser Arbeit wurden qualitativ Schadensklassen für Prozesse definiert. Ähnlich könnte man (und macht DIN EN 50600) Downtime-Klassen definieren. Beispielsweise: Klasse 4 RZ zielt auf 99,995% Verfügbarkeit (~ 26 Minuten Downtime/Jahr), Klasse 3 auf 99,98% (~1,6 Stunden Ausfall/Jahr). So kann man quantitativ argumentieren, welcher BIA-Kritikalität welche technische Gegenmaßnahme entspricht.

Für ein Facility-Management Habilitationsthema ist es schlüssig, Normen wie DIN EN 50600 einzubinden, weil sie die Brücke schlagen zwischen der Management-Analyse (BIA) und dem technischen Realisieren von Kontinuität (ausfallsichere Gebäude- und IT-Infrastruktur). Auch in anderen Bereichen gibt es Normen (z.B. ISO 22320 für Notfallmanagement, ISO 27031 für ICT-Continuity, BS 25999 als Vorgänger der ISO 22301, BCI Good Practice Guidelines etc.), doch die hier gewählten Beispiele decken die wichtigsten Aspekte ab: organisatorisches BCM (ISO), behördliche Vorgaben (BSI) und technische Verfügbarkeitsstandards (DIN EN 50600).

Nachfolgend findet sich ein Musterformular eines BIA-Fragebogens, das sämtliche im Hauptteil diskutierten Fragen in strukturierter Form zur Beantwortung bereitstellt. Dieses Formular kann im Unternehmen eingesetzt werden, um die BIA-Daten pro Funktionsbereich und Prozess zu erheben. (Hinweis: Das Formular ist firmenneutral; Platzhalter ____ sind vom Anwender durch unternehmensspezifische Angaben zu ersetzen.)

• Standort/Betriebsstätte: ____

• BIA durchgeführt von (Name, Funktion): ____

• Datum der BIA-Erhebung: ____

• Geltungsbereich: Administration / Produktion / Lager / Labor / … (Zutreffendes markieren oder benennen)

• Bitte listen Sie die wesentlichen Geschäftsprozesse Ihres Bereichs auf und beschreiben Sie kurz deren Aufgabe/Output: 1. Prozessname: ____ – Beschreibung: ____

• 2. Prozessname: ____ – Beschreibung: ____

• 3. ... usw.

• Für jeden genannten Prozess bewerten Sie bitte die Kritikalität für den Geschäftsbetrieb:

• Prozess: ____ – Kritikalität (bitte ankreuzen): [ ] Gering / [ ] Mittel / [ ] Hoch / [ ] Kritisch

• Prozess: ____ – Kritikalität: [ ] Gering / [ ] Mittel / [ ] Hoch / [ ] Kritisch

• Falls möglich, quantifizieren Sie die potentiellen finanziellen Verluste/Mehrkosten eines Ausfalls:

• Prozess ____: ca. ____ € pro Tag Ausfall (Schätzung).

• Prozess ____: ca. ____ € pro Tag.

• (Optional: falls genaue Zahlen nicht verfügbar, können Kategorien verwendet werden, z.B. <10k€/Tag, 10-50k€/Tag, >50k€/Tag.)

• Hat ein Ausfall des Prozesses ____ rechtliche oder vertragliche Folgen? Liste wichtiger Pflichten/Fristen:

• Prozess ____: ____ (z.B. "Lohnzahlung bis zum 3. des Monats gem. §X Gesetz, würde bei Ausfall verletzt").

• Prozess ____: ____ (z.B. "Liefervertrag mit Kunde Y: Vertragsstrafe ab 48h Lieferverzug").

• (Führen Sie alle relevanten Verpflichtungen auf, inkl. interne Richtlinien falls kritisch.)

• Process ____: MTD = ____ (hours/days).

• Process ____: MTD = ____.

• (The longest downtime that can be tolerated before lasting damage occurs.)

• Prozess ____: RTO = ____ (Stunden/ Tage).

• Prozess ____: RTO = ____.

• (Innerhalb dieses Ziels soll der Prozess idealerweise wieder laufen. RTO ≤ MTD.)

• IT/Technik: ____ (z.B. Name der Anwendung, Maschine etc., inkl. evtl. Notfall-Laptop oder Ersatzmaschine).

• Infrastruktur: ____ (z.B. konkreter Raum, alternativer Standort?).

• Externe Dienstleister/Lieferanten: ____ (Name, vertragliche Regelung für Notfall?).

• (Angaben was mindestens vorhanden sein muss, um in Notbetrieb zu gehen.)

• Prozess ____: Verarbeitung personenbezogener Daten? [ ] ja / [ ] nein. Wenn ja: Sind Backups vorhanden und getestet? [ ] ja / [ ] nein. Besondere DSGVO-Anforderungen: ____.

• (Bei "ja" bitte erklären, wie die Verfügbarkeit der Daten im Notfall sichergestellt wird, z.B. tägliches Backup auf externem Medium, Cloud-Failover etc.)

• Prozess ____ ist abhängig von (Vorgängerprozesse/Zulieferungen): ____.

• Prozess ____ versorgt (Nachfolger/Bereich abhängig): ____.

• (Angabe z.B.: "Einkauf hängt ab von Bedarfsplanung (Produktion); liefert an Wareneingang und Produktion".)

• Prozess ____: Kann bei Ausfall durch manuelle Verfahren überbrückt werden? ____ (Beschreibung des möglichen Workarounds, oder "nein").

• (Beispiel: "Eingehende Bestellungen könnten vorübergehend per Excel erfasst werden".)

• Prozess ____: Könnte im Notfall extern erledigt werden durch ____ (Name Dienstleister) auf Basis Vereinbarung? [ ] ja / [ ] nein. Details: ____.

• (Z.B.: "Lohnabrechnung könnte Steuerberater übernehmen, Vertrag vorhanden". Bei nein ggf. "nicht vorgesehen".)

• Nennen Sie typische Störungen, die Prozess ____ treffen könnten (z.B. IT-Ausfall, Maschinenausfall, Personalengpass) und kurze Einschätzung, welche am gravierendsten wären: ____.

• (Hilft bei späterer Risikoanalyse, optional im BIA-Bogen.)

• Gibt es bereits Notfall- oder Wiederanlaufpläne für Prozess ____? [ ] ja / [ ] nein. Wenn ja, wo dokumentiert: ____.

• Welche präventiven Maßnahmen bestehen schon? ____ (z.B. USV für Server, Zweitlieferant, etc.)

• (Dies erhebt den Status Quo der BCM-Maßnahmen.)

Bitte wiederholen Sie die Abschnitte B–O für jeden Funktionsbereich bzw. die jeweils relevanten Prozesse. Achten Sie darauf, dass alle Antworten so klar und präzise wie möglich ausfallen. Bei Unsicherheiten sollten Annahmen dokumentiert oder mehrere Personen konsultiert werden.

Ende des Fragebogens.

Dieser Musterfragebogen ist unbefüllt. Er dient als Vorlage. In einer realen Anwendung würden die Antworten in die freien Felder eingetragen. Die Struktur und Fragen entsprechen dem in der Arbeit erläuterten Katalog, inkl. der notwendigen Kommentierungen und Erläuterungen im Hintergrund.