Zurück zum Glossar
B
Definition

BCP (Business Continuity Plan) IT-Definition

Geschäftskontinuitätsplan: Gesamtheit organisatorischer und technischer Maßnahmen, die einem Unternehmen ermöglichen, seine essenziellen Aktivitäten bei einem schwerwiegenden Vorfall aufrechtzuerhalten.

Der BCP (Business Continuity Plan, im Französischen PCA) ist die Gesamtheit der organisatorischen, technischen und menschlichen Vorkehrungen, die einem Unternehmen ermöglichen, seine essenziellen Aktivitäten — auch teilweise — bei einem schwerwiegenden Vorfall aufrechtzuerhalten: IT-Ausfall, Cyberangriff, Brand, Überflutung, Pandemie, soziale Unruhen. Ein Thema der SI-Governance und der allgemeinen Unternehmens-Governance.

Mit dem Inkrafttreten des DORA im Januar 2025 im Finanzsektor und NIS2 in 18 kritischen Sektoren ist der BCP nicht mehr optional: er ist eine regulatorische Verpflichtung mit Sanktionen. Laut Gartner-Umfrage 2024 brauchen 65 % der Unternehmen, die einen schwerwiegenden Vorfall ohne getesteten BCP erleiden, mehr als sechs Monate für die Rückkehr zur vorherigen Leistung — ein Viertel davon erholt sich nie ganz.

BCP vs. [DRP](/de/glossary/pra): die fundamentale Unterscheidung

  • Der BCP ist breit: er deckt das gesamte Unternehmen ab — IT, Personal, Räumlichkeiten, Kommunikation, Logistik, Lieferanten.
  • Der DRP (Disaster Recovery Plan, französisch PRA) ist eine technische Teilmenge des BCP, fokussiert auf die SI-Wiederherstellung.

Konstruktionsschritte (ISO 22301)

  1. Business Impact Analysis (BIA): kritische Prozesse, RTO, RPO, Abhängigkeiten.
  2. Risikoanalyse: Bedrohungen identifizieren.
  3. Kontinuitätsstrategien: Ausweichstandorte, generalisierbares Homeoffice, RTO-Ziel.
  4. Plandokumentation: Verfahren, Krisen-Organigramme, Kommunikationsskripte.
  5. Tests und kontinuierliche Verbesserung: regelmäßige Übungen, mindestens jährliche Aktualisierung.

Typische Inhalte

  • Krisenstab: Zusammensetzung, Rollen, Vertretungen.
  • Kritische Prozesse: hierarchisierte Liste mit RTO und RPO.
  • Notmodi: Funktionieren ohne IT.
  • Ausweichstandorte: geografisch und IT.
  • Kommunikationsplan: intern, extern.
  • Anruf-Bäume: wer ruft wen an.

Den BCP testen: nicht verhandelbar

  • Tabletop-Übung: Verfahrensreview im Raum.
  • Walkthrough: Schritt-für-Schritt.
  • Simulation: simulierte Krise unter realen Bedingungen.
  • Teiltest: tatsächliche Umschaltung eines Systems.
  • Vollständiger Test: Komplettumschaltung — mindestens jährlich für kritische Organisationen.

DORA verlangt einen mindestens jährlichen Test für Finanzinstitute und einen vollständigen Resilienztest alle 3 Jahre.

Normen und Referenzwerke

  • ISO 22301: internationale Norm für Business Continuity Management.
  • ISO 22313: Anwendungsleitfaden zu ISO 22301.
  • ITIL 4: Praktik Service Continuity Management.

Kabeen verbindet automatisch Anwendungen, geschäftliche Nutzungen und Kosten, um eine BIA auf lebenden Daten aufzubauen.

Häufig gestellte Fragen

Was ist ein BCP?

+

Ein BCP (Business Continuity Plan, französisch PCA) ist die Gesamtheit organisatorischer, technischer und menschlicher Maßnahmen, die einem Unternehmen ermöglichen, seine essenziellen Aktivitäten bei einem schwerwiegenden Vorfall aufrechtzuerhalten: IT-Ausfall, Cyberangriff, Brand, Pandemie. Er deckt das gesamte Funktionieren ab — IT, HR, Räumlichkeiten, Kommunikation, Lieferanten — nicht nur die IT-Dimension.

Unterschied zwischen BCP und DRP?

+

Der BCP deckt das gesamte Unternehmen ab (IT, Fachbereiche, Logistik, Kommunikation) mit dem Ziel, die Aktivität aufrechtzuerhalten. Der DRP (Disaster Recovery Plan, französisch PRA) ist eine technische Teilmenge des BCP, fokussiert auf die Wiederherstellung des Informationssystems nach einem Vorfall. Der BCP ist breiter und strategischer; der DRP ist technischer und operativer. Die beiden sind untrennbar.

Ist ein BCP verpflichtend?

+

Ja in vielen regulierten Sektoren. DORA (Digital Operational Resilience Act), seit Januar 2025 in Kraft, schreibt europäischen Finanzinstituten einen getesteten BCP vor. NIS2 weitet diese Anforderung auf 18 kritische Sektoren aus (Energie, Gesundheit, Verkehr, Wasser, öffentliche Verwaltung). Für andere Sektoren bleibt der BCP eine stark von Versicherern und Regulatoren empfohlene Best Practice.

Wie oft testet man seinen BCP?

+

Die Häufigkeit hängt vom Sektor und der Kritikalität ab. DORA schreibt einen mindestens jährlichen Test für Finanzinstitute vor, und einen vollständigen Resilienztest alle 3 Jahre. Für andere Organisationen empfiehlt ISO 22301 mindestens eine jährliche Tabletop-Übung und einen Teiltest alle 12 bis 24 Monate. Ein ungetesteter BCP ist nutzlos: erst beim Test werden die Lücken zwischen Theorie und Realität sichtbar.

Alle Begriffe

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

5R-Methode

Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.

8

8R-Methode

Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.

A

Anwendung

Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.

A

Architektur

Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.

Zurück zum Glossar

Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?

Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.

Kostenlos testen