Sprechen wir über die BIA, die in Ihrem gemeinsamen Laufwerk liegt.
The one where IT filled in the impact ratings on a Tuesday afternoon, sent it to the BC manager for “review,” and nobody touched it again until the auditor asked.
Sie kennen sie.
The columns are all “High.” Or all “Medium.” Nobody remembers what the thresholds mean. There’s no RTO. No MTPoD. No system dependencies. No contingency column, because nobody thought about what happens after the spreadsheet gets approved.
Und wenn der tatsächliche Ausfall eintritt? Niemand öffnet die BIA. Weil die BIA nichts Nützliches liefert.
Genau diese BIA ersetzen wir.
Warum die meisten BIAs scheitern
Eine BIA ist kein Formular. Sie ist ein Gespräch. Und die meisten Organisationen überspringen das Gespräch und gehen direkt zum Formular über.
Folgendes läuft schief:
- Die IT macht es allein. Eine BIA ist eine Business-Übung. Wenn CFO, Head of Ops und Head of Sales nicht im Raum waren, ist Ihre BIA eine Vermutung in einer Tabelle.
- Impact-Stufen sind nicht definiert. “High” means nothing if you haven’t defined what “High” looks like in euros, in customers lost, in regulatory exposure.
- Es deckt Systeme ab, vergisst aber die Menschen. Ein Ausfall Ihres ERP ist ein Problem. Dass Ihr gesamtes Finanzteam nicht arbeiten kann, ist ein anderes.
- Es deckt Systeme ab, vergisst aber die Standorte. Wenn Ihre Hauptniederlassung nicht zugänglich ist, funktioniert Ihre Kontingenzmassnahme wirklich?
- Es fehlt die Zeitdimension. 4 Stunden ohne E-Mail ist lästig. 10 Tage ohne E-Mail ist katastrophal. Eine BIA ohne Impact-über-Zeit-Matrix ist eine Momentaufnahme, keine Analyse.
- RTO und MTPoD fehlen. Wenn Sie nicht definieren, wie schnell ein System wiederhergestellt werden muss und wie lange das Unternehmen den Ausfall tolerieren kann, arbeitet Ihr DR-Team auf Basis von Annahmen.
Was wir entwickelt haben
Wir haben das BIA-Template entwickelt, das wir tatsächlich in ISO 22301-Beratungsprojekten einsetzen. Und dann haben wir es kostenlos bereitgestellt.
Drei Bewertungsabschnitte. Ein Framework zur Impact-Definition. Null Interpretationsspielraum.
Abschnitt 1: Personen
SpalteWas erfasst wirdAbteilung / FunktionJede Geschäftseinheit, nicht nur die ITPrioritätHoch / Mittel / Niedrig, das Kritikalitätsranking der AbteilungAbteilungsleiterNamed owner, not “the responsible person”MitarbeiterzahlVollzeit, Teilzeit, Auftragnehmer, die Personalstärke beeinflusst die WiederherstellungArbeitsortVon wo aus sie arbeiten, bestimmt die Planung von AusweichstandortenImpact über Zeit4-stufige Matrix: 0–1 Tage, 2–4 Tage, 5–10 Tage, >10 TageSystemabhängigkeitenWelche Systeme dieses Team nicht entbehren kann
Das ist keine blosse Abteilungsliste. Es ist eine Karte, wie Ihr Unternehmen zusammenbricht, wenn Menschen nicht arbeiten können.
Abschnitt 2: Systeme
SpalteWas erfasst wirdWas es tutIn verständlicher Sprache, nicht der HerstellerproduktnamenWie es heisstDer tatsächliche SystemnameWer es nutztWelche Teams von diesem System abhängenRTORecovery Time Objective, wie schnell es wiederhergestellt sein mussMTPoDMaximum Tolerable Period of DisruptionImpact über ZeitDieselbe 4-stufige Matrix: Eskalation von Niedrig bis KatastrophalAbhängigkeitenPersonen, Funktionen, Abteilungen, die davon abhängenKontingenzWas Sie einsetzen, wenn dieses System ausfällt
Vorausgefüllt mit gängigen Systemen: Kernanwendung, Buchhaltung, HR, E-Mail, Dateispeicher, Website, Webhosting, Quellcodeverwaltung, CRM, plus leere Zeilen für Ihre eigenen.
Abschnitt 3: Standorte
SpalteWas erfasst wirdStandortnameHauptniederlassung, Zweigstellen, RechenzentrenWo befindet er sichPhysische AdresseWer nutzt ihnWelche Teams dort ansässig sindRTOWie schnell der Standort wieder betriebsbereit sein mussMTPoDMaximale tolerierbare Ausfallzeit ohne diesen StandortImpact über ZeitDieselbe 4-stufige EskalationsmatrixAbhängigkeitenBetroffene Teams und FunktionenKontingenz“Remote working” isn’t always the answer, what’s yours?
“Most BIAs skip locations entirely. Then the flood hits and nobody knows which teams are affected, what systems were hosted there, or where people should go.”
Impact-Level-Definitionen
Das Template enthält ein eigenes Tabellenblatt mit der Definition von vier Impact-Stufen:
StufeFinanzieller SchwellenwertBedeutungKatastrophal>£100.000Lebensgefahr. Das Unternehmen kann seinen gesetzlichen Pflichten nicht mehr nachkommen. Mögliche Einstellung des Geschäftsbetriebs.Hoch£30.000–£50.000Erheblicher Schaden. Möglicher Verlust von Kunden und Verträgen.Mittel£10.000–£30.000Interner Schaden spürbar. Geringes Risiko für den Geschäftsbetrieb. Geringe Auswirkungen auf Kunden.Niedrig<£10.000Kaum bis keine Auswirkungen.
“Customise the thresholds to your organisation, but keep the structure. The point is that when someone selects “High,” everyone in the room knows exactly what that means.”
Für wen ist das gedacht
- BC-Manager die ihre erste BIA durchführen oder eine schlechte überarbeiten
- CISOs und Risk Manager die IT-Disaster-Recovery mit dem Business Impact verknüpfen müssen
- ISO 22301 Lead Implementer die dokumentierte BIA-Nachweise für die Zertifizierung benötigen
- Von NIS2 betroffene Organisationen Artikel 21 verlangt Business-Continuity-Massnahmen, und eine BIA ist der Ausgangspunkt
- DORA-regulierte Einrichtungen Artikel 11–12 fordern eine auf Impact-Analyse gestützte IKT-Kontinuitätstestung
- Berater die es leid sind, für jeden Kunden BIA-Templates von Grund auf neu zu erstellen
So verwenden Sie es
- Beginnen Sie mit den Personen. Holen Sie die Abteilungsleiter in den Raum. Nicht nur die IT. Legen Sie gemeinsam Prioritäten, Personalstärke, Standorte und den Impact über Zeit fest.
- Weiter zu den Systemen. For each system, define RTO and MTPoD. Fill in the impact matrix. Document the contingency, “we’ll figure it out” is not a contingency.
- Standorte erfassen. Jeden physischen Standort. Was passiert, wenn er einen Tag, eine Woche oder zwei Wochen nicht verfügbar ist?
- Mit dem Impact-Level-Tabellenblatt kalibrieren. Make sure everyone agrees on what “Catastrophic” means before anyone starts rating things.
- Vierteljährlich überprüfen. Eine 12 Monate alte BIA ist Fiktion. Systeme ändern sich, Personen wechseln, Prioritäten verschieben sich.
Jetzt herunterladen
Passen Sie die finanziellen Schwellenwerte an, fügen Sie Ihre Abteilungen und Systeme hinzu, und Sie haben an einem Nachmittag eine funktionierende BIA. Keine perfekte, sondern eine echte. Perfektion kommt später.
👉 Business Impact Assessment Template herunterladen, kostenlos
Möchten Sie tiefer einsteigen?
Eine BIA ist Schritt eins. Die Methodik, die Workshops, die Fallstudien: das ist es, was eine Tabelle in ein Programm verwandelt.
- ISO 22301 Lead Implementer, BIA-Methodik, BC-Strategien, Übungsgestaltung
- ISO 27001 Lead Implementer, weil Informationssicherheit und Business Continuity untrennbar sind
- DORA Lead Manager, IKT-Kontinuität für Finanzunternehmen
- NIS2 Lead Implementer, für wesentliche und wichtige Einrichtungen unter NIS2
Alle Schulungen: Zertifiziert oder erstattet.
Cyber Academy, cyberacademy.net
Wir vermitteln keine Theorie. Wir vermitteln Überlebensfähigkeit.
