- BSI-Standard 200-4 beschreibt Business-Continuity-Management als Führungsaufgabe und orientiert sich an ISO 22301:2019 für organisatorische Resilienz.
- Die Business-Impact-Analyse (BIA) identifiziert kritische Prozesse, Abhängigkeiten und Wiederanlaufzeiten – als Grundlage für Notfallpläne und Krisenorganisation.
- Honicon integriert BCM direkt in digitalisierte End-to-End-Prozesse statt isolierter Fachsysteme – mit Atlassian-Tools oder Plane.
- Jira, Confluence & Assets bilden Notfallorganisation, Meldewege, Wiederanlaufpläne und Abhängigkeiten ab – für dauerhaften BCM-Betrieb im öffentlichen Sektor.
Im Alltag von Verwaltungen und kommunalen Unternehmen zählen Verlässlichkeit, klare Abläufe und nachvollziehbare Entscheidungen. Trotzdem läuft nicht jeder Tag nach Plan: Anwendungen stehen zeitweise nicht zur Verfügung, Gebäude oder Netze brauchen kurzfristige Aufmerksamkeit, einzelne Schritte geraten ins Stocken. BSI-Standard 200-4 knüpft an diese Situationen an und beschreibt, wie Organisationen ihre wichtigen Prozesse so strukturieren, dass sie bei Störungen handlungsfähig bleiben oder nach einer Unterbrechung in angemessener Frist auf einem definierten Mindestniveau erneut anlaufen. Im Mittelpunkt steht die Frage, wie Kommunen ihren Auftrag stabil und nachvollziehbar erfüllen – auch dann, wenn Rahmenbedingungen sich kurzfristig ändern.
Der Standard legt Business-Continuity-Management als Führungsaufgabe aus.Das Ziel: organisatorische Resilienz. Institutionen sollen Risiken und Chancen durch Veränderungen früh erkennen, Auswirkungen einschätzen, flexibel reagieren. Nicht allein technische Infrastruktur steht im Fokus, sondern das Zusammenspiel aus Organisation, Technik, Bau und Personal. Nur dieses Zusammenspiel trägt in einer Krise.
Auftrag und Struktur von BSI-Standard 200-4
BSI-Standard 200-4 beschreibt ein vollständiges BCM nach den Vorgaben der Norm ISO 22301:2019. Die Orientierung an dieser Norm sichert Anschlussfähigkeit an andere Managementsysteme. Gleichzeitig strukturiert der Standard den Einstieg über ein Stufenmodell. Einrichtungen mit begrenzten Ressourcen starten auf einer Einstiegsstufe, erweitern den Umfang Schritt für Schritt und nähern sich so einem umfassenden BCM.
Im Zentrum steht die Aufgabe, Geschäftsprozesse trotz schwerer Störungen aufrechtzuerhalten oder nach einer Unterbrechung in definierter Zeit wieder auf Mindestniveau zu bringen. Dazu gehören organisatorische Regelungen, technische Vorsorge, bauliche Schutzmaßnahmen und personelle Vorkehrungen. Notfallhandbuch, Ausweicharbeitsplätze, Wiederanlaufpläne, Notbetriebsverfahren, Rollen in Krisenorganisation und Übungen greifen ineinander.
Der Standard beschreibt den Ablauf von Störung, Notfall und Krise. Eine Störung beeinflusst den Betrieb, bleibt jedoch noch beherrschbar.Notfall und Krise stehen für Situationen mit deutlich höherer Tragweite. In diesen Lagen greift BCM. Abläufe erhalten eine eigene Struktur, Zuständigkeiten wechseln, Prioritäten verschieben sich. Das Ziel lautet, Zeitverlust zu begrenzen, Schäden einzudämmen und die Erbringung kritischer Leistungen zu sichern.
Auch im BCM-Kontext spielt der PDCA-Zyklus eine zentrale Rolle. Planen, Umsetzen, Prüfen, Anpassen – dieser Rhythmus prägt Aufbau und Betrieb des Managementsystems. Strategie, Notfallkonzept, Übungen, Auswertungen und Verbesserungsmaßnahmen stehen in direkter Verbindung. Ein einmal verabschiedetes Notfallhandbuch genügt somit nicht. Strukturen bleiben in Bewegung.
Business Impact Analyse und Resilienz
Ein zentrales Instrument im BSI-Standard 200-4 ist die Business-Impact-Analyse (BIA). Sie stellt nicht die technischen Komponenten in den Vordergrund, sondern die Auswirkungen auf Aufgaben, Produkte und Dienstleistungen. Die Fachbereiche beschreiben, welche Folgen Ausfälle bei unterschiedlicher Dauer haben, welche Abhängigkeiten bestehen und welche Prozesse höchste Priorität besitzen. So entsteht ein Gesamtbild, das der Leitungsebene als Grundlage für Entscheidungen dient.
Aus der Business Impact Analyse leitet die Organisation Anforderungen an Wiederanlaufzeiten, Kapazitäten im Notbetrieb, Kommunikationspflichten und Mindestressourcen ab. Diese Anforderungen spiegeln sich später in Notfallplänen und Wiederanlaufszenarien. Resilienz entsteht nicht zufällig, sondern resultiert aus bewussten Festlegungen.
Je höher der Reifegrad eines BCM, desto besser gelingt der Umgang mit Veränderungen. Neue Technologien, Gesetzesänderungen, veränderte Bedrohungslagen, strukturelle Reformen: Institutionen mit stabilem BCM erkennen Folgen solcher Entwicklungen schneller, strukturieren Reaktionen, nutzen Chancen und begrenzen Schäden. Resilienz meint in diesem Zusammenhang keine starre Härte, sondern geordnete Anpassungsfähigkeit.
Ein Informationssicherheitsmanagementsystem nach BSI-Standard 200-1 oder ISO/IEC 27001 bietet dafür eine sinnvolle Ergänzung, gilt jedoch nicht als zwingende Voraussetzung. BSI-Standard 200-4 lässt den Aufbau eines BCM auch ohne vorhandenes ISMS zu. Wo bereits ein ISMS existiert, erscheint jedoch eine enge Verzahnung zweckmäßig, etwa bei Risikobetrachtungen, Schulungskonzepten und Auditstrukturen.
Honicon : Prozesse, Atlassian-Werkzeuge und BCM
Honicon ist eine kleine IT-Beratungsfirma mit Ursprung in der Prozessberatung. Im Mittelpunkt steht der Anspruch, die Geschäftsprozesse einer Organisation ganzheitlich im Blick zu behalten, sie zu analysieren, zu modellieren und konsequent zu digitalisieren. Die besondere Stärke liegt darin, innerhalb dieser digitalisierten Prozesse Informationssicherheitsmanagement und insbesondere Business-Continuity-Management nicht nachträglich „anzudocken“, sondern von Beginn an integriert mitzudenken und fest zu verankern. Dieser Ansatz gilt sowohl für Lösungen auf Basis von Jira, Confluence, Assets und weiteren Werkzeugen aus dem Atlassian-Kosmos als auch für Umsetzungen mit Systemen aus der Plane-Familie. Entscheidend ist für Honicon, dass BCM und ISMS kein weiteres, isoliertes Fachsystem bilden, sondern integraler Bestandteil der durchgängig digitalisierten Prozesse sind. Im Team stehen geschulte, als externe Informationssicherheitsbeauftragte zertifizierte Fachkräfte. Projekte mit Behörden, Landkreisen, kommunalen Gesellschaften und anderen Trägern in öffentlicher Hand prägen das Profil.
Aus dieser Perspektive rückt der Prozesscharakter von BCM in den Vordergrund. BSI-Standard 200-4 definiert klare Phasen, Rollen und Dokumente. Honicon setzt diese Vorgaben in Abläufe um, die sich in bestehende Strukturen einer Verwaltung einfügen. Notfallorganisation, Meldewege, Wiederanlaufschritte, Nachbereitungsprozesse: All dies erhält eine Form, die zu geltenden Vorgaben passt und zugleich effizient bleibt. Durch die Einbettung von BCM und ISMS in digitalisierte End-to-End-Prozesse entstehen Lösungen, die im Alltag genutzt werden und nicht nur auf dem Papier bestehen – unabhängig davon, ob die technische Basis aus Atlassian-Werkzeugen oder aus Plane stammt.
Jira eignet sich in diesem Zusammenhang als Steuerungsinstrument. Notfallübungen, Maßnahmen aus Lessons Learned, Pflege von Notfallplänen, Umsetzungsaufträge aus Management-Reviews und Audits laufen dort in strukturierten Vorgängen. Verantwortlichkeiten, Fristen und Status erscheinen transparent. Confluence liefert die Grundlage für Notfallhandbücher, Steckbriefe kritischer Prozesse, Ablaufpläne und Dokumentation von Übungen. Versionierung und Berechtigungskonzepte sichern Integrität und Nachvollziehbarkeit. Entsprechende Muster lassen sich auch in Plane-basierten Umgebungen abbilden, sodass Steuerung und Dokumentation des BCM konsistent in die bestehende Werkzeuglandschaft eingebettet bleiben.
Assets unterstützt die Modellierung von Abhängigkeiten. Kritische Anwendungen, Server, Standorte, Kommunikationswege und Dienstleister stehen dort in Beziehung zu den Prozessen aus der Business Impact Analyse. Fällt ein Standort aus, zeigt die Asset-Struktur, welche Dienste betroffen sind. Bei einer Störung in einem Rechenzentrum folgt aus der Objektstruktur, welche Fachverfahren, Organisationseinheiten und Kommunikationswege unter Druck geraten.
Honicon legt Wert auf Integration. Ein BCM nach BSI-Standard 200-4 entsteht nicht als separates Projekt mit eigenem Systemstapel, sondern als Teil der gewohnten Werkzeug- und Prozesslandschaft. Wo Jira bereits Tickets für Störungen und Changes führt oder Plane für Aufgaben- und Projektsteuerung genutzt wird, bietet sich eine Nutzung für Notfallprozesse ebenso an. Wo Confluence fachliche Dokumentation trägt, liegt ein eigener Bereich für BCM-Nachweise auf der Hand. So bleibt BCM sichtbar und greifbar, statt in einem isolierten Spezialwerkzeug zu verschwinden, und das ISMS wird zu einem selbstverständlichen Bestandteil der digitalisierten Geschäftsprozesse.
BCM als dauerhafte Aufgabe im öffentlichen Sektor
BSI-Standard 200-4 betont den dauerhaften Charakter von BCM. Aufbau eines Notfallkonzepts bildet nur den Anfang. Übungen, Auswertungen, Anpassungen, Schulung neuer Mitarbeitender und die Einbindung neuer Technologien gehen weiter. Veränderungen im Umfeld, etwa durch NIS-2, KRITIS-Regelungen oder neue rechtliche Anforderungen, treffen auch Business-Continuity-Strukturen.
Behörden und andere Organisationen im öffentlichen Sektor stehen vor der Aufgabe, diesen Standard nicht nur zu zitieren, sondern in die eigene Realität zu übersetzen. Business-Continuity-Beauftragte, Leitungen, Krisenstäbe, IT, Fachbereiche und externe Dienstleister benötigen eine gemeinsame Linie. Honicon bringt Erfahrung aus Projekten mit öffentlichen Einrichtungen, Kenntnis der besonderen Rahmenbedingungen und die Fähigkeit, Prozessmodelle mit Hilfe von Atlassian-Werkzeugen umzusetzen.
So entsteht ein BCM, das den Anforderungen aus BSI-Standard 200-4 entspricht, Resilienz stärkt und sich gleichzeitig in bestehende Strukturen eingliedert – nicht als Fremdkörper, sondern als fester Bestandteil einer handlungsfähigen und digital aufgestellten Verwaltung.
