Kleine und mittlere Unternehmen (KMU) sind besonders gefährdet, durch Cyberangriffe komplett lahm gelegt zu werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versucht KMUs mit zwei Broschüren den Einstieg in das Business Continuity Management (BCM) zu erleichtern. Sie richten sich speziell an Unternehmen, die mit begrenzten Ressourcen starten und gleichzeitig ihre Resilienz gegenüber den Folgen eines Cyberangriffs stärken möchten.
Business Continuity Management
Betriebskontinuitätsmanagement (in englisch Business Continuity Management, BCM) bezeichnet in der Betriebswirtschaftslehre die Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen bzw. alternative Abläufe zu ermöglichen. Im Kontext dieses Artikels hier geht es vor allem um die Sicherstellung des IT-Notfallbetriebs nach Cyberangriffen. Die Sicherstellung des IT-Betriebs erfolgt durch IT Disaster Recovery, deutsch "IT-Notfallplanung".
BSI-Hilfen zum BCM für KMUs
Ich bin die Woche über nachfolgenden Post auf Mastodon auf ein Angebot des Bundesamt für Sicherheit in der Informationstechnik (BSI) zum BCM gestoßen und dachte, es könnte hilfreich sein, dieses hier im Blog zu erwähnen.
In der Anfang November 2025 veröffentlichten Broschüre Business Continuity Management (BCM) für KMU (PDF-Download) wendet sich das BSI an Klein- und Mittelständische (weniger als 250 Mitarbeiter, unter 50 Millionen Euro Umsatz) Unternehmen (KMU). In einem Leitfaden erklärt das BSI, was Business Continuity Management (BCM) eigentlich ist und warum das für kleine und mittlere Unternehmen wichtig ist.
Die Broschüre richtet sich speziell an Unternehmen, die mit begrenzten Ressourcen starten und gleichzeitig ihre Resilienz stärken möchten, schreibt das BSI. Auch Betriebe, die unter die NIS-2-Richtlinie fallen (siehe NIS-2-Richtlinie von Deutschland beschlossen) und ein Notfallmanagement aufbauen müssen, finden hier wertvolle Unterstützung.
Die Broschüre umfasst 9 Seiten, wobei ich den Abschnitt mit dem Leitfaden für die Implementierung eines Reaktiv-BCMS als am wichtigsten halte. Das Dokument unterstützt Betriebe dabei, den Standard 200-4 sukzessive umzusetzen und ein gutes Verständnis für das Thema Notfallmanagement zu etablieren.
Das Infopaket #nis2know: BCM informiert darüber, was die NIS-2-Richtlinie verlangt und warum Business Continuity Management (BCM) notwendig ist. Weiterhin listet das Infopaket die vom BSI bereits herausgegebenen Standards auf.
MVP: 2013 – 2016
Habe mir mal das BCM-KMU heruntergeladen und durchgeschaut: außer den üblichen Binsenweisheiten, die einem gesunder Menschenverstand ohnehin vorgibt bzw. die ISO-Zertifizierungen wie die 9001, 27001 & Co. ohnehin schon regeln, steht da leider nichts drin! Wer das braucht, sollte keine Firma führen – egal wie groß diese ist.
Da es wenigstens als PDF angeboten wurde, mussten immerhin keine Bäume dafür sterben.
CISA in den USA ist deutlich hilfreicher und bietet auch echt Tools/Software und Hilfen an. Bei uns gibt's Standards zu lesen, das war's.
Sehe ich auch so.
Beispiel:
Ratgeber zum sicheren Betrieb von Microsoft Exchange von der CISA in Zusammenarbeit mit der NSA:
https://www.nsa.gov/Portals/75/documents/resources/cybersecurity-professionals/CSI_Microsoft_Exchange_Server_Security_Best_Practices.pdf?ver=9mpKKyUrwfpb9b9r4drVMg%3D%3D
Das ist das typisch deutsche Geschäftsmodell. Die Gesetzestexte und Verordnungen sind sperrig, voller Fußangeln und ohne sehr tiefes Hintergrundwissen kaum umsetzbar.
Dazwischen gibt es eine Schicht von privaten "Beratern" mit inzwischen oft vierstelligen Tagessätzen, die dem eigentlichen Anwender erklären, was wirklich zu machen ist und worauf beim Audit geachtet wird. Deren Kapital ist eine große Anzahl Musterlösungen, von denen sie dem Kunden die jeweils passende überstülpen und ihm in Vorbereitung und beim Audit Händchen halten. Meist verstehen sie sich auch so gut mit den Prüfern, daß sie kleinere Schnitzer sofort ausbügeln und mit einem "machen wir gleich noch" wegwischen können und größere Fehlschläge gar nicht erst aufkommen lassen.
Diesen Menschenschlag habe ich persönlich vor fast 40 Jahren das erste mal erlebt, als wir unsere DIN/ISO 9001 machen mußten. Jede andere Zertifizierung (z.B. CE, UL, CCC und ganz viel im QS-Umfeld) lief nach dem gleichen Schema.
In den letzten Jahren wird deutlicher auf die IT geschaut (seit etwa 10 Jahren z.B. von den Steuerprüfern, die z.B. Backup-Konzepte wissen wollen), Cyber-Versicherungen und inzwischen auch von Seiten Datenschutz.
NIS2 ist nur noch ein weiterer Baustein in diesem Gefüge.
Beste Beschreibung über die aktuelle Situation – musste schmunzeln ;)
Full ack.
Streicht man aus demn BCM_KMU.pdf die Bilder und ansonsten halbleeren Seiten heraus, bleiben vom 4,2 MB PDF mit elf Seiten nur noch eine halbe Seite allgemeine Einleitung und knapp fünf Seiten allgemeine Informationen und optisch aufgeblasene Aufzählungen übrig, gesamt nichtmal 100 KB PDF.
Da stimme ich dir vollkommen zu. Schon ein wenig erbärmlich anhand solcher Publikationen der Meinung zu sein den KMU unter die Arme zu greifen.
Ich frage mich spontan, anhand der Kommentare, ob wir nicht arg überheblich in unserer IT-Bubble sitzen? Wenn mein Tagesgeschäft darin besteht, Fliesen an die Wand zu kleben, oder Baumaterial zu verkaufen, wird mir eine einfache Anleitung vermutlich zur ersten Orientierung helfen. Ich warte ja darauf, dass jemand aus der Box springt 'ich hab den ultimativen guide' veröffentlicht.
Die einfache Frage an solche:
Was kostet Dich der IT Ausfall für 2-3 Wochen.
Solange dauert es i.d.R. ein kleines bis mittleres Unternehmen "from the Scratch" wieder arbeitsfähig zu bekommen.
https://blog.jakobs.systems/blog/20250820-it-erfolg-messen/
Identifizieren und priorisieren Sie Ihre kritischen Geschäftsprozesse.
» Wie lange dürfen diese Prozesse maximal ausfallen, damit Ihr Unternehmen noch überleben kann?
» Wie lange soll der Notbetrieb laufen können?
» Was ergibt ein Soll-Ist-Vergleich mit der Zeitspanne, die aktuell für Ihr Unternehmen verkraftbar ist?
» Welche Ressourcen sind für den Notbetrieb erforderlich?
…
Ei, die Fragen stecken doch schon drin! Für den Einstieg ist das Dokument doch schonmal gut. Der Elektriker-Betrieb hat sich über solche Sachen wahrscheinlich noch keine Gedanken gemacht.
Ich würde zusätzlich noch fragen, was ein Tag Ausfall kostet, was der Tag Ausfall nach 2 Wochen Nichtverfügbarkeit der IT kostet, usw.
Auch sowas steht da:
1. EXTERNE UNTERSTÜTZUNG
• Beauftragen Sie einen IT-Dienstleister mit Erfahrung im BCM.
Ein guter Dienstleister klopft das alles dann ab, führt eine Schwachstellenanaylse durch und schlägt auch Härtungsmaßnahmen vor und bepreist diese.
It's your job, your money to earn.
So ist es.
Die BSI-Broschüre ist zwar ziemlich allgemein und oberflächlich gehalten, aber gerade bei Kleinfirmen gibt es meist gar kein Notfallmanagement. Und da kann die Broschüre zumindest mal die Verantwortlichen auf die Notwendigkeit eines Notfallmanagements hinweisen.
Und das sorgt dann in einigen Firmen sicher dazu, das man sich über das Thema Gedanken macht und und letztendlich ein Notfallmanagement, und sei es noch so einfach, einführt.
Na ja, wenn der Handwerker gezwungen wird das komplexe Thema DSGVO durch zu ackern, muss, dann dürfen wir mehr Qualität von einer Behörde erwarten, zumal wir den ganzen Kram finanzieren.
Im Übrigen wird der „kleine" Handwerker vermutlich nicht mal wissen das es diese Behörde gibt.
Notfallmanagement hat jetzt erstmal nichts mit der DSGVO zu tun. Es geht darum, dass man im Falle eines Hacks (Ransomware usw.) seinen Betrieb möglichst schnell wieder auf die Beine bekommt und normal arbeiten kann.
(Man sollte schon wissen, von was man schreibt. Bei der DSGVO geht es um den Schutz von persönlichen Daten! Die können natürlich im Fall eines Hacks abfließen, aber das ist eine andere Geschichte.)
Genau.
Und es gab ja schon vor gar nicht langer Zeit auch einen IT-Vorfall in einem deutschen Unternehmen.
Und das hatte wohl kein ausreichendes Notfallmanagement.
Die haben die IT auch nach einigen Wochen nicht wieder ans laufen bekommen und mussten den Betrieb dicht machen. Den Betrieb gibt es deswegen nicht mehr.
ich zähle in den letzten 3 Jahren allein 10 Unternehmen in Medien und erweitertem Bekanntenkreis, die nach mehrwöchigem Incident Insolvenz anmelden mussten.
Einzige Relativierung, einige der Unternehmen befanden sich zuvor bereits schon wirtschaftlich in einer Schieflage. Da war die Ransomware nur noch das i-Tüpfelchen.
Es ist immer schwierig, in so einer Situation an alles zu denken. Es ist aber sicher richtig, einen Wiederherstellungsplan in der Schublade zu haben, der auf aktuellem Stand ist.
Das ist mir schon klar. Ich will nur aufzählen, was der Handwerker alles erfüllen muss, bevor er überhaupt seiner Tätigkeit nachgehen kann. Ich kenne Handwerksbetriebe > 20 MAs. Unsere Bürokratie ist einfach deutlich zu groß geworden und jeden Tag neue Vorschriften.
Also nen Fliesenleger mit 1bis 2 Mitarbeitern (Klempner; Elektriker etc.)
kann auch mal ein paar Tage ohne IT auskommen, den IT ist nicht deren Grundlage! Den Mörtel die Fliesen kriegt er im Baumarkt wo oder Großhandel auch per Barkauf. Der hat im allgemeinen 1 PC womit er die Rechnungen schreibt und Ware bestellt, Steuer macht, der hat seine Händler wo er auch telefonisch bestellen kann, der ist im Notfall schnell ausgetauscht! So Handwerker rennen da auch nicht wie ein geköpftes Huhn durch die Gegend wenn die IT mal nicht geht.
Wahrscheinlich hat er bei seiner Kundenkartei Probleme, den Backup ist nen Fremdwort!
So ist das hier (Land 800 Seelendorf) zumindest der Fall.
Frag ich meinen Klempner nach Notfallmanagement fragt der zurück ob ich bekloppt bin.
Der muss genauso täglich Rechnungen schreiben und Buchungen, Bestellungen usw. und seine Mails (Vorsicht, Kunde!) machen.
Buchhaltung haben viele Handwerker an ein Steuerbüro ausgelagert. Kostet, aber dafür sind sie den "Papierkram" los und es wird rechtssicher gemacht.
Mails an Kunden schreibt der Meister von der Baustelle aus mit dem Handy, Bestellungen (falls man nicht einfach direkt zum Großhandel fährt) auch.
tja, typische Milchmädchenrechnung. Spätestens wenn dieser Klemptner, Fliesenleger etc. auf einer Baustelle eine Mängelrüge nach VOB bekommt und nicht darauf reagiert weil keine Email, wird es sehr teuer bis existenzvernichtend wenn nachfolgende Gewerke deswegen sich verzögern und ein Bauherr Sachverständige, Dritte zur Behebung beauftragen muss.
Und keine Online-Ausschreibungsportale, keine öffentlichen Aufträge mehr… die für Klemptner bekanntlich lukrativer sind…
Jetzt 3 Wochen Ausfall, bedeuten weniger Aufräge in der Zukunft bei weiterlaufenden Fix-Kosten für Personal und Geräte.
Kann natürlich sein, dass dieser Klemptner vom Dorf auf Jahre hinaus ausgebucht ist… was ich jedoch stark anzweifle.
Und hier ein Beispiel mit einer manipulierten Mail, die ein Unternehmen doppelt bezahlen musste weil selbst Schuld:
https://blog.jakobs.systems/blog/20250805-risiko-rechnung-emails/
"Mängelrüge nach VOB" klar, der Handwerker macht dann zu und dann verlegt WER deine Fliesen etc.? Wenn eine Verordnung mehr Zeit einnimmt als die eigentliche Tätigkeit, wird es aber irgendwann komisch.
"verlegt WER deine Fliesen"?
am Thema vorbei irrelevante Gegenfrage, die Du Dir selbst beantworten kannst.
Das ist nicht irrelevant, Sie werden den Handwerkermangel noch erleben. Wenn diese Stellen wenigstens in einer verständlichen deutschen Sprache Sätze formulieren könnten, wäre das schon ein Anfang.
Handwerkermangel? Sehe ich keinen. Wer meint Kunden monatelang vertrösten zu müssen und unter einem Tausi eh kein Werkzeug in die Hand nimmt, braucht sich nicht zu wundern, wenn er von fleissigen Osteuropäern überholt wird (oder anderen abends und an Wochenenden "aushelfenden" Handwerkern)
Nur das der keine 3 Wochen Ausfall hat, der stellt sich einfach nen neuen Rechner hin und arbeitet weiter… der hat kein Netzwerk mit dutzenden Rechnern die gesäubert werden müssen.
Backup besteht da aus Leitzordnern mit Ausdrucken…
oder er hat sowieso gleich alles "Outgesourced" an ein Steuerbüro.
Material fährt der schnell in den nächsten Großhandel und packts gleich ein…
Und er macht ein kleinerer Betrieb auch völlig richtig so. Warum sollte er dem Update und Cloud und KI Wahnsinn hinterherrennen wie die anderen Lemminge..
Wie naiv Du doch bist. Gute Klemptner bzw. Heizungsbauer managen für einen die Anträge für die etlichen Fördertöpfe, müssen Ihre eigenen Lager verwalten, Bestellungen mit Großhändlern, EInkaufsgemeinschaften und Herstellern auf Wochen vorher koordinieren, mit drölfzig Ausschreibungs- und Vergabeplattformen arbeiten und sich einzeln bei jeder identifizieren.
Wer seine Mitarbeiter zum Materialkauf in den Baumarkt schickt, verschenkt Geld, das seines Kunden, und hat mich garantiert nicht zum Kunden. Dann gebe ich lieber anderen, fleissigen Menschen mein Geld direkt auf die Hand.
Ich habe schon den Eindruck, dass einige Protagonisten hier arg an der Realität vorbei argumentieren. Wenn bei meinem Autohaus die IT per Cyberangriff ausfiele, wären die platt. Vor einigen Jahren mit einem lokalen Handwerker telefoniert, der bei meinem Hauswasserwerk eine kaputte Pumpe reparieren sollte. Er erzählt, dass er Opfer von Ransomware wurde – die Software, die ein zwischenzeitlich verstorbener Bekannter (ich kannte beide seit Jahren) in der Vergangenheit gestrickt hatte, war über den Orkus.
Und so könnte ich die Geschichte weiter stricken. Man muss sich doch nur mal selbst die Frage stellen: Wie viel Aufwand habe ich, wenn mir mein Handy ins Klo fällt und dann noch der Computer im Büro plötzlich geklaut wird.
Klar, die Cleverle hier im Blog haben alles unter Kontrolle, ein rollierendes Backup, alle Zugangsdaten säuberlich notiert und sind – nach dem Gang zum lokalen Elektronik-Markt zwecks Neukauf – nach zwei Stunden wieder voll arbeitsfähig.
Nur stelle ich fest, dass da draußen und in meinem Büro halt keine kleinen oder großen Cleverle sitzen. Da ist dann doch die Anwendung, wo man gerade kein Backup hat oder deren Anmeldedaten da irgendwo in einem der vielen Ordner (aber wo) stecken. Das Elster-Zertifikat ist plötzlich auch weg, und der Bank-Zugang ist auch arg sperrig, weil die Banking-Software nicht so läuft. Threema und Signal müssen auch neu eingerichtet werden, weil irgend etwas hakt, das Handy müsste für Online-Banking autorisiert werden, und das Passwort zum Entsperren der verschlüsselten Facebook-Chats ist auch vergessen gegangen …
alles Real World-Probleme, die selbst mir schon bei Umzügen von Handys oder Rechnern vor die Füße geplumpst sind – und ich pflege mir alles aufzuschreiben und in Ordnern zu archivieren. Und dann findest Du den Ordner, wo das steht, nicht mehr – oder die Akte mit den Daten liegt unter einem Stapel Papier auf dem Schreibtisch.
Meine Frau vertritt ja die These, ich müsse nur mal bei Marie Kondo zum Aufräum-Kurs, dann würde alles besser. Aber da wurde im Zweifelsfall der alte Ordner mit dem wichtigen Passwort im Aufräumwahn weg geworfen.
Ist doch täglich gefühlte Praxis – und die Ausnahmen harren noch immer der Bestätigung durch die Regel – imho.
Auch alles richtig, aber da hilft das BSI.pdf genau gar nix!
Da steht keine Anleitung drinn wie du deinen Zugang sicherst wie du nen ordentliches Backup machst usw.
Und genau diese Klientel brauchen keine Fragestellungen was wäre wenn, sondern Schritt für Schritt Anleitungen!
Genau das bietet das pdf aber nicht!
Darum geht es doch in der Diskussion… die die Hilfe gebrauchen können finden darin keine und die die selbst groß genug sind brauchens nicht! Ne Nullsumme wenns gedruckt wäre müsste man die wegen Baummord verklagen!
das BSI hat aber vom Fliesen legen keine Ahnung, das ist der Punkt.
Die pragmatischen Vorschläge, so dass die User auch noch arbeiten können und Du aber die Sicherheit erhöst, findest Du wie die Kollegen schon sagen, woanders.
Das BSI könnte, wenn sie schon einen Leitfaden rausgeben, ebenfalls konkrete Handlungsanweisungen rausgeben, so dass Dein Handwerker seinem Dienstleister mit dem Zaunpfahl winken kann.
Aber Broschüren unter dem Motto "wasch mich, aber mache mich nicht nass" sind wenig hilfreich und dienen Laberfirmen nur als Vorlage um Labern abrechnen zu können.
Da fragt man sich, wieso solche Behörden wie das BSI existieren und was mit unserem Geld Sinnvolles geschieht.
Vielleicht habe ich das Dokument einfach falsch verstanden oder bin etwas navi, aber da werden auch Beispiele und Umsetzungsmöglichkeiten aufgezeigt und auch auf Hilfsmittel verwiesen. Und auch wenn ich damit jetzt vermutlich in ein Wespennest steche, ein Geschäft mit zwei oder drei Mitarbeiter die sich nicht mit der IT beschäftigen oder schlicht einfach zu weit weg von der Materie sind wird sich auch vermutlich damit nicht zurechtfinden, da finde ich die Lösung mit einem externen Berater (nein nicht die mit dem 0815-Vorlagen) dann sehr sinvoll. Dieser Dienstleister könnte dann auch eine Analyse unabhänig des BCM mit der DIN SPEC 27076 durchführen in dem klare Handlungen drinstehen wenn etwas nicht erfüllt ist.