Ein funktionales Business Continuity Management (BCM) trägt entscheidend dazu bei, Verwaltungen widerstandsfähiger zu machen und Best Practices zu etablieren. Angesichts zunehmender Cyberangriffe wird die Bedeutung eines funktionierenden BCM immer deutlicher. Dabei sind neben der deutschen Wirtschaft immer mehr Bereiche im öffentlichen Sektor betroffen. Mangelnde Resilienz kann in der öffentlichen Verwaltung schwerwiegende Konsequenzen haben, wenn wichtige Verwaltungsleistungen ausfallen.
Ein anschauliches Beispiel bietet eine aktuelle Bitkom-Studie, die sich zwar auf die freie Wirtschaft konzentriert, aber alarmierende Zahlen zu Cyberangriffen liefert. In den vergangenen Jahren bewegten sich die Schäden durch Cyberkriminalität konstant um die 200 Milliarden Euro für die deutsche Wirtschaft. Doch im letzten Jahr sind diese um fast 30 Prozent gestiegen – auf knapp 270 Milliarden Euro. Dies verdeutlicht die wachsende Bedrohungslage, und dabei deckt diese Zahl nur den Bereich der Cybersicherheit ab. Resilienz und BCM gehen jedoch weit darüber hinaus und betreffen ebenso Risiken wie Naturkatastrophen oder technische Ausfälle.
Während finanzielle Schäden in der Wirtschaft bereits besorgniserregend sind, haben mangelnde Resilienz und fehlendes BCM im öffentlichen Sektor oft noch gravierendere Folgen: den Ausfall essenzieller Verwaltungsleistungen. Die öffentliche Verwaltung trägt Verantwortung für die Daseinsvorsorge – ein IT-Notfall, der beispielsweise die Auszahlung von Sozialleistungen verhindert, hätte gravierende soziale Folgen. Ebenso müssen Behörden regulatorische Anforderungen einhalten, kritische Infrastrukturen schützen und für unvorhersehbare Krisenszenarien gewappnet sein. Ein weiteres Risiko liegt in der Abhängigkeit von IT-Dienstleistern. Viele Behörden nutzen zentrale Landes- oder Bundesdienstleister, was bedeutet, dass reibungslose Zusammenarbeit und klare Notfallmechanismen essenziell sind. Letztlich ist nicht nur finanzielle Absicherung wichtig, sondern auch der Schutz der behördlichen Reputation.
Doch Behörden sind nicht allein auf gesetzliche Vorgaben angewiesen. Es gibt viele Maßnahmen, die unabhängig von politischen Entscheidungen sofort umgesetzt werden können: regelmäßige IT-Updates, klare Notfallpläne, die Schulung und Sensibilisierung der Mitarbeitenden sowie Systeme zur frühzeitigen Erkennung von Bedrohungen. Diese Aspekte sind entscheidend, um BCM als strategische Aufgabe in der Verwaltung zu verankern.
BCM ist dabei nicht als rein operative Krisenbewältigung zu verstehen, sondern als eine langfristige Strategie zur Erhöhung der Resilienz und Einhaltung von Compliance-Anforderungen. Behördenleitungen müssen BCM als integralen Bestandteil des Managements verstehen und aktiv steuern. Resilienz bedeutet hier: die Fähigkeit einer Organisation, sich äußeren und internen Einflüssen anzupassen, Störungen zu überstehen und sich davon zu erholen. Resilienz entsteht durch eine Kombination aus Informationssicherheit, Business Continuity Management und Krisenmanagement – gemeinsam bilden sie die Widerstandsfähigkeit einer Organisation.
BCM ist dabei ein strategischer Ansatz, um Resilienz gezielt aufzubauen. Es ermöglicht Organisationen, vorausschauend zu handeln, anstatt sich von externen Krisen treiben zu lassen. Vor, während und nach Zwischenfällen stellt BCM sicher, dass die Organisation nachhaltig agieren kann. Es ist ein integraler Bestandteil des Risikomanagements und stellt sicher, dass Behörden auch in Krisensituationen handlungsfähig bleiben. Besonders im öffentlichen Sektor bedeutet dies, dass BCM nicht nur als Sicherheitsmaßnahme verstanden wird, sondern als essenzielles Instrument für die Kontinuität der Verwaltung.
Effektives BCM minimiert unkoordiniertes Handeln in Krisensituationen („Headless Chicken Mode“). Verwaltungsprozesse sollten als Business-Prozesse betrachtet und mit präventiven sowie reaktiven Maßnahmen unterlegt werden. Standards wie ISO 22301, ISO 27001, BSI-Standard 200-4 und der DER.4-Baustein des BSI IT-Grundschutzkompendiums liefern hierfür wertvolle Vorgaben.
Neben regulatorischen Aspekten sind der Faktor Mensch („Human Firewall“), Prävention, Notfallplanung und kontinuierliche Verbesserung essenziell. Die Cyber-Security-Expert:innen von Materna haben dazu einen strukturierten Ansatz zur Erhöhung der Resilienz im Business Continuity Management (BCM) entwickelt. Das sinnbildliche Nashorn integriert verschiedene Schwerpunkte, um Organisationen widerstandsfähiger zu machen:
Das Nashorn-Prinzip steht sinnbildlich für ein robustes, widerstandsfähiges und anpassungsfähiges BCM. Es stellt sicher, dass Notfallmaßnahmen nicht nur pro forma existieren, sondern auch regelmäßig überprüft und weiterentwickelt werden. Organisationen, die diesem Ansatz folgen, minimieren die Gefahr unkoordinierter Reaktionen im Ernstfall und schaffen stattdessen eine resiliente Struktur, die auf Krisen vorbereitet ist.
Eine zentrale Herausforderung besteht darin, ausreichend Ressourcen für Security bereitzustellen. Oft wird das Thema allein der IT zugeordnet, obwohl organisatorische Maßnahmen ebenfalls essenziell sind. Die Implementierung des BSI-Grundschutzes erweist sich als komplex, da Formalismen die praktische Umsetzung verzögern können. Ziel sollte es sein, Sicherheitsmaßnahmen zügig und effizient zu realisieren, anstatt in bürokratischen Prozessen zu verharren. Ein erfolgreiches BCM erfordert eine Top-Down-Vorgabe durch das Management, das aktiv Verantwortung übernimmt. Wesentlich ist, dass Verantwortlichkeiten und Entscheidungsstrukturen im Krisenstab klar definiert sind. Fehlende Vorbereitung kann im Ernstfall zu Chaos führen. Daher ist es entscheidend, Entscheidungswege im Voraus festzulegen.
Die Identifizierung kritischer Prozesse und Ressourcen bildet die Grundlage für alle BCM- und Security-Maßnahmen. Business Impact Analysen (BIA) bewerten, welche Prozesse und Ressourcen besonders kritisch sind. Die gewonnenen Erkenntnisse fließen in die Erstellung und kontinuierliche Aktualisierung von Notfall- und Wiederanlaufplänen ein. Diese Pläne müssen realistische Wiederherstellungszeiten berücksichtigen und regelmäßig geprüft werden.
Ein häufiges Problem ist die Überschätzung verfügbarer Ressourcen und die Unterschätzung der technischen Komplexität. Notfallpläne helfen, strukturierte Abläufe vorzugeben, offenbaren jedoch oft nicht berücksichtigte Abhängigkeiten. Entscheidend sind daher die regelmäßige Validierung und Aktualisierung dieser Pläne. Praktische Übungen nach dem Plan-Do-Check-Act-Prinzip sind essenziell, um Schwachstellen aufzudecken und Abläufe zu optimieren. Angst vor Tests, insbesondere bei kritischen Systemen, sollte überwunden werden, da ungetestete Mechanismen im Ernstfall versagen können.
Ein funktionierendes BCM basiert auf präventiver Security, Failure-Kultur, klaren Verantwortlichkeiten und regelmäßigen Tests. Materna unterstützt Organisationen mit individueller Beratung und praktischer Umsetzung, um ihre Resilienz nachhaltig zu stärken. Der wichtigste Appell lautet: Einfach anfangen! Jede Vorbereitung ist besser als keine. Eine gut aufgestellte Verwaltung kann so nicht nur auf Krisen reagieren, sondern sie vorausschauend vermeiden und ihre Handlungsfähigkeit langfristig sichern.