{"id":549,"date":"2025-03-04T15:43:43","date_gmt":"2025-03-04T14:43:43","guid":{"rendered":"https:\/\/eosgmbh.com\/?p=549"},"modified":"2025-03-25T10:09:13","modified_gmt":"2025-03-25T09:09:13","slug":"business-impact-analysis-bia","status":"publish","type":"post","link":"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/","title":{"rendered":"Business Impact Analysis (BIA)"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column blogcontent is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:710px\">\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Management_Summary\"><\/span>Management Summary<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Business Impact Analyse (BIA) ist ein wesentlicher Bestandteil eines Business Continuity Management Systems (BCMS) und analysiert die Auswirkungen der Unterbrechungen auf die Gesch\u00e4ftskontinuit\u00e4t als einer Organisation, eines Unternehmens oder einer Beh\u00f6rde, um die Resilienz zu st\u00e4rken. In diesem Artikel wird zun\u00e4chst BIA beschrieben, dann werden die Schritte \u201eVorbereitung, Durchf\u00fchrung und Auswertung\u201c praxisnah erkl\u00e4rt und abschlie\u00dfend die Erfahrungen als Lessons &amp; Learned erl\u00e4utert. Grunds\u00e4tzlich basiert dieser Beitrag auf BSI-Standard 200-4 \u201eBusiness Continuity Management\u201c. <em>Lesezeit 10 Minuten.<\/em> | Author: Ayhan Dagli<\/p>\n\n\n\n<div class=\"wp-block-group has-global-padding is-layout-constrained wp-block-group-is-layout-constrained\">\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 eztoc-toggle-hide-by-default' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Management_Summary\" >Management Summary<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Was_ist_Business_Impact_Analyse_BIA\" >Was ist Business Impact Analyse (BIA)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Vorbereitung_der_BIA\" >Vorbereitung der BIA<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Erhebung_der_Geschaftsprozesse\" >Erhebung der Gesch\u00e4ftsprozesse<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Festlegung_der_BIA-Parameter_und_betrachteten_Zeithorizonte\" >Festlegung der BIA-Parameter und betrachteten Zeithorizonte<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Festlegung_der_Ressourcenkategorien_und_-cluster\" >Festlegung der Ressourcenkategorien und -cluster<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Planung_der_BIA-Erhebung\" >Planung der BIA-Erhebung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Vorbereitung_der_BIA-Hilfsmittel\" >Vorbereitung der BIA-Hilfsmittel<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Durchfuhrung_der_BIA\" >Durchf\u00fchrung der BIA<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Identifizierung_zeitkritischer_Geschaftsprozessen\" >Identifizierung zeitkritischer Gesch\u00e4ftsprozessen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Bewertung_des_Schadenpotenzials_von_Geschaftsprozessen\" >Bewertung des Schadenpotenzials von Gesch\u00e4ftsprozessen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Festlegung_der_MTPD_MTA_bzw_RTO\" >Festlegung der MTPD \/ MTA bzw. RTO<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Festlegung_des_Notbetriebsniveaus\" >Festlegung des Notbetriebsniveaus<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Identifizierung_der_Prozessabhangigkeiten\" >Identifizierung der Prozessabh\u00e4ngigkeiten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Identifizierung_der_Ressourcenabhangigkeiten\" >Identifizierung der Ressourcenabh\u00e4ngigkeiten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#RTO_der_benotigten_Ressourcen\" >RTO der ben\u00f6tigten Ressourcen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Ressourcenbedarf_in_Abhangigkeit_zur_Dauer_des_Notbetriebs\" >Ressourcenbedarf in Abh\u00e4ngigkeit zur Dauer des Notbetriebs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#RPO_der_informationsbasierten_Ressourcen\" >RPO der informationsbasierten Ressourcen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Identifizierung_vorhandener_Single_Points_of_Failure_SPoFs\" >Identifizierung vorhandener Single Points of Failure (SPoFs)<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Auswertung_der_BIA\" >Auswertung der BIA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Lessons_Learned_einer_BIA-Durchfuhrung\" >Lessons &amp; Learned einer BIA-Durchf\u00fchrung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/eosgmbh.com\/en\/business-impact-analysis-bia\/#Quellen\" >Quellen<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Was_ist_Business_Impact_Analyse_BIA\"><\/span>Was ist Business Impact Analyse (BIA)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Bei der Sicherstellung der Gesch\u00e4ftskontinuit\u00e4t ist die Business Impact Analyse (BIA) ein wichtiges Kernelement. W\u00e4hrend einer BIA untersuchen die Unternehmen, welche Gesch\u00e4ftsprozesse zeitkritisch sind und ab wann deren Ausf\u00e4lle nicht tolerierbare Auswirkungen haben. BIA tr\u00e4gt zur St\u00e4rkung der Widerstandsf\u00e4higkeit eines Unternehmens bei und stellt sicher, dass die kritische Gesch\u00e4ftsprozesse auch in Notfallsituationen fortgef\u00fchrt werden k\u00f6nnen.<\/p>\n\n\n\n<p>Die BIA konzentriert sich auf die potenziellen Auswirkungen eines Gesch\u00e4ftsprozessausfalls, nicht auf dessen Ursachen oder Wahrscheinlichkeiten. Ob ein Gesch\u00e4ftsprozess aufgrund der Nichtverf\u00fcgbarkeit des Geb\u00e4udes durch Feuer, Hochwasser, Stromausfall, einer zwingend ben\u00f6tigten IT-Anwendung oder des Dienstleistungsunternehmens ausf\u00e4llt, spielt daher f\u00fcr die BIA und die Identifizierung zeitkritischer Gesch\u00e4ftsprozesse keine Rolle. Dar\u00fcber hinaus wird in einer BIA nicht nur die Auswirkungen f\u00fcr das Unternehmen bewertet, sondern auch, wie sich der potenzielle Schaden zeitlich entwickelt.<\/p>\n\n\n\n<p>Das Ergebnis der BIA zeigt, welche Gesch\u00e4ftsprozesse und Ressourcen zeitkritisch sind und daher in den nachfolgenden Schritten des BCM ber\u00fccksichtigt werden m\u00fcssen, besonders im Soll-Ist-Vergleich bzw. in Gesch\u00e4ftsfortf\u00fchrungs- und Wiederanlaufpl\u00e4nen.<\/p>\n\n\n\n<p>Ein \u00dcberblick \u00fcber die BIA-Schritte ist unten dargestellt.<\/p>\n\n\n\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure data-wp-context=\"{&quot;imageId&quot;:&quot;69d06b2daefc1&quot;}\" data-wp-interactive=\"core\/image\" data-wp-key=\"69d06b2daefc1\" class=\"wp-block-image size-large wp-lightbox-container\"><img decoding=\"async\" width=\"1024\" height=\"496\" data-wp-class--hide=\"state.isContentHidden\" data-wp-class--show=\"state.isContentVisible\" data-wp-init=\"callbacks.setButtonStyles\" data-wp-on--click=\"actions.showLightbox\" data-wp-on--load=\"callbacks.setButtonStyles\" data-wp-on-window--resize=\"callbacks.setButtonStyles\" src=\"http:\/\/eosgmbh.com\/wp-content\/uploads\/bia-schritte-1024x496.png\" alt=\"Graphische Darstellung der BIA-Schritte\" class=\"wp-image-661\" srcset=\"https:\/\/eosgmbh.com\/wp-content\/uploads\/bia-schritte-1024x496.png 1024w, https:\/\/eosgmbh.com\/wp-content\/uploads\/bia-schritte-300x145.png 300w, https:\/\/eosgmbh.com\/wp-content\/uploads\/bia-schritte-768x372.png 768w, https:\/\/eosgmbh.com\/wp-content\/uploads\/bia-schritte-1536x744.png 1536w, https:\/\/eosgmbh.com\/wp-content\/uploads\/bia-schritte-2048x992.png 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><button\n\t\t\tclass=\"lightbox-trigger\"\n\t\t\ttype=\"button\"\n\t\t\taria-haspopup=\"dialog\"\n\t\t\taria-label=\"Enlarge\"\n\t\t\tdata-wp-init=\"callbacks.initTriggerButton\"\n\t\t\tdata-wp-on--click=\"actions.showLightbox\"\n\t\t\tdata-wp-style--right=\"state.imageButtonRight\"\n\t\t\tdata-wp-style--top=\"state.imageButtonTop\"\n\t\t>\n\t\t\t<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" fill=\"none\" viewBox=\"0 0 12 12\">\n\t\t\t\t<path fill=\"#fff\" d=\"M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z\" \/>\n\t\t\t<\/svg>\n\t\t<\/button><figcaption class=\"wp-element-caption\">Graphische Darstellung der BIA-Schritte<\/figcaption><\/figure>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure data-wp-context=\"{&quot;imageId&quot;:&quot;69d06b2daf4ff&quot;}\" data-wp-interactive=\"core\/image\" data-wp-key=\"69d06b2daf4ff\" class=\"wp-block-image size-large wp-lightbox-container\"><img decoding=\"async\" width=\"1024\" height=\"411\" data-wp-class--hide=\"state.isContentHidden\" data-wp-class--show=\"state.isContentVisible\" data-wp-init=\"callbacks.setButtonStyles\" data-wp-on--click=\"actions.showLightbox\" data-wp-on--load=\"callbacks.setButtonStyles\" data-wp-on-window--resize=\"callbacks.setButtonStyles\" src=\"http:\/\/eosgmbh.com\/wp-content\/uploads\/beschreibung-bia-schritte-1024x411.png\" alt=\"Kurze Beschreibung der BIA-Schritte\" class=\"wp-image-663\" srcset=\"https:\/\/eosgmbh.com\/wp-content\/uploads\/beschreibung-bia-schritte-1024x411.png 1024w, https:\/\/eosgmbh.com\/wp-content\/uploads\/beschreibung-bia-schritte-300x120.png 300w, https:\/\/eosgmbh.com\/wp-content\/uploads\/beschreibung-bia-schritte-768x308.png 768w, https:\/\/eosgmbh.com\/wp-content\/uploads\/beschreibung-bia-schritte-1536x616.png 1536w, https:\/\/eosgmbh.com\/wp-content\/uploads\/beschreibung-bia-schritte-2048x821.png 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><button\n\t\t\tclass=\"lightbox-trigger\"\n\t\t\ttype=\"button\"\n\t\t\taria-haspopup=\"dialog\"\n\t\t\taria-label=\"Enlarge\"\n\t\t\tdata-wp-init=\"callbacks.initTriggerButton\"\n\t\t\tdata-wp-on--click=\"actions.showLightbox\"\n\t\t\tdata-wp-style--right=\"state.imageButtonRight\"\n\t\t\tdata-wp-style--top=\"state.imageButtonTop\"\n\t\t>\n\t\t\t<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" fill=\"none\" viewBox=\"0 0 12 12\">\n\t\t\t\t<path fill=\"#fff\" d=\"M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z\" \/>\n\t\t\t<\/svg>\n\t\t<\/button><figcaption class=\"wp-element-caption\">Kurze Beschreibung der BIA-Schritte<\/figcaption><\/figure>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Vorbereitung_der_BIA\"><\/span>Vorbereitung der BIA<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Eine erfolgreiche und reibungslose Durchf\u00fchrung einer BIA erfolgt durch strukturierte Vorbereitungsphase. Der\/Die BCB legt die Methodik und Vorgehensweise fest, kann aber die vorbereitenden T\u00e4tigkeiten ganz oder teilweise an weitere Rollen im BCM delegieren.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Erhebung_der_Geschaftsprozesse\"><\/span>Erhebung der Gesch\u00e4ftsprozesse<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Zun\u00e4chst werden die Gesch\u00e4ftsprozesse identifiziert, die innerhalb der BIA bewertet werden sollen. Unternehmen k\u00f6nnen hierzu m\u00f6glicherweise auf vorhandene \u00dcbersichten \u00fcber ihre Gesch\u00e4ftsprozesse zur\u00fcckgreifen. Daf\u00fcr kann die Prozesslandkarte ein hilfreiches Werkzeug sein. Liegt keine aktuelle \u00dcbersicht der Gesch\u00e4ftsprozesse und ihrer Abh\u00e4ngigkeiten vor, so muss diese im Rahmen der BIA erhoben oder aktualisiert werden.<\/p>\n\n\n\n<p><em><u>Synergiepotenzial:<\/u><\/em><em> Liegt ein ISMS nach BSI-Standard 200-2 oder nach ISO-Norm 27001 vor, k\u00f6nnen die dort identifizierten Gesch\u00e4ftsprozesse als Grundlage verwendet werden.<a><\/a><\/em><\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Festlegung_der_BIA-Parameter_und_betrachteten_Zeithorizonte\"><\/span>Festlegung der BIA-Parameter und betrachteten Zeithorizonte<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Die Anzahl und Unterteilung der Zeithorizonte sollten nachvollziehbar gew\u00e4hlt werden und sich an den Gegebenheiten des Unternehmens ausrichten. Deswegen ist es empfehlenswert, in f\u00fcnf bis acht Zeithorizonte festzulegen, wie z. B. 24 Stunden, 3 Tage, 7 Tage, 14 Tage und 30 Tage.<\/p>\n\n\n\n<p>Neben den Zeithorizonten wird auch das Schadenspotenzial festgelegt, das aus den Schadensszenarien und den Schadenskategorien <em>[z. B.: 1 (gering), 2 (mittel), &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;3 (hoch), 4 (sehr hoch)] <\/em>abgeleitet wird. Innerhalb der BIA sollten mindestens die folgenden Schadensszenarien ber\u00fccksichtigt werden:<\/p>\n\n\n\n<p>\u2022 Beeintr\u00e4chtigung der Aufgabenerf\u00fcllung<\/p>\n\n\n\n<p>\u2022 Versto\u00df gegen Gesetze, Vorschriften und Vertr\u00e4ge<\/p>\n\n\n\n<p>\u2022 Negative Innen- und Au\u00dfenwirkung (Imageschaden)<\/p>\n\n\n\n<p>\u2022 Finanzielle Auswirkungen<\/p>\n\n\n\n<p>\u2022 Beeintr\u00e4chtigung der pers\u00f6nlichen Unversehrtheit<\/p>\n\n\n\n<p>Das Untragbarkeitsniveau ist ein weiterer Parameter und definiert, ab welchem Schadenspotenzial die Auswirkungen eines Ausfalls durch das Unternehmen nicht l\u00e4nger toleriert werden k\u00f6nnen.<\/p>\n\n\n\n<p><em><u>Synergiepotenzial:<\/u><\/em><em> Sofern bereits ein ISMS nach BSI-Standard 200-2 vorliegt, k\u00f6nnen die in der Schutzbedarfsfeststellung definierten Schadensszenarien und Schadenskategorien als Grundlage genutzt werden. Dies f\u00f6rdert die Vergleichbarkeit von Ergebnissen zwischen dem BCMS und ISMS.<\/em><\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Festlegung_der_Ressourcenkategorien_und_-cluster\"><\/span>Festlegung der Ressourcenkategorien und -cluster<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Grunds\u00e4tzlich ben\u00f6tigt ein Unternehmen f\u00fcr sein Gesch\u00e4ftsbetrieb Strom, Wasserversorgung, Klimatechnik etc. Es ist jedoch nicht zweckm\u00e4\u00dfig, diese Ressourcen f\u00fcr jeden Gesch\u00e4ftsprozess einzeln zu erheben, da diese f\u00fcr die Aufrechterhaltung des gesamten Gesch\u00e4ftsbetriebs vorausgesetzt werden.<\/p>\n\n\n\n<p>Deswegen m\u00fcssen in der BIA die Ressourcen, die f\u00fcr einen Gesch\u00e4ftsprozess spezifisch ben\u00f6tigt sind, ermittelt werden. Diese Ressourcen k\u00f6nnen in verschiedene Ressourcenkategorien unterteilt werden, bspw. IT, Personal, Infrastruktur und Dienstleistungen. Es ist empfehlenswert, die Anzahl und Beschreibung der Ressourcenkategorien an die Bed\u00fcrfnisse des Unternehmens anzupassen. Andererseits k\u00f6nnen innerhalb bestimmter Ressourcenkategorien, z. B. der IT, mitunter sehr viele einzelne Ressourcen vorhanden sein. Es ist sinnvoll,&nbsp; diese Ressourcen zu Clustern zusammenzufassen. Das g\u00e4ngigste Beispiel f\u00fcr ein Cluster ist der Arbeitsplatz.<\/p>\n\n\n\n<p><em><u>Synergiepotenzial:<\/u><\/em><em> Liegt ein ISMS nach BSI-Standard 200-2 vor, k\u00f6nnen Informationen aus der Strukturanalyse f\u00fcr die Bezeichnung verschiedener Ressourcen \u00fcbernommen werden oder \u00fcber die Geb\u00e4udeverwaltung k\u00f6nnen h\u00e4ufig Arbeitsplatz-Definitionen sowie Raumlisten abgeleitet werden.<\/em><\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Planung_der_BIA-Erhebung\"><\/span>Planung der BIA-Erhebung<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Vor Beginn der BIA sollte festgelegt werden, wie die Informationen zur BIA erhoben werden sollen. Hierzu bieten sich verschiedene Formate an, z. B. Selbstauskunft, &nbsp;Einzelinterviews, Workshops oder Mischformat. Workshops k\u00f6nnen f\u00fcr erstmalige BIA-Durchf\u00fchrung vorteilhaft sein, damit die Verantwortlichen ein gemeinsames Verst\u00e4ndnis haben k\u00f6nnen.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Vorbereitung_der_BIA-Hilfsmittel\"><\/span>Vorbereitung der BIA-Hilfsmittel<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Es kann unterschiedliche Hilfsmittel vorbereitet werden, die Ergebnisse des BIA-Durchlaufs einheitlich und nachvollziehbar dokumentiert werden bzw. den Verantwortlichen zu informieren oder von denen Informationen zu sammeln. Unterschiedliche Hilfsmittel wurden als Vorlage vom BSI in der Website kostenlos zur Verf\u00fcgung gestellt.<\/p>\n\n\n\n<p>In der Praxis wurden besonders die Hilfsmittel \u201ePr\u00e4sentationsvorlage zur BIA\u201c bzw. \u201eBIA-Auswertungsbogen\u201c effektiv verwendet. Erfahrungsgem\u00e4\u00df ist es jedoch empfehlenswert, dass die Daten durch separate Tabellen\/Hilfsmittel zu erheben und Schritt f\u00fcr Schritt im Auswertungsbogen zu erfassen. Die zu diesem Zweck erstellten zus\u00e4tzlichen Hilfsmittel, die aus dem BSI-Standard 200-4 abgeleitet sind, sind wie folgendes:<\/p>\n\n\n\n<p>\u2022 Bewertung des Schadenspotenzials <em>(200-4; Tabellen 18, 19 u. 20; Seiten 178, 179 u. 180)<\/em><\/p>\n\n\n\n<p>\u2022 Festlegung der MTPD der Gesch\u00e4ftsprozesse&nbsp; <em>(200-4; Tabelle 21; Seite 181)<\/em><\/p>\n\n\n\n<p>\u2022 Begr\u00fcndung des Schadenpotenzials&nbsp; <em>(200-4; Tabelle 22; Seite 182)<\/em><\/p>\n\n\n\n<p>\u2022 Notbetriebsniveau&nbsp; <em>(200-4, Tabelle 23, Seite 184)<\/em><\/p>\n\n\n\n<p>\u2022 Festlegung der RTO und RPO der Ressourcen der zeitkritischen Gesch\u00e4ftsprozesse&nbsp; <em>(200-4, Tabellen 24 und 26; Seiten 189 und 191)<\/em><\/p>\n\n\n\n<p>\u2022 Anzahl Arbeitspl\u00e4tze oder Personal im Notbetrieb. <em>(200-4; Tabelle 25, Seite 190)<\/em><\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Durchfuhrung_der_BIA\"><\/span>Durchf\u00fchrung der BIA<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Abh\u00e4ngig von der organisatorischen Planung erfolgt die Durchf\u00fchrung der BIA entweder in Form von Workshops mit mehreren Personen oder eigenst\u00e4ndig durch die zust\u00e4ndigen Kontaktpersonen.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Identifizierung_zeitkritischer_Geschaftsprozessen\"><\/span>Identifizierung zeitkritischer Gesch\u00e4ftsprozessen<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>In der Identifizierung zeitkritischer Gesch\u00e4ftsprozesse wird der potenzielle Schaden f\u00fcr das Unternehmen untersucht, den der Ausfall von Gesch\u00e4ftsprozessen verursachen k\u00f6nnte.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Bewertung_des_Schadenpotenzials_von_Geschaftsprozessen\"><\/span>Bewertung des Schadenpotenzials von Gesch\u00e4ftsprozessen<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Das Schadenspotenzial jedes Gesch\u00e4ftsprozesses im GP-Umfang muss mithilfe der bereits definierten Schadensszenarien und Schadenskategorien \u00fcber verschiedene Zeithorizonte hinweg bewertet werden. Dies sollte von den Kontaktpersonen f\u00fcr die Gesch\u00e4ftsprozesse durchgef\u00fchrt werden. Je nach Bedarf k\u00f6nnen weitere Fachexperte einbezogen werden, um das Schadenspotenzial in Fachbereichen zu bewerten. F\u00fcr die Bewertung kann folgende Leitfrage stellen.<\/p>\n\n\n\n<p><em><u>Leitfrage:<\/u><\/em><em> Wenn der Gesch\u00e4ftsprozess \u201eABC, DEF etc.\u201c ausf\u00e4llt, mit welchem Schadenspotenzial [1 (gering), 2 (mittel), 3 (hoch), 4 (sehr hoch)] ist bei einem Ausfall bis zu [24 Stunden, 3 Tage, 7 Tage, 14 Tage, 30 Tage] zu rechnen?<\/em><\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Festlegung_der_MTPD_MTA_bzw_RTO\"><\/span>Festlegung der MTPD \/ MTA bzw. RTO<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Um die MTPD (Maximum Tolerable Period of Disruption) \/ MTA (Maximal tolerierbare Ausfallzeit) eines Gesch\u00e4ftsprozesses zu bestimmen, sollte der kleinste Zeithorizont gew\u00e4hlt werden, bei dem das Untragbarkeitsniveau erreicht wird, da ab diesem Zeitraum der Ausfall nicht mehr toleriert werden kann. F\u00fcr die zeitkritischen Gesch\u00e4ftsprozesse wird zus\u00e4tzlich RTO (Recovery Time Objective \/ Die geforderte Wiederanlaufzeit) festgelegt. Dieser Zeitraum sollte kleiner als MTPD \/ MTA sein.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Festlegung_des_Notbetriebsniveaus\"><\/span>Festlegung des Notbetriebsniveaus<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Um zwingend erforderlichen Prozess- und Ressourcenabh\u00e4ngigkeiten ermitteln zu k\u00f6nnen, muss vorab festgelegt werden, welches Notbetriebsniveau ein zeitkritischer Gesch\u00e4ftsprozess erreichen soll. Hierzu gen\u00fcgt eine stichpunktartige Beschreibung, welche Aktivit\u00e4ten des Gesch\u00e4ftsprozesses innerhalb des Notbetriebs aufrechterhalten werden sollen und welche Aktivit\u00e4ten zur\u00fcckgestellt werden k\u00f6nnen (Priorisierung). Je nach Aufgaben- oder Gesch\u00e4ftszweck ist auch eine prozentuale Angabe des Notbetriebsniveaus m\u00f6glich.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\">\n<figure data-wp-context=\"{&quot;imageId&quot;:&quot;69d06b2daff1a&quot;}\" data-wp-interactive=\"core\/image\" data-wp-key=\"69d06b2daff1a\" class=\"wp-block-image size-large wp-lightbox-container\"><img decoding=\"async\" width=\"1024\" height=\"621\" data-wp-class--hide=\"state.isContentHidden\" data-wp-class--show=\"state.isContentVisible\" data-wp-init=\"callbacks.setButtonStyles\" data-wp-on--click=\"actions.showLightbox\" data-wp-on--load=\"callbacks.setButtonStyles\" data-wp-on-window--resize=\"callbacks.setButtonStyles\" src=\"http:\/\/eosgmbh.com\/wp-content\/uploads\/bewertung-des-schadenpotenzials-1024x621.png\" alt=\"Bewertung des Schadenpotenzials (Abgeleitet aus der BIA-Pr\u00e4sentation vom BSI)\" class=\"wp-image-664\" srcset=\"https:\/\/eosgmbh.com\/wp-content\/uploads\/bewertung-des-schadenpotenzials-1024x621.png 1024w, https:\/\/eosgmbh.com\/wp-content\/uploads\/bewertung-des-schadenpotenzials-300x182.png 300w, https:\/\/eosgmbh.com\/wp-content\/uploads\/bewertung-des-schadenpotenzials-768x466.png 768w, https:\/\/eosgmbh.com\/wp-content\/uploads\/bewertung-des-schadenpotenzials.png 1179w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><button\n\t\t\tclass=\"lightbox-trigger\"\n\t\t\ttype=\"button\"\n\t\t\taria-haspopup=\"dialog\"\n\t\t\taria-label=\"Enlarge\"\n\t\t\tdata-wp-init=\"callbacks.initTriggerButton\"\n\t\t\tdata-wp-on--click=\"actions.showLightbox\"\n\t\t\tdata-wp-style--right=\"state.imageButtonRight\"\n\t\t\tdata-wp-style--top=\"state.imageButtonTop\"\n\t\t>\n\t\t\t<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" fill=\"none\" viewBox=\"0 0 12 12\">\n\t\t\t\t<path fill=\"#fff\" d=\"M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z\" \/>\n\t\t\t<\/svg>\n\t\t<\/button><figcaption class=\"wp-element-caption\">Bewertung des Schadenpotenzials (Abgeleitet aus der BIA-Pr\u00e4sentation vom BSI)<\/figcaption><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\">\n<figure data-wp-context=\"{&quot;imageId&quot;:&quot;69d06b2db0407&quot;}\" data-wp-interactive=\"core\/image\" data-wp-key=\"69d06b2db0407\" class=\"wp-block-image size-large wp-lightbox-container\"><img decoding=\"async\" width=\"1024\" height=\"633\" data-wp-class--hide=\"state.isContentHidden\" data-wp-class--show=\"state.isContentVisible\" data-wp-init=\"callbacks.setButtonStyles\" data-wp-on--click=\"actions.showLightbox\" data-wp-on--load=\"callbacks.setButtonStyles\" data-wp-on-window--resize=\"callbacks.setButtonStyles\" src=\"http:\/\/eosgmbh.com\/wp-content\/uploads\/festlegung-mtpd-1024x633.png\" alt=\"\" class=\"wp-image-665\" srcset=\"https:\/\/eosgmbh.com\/wp-content\/uploads\/festlegung-mtpd-1024x633.png 1024w, https:\/\/eosgmbh.com\/wp-content\/uploads\/festlegung-mtpd-300x186.png 300w, https:\/\/eosgmbh.com\/wp-content\/uploads\/festlegung-mtpd-768x475.png 768w, https:\/\/eosgmbh.com\/wp-content\/uploads\/festlegung-mtpd.png 1145w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><button\n\t\t\tclass=\"lightbox-trigger\"\n\t\t\ttype=\"button\"\n\t\t\taria-haspopup=\"dialog\"\n\t\t\taria-label=\"Enlarge\"\n\t\t\tdata-wp-init=\"callbacks.initTriggerButton\"\n\t\t\tdata-wp-on--click=\"actions.showLightbox\"\n\t\t\tdata-wp-style--right=\"state.imageButtonRight\"\n\t\t\tdata-wp-style--top=\"state.imageButtonTop\"\n\t\t>\n\t\t\t<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" fill=\"none\" viewBox=\"0 0 12 12\">\n\t\t\t\t<path fill=\"#fff\" d=\"M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z\" \/>\n\t\t\t<\/svg>\n\t\t<\/button><figcaption class=\"wp-element-caption\">Festlegung MTPD \/ MTA (Abgeleitet aus der BIA-Pr\u00e4sentation vom BSI)<\/figcaption><\/figure>\n<\/div>\n<\/div>\n\n\n\n<figure data-wp-context=\"{&quot;imageId&quot;:&quot;69d06b2db0a40&quot;}\" data-wp-interactive=\"core\/image\" data-wp-key=\"69d06b2db0a40\" class=\"wp-block-image size-large wp-lightbox-container\"><img decoding=\"async\" width=\"1024\" height=\"616\" data-wp-class--hide=\"state.isContentHidden\" data-wp-class--show=\"state.isContentVisible\" data-wp-init=\"callbacks.setButtonStyles\" data-wp-on--click=\"actions.showLightbox\" data-wp-on--load=\"callbacks.setButtonStyles\" data-wp-on-window--resize=\"callbacks.setButtonStyles\" src=\"http:\/\/eosgmbh.com\/wp-content\/uploads\/kerngroessen-der-bia-1024x616.png\" alt=\"\" class=\"wp-image-666\" srcset=\"https:\/\/eosgmbh.com\/wp-content\/uploads\/kerngroessen-der-bia-1024x616.png 1024w, https:\/\/eosgmbh.com\/wp-content\/uploads\/kerngroessen-der-bia-300x180.png 300w, https:\/\/eosgmbh.com\/wp-content\/uploads\/kerngroessen-der-bia-768x462.png 768w, https:\/\/eosgmbh.com\/wp-content\/uploads\/kerngroessen-der-bia.png 1142w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><button\n\t\t\tclass=\"lightbox-trigger\"\n\t\t\ttype=\"button\"\n\t\t\taria-haspopup=\"dialog\"\n\t\t\taria-label=\"Enlarge\"\n\t\t\tdata-wp-init=\"callbacks.initTriggerButton\"\n\t\t\tdata-wp-on--click=\"actions.showLightbox\"\n\t\t\tdata-wp-style--right=\"state.imageButtonRight\"\n\t\t\tdata-wp-style--top=\"state.imageButtonTop\"\n\t\t>\n\t\t\t<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" fill=\"none\" viewBox=\"0 0 12 12\">\n\t\t\t\t<path fill=\"#fff\" d=\"M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z\" \/>\n\t\t\t<\/svg>\n\t\t<\/button><figcaption class=\"wp-element-caption\">Kenngr\u00f6\u00dfen in der BIA (Abgeleitet aus der BIA-Pr\u00e4sentation vom BSI)<\/figcaption><\/figure>\n\n\n\n<div style=\"height:60px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Identifizierung_der_Prozessabhangigkeiten\"><\/span>Identifizierung der Prozessabh\u00e4ngigkeiten<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Die Gesch\u00e4ftsprozesse k\u00f6nnen entweder aufgrund des Ausfalls der Ressourcen oder &nbsp;der Nichtverf\u00fcgbarkeit ben\u00f6tigter Gesch\u00e4ftsprozesse ausfallen. Daher muss f\u00fcr alle zeitkritischen Gesch\u00e4ftsprozesse ermittelt werden, ob f\u00fcr einen Notbetrieb eine unverzichtbare Abh\u00e4ngigkeit zu anderen Gesch\u00e4ftsprozessen besteht. Diese Abh\u00e4ngigkeit kann sich durch vor- oder nachgelagerte, gegebenenfalls auch parallel aufeinander aufbauende T\u00e4tigkeiten ergeben.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Identifizierung_der_Ressourcenabhangigkeiten\"><\/span>Identifizierung der Ressourcenabh\u00e4ngigkeiten<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>F\u00fcr alle zeitkritischen Gesch\u00e4ftsprozesse m\u00fcssen die f\u00fcr einen Notbetrieb erforderlichen Ressourcen ermittelt und den entsprechenden Gesch\u00e4ftsprozessen zugeordnet werden. Erfahrungsgem\u00e4\u00df wird nicht jede Ressource, die von einem Gesch\u00e4ftsprozess im Normalbetrieb genutzt wird, auch automatisch in einem Notbetrieb ben\u00f6tigt. Daher sollten in dieser Phase die Ressourcen \u00fcberpr\u00fcft, ggf. verzichtet oder erg\u00e4nzt werden.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"RTO_der_benotigten_Ressourcen\"><\/span>RTO der ben\u00f6tigten Ressourcen<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Zus\u00e4tzlich zur RTO der Gesch\u00e4ftsprozesse ist die RTO der ben\u00f6tigten Ressourcen zu ermitteln. Falls mehrere Gesch\u00e4ftsprozesse auf dieselbe Ressourcen zur\u00fcckgreifen, muss die kleinste RTO f\u00fcr diese Ressource gew\u00e4hlt werden. Tools, wie z. B. BIA-Auswertungsbogen vom BSI verf\u00fcgen u.a. \u00fcber diese M\u00f6glichkeit.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Ressourcenbedarf_in_Abhangigkeit_zur_Dauer_des_Notbetriebs\"><\/span>Ressourcenbedarf in Abh\u00e4ngigkeit zur Dauer des Notbetriebs<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>F\u00fcr viele Ressourcenkategorien (Personal und Arbeitspl\u00e4tze, aber auch Maschinen oder Arbeitsmittel) kann sich die Anzahl der ben\u00f6tigten Ressourcen mit der Dauer des Notbetriebs ver\u00e4ndern. F\u00fcr diese Ressourcenkategorien ist es daher empfehlenswert, die Anzahl der ben\u00f6tigten Ressourcen \u00fcber die definierten Zeithorizonte im Notbetrieb zu erheben. So kann das ansteigende Arbeitsvolumen sowie die noch vorhandene Kapazit\u00e4t ber\u00fccksichtigt und die Arbeitslast angemessen verteilt werden.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"RPO_der_informationsbasierten_Ressourcen\"><\/span>RPO der informationsbasierten Ressourcen<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Bei den informationsbasierten Ressourcenkategorien, beispielsweise Informationen und IT (Daten), ist zus\u00e4tzlich die RPO (Recovery Point Objective \/ Maximal tolerierbarer Datenverlust) zu bestimmen. Als RPO gen\u00fcgt oft das Datensicherungsintervall des Normalbetriebs.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Identifizierung_vorhandener_Single_Points_of_Failure_SPoFs\"><\/span>Identifizierung vorhandener Single Points of Failure (SPoFs)<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Wenn viele zeitkritische Gesch\u00e4ftsprozesse eine einzelne Ressource ben\u00f6tigen, stellt diese ein erh\u00f6htes Risiko f\u00fcr eine Gesch\u00e4ftsunterbrechung dar. \u00dcblicherweise werden solche Ressourcen als Single Point of Failure bezeichnet. Diese sollten identifiziert und risikoorientiert abgesichert werden.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Auswertung_der_BIA\"><\/span>Auswertung der BIA<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Nachdem die BIA durchgef\u00fchrt wurde, m\u00fcssen die Ergebnisse qualit\u00e4tsgesichert und zusammengefasst werden. Um ein einheitlich hohes Qualit\u00e4tsniveau der BIA-Ergebnisse sicherzustellen, m\u00fcssen die Ergebnisse bez\u00fcglich ihrer Vollst\u00e4ndigkeit, Korrektheit und Nachvollziehbarkeit \u00fcberpr\u00fcft werden. Es ist wichtig, zu \u00fcberpr\u00fcfen, ob s\u00e4mtliche notwendigen Informationen erhoben sowie die Schadensanalyse formal korrekt vorgenommen wurde und ob die Begr\u00fcndung der Schadensanalyse plausibel erscheint.<\/p>\n\n\n\n<p>Dazu sollten die Einzelergebnisse zu einer Gesamt\u00fcbersicht zusammengefasst werden. Der Gesamt\u00fcbersicht sollte mindestens die folgenden Inhalte umfassen:<\/p>\n\n\n\n<p>\u2022 \u00dcbersicht der zeitkritischen Gesch\u00e4ftsprozesse und zugeh\u00f6rigen Kontaktpersonen,<\/p>\n\n\n\n<p>\u2022 \u00dcbersicht der Prozessabh\u00e4ngigkeiten sowie<\/p>\n\n\n\n<p>\u2022 \u00dcbersicht der abh\u00e4ngigen Ressourcen sowie deren RTO bzw. RPO.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Lessons_Learned_einer_BIA-Durchfuhrung\"><\/span>Lessons &amp; Learned einer BIA-Durchf\u00fchrung<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>&#8211; Die BIA wurde grunds\u00e4tzlich nach dem BSI-Standard 200-4 vorbereitet und durchgef\u00fchrt, jedoch wurden auch die Ans\u00e4tze unterschiedlicher Normen \/ Standards ber\u00fccksichtigt.<\/p>\n\n\n\n<p>&#8211; Als Synergieeffekt wurden die Gesch\u00e4ftsprozesse bzw. die Ressourcen aus dem Informationssicherheitsmanagementsystems (ISMS), das mit BCMS parallel implementiert wurde, als Grundlage verwendet.<\/p>\n\n\n\n<p>&#8211; Die BIA-Parameter, die im BSI-Standard 200-4 vorgeschlagen sind, wurden von der Unternehmenssleitung bewertet und angenommen. Dar\u00fcber hinaus wurden die Schadenskategorien und -szenarien mit denen in der Schutzbedarfsfeststellung im ISMS abgestimmt.<\/p>\n\n\n\n<p>&#8211; Das Hilfsmittel vom BSI \u201ePr\u00e4sentation zur Erl\u00e4uterung der BIA\u201c wurde den Anforderungen des Unternehmens angepasst und im Laufe der BIA effektiv benutzt.<\/p>\n\n\n\n<p>&#8211; \u201eBIA-Auswertungsbogen\u201c wurde sowohl zur Durchf\u00fchrung als auch zur Auswertung der BIA als Hilfsmittel \/ Tool benutzt. Dazu wurden zus\u00e4tzliche separate Tabellen \/ Tools erstellt und zur Erhebung der Daten verwendet (sozusagen: Hilfsmittel zum Hilfsmittel).<\/p>\n\n\n\n<p>&#8211; Es wurde festgestellt, wie wichtig die Unterst\u00fctzung und Mitwirkung der Leitungen der Unternehmen oder Organisationseinheiten sind, damit die BIA rechtzeitig, vollst\u00e4ndig und korrekt erstellt werden kann.<\/p>\n\n\n\n<p>&#8211; Bei der Vorbereitung und Durchf\u00fchrung wurden verschiedene Formate (Mischformat) verwendet, z. B. Selbstauskunft durch den Prozesseigent\u00fcmer oder die -eigent\u00fcmerin, Fragebogens, Einzelinterviews mit verschiedenen Personen (z. B. Leitenden der Organisationseinheiten, Prozesszust\u00e4ndigen oder sonstigen Prozessfachleuten, die Auskunft geben k\u00f6nnen) oder Workshops mit mehreren Personen.<\/p>\n\n\n\n<p>&#8211; Bei der Bewertung des Schadenspotenzials eines Gesch\u00e4ftsprozesses wurde der ung\u00fcnstige Zeitpunkt ber\u00fccksichtigt, da der Ausfall dieses Gesch\u00e4ftsprozesses aufgrund der gesetzlichen Vorgaben besonders in diesem Zeitpunkt einen hohen Schaden verursachen k\u00f6nnte.<\/p>\n\n\n\n<p>&#8211; Bei der Identifizierung der RTO der Gesch\u00e4ftsprozesse ergaben sich ab und zu Schwierigkeiten, da der Unterschied zwischen RTO (Recovery Time Objective) und RTA (Recovery Time Actual) den Fachexperten nicht ganz klar war. W\u00e4hrend die RTO ein Soll-Wert und f\u00fcr die Planung relevant ist, ist die RTA ein IST-Wert, die durch Test und \u00dcbungen oder ein tats\u00e4chliches Ereignis, wie Cyberangriff festgestellt werden kann.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Quellen\"><\/span>Quellen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Bei der Vorbereitung dieses Artikels wurden folgende Quellen genutzt: &nbsp;&nbsp;&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Diverse Hilfsmittel zum BSI-Standard 200-4<\/li>\n\n\n\n<li>BSI-Standard 200-4 Business Continuity Management (BCM)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<\/li>\n<\/ul>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Management Summary Business Impact Analyse (BIA) ist ein wesentlicher Bestandteil eines Business Continuity Management Systems (BCMS) und analysiert die Auswirkungen der Unterbrechungen auf die Gesch\u00e4ftskontinuit\u00e4t als einer Organisation, eines Unternehmens oder einer Beh\u00f6rde, um die Resilienz zu st\u00e4rken. In diesem Artikel wird zun\u00e4chst BIA beschrieben, dann werden die Schritte \u201eVorbereitung, Durchf\u00fchrung und Auswertung\u201c praxisnah erkl\u00e4rt [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":561,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-549","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-eos-gmbh"],"acf":[],"_links":{"self":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts\/549","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/comments?post=549"}],"version-history":[{"count":14,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts\/549\/revisions"}],"predecessor-version":[{"id":960,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/posts\/549\/revisions\/960"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/media\/561"}],"wp:attachment":[{"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/media?parent=549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/categories?post=549"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eosgmbh.com\/en\/wp-json\/wp\/v2\/tags?post=549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}