Business Continuity neu gedacht – wie TTS ein BCMS erfolgreich im Rahmen eines ISMS-Projekts etabliert hat
Wie bleibt ein Unternehmen im Ernstfall handlungsfähig? Welche Prozesse müssen in welcher Zeit wieder verfügbar sein? Und wie lassen sich Notfallszenarien realistisch proben?
Im Rahmen eines umfassenden ISMS-Einführungsprojekts hat TTS gemeinsam mit dem Kunden ein vollständiges Business Continuity Management System (BCMS) aufgebaut – inklusive einer realitätsnahen Notfallübung, die eindrucksvoll zeigte, wie wichtig gelebte Vorbereitung ist.
Dieser Beitrag gibt Einblicke in das Projekt, zeigt prägende Momente und verdeutlicht, warum iterative Zusammenarbeit und echtes Üben den Unterschied machen.
Vom Bedarf zur Lösung – ein BCMS entsteht
Ausgangspunkt des Projekts war eine klare regulatorische Anforderung:
Die Controls 5.29 und 5.30 der ISO 27001 verlangen, dass Unternehmen nicht nur Sicherheitsmaßnahmen definieren, sondern auch sicherstellen, dass ihr ISMS im Notfall weitergeführt werden kann. Dazu gehören u. a. Anforderungen an Wiederherstellungszeiten, maximal zulässige Datenverluste und kritische Ausfallzeiten der im Scope befindlichen Prozesse.
Im laufenden ISMS-Einführungsprojekt wurde deutlich, dass diese Anforderungen ein eigenes strukturiertes Vorgehen brauchen – und so entstand ein Subprojekt, das sich gezielt dem Aufbau eines BCMS widmete.
Während das bestehende TTS-Projektteam das ISMS aufbaute und pflegte, arbeitete ein kleines Kernteam an der Entwicklung des BCMS und koordinierte die Anforderungen verschiedener Stakeholder, darunter das ISMS-Team sowie das bestehende Krisenmanagement des Kunden.
Iterativ, praxisnah, gemeinsam – so entstand ein belastbares Notfallkonzept
Die Zusammenarbeit war geprägt von einem offenen Austausch – sowohl innerhalb des TTS-Teams als auch mit den beteiligten Fachbereichen des Kunden. Besonders bewährt hat sich die iterative Vorgehensweise:
Zunächst wurde ein grober Entwurf des BCMS erstellt, der anschließend in mehreren Schleifen verfeinert wurde. Dieses Vorgehen ermöglichte schnelle Fortschritte und gleichzeitig eine stetige Verbesserung der Inhalte – immer orientiert an den realen Anforderungen des Kunden.
Ein zentrales Highlight war die Notfallübung unter Simulation eines Ransomwareangriffs.
In diesem Planspiel zeigte sich eindrucksvoll, wie wichtig es ist, Notfallszenarien nicht nur theoretisch zu planen, sondern aktiv zu üben. Erst im Ernstfall oder eben in einer realistischen Simulation wird sichtbar, welche Ressourcen tatsächlich verfügbar sind – und wo kritische Lücken bestehen, etwa wenn Systeme verschlüsselt oder Informationen nicht abrufbar sind.
Die Erkenntnis des Teams:
Übung schlägt Planung – denn erst in der praktischen Anwendung zeigt sich, ob Konzepte tragen.
Beitrag für eine sichere digitale Zukunft.
Das BCMS-Projekt zeigt, wie eng Informationssicherheit, Krisenmanagement und Business Continuity miteinander verzahnt sind. Für TTS war es weit mehr als eine Aufgabe aus der ISO-Norm: Es war ein Beispiel dafür, wie durch konstruktive Zusammenarbeit, stakeholderübergreifende Abstimmung und praxisorientierte Übungen ein System entsteht, das im Ernstfall wirklich trägt.
Besonders eindrucksvoll war die spürbare Lernkurve während der Übung: Die Beteiligten erkannten Schritt für Schritt, wie wertvoll detaillierte Notfallvorbereitung ist – und wie viele Verbesserungspotenziale sich durch gemeinsames Reflektieren ergeben.
Am Ende stand ein BCMS, das den Kunden bestmöglich auf reale Vorfälle vorbereitet und gleichzeitig zeigt, wie gelebte Informationssicherheit im Unternehmen aussehen kann.
Das Fazit aus dem Projektteam:
„Planung ist gut – aber Übung macht den Meister.“
