22.04.2026

–

Blog

Geschäftsfortführungsplan nach BSI-Standard 200-4: So sichern KMU ihre Business Continuity

Stellen Sie sich vor: Es ist Dienstagmorgen. Die Vertriebsleiterin eines mittelständischen Maschinenbauunternehmens will eine dringende Angebotsanfrage beantworten – doch ihr Postfach lädt nicht. Im Großraumbüro starren Kollegen ratlos auf ihre Bildschirme. Das Telefon der Geschäftsführerin klingelt: Ein wichtiger Kunde aus Frankreich erreicht niemanden mehr per E-Mail.

Kurz darauf wird klar: Ein Cyberangriff hat über Nacht das Kommunikationssystem des Unternehmens lahmgelegt. Niemand hat mehr Zugriff auf den Posteingang, das Videokonferenztool oder das Adressbuch. Sogar der Kalender mit den heutigen Terminen ist betroffen. Niemand weiß, wen er informieren soll. Niemand kann die Kollegen im Home Office erreichen.

Die Geschäftsführerin steht vor einer existenziellen Frage: „Wie kommunizieren wir jetzt – mit unseren Mitarbeitenden, mit Kunden, mit Lieferanten?“ Jede Stunde ohne Antwort kostet Vertrauen, Aufträge und am Ende möglicherweise das Unternehmen selbst.

Blog mailbox EVAC Geschäftsfortführungsplan nach BSI Standard 200-4 BCM für KMU

KMU sind das häufigste Ziel von folgenreichen Cyberangriffen

Dieses Szenario ist keine Theorie. Es ist Alltag in deutschen kleinen und mittleren Unternehmen (KMU). Laut Lagebericht des BSI zur IT-Sicherheit in Deutschland 2025 richteten sich im Berichtszeitraum 80 % der angezeigten Angriffe gegen KMU. Kleine und mittelständische Unternehmen haben nicht die Sicherheitsbudgets der Konzerne zur Verfügung. Und während große Unternehmen über eingespielte Krisenstäbe und Ausweichsysteme verfügen, trifft es den Mittelstand meist eiskalt: Wenn der E-Mail-Dienst steht, steht das ganze Geschäft.

Was bedeutet das für Sie? Die Frage ist nicht, ob Ihr Unternehmen einmal in dieser Lage sein wird, sondern wann – und ob Sie dann noch handlungsfähig sind. Genau hier setzt ein Geschäftsfortführungsplan nach dem BSI-Standard 200-4 an – die methodische Grundlage für ein wirksames Business Continuity Management (BCM) in kleinen und mittleren Unternehmen.

Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft – ohne Übergangsfrist. Rund 29.500 Unternehmen müssen jetzt nachweisen, dass sie ein strukturiertes Business Continuity Management (BCM) betreiben. Der BSI-Standard 200-4 liefert dafür den methodischen Rahmen.

Was ist ein Geschäftsfortführungsplan – und warum KMU brauchen einen?

Ein Geschäftsfortführungsplan (Business Continuity Plan, BCP) beschreibt systematisch, wie ein Unternehmen bei gravierenden Störungen – vom Cyberangriff über Stromausfälle bis hin zu Naturkatastrophen – seine kritischen Prozesse aufrechterhält oder schnellstmöglich wiederherstellt. Er ist das Kernergebnis eines umfassenden Business Continuity Management Systems (BCMS).

BCM geht weit über klassische IT-Notfallpläne und Backup-Konzepte hinaus. Es betrachtet das Zusammenspiel aus Organisation, Technik, Gebäudeinfrastruktur und Personal. Denn im Ernstfall nützt das beste Backup wenig, wenn niemand weiß, wer entscheidet, über welchen Kanal kommuniziert wird und welche Prozesse zuerst wieder anlaufen müssen.

Für KMU ist ein Geschäftsfortführungsplan dabei doppelt wertvoll: Er sichert nicht nur die Existenz im Ernstfall, sondern erfüllt gleichzeitig die zentralen Anforderungen des NIS-2-Umsetzungsgesetzes an das Business Continuity Management im Mittelstand.

BSI-Standard 200-4: Der Leitfaden für Ihr BCM

Der BSI-Standard 200-4 wurde im Juni 2023 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht und ersetzt den Vorgänger BSI-Standard 100-4. Er orientiert sich an der internationalen Norm ISO 22301:2019 und bietet eine praxisnahe Anleitung für den Aufbau eines BCMS – unabhängig von Branche und Unternehmensgröße.

BCM nach BSI 200-4 ist kein Projekt – es ist ein Kreislauf

Viele Unternehmen betrachten BCM als Projekt mit Anfang und Ende – Notfallhandbuch schreiben, ablegen, fertig. Der BSI-Standard 200-4 setzt dem bewusst ein anderes Denkmodell entgegen: den PDCA-Zyklus (Plan-Do-Check-Act), den auch die ISO 22301 zugrunde legt.

BCM ist danach ein kontinuierlicher Prozess in vier Phasen:

Plan: Kontext und Ziele festlegen, Business Impact Analyse (BIA) und Risikoanalysen durchführen, Notfallstrategien entwickeln.
Do: Maßnahmen umsetzen, d. h. Notfallpläne dokumentieren, Krisenstab bilden, Mitarbeitende schulen, Ausweichsysteme einrichten.
Check: Wirksamkeit prüfen, d. h. Übungen durchführen, Kennzahlen auswerten, interne Audits, Lessons Learned aus echten Vorfällen.
Act: Verbessern und anpassen, d. h. Erkenntnisse einarbeiten, Pläne aktualisieren, neue Risiken aufnehmen.

Für KMU ist diese Sichtweise entlastend: Sie müssen nicht am ersten Tag ein perfektes BCM vorlegen. Es reicht, in den Kreislauf einzusteigen – und mit jeder Runde besser zu werden.

mailbox EVAC GFP BSI Standard 200-4 PDCA Cycle

Das Stufenmodell des BSI-Standards 200-4: Einstieg nach Maß

Ein zentrales Merkmal des Standards ist sein dreistufiger Ansatz, der Unternehmen einen flexiblen Einstieg ermöglicht:

Reaktiv-BCMS (4–8 Wochen): Sofortmaßnahmen und Notfallkontakte. Erfüllt die NIS-2-Mindestanforderung und schafft eine Grundlage für den weiteren Ausbau.
Aufbau-BCMS (3–6 Monate): Vollständige Business Impact Analyse (BIA), Risikoanalysen und erste Notfallpläne. Hier werden kritische Prozesse identifiziert und Wiederanlaufzeiten definiert.
Standard-BCMS (6–12 Monate): Umfassendes, ISO-22301-kompatibles BCM mit regelmäßigen Übungen, Auswertungen und kontinuierlicher Verbesserung.

Dieser stufenweise Ansatz ist besonders für mittelständische Unternehmen attraktiv: Sie können schnell mit der Reaktiv-Stufe starten und Ihr BCM schrittweise ausbauen – ohne von Anfang an ein Großprojekt stemmen zu müssen.

Die drei Phasen einer Störung: Vom Alarm bis zum Normalbetrieb

Der BSI-Standard 200-4 denkt Störungen nicht als einen einzigen Moment, sondern als zeitlichen Verlauf mit klar unterscheidbaren Phasen. Dieses Denkmodell hilft enorm dabei, Notfallpläne sinnvoll zu strukturieren – und zeigt, warum manche Vorkehrungen sofort greifen müssen, während andere erst nach Tagen relevant werden:

1. Sofortreaktion

Minuten bis Stunden: Schaden erkennen und eindämmen, Krisenstab einberufen, erste interne und externe Kommunikation starten, Meldepflichten prüfen (bei NIS-2: 24-Stunden-Frühwarnung an das BSI).

2. Notbetrieb

Stunden bis Wochen: Kritische Prozesse laufen auf einem definierten Mindestniveau (MBCO) weiter – oft mit Ausweichsystemen, reduzierten Funktionen oder manuellen Abläufen. Kunden, Lieferanten und Mitarbeitende müssen laufend informiert werden.

3. Wiederanlauf & Rückkehr

Tage bis Monate: Schrittweise Wiederherstellung der regulären Systeme und Prozesse, Nachbereitung, Auswertung und Einarbeitung der Erkenntnisse in das BCM (zurück in den PDCA-Zyklus).

Wichtig: In allen drei Phasen ist funktionierende Kommunikation eine Grundvoraussetzung. Wer in der Sofortreaktion seinen Krisenstab nicht erreicht oder im Notbetrieb keine Kunden informieren kann, verliert wertvolle Zeit – und das Vertrauen seiner Stakeholder.

Die Business Impact Analyse: Das Herzstück des BSI-Standards 200-4

Die Business Impact Analyse (BIA) ist das zentrale Werkzeug im BSI-Standard 200-4. Sie beantwortet die entscheidenden Fragen:

Welche Geschäftsprozesse sind zeitkritisch?
Welche Abhängigkeiten bestehen (IT-Systeme, Personal, Dienstleister, Gebäude)?
Wie lange darf ein Prozess maximal ausfallen, bevor existenzbedrohende Schäden entstehen?
Auf welchem Mindestniveau muss der Betrieb im Notfall weiterlaufen?

In der Praxis läuft eine BIA typischerweise in fünf Schritten ab:

Geschäftsprozesse erfassen: Eine strukturierte Inventur aller wesentlichen Prozesse – vom Auftragseingang über die Produktion bis zur Rechnungsstellung. Wichtig: Auch unterstützende Prozesse wie Personalwesen oder IT-Support gehören dazu.
Schadensszenarien bewerten: Pro Prozess wird geprüft, welche Folgen ein Ausfall nach 1 Stunde, 1 Tag, 1 Woche hätte – finanziell, rechtlich, reputativ und mit Blick auf Kunden und Mitarbeitende.
Abhängigkeiten kartieren: Welche IT-Systeme, Dienstleister, Räumlichkeiten, Schlüsselpersonen und externen Kommunikationswege braucht jeder Prozess? Hier werden oft die größten blinden Flecken entdeckt.
Kennzahlen festlegen: Für jeden kritischen Prozess werden MTPD, RTO, RPO und MBCO definiert (siehe Übersicht unten). Diese Werte sind später die Grundlage für alle Wiederanlaufpläne.
Priorisieren und dokumentieren: Die Ergebnisse werden in einem BIA-Bericht zusammengeführt. Er ist die Grundlage für alle weiteren BCM-Entscheidungen. Das BSI stellt dafür kostenlose Vorlagen und einen BIA-Auswertungsbogen bereit.

Vier Kennzahlen, die jedes Unternehmen kennen sollte:

MTPD (Maximum Tolerable Period of Disruption): Maximale tolerierbare Ausfalldauer

RTO (Recovery Time Objective): Ziel-Wiederherstellungszeit

RPO (Recovery Point Objective): Maximal tolerabler Datenverlust

MBCO (Minimum Business Continuity Objective): Mindestleistung im Notbetrieb

Ein Beispiel aus einem mittelständischen Handelsunternehmen macht die BIA greifbar:

Der Prozess „Auftragsannahme und -bestätigung“ läuft komplett über E-Mail und ERP-System. Die BIA zeigt: Nach 4 Stunden ohne Kundenkommunikation wandern erste Aufträge zum Wettbewerb ab, nach 2 Tagen drohen Vertragsstrafen, nach einer Woche sind Schlüsselkunden irreparabel verärgert.

Die Kennzahlen könnten so aussehen:

MTPD = 48 Stunden
RTO = 4 Stunden
RPO = 1 Stunde
MBCO = Auftragsannahme per Ausweichkanal mit reduzierter Kapazität.

Genau solche Werte liefern den Maßstab für Investitionen in Backup-Systeme, Ausweichkommunikation und Personalplanung.

NIS-2 macht BCM zur gesetzlichen Pflicht

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 ist Business Continuity Management für einen deutlich erweiterten Kreis von Unternehmen in Deutschland gesetzlich vorgeschrieben. § 30 Abs. 2 Nr. 3 BSIG verlangt ausdrücklich Maßnahmen zur Aufrechterhaltung des Betriebs, einschließlich Backup-Management, Wiederherstellung und Krisenmanagement.

Was das für Sie bedeutet:

Rund 29.500 Unternehmen in Deutschland sind betroffen – ein Anstieg von bisher ca. 4.500 regulierten Organisationen.
Es gibt keine Übergangsfristen: Die Anforderungen gelten sofort.
Die Geschäftsleitung haftet persönlich und ist zur Schulung in Cybersicherheit verpflichtet.
Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

In Bezug auf NIS-2 stellt der BSI-Standard 200-4 dabei keine Vorgabe dar, sondern eine anerkannte Methodik. Wer sein BCM daran ausrichtet, schafft eine belastbare Grundlage, um die NIS-2-Anforderungen nachweislich zu erfüllen.

NIS-2: Betroffenheit, Pflichten & Sanktionen

Mehr über das NIS-2-Umsetzungsgesetz erfahren

Entscheidungsverkündung mit einem Richterhammer

Die unterschätzte Schwachstelle: Kommunikation im Notfall

In vielen Notfallszenarien zeigt sich eine kritische Lücke: Organisationen planen Wiederanlaufprozesse und Backup-Strategien, übersehen aber die fundamentale Frage nach der Kommunikationsfähigkeit. Wie kommunizieren Unternehmen und Behörden, wenn die primären Kommunikationsmittel ausfallen?

Bei einem Ransomware-Angriff etwa sind häufig nicht nur Geschäftsdaten betroffen, sondern auch E-Mail-Systeme, Kollaborationsplattformen und Videokonferenzlösungen. Die Konsequenz: Der Krisenstab kann sich nicht koordinieren, Mitarbeitende erhalten keine Anweisungen, Kunden und Partner bleiben im Dunkeln.

Ein Geschäftsfortführungsplan nach BSI 200-4 muss daher zwingend auch eine Antwort auf diese Frage enthalten: Welches sekundäre Kommunikationssystem steht bereit, wenn das primäre System nicht mehr nutzbar ist?

EVAC von mailbox: Kommunikationsfähigkeit auf Knopfdruck

Genau für dieses Szenario hat mailbox EVAC entwickelt – eine sofort einsetzbare, sekundäre Kommunikationsplattform für Unternehmen und Behörden. EVAC lässt sich auf Knopfdruck aktivieren, wenn die regulären IT-Kommunikationstools während eines Cybernotfalls nicht mehr verfügbar sind.

Was EVAC umfasst:

Sichere E-Mail-Kommunikation – unabhängig von Ihrer kompromittierten Infrastruktur
Videokonferenzen – für Krisenstab-Sitzungen, Abstimmungen und Online-Meetings mit externen Stakeholdern
Cloud-Speicher – für den Austausch wichtiger Dokumente im Notbetrieb
Kalender, Adressbuch und Online-Office-Tools – für die grundlegende Arbeitsfähigkeit

EVAC im BCM-Kontext

EVAC ist keine Ersatzinfrastruktur für den Dauerbetrieb, sondern ein gezielter Baustein in Ihrem Geschäftsfortführungsplan: die Lösung für die Kommunikationsfähigkeit im Notfall. Als externes, unabhängiges System ist EVAC von einem Angriff auf Ihre primäre IT nicht betroffen – und genau das macht es so wertvoll.

Fazit: Vorbereitung schlägt Reaktion

Der BSI-Standard 200-4 macht Business Continuity Management greifbar und umsetzbar – auch für Unternehmen, die bisher kein formales BCM betrieben haben. Mit dem dreistufigen Modell können Sie schnell starten und schrittweise ein belastbares System aufbauen.

Entscheidend ist: Warten Sie nicht auf den Ernstfall. Die NIS-2-Anforderungen gelten jetzt. Und die Frage, ob Ihr Unternehmen nach einem Cyberangriff kommunikations- und handlungsfähig bleibt, sollte nicht erst im Krisenstab beantwortet werden – sondern heute, in Ihrem Geschäftsfortführungsplan.

Fünf Schritte zum Geschäftsfortführungsplan

Sie möchten mit Ihrem BCM starten oder bestehende Maßnahmen verbessern? Diese fünf Schritte orientieren sich am BSI-Standard 200-4:

Verantwortung klären: BCM ist Chefsache. Benennen Sie eine verantwortliche Person (BCM-Beauftragter) und stellen Sie sicher, dass die Geschäftsleitung das Thema aktiv unterstützt.
Business Impact Analyse durchführen: Identifizieren Sie Ihre zeitkritischen Geschäftsprozesse, deren Abhängigkeiten und die maximal tolerablen Ausfallzeiten. Das BSI stellt hierfür kostenlose Vorlagen bereit.
Notfallkommunikation sicherstellen: Definieren Sie einen sekundären Kommunikationskanal, der unabhängig von Ihrer primären IT funktioniert – etwa mit einer Lösung wie EVAC von mailbox.
Wiederanlaufpläne erstellen: Dokumentieren Sie für jeden kritischen Prozess, wie der Notbetrieb aussieht und welche Schritte zur Wiederherstellung nötig sind.
Regelmäßig üben und verbessern: Ein Plan, der nie getestet wird, ist im Ernstfall wertlos. Führen Sie regelmäßige BCM-Übungen durch und passen Sie Ihre Pläne an veränderte Bedingungen an.

Was ist ein Geschäftsfortführungsplan?

Ein Geschäftsfortführungsplan (GFP, Business Continuity Plan) ist ein dokumentierter Handlungsplan, der beschreibt, wie ein Unternehmen nach einer gravierenden Störung seine kritischen Geschäftsprozesse aufrechterhält oder in kürzester Zeit wiederherstellt. Er ist das zentrale Ergebnis eines Business Continuity Management Systems (BCMS) nach BSI-Standard 200-4.

Ist BCM nach BSI 200-4 für KMU Pflicht?

Seit dem 6. Dezember 2025 verlangt das NIS-2-Umsetzungsgesetz von rund 29.500 Unternehmen in Deutschland ein strukturiertes Business Continuity Management. Viele mittelständische Unternehmen ab 50 Mitarbeitenden oder ab 10 Millionen Euro Umsatz in den betroffenen Sektoren sind darunter. Der BSI-Standard 200-4 ist dabei keine gesetzliche Vorgabe, aber die anerkannte Methodik, um die NIS-2-Anforderungen nachweisbar zu erfüllen.

Wie lange dauert der Aufbau eines BCM nach BSI 200-4?

Dank des dreistufigen Modells können KMU bereits in vier bis acht Wochen ein Reaktiv-BCMS etablieren, das die NIS-2-Mindestanforderungen erfüllt. Der Aufbau eines vollständigen Aufbau-BCMS dauert drei bis sechs Monate, ein umfassendes Standard-BCMS sechs bis 12 Monate.

Welche Rolle spielt Notfallkommunikation im Geschäftsfortführungsplan?

Notfallkommunikation ist in allen Phasen einer Störung entscheidend. Der BSI-Standard 200-4 fordert, dass Unternehmen auch bei Ausfall der primären IT weiter mit Mitarbeitenden, Kunden und Behörden kommunizieren können. Sekundäre Kommunikationsplattformen wie EVAC von mailbox schließen genau diese Lücke.