ISO 27031 Realitätscheck: Wie der Final MBCO die Lücke zwischen Wunsch und Wirklichkeit schließt

von am Kein Kommentar

Die Veröffentlichung der Norm ISO/IEC 27031:2025 markiert einen Paradigmenwechsel in der Unternehmensresilienz und definiert die Beziehung zwischen Business Continuity Management (BCM) und ICT Readiness for Business Continuity (IRBC) fundamental neu. Die traditionelle Sichtweise von IRBC als reaktive, technische Unterstützungsfunktion ist obsolet.

Die neue Norm erhebt IRBC zu einem eigenständigen Managementsystem, das als strategischer Partner des BCM agiert, um eine ganzheitliche und nachweisbare Widerstandsfähigkeit der Organisation zu gewährleisten. Im Zentrum dieser Transformation stehen zwei entscheidende Governance-Instrumente: die „Proof Chain“ – eine lückenlose, nachprüfbare Nachweiskette, die jede geschäftliche Anforderung direkt mit ihrer validierten technischen Umsetzung verknüpft – und der „Final Minimum Business Continuity Objective“ (Final MBCO).

Der finale MBCO ist eine formelle, vom Top-Management genehmigte Festlegung des Serviceniveaus, das im Krisenfall als realistisch und akzeptabel gilt. Er dient dazu, die oft bestehende Lücke zwischen den Anforderungen der Fachbereiche und den tatsächlich umsetzbaren Möglichkeiten zu schließen.

Die strategische Notwendigkeit: Aufbau einer einheitlichen Resilienzfront

Die ISO/IEC 27031:2025 erzwingt eine grundlegende Neubewertung der Rolle der IT-Kontinuität innerhalb der Unternehmensstrategie. Die Zeit, in der die IT-Kontinuität, oft unter den Bezeichnungen Disaster Recovery oder IT Service Continuity Management, als rein technische Disziplin im Keller der IT-Abteilung angesiedelt war, ist endgültig vorbei. Die Norm positioniert IRBC als integralen Bestandteil einer ganzheitlichen Resilienzstrategie im Managementkontext und fordert eine tiefgreifende, partnerschaftliche Integration in das Business Continuity Management System.

Vom Unterstützer zum strategischen Partner

Die traditionelle Beziehung zwischen BCM und dem, was bisher als ITSCM verstanden wurde, war oft hierarchisch und reaktiv: Das BCM definierte Anforderungen in Form einer Business Impact Analyse (BIA), und die IT versuchte, diese technisch umzusetzen. Dieser Ansatz führte häufig zu Silos und Missverständnissen. Die ISO/IEC 27031:2025 bricht radikal mit diesem Modell.

Gemäß Klausel 6 der Norm ist die „Integration von IRBC in das BCM“ nun eine normative Anforderung. IRBC wird als eigenständiges Managementsystem verstanden, das proaktiv zur strategischen Resilienz beiträgt. Es geht nicht mehr nur um den Wiederanlauf und die Wiederherstellung von Systemen, sondern um die Gestaltung widerstandsfähiger System- und Anwendungsarchitekturen und Prozesse. Für den BC-Manager bedeutet dies, dass sein IRBC-Gegenüber kein reiner Dienstleister mehr ist, sondern ein strategischer Partner.

Geteilte Governance: Die Etablierung eines Resilience Boards

Um diese strategische Partnerschaft mit Leben zu füllen, fordert die Norm eine formalisierte Governance-Struktur. Die Klauseln 6.2 und 13 machen deutlich, dass Resilienz eine Führungsaufgabe ist. In der Praxis lässt sich diese Anforderung am effektivsten durch die Einrichtung eines zentralen Lenkungsgremiums umsetzen, das oft als „Resilience Board“ bezeichnet wird.

Der Vorteil eines solchen interdisziplinären Gremiums gegenüber einer alleinigen Steuerung durch den CIO oder IT-Leiter liegt in der ganzheitlichen, geschäftsorientierten Perspektive. Während ein IT-Leiter naturgemäß technologische Aspekte priorisiert, stellt das Resilience Board sicher, dass Entscheidungen im Einklang mit den strategischen Geschäftszielen, der Risikotoleranz und den finanziellen Realitäten des Gesamtunternehmens getroffen werden.

Idealerweise wird die Koordination dieses Boards von einem dedizierten Resilience Manager übernommen, der eine übergeordnete Sicht auf alle Resilienz-Disziplinen hat. Solange diese Rolle nicht etabliert ist, ist der BC-Manager, im engen Zusammenwirken mit dem IRBC-Manager, die treibende Kraft, um die Agenda des Boards zu gestalten und die strategische Ausrichtung sicherzustellen. Zu den Aufgaben des Boards gehören u.a. die Freigabe von Resilienzstrategien, die Genehmigung des Final MBCO, die Zuweisung von Budgets und die formelle Akzeptanz von Restrisiken.

Das Herzstück der Zusammenarbeit: Die Beherrschung der Proof Chain von der BIA bis zum ICT-Wiederanlauf und der Wiederherstellung

Das zentrale Element der neuen BCM-IRBC-Partnerschaft ist die „Proof Chain“ (Nachweiskette). Dieses Konzept beschreibt den lückenlosen, dokumentierten und nachprüfbaren Pfad, der einen zeitkritischen Geschäftsprozess mit seiner validierten technischen Lösung für den Wiederanlauf und die Wiederherstellung verbindet. Der Zweck der Proof Chain ist es, Annahmen durch Fakten zu ersetzen und einen unwiderlegbaren, evidenzbasierten Nachweis der Kontinuitätsfähigkeit zu erbringen.

Definition der Proof Chain: Vom Geschäftsbedarf zum nachprüfbaren Beweis

Die Proof Chain ist ein durchgängiger Prozess, der sich logisch aus der Struktur der Norm ableitet. Er beginnt mit den Geschäftsanforderungen aus der BIA (Klausel 7.2), wird in technische Zielvorgaben übersetzt (Klausel 8.2), mündet in konkrete Pläne und Architekturen (Klausel 10.3) und wird schließlich durch Tests validiert (Klausel 11). Jeder Schritt muss dokumentiert sein, um eine „revisionssichere Dokumentation“ zu gewährleisten.

Schrittweise Aufschlüsselung der Rollen und Verantwortlichkeiten

Die erfolgreiche Implementierung der Proof Chain hängt von einer klaren und symbiotischen Zusammenarbeit zwischen BCM und IRBC ab. Jede Funktion hat eine eindeutige, aber untrennbar mit der anderen verbundene Rolle.

Die Rolle des BCM: Der BC-Manager initiiert und verankert die Proof Chain im Geschäftskontext. Seine Hauptverantwortung liegt darin, das Was, Warum und Wann der Kontinuität zu definieren. Dies geschieht durch eine robuste und stichhaltige BIA. Er leitet die geschäftlichen Toleranzzeiten (BIA-RTO/RPO) und das anfänglich erforderliche Serviceniveau (Initial MBCO) ab.

Die Rolle des IRBC: Die IRBC-Organisation ist für das Wie der Umsetzung verantwortlich. Sie empfängt die präzisen Anforderungen vom BCM und übersetzt diese in technische Spezifikationen (ICT-RTO/RPO). Ihre Aufgabe ist es, resiliente technische Architekturen und Lösungen zu entwerfen.

Ãœber die BIA hinaus: Definition und Nutzung des Final MBCO

Die ISO/IEC 27031:2025 führt mit dem Final Minimum Business Continuity Objective (Final MBCO) ein neues, entscheidendes Governance-Konzept ein. Es handelt sich um einen strategischen Risikomanagement-Vertrag, der die Lücke zwischen den idealisierten Anforderungen der BIA und der Realität schließt.

Der Final MBCO als Risikomanagement-Vertrag

In der Praxis klafft oft eine Lücke zwischen dem, was das Geschäft im Notfall benötigt (dem Initial MBCO), und dem, was die IT-Systeme und -Prozesse tatsächlich leisten können. Der Final MBCO-Prozess, wie er in Klausel 12 der Norm beschrieben wird, zwingt die Organisation, sich diesem Risiko explizit zu stellen.

Der Final MBCO ist das Ergebnis eines formalen Prozesses, der die technische und organisatorische Machbarkeit, Abhängigkeiten und Erkenntnisse aus Tests berücksichtigt. Er definiert das minimal akzeptable Serviceniveau, das nach Abschluss des Wiederanlaufs und der Wiederherstellung tatsächlich erreicht werden kann. Die formelle Genehmigung dieses Niveaus durch das Top-Management (gemäß Klausel 13.2) wandelt eine technische Gegebenheit in eine bewusste strategische Entscheidung um.

Der Governance-Workflow

Der Prozess zur Festlegung des Final MBCO ist ein zentraler Teil der Resilienz-Governance und lässt sich in die folgenden Schritte unterteilen. Der BC-Manager ist, im Zusammenwirken mit dem IRBC-Manager, die treibende Kraft hinter dem Final MBCO-Prozess. Der Workflow umfasst typischerweise die folgenden Schritte:

Identifizierung der Lücke: Auf Basis der Proof Chain (Gap-Analyse) wird die Diskrepanz zwischen dem BIA-geforderten Serviceniveau und dem aktuell realisierbaren Niveau artikuliert. Dies geschieht im Rahmen eines umfassenden Lösungskonzepts, das die Lücke inklusive des damit verbundenen Risikos und der potenziellen Investitionshöhe zur Mitigation darstellt. Dieses Konzept berücksichtigt dabei nicht nur IT-Ausfälle, sondern auch andere Szenarien wie Gebäude-, Personal- oder Dienstleisterausfälle.

Präsentation der Optionen: Eine Entscheidungsvorlage wird für das Top-Management oder das Resilience Board vorbereitet. Diese Vorlage muss klare, bewertete Optionen enthalten. Der IRBC-Manager liefert hierbei die technischen Lösungsoptionen, Kosten und Zeitpläne. Die Optionen sind typischerweise:

Investieren: Die Lücke durch gezielte Investitionen schließen.

Mitigieren: Das Risiko durch alternative Strategien reduzieren, z. B. durch manuelle Workarounds.

Akzeptieren: Das Risiko formell anerkennen und das niedrigere, erreichbare Serviceniveau als Final MBCO dokumentieren, sofern dies regulatorisch und vertraglich zulässig ist.

Formalisierung der Entscheidung: Die getroffene Entscheidung wird formell dokumentiert, vom Top-Management unterzeichnet und kommuniziert. Der beschlossene Final MBCO wird zur neuen, verbindlichen Zielgröße und muss in allen relevanten BCPs und IT Recovery Plänen geplant und verankert werden.

Dieser Prozess rückt das Thema auf die Agenda des Top-Managements. Der BC-Manager agiert hierbei als Moderator, der eine fundierte, strategische Risikoentscheidung herbeiführt. Der dokumentierte Final MBCO wird zu einem Instrument in zukünftigen Budgetverhandlungen und schafft eine klare Verantwortlichkeit des Managements für das gewählte Risikoniveau.

Fallstudie: Bewältigung eines Betriebsausfalls in einer Produktionsumgebung

Um die theoretischen Konzepte zu veranschaulichen, betrachten wir ein praxisnahes Szenario. Ein globaler Automobilzulieferer, der nach einem Just-in-Time-Produktionsmodell arbeitet, ist existenziell von seinem Manufacturing Execution System (MES) abhängig.

Szenario-Setup

Während eines geplanten Wartungsfensters wird ein scheinbar unkritisches Software-Update für das zentrale MES eingespielt. Nach dem Neustart des Systems führt ein unentdeckter Fehler im Update zu einer korrupten Produktionsplanungsdatenbank. Infolgedessen stehen alle Montagelinien still. Es handelt sich um einen klassischen Produktionsausfall durch einen fehlerhaften Change-Prozess.

Die Proof Chain in Aktion

BIA & Anforderungsdefinition: Die vom BC-Manager verantwortete BIA hatte den Prozess „Montagelinienbetrieb“ mit der höchsten Zeitkritikalität eingestuft. Die Analyse ergab eine Wiederanlaufzielzeit (BIA-RTO) von 4 Stunden. Das aus der BIA abgeleitete Initial MBCO wurde definiert als: „Wiederanaluf der Produktionsplanung für mindestens 80% der Montagelinien“.

Technische Übersetzung: Die IRBC-Organisation übersetzte diese geschäftliche Anforderung in eine technische Zielvorgabe: ein ICT-RTO von 3 Stunden für die MES-Anwendung, ihre Datenbank sowie die dafür benötigte IT-Infrastruktur.

Die Lücke und der Final MBCO: Eine frühere Gap-Analyse hatte ergeben, dass eine vollständige Wiederherstellung der Datenbank aus der Bandsicherung 8 Stunden dauern würde. Dieses Risiko wurde im Resilience Board präsentiert. Das Management genehmigte daraufhin die Investition in eine Hochverfügbarkeitslösung, beschränkte diese jedoch aus Kostengründen auf das Kernmodul der Produktionsplanung. Das Ergebnis war ein dokumentierter und genehmigter Final MBCO: „Wiederherstellung der Kernfunktionalität der Produktionsplanung innerhalb des ICT-RTO von 3 Stunden. Vollständige Reporting- und Analysemodule (also die nachgelagerten Systeme zur Auswertung von Produktionsdaten und zur Erstellung von Management-Berichten) können innerhalb von 24 Stunden nachgeliefert werden.“

Aktivierung des Plans

Der Stillstand der Linien löst unmittelbar einen Störfall der höchsten Priorität aus:

Die IRBC-Organisation aktiviert sofort ihren IT Recovery Plan und leitet den Failover auf den sekundären Standort ein.

Parallel dazu aktiviert die BCM-Organisation ihren BCP. Ihre Hauptaufgaben sind nun die strategische Koordination und Kommunikation: Sie informiert das Top-Management, kommuniziert proaktiv mit den wichtigsten Kunden und koordiniert mit den Logistikpartnern.

Erreichen des Final MBCO

Dank der vorab getroffenen strategischen Entscheidung gelingt es der IRBC-Organisation, die Kernfunktionalität des MES am sekundären Standort in 2,5 Stunden wiederherzustellen. Diese Wiederanlaufzeit wurde durch einen Funktionstest validiert und war somit eine verlässliche Planungsgröße. Die BCM-Organisation koordiniert die Validierung des Systems mit den Produktionsleitern. Die Montagelinien nehmen ihren Betrieb 3,5 Stunden nach dem ursprünglichen Ausfall wieder auf. Der BIA-RTO von 4 Stunden wurde eingehalten.

Lessons Learned

Die Post-Incident-Review bestätigt den Wert des Proof-Chain- und Final-MBCO-Prozesses. Die Analyse deckt jedoch auch eine neue Schwachstelle auf: Im Rahmen eines Funktionstests wurde ein Netzwerk-Switch im sekundären Rechenzentrum als potenzieller Single Point of Failure identifiziert. Diese Erkenntnis wird als konkrete Verbesserungsmaßnahme in die Proof Chain zurückgespeist.

Abschließende Analyse: Betriebsausfall vs. Cyber-Angriff – Eine Resilienz-Perspektive

Die erfolgreiche Bewältigung des Betriebsausfalls in der Fallstudie darf nicht zu dem Trugschluss verleiten, dass die Organisation nun gegen alle Bedrohungen gewappnet ist. Es ist fundamental, den Unterschied zwischen einem Betriebsausfall und einem gezielten Cyber-Angriff zu verstehen und zu kommunizieren, da die Reaktionsparadigmen grundverschieden sind.

Die kritische Unterscheidung: Vertrauenswürdige vs. nicht vertrauenswürdige Umgebung

Der Kernunterschied liegt in der Integrität der Umgebung. Der Ausfall im Fallbeispiel ereignete sich in einer vertrauenswürdigen Umgebung. Das Problem war ein bekannter Fehler in einer ansonsten intakten Infrastruktur. Die Daten, die Backups und die Wiederherstellungsumgebung galten als sauber und sicher. Ein Cyber-Angriff, insbesondere ein moderner Ransomware-Angriff, verwandelt die gesamte IT-Landschaft in eine potenziell feindliche, nicht vertrauenswürdige Umgebung. Jedes System, jedes Backup und jede Netzwerkverbindung könnte kompromittiert sein. Das primäre Ziel ist nicht mehr nur die Wiederherstellung der Verfügbarkeit, sondern die sichere Wiederherstellung in einer sauberen Umgebung, ohne den Angreifer oder die Malware erneut einzuschleusen.

Hierbei wird auch die Abgrenzung der Kontinuitäts-Disziplinen deutlich. Während das Cyber Incident Response Management sich auf die Eindämmung, Beseitigung und forensische Analyse der Bedrohung konzentriert, fokussieren sich BCM und IRBC darauf, die definierten Wiederanlauf- und Wiederherstellungsziele (RTO) für die zeitkritischen Geschäftsprozesse zu erreichen und den Betrieb auf dem vereinbarten Minimalniveau (Final MBCO) aufrechtzuerhalten. Beide Disziplinen müssen eng verzahnt zusammenarbeiten, agieren aber mit unterschiedlichen Zielsetzungen und Methoden.

Handlungsempfehlungen für BC-Verantwortliche

Die ISO/IEC 27031:2025 ist mehr als eine neue Norm. Sie ist ein Mandat zur strategischen Neuausrichtung der Unternehmensresilienz. Für BC-Manager bietet sie die Chance, ihre Rolle neu zu definieren und ihren Einfluss im Unternehmen signifikant zu steigern. Die folgenden Empfehlungen fassen die wichtigsten Handlungsfelder zusammen:

Übernehmen Sie Ihre Rolle als Resilienz-Orchestrator. Warten Sie nicht darauf, eingeladen zu werden. Etablieren Sie proaktiv ein funktionsübergreifendes Resilience Board und übernehmen Sie darin eine führende Rolle. Ihre ganzheitliche Sicht auf das Geschäft prädestiniert Sie dazu, die verschiedenen Resilienz-Disziplinen zu synchronisieren.

Machen Sie die BIA zur strategischen Grundlage. Behandeln Sie Ihre BIA nicht als statisches Dokument, sondern als den stichhaltigen Ausgangspunkt der nachprüfbaren Proof Chain. Stellen Sie sicher, dass ihre Ergebnisse klar, unmissverständlich und robust sind. Sie ist die Grundlage für jede Investitions- und Risikoentscheidung.

Meistern Sie den Final MBCO-Prozess. Nutzen Sie den Final MBCO als Ihr primäres Instrument, um strategische Risikogespräche mit dem Top-Management zu führen. Transformieren Sie technische Lücken in klare Geschäftsentscheidungen über Investition, Minderung oder Akzeptanz. Machen Sie Risiko greifbar und Entscheidungen verbindlich.

Schmieden Sie eine strategische Allianz mit Ihrem IRBC-Partner. Beziehen Sie den IRBC-Manager frühzeitig in Diskussionen über den Technologie-Lebenszyklus ein. Verlagern Sie den Dialog von der reinen Frage „Was ist der RTO?“ hin zur strategischen Frage „Wie resilient ist die Architektur?“.

Fordern Sie Beweise, nicht nur Pläne. Bestehen Sie auf gründlichen, szenariobasierten Tests, die harte Metriken liefern, wie in Klausel 11 der Norm gefordert. Ihre Aufgabe ist es, zu validieren, dass die technischen Tests die geschäftliche Definition von Wiederanlauf und Wiederherstellung erfüllen.

Denken Sie über die Ausfälle hinaus. Treiben Sie die Entwicklung von Cyber-Resilienz-Strategien voran. Verstehen und vertreten Sie die Notwendigkeit unterschiedlicher Ansätze, um einen böswilligen Angriff zu überleben, nicht nur einen technischen Fehler.

Gestalten Sie Ihre Resilienz proaktiv

Die Transformation hin zu einer integrierten, nachweisbaren Resilienz gemäß ISO/IEC 27031:2025 ist eine komplexe strategische Aufgabe, die weit über die traditionelle Notfallplanung hinausgeht. Wenn Sie auf diesem Weg einen erfahrenen Partner suchen, der Sie bei der Implementierung der Proof Chain, der Moderation des Final-MBCO-Prozesses und der Entwicklung robuster, szenariobasierter Resilienzstrategien unterstützt, stehen wir Ihnen zur Seite. Kontaktieren Sie uns, um ein unverbindliches Beratungsgespräch zu vereinbaren und einen klaren Fahrplan für die Stärkung Ihrer organisatorischen Widerstandsfähigkeit zu entwickeln.

Die Controllit AG ist Ihr Partner für Business Continuity Management (BCM). Seit unserer Gründung entwickeln wir integrative Konzepte und Produkte für das Business Continuity Management, IT Service Continuity Management und Krisenmanagement. Wir helfen Ihnen mit strategischen, organisatorischen und technischen Konzepten, Ihre Geschäftsprozesse gegen Bedrohungen abzusichern und für Notfälle vorzusorgen.

ISO 27031 Realitätscheck: Wie der Final MBCO die Lücke zwischen Wunsch und Wirklichkeit schließt hinzugefügt von am
Alle Beiträge von Redaktion →

verwandte Themen:

ISO 27031 Realitätscheck: Die gefährliche Lücke des RTO zwischen Business und IT
In der Welt des Business Continuity Managements (BCM) gibt es kaum eine Kennzahl, die so fundamental und gleichzeitig so gefährlich missverstanden wird wie die Recovery Time Objective (RTO). Während Fachbereiche und IT-Abteilungen glauben, dieselbe Sprache zu sprechen, definieren sie den Startpunkt dieser kritischen Zeitspanne oft fundamental unterschiedlich. Diese Diskrepanz ist keine akademische Spitzfindigkeit – sie ist eine tickende Zeitbombe, die im Ernstfall zu falschen Sic...

ISO 27031 Realitätscheck: Warum ITSCM nicht genug ist und ISO 27031 echtes BCM fordert
In der Unternehmenslandschaft hat sich ein gefährliches Missverständnis etabliert: IT-Abteilungen gehen davon aus, dass die Implementierung von IT Service Continuity Management (ITSCM) gleichbedeutend mit einem vollwertigen Business Continuity Management (BCM) für ihren eigenen Bereich ist. Diese Annahme, die IT lediglich als Dienstleister für andere Fachbereiche zu betrachten, schafft eine kritische Resilienz-Lücke. Sie ignoriert, dass die IT-Organisation selbst eine ko...

ISO 27031 Realitätscheck: Operationalisierung manueller Workarounds im Business Continuity Plan
Das Mandat der ISO 27031:2025: Resilienz jenseits der Technologie...

Studie: KI und Ethik – Von Wunsch und Wirklichkeit (FOTO)
– BearingPoint-Studie zeigt: Mehrheit hält ethische Auseinandersetzung mit Künstlicher Intelligenz für wichtig – Ethische Richtlinien in Unternehmen sind aber noch in den Kinderschuhen Künstliche Intelligenz (KI) verändert die Unternehmenswelt. Dem stimmen die meisten der 600 befragten Unternehmensvertreter aus dem aktuellen „Digitalisierungsmonitor 2020“ der Management- und Technologieberatung BearingPoint zu. Dass bei weltverändernden Innovationen auch immer die […]...

Studie: KI und Ethik – Von Wunsch und Wirklichkeit
Frankfurt am Main, 24. Januar 2020 – Künstliche Intelligenz (KI) verändert die Unternehmenswelt. Dem stimmen die meisten der 600 befragten Unternehmensvertreter aus dem aktuellen „Digitalisierungsmonitor 2020“ der Management- und Technologieberatung BearingPoint zu. Dass bei weltverändernden Innovationen auch immer die Frage der ethischen Komponente betrachtet werden sollte, bestätigt ebenfalls die Mehrheit. 62 Prozent halten eine ethische […]...