Ein Sicherheitsvorfall um 3 Uhr nachts, die Logistikplattform steht still, Kunden rufen an — und jetzt? Ohne dokumentierten Business Continuity Plan bleibt in der Krise nur Improvisation. Die Vorlage weiter unten gibt dir eine erprobte Struktur: von der Aktivierung über die Wiederherstellungsszenarien bis zur Rückkehr zum Normalbetrieb.
ISO 27001 (A.5.29 und A.5.30) verlangt, dass Organisationen ihre Informationssicherheitskontinuität planen, umsetzen und regelmäßig testen. ISO 22301 liefert den übergreifenden BCM-Rahmen. Unsere Vorlage verbindet beide Perspektiven in einem praxistauglichen Dokument.
Was der Plan abdeckt
Die Vorlage gliedert sich in neun Abschnitte, die den gesamten Lebenszyklus einer Betriebsunterbrechung abbilden:
Zweck und Geltungsbereich definieren, welche kritischen Prozesse der Plan schützt — die Ergebnisse deiner Business Impact Analysis (BIA) liefern die Grundlage. Ohne BIA fehlen die Prioritäten, und der Plan bleibt beliebig.
Aktivierung regelt die Trigger-Bedingungen (z. B. Systemausfall länger als 30 Minuten) und die Entscheidungsbefugnis. Wer darf den Plan aktivieren? Wer wird innerhalb von 15 Minuten benachrichtigt? Das Krisenstab-Telefon, SMS, Statusseite — alles ist vordefiniert.
Rollen und Verantwortlichkeiten werden in einer Tabelle festgelegt: CMT-Vorsitz, BCM-Leitung, ISB, IT-Betrieb, Kommunikation, DSB. Jede Rolle hat eine benannte Person und eine Stellvertretung.
Wiederherstellungsstrategien bilden das Herzstück. Die Vorlage enthält vier durchgespielte Szenarien mit konkreten Zeitschritten: Was passiert von T+0 bis T+15 Minuten? Was von T+1h bis T+4h? Welche Kapazität muss wann erreicht sein?
Abhängigkeiten und Ressourcen listen Lieferanten, Failover-Optionen und Notfall-Ausrüstung auf. Die Wiederherstellungsprozeduren verweisen auf spezifische Runbooks für technische Restore-Schritte.
Vorlage: Business Continuity Plan
Dokumentenkontrolle
Eigentümer: BCM-Leitung
Genehmigt von: CEO
Version: 1.3
Gültig ab: 2026-02-20
Nächste Überprüfung: 2027-02-20
Klassifizierung: Vertraulich — BCM-Team
1. Zweck und Scope
Dieser Continuity-Plan deckt die Prozesse P-01 (Sendungserfassung und -verfolgung) und P-02 (Disposition und Tourenplanung) ab, die in der BIA als kritisch mit einer MTPD von 8 bzw. 12 Stunden eingestuft sind.
Der Plan gilt für Unterbrechungen, die das Hamburger HQ, die Rotterdamer Niederlassung oder kritische Lieferanten (vorwiegend Vendor X Logistics, AWS, M365) betreffen. Personal-Notfälle werden über den HR-Continuity-Plan abgedeckt.
2. Aktivierung
2.1 Auslöserbedingungen
Die Aktivierung wird durch eine der folgenden Bedingungen ausgelöst:
- Das Logistikportal (AST-002) ist während der Geschäftszeiten länger als 30 Minuten nicht erreichbar.
- Das Hamburger HQ ist während der Geschäftszeiten länger als 1 Stunde nicht zugänglich.
- Ein bestätigter Großvorfall (Schweregrad Hoch oder höher) betrifft ein kritisches System mit RTO ≤ 4 Stunden.
- Erklärung durch das Krisenmanagement-Team (CMT).
2.2 Entscheidungsbefugnis
Die BCM-Leitung, die ISB oder die IT-Betriebsleitung dürfen die Aktivierung erklären. Die CEO wird unverzüglich informiert und hat Veto-Recht.
2.3 Benachrichtigung
Bei Aktivierung werden innerhalb von 15 Minuten folgende Benachrichtigungen ausgelöst:
- CMT-Mitglieder über die Krisen-Telefonkette.
- Alle betroffenen Mitarbeitenden per SMS und E-Mail.
- Kunden über die Statusseite des Portals.
- Schlüssellieferanten, auf die bei der Wiederherstellung gebaut wird.
3. Rollen und Verantwortlichkeiten
| Rolle | Name | Verantwortung während der Aktivierung |
|---|---|---|
| CMT-Vorsitz | Katharina Meier (CEO) | Gesamtentscheidungen, externe Kommunikation |
| Stellvertretung | Thomas Weissenberg (CFO) | Finanzentscheidungen, Vertretung der CEO |
| BCM-Leitung | Markus Schulz | Koordination der Wiederherstellung, Lagebuch |
| ISB | Anna Weber | Sicherheitsauswirkungen, Incident-Response-Schnittstelle |
| IT-Betriebsleitung | Markus Schulz (in Doppelfunktion) | Technische Wiederherstellung der IT-Systeme |
| Operationsleitung | Tobias Wagner | Geschäftsprozess-Kontinuität |
| Kommunikationsleitung | Sarah Lindner | Interne und externe Kommunikation |
| DSB | Julia Hoffmann | DSGVO-Auswirkungen sofern relevant |
4. Wiederherstellungsstrategie
4.1 Szenario A — Ausfall des Logistikportals (Vendor X Logistics)
Ziel: 30 % Sendungserfassungs-Kapazität innerhalb 2 Stunden, volle Kapazität innerhalb 4 Stunden halten.
Schritte:
- T+0 bis T+15 min: BCM-Leitung bestätigt Ausfall mit Anbieter. IT-Betriebsleitung eröffnet P1-Ticket beim Anbieter. CMT informiert.
- T+15 bis T+30 min: Fallback-Verfahren LOG-FB-01 aktivieren (manuelle Erfassung per Telefon + gemeinsames Spreadsheet). Dispositionsteam wechselt auf ausgedruckte Tourenblätter aus dem letzten Export.
- T+30 bis T+60 min: Kundenservice kündigt Fallback auf der Portal-Statusseite und mit vorbereiteter E-Mail-Vorlage an. Top-20-Kunden werden einzeln durch Account Manager angerufen.
- T+1 h bis T+2 h: Zusätzliches Personal aus dem Kundenservice in die Disposition verlagert, um 30 % Kapazität zu erreichen.
- T+2 h bis T+4 h: Manueller Betrieb fortführen. Anbieterstatus alle 30 Minuten überwachen. Wiederanlauf vorbereiten.
- Bei Wiederherstellung: Manuell erfasste Buchungen in das Portal zurückspielen. Wiederherstellungsbestätigung an Kunden senden.
4.2 Szenario B — Hamburger HQ nicht zugänglich
Ziel: Kritische Operationen innerhalb 4 Stunden nach Rotterdam verlagern.
Schritte:
- T+0 bis T+15 min: CMT aktiviert Verlagerung. Niederlassung Rotterdam wird informiert.
- T+15 min bis T+1 h: Kernpersonal (Disponenten, IT-Rufbereitschaft, BCM-Leitung) verlagert sich nach Rotterdam oder arbeitet aus dem Homeoffice mit vorbereiteten Laptops.
- T+1 h bis T+4 h: Rotterdam stellt 6 Hot Desks + Besprechungsraum für das CMT zur Verfügung. VPN + VoIP auf Rotterdam umgeleitet.
- Ab T+4 h: HQ-Status weiter beobachten. Rückkehr planen.
4.3 Szenario C — M365-Tenant-Ausfall
Ziel: Interne und externe Kommunikation über alternative Kanäle aufrechterhalten.
Schritte:
- T+0 bis T+15 min: Ausfall mit Microsoft Service Health bestätigen. CMT informieren.
- T+15 min: Interne Kommunikation auf Signal (vorbereitete Krisengruppe) und private Telefonnummern umstellen.
- T+30 min: Kundenkommunikation über Portal-Statusseite und anbieterseitig gehostete Ausweich-E-Mail (
crisis@nordwind-logistics.net). - Ab T+1 h: Kritische Dokumente über Offline-Kopie des Krisenordners und tägliche Exporte wichtiger M365-Daten zugänglich.
4.4 Szenario D — Ransomware oder größerer Cybervorfall
Wird gemeinsam mit dem Incident Response Plan (PROC-001) gesteuert. BCM-Aktivierung konzentriert sich auf Geschäftskontinuität, Incident Response auf Eindämmung und Bereinigung.
5. Verfügbare Ressourcen bei Aktivierung
- Krisenraum: Hamburg HQ, Raum Nordsee. Ausweich: Rotterdam, Raum Haven.
- Krisenordner: Gedruckte Exemplare in HQ, Rotterdam und bei der BCM-Leitung zu Hause.
- Fallback-Kit: 6 vorkonfigurierte Laptops, 2 × 4G-Router, 2 × Satellitentelefone, im HR-Safe gelagert.
- Krisenkommunikations-Templates: siehe Dokument „Krisenkommunikations-Template".
- Offline-Kontaktlisten: Mitarbeitende, Lieferanten, Kunden (Top 50), Behörden.
- Alternative E-Mail:
crisis@nordwind-logistics.netbei separatem Anbieter gehostet.
6. Abhängigkeiten
| Abhängigkeit | Anbieter | Failover |
|---|---|---|
| Logistikportal | Vendor X Logistics | Manuelles Fallback (LOG-FB-01) |
| E-Mail und Zusammenarbeit | Microsoft M365 | Signal + Ausweich-E-Mail |
| Cloud-Infrastruktur | AWS eu-central-1 | Cross-Region Read Replica |
| Konnektivität | Primärer Glasfaser-ISP | 4G-Mobilfunk-Backup-Router |
| Strom | Netz | USV (30 min) + Generator (24 h) |
| Dispositionswissen | 4 Disponenten | Quergeschultes Kundenservice-Personal |
7. Wiederherstellungsverfahren
Der Plan verweist auf folgende Runbooks:
- RB-DB-001 — Wiederherstellung Kundendatenbank
- RB-SAAS-002 — Logistikportal-Failover und -Wiederherstellung
- RB-AD-001 — Domain-Controller-Failover
- RB-ERP-001 — ERP-Failover
- LOG-FB-01 — Manuelles Logistik-Fallback-Verfahren
8. Tests und Überprüfung
- Tabletop-Übung: Zweimal jährlich (zuletzt: 2025-11-10, nächste: 2026-05-20).
- Teilsimulation: Jährlich (zuletzt: 2025-09-15 — Portal-Failover).
- Vollständiger Durchlauf: Jährlich.
- Plan-Review: Jährlich oder nach jeder wesentlichen Änderung bei Personen, Prozessen, Technik oder Lieferanten.
9. Rückkehr zum Normalbetrieb
Sobald der auslösende Vorfall behoben ist, bewertet die BCM-Leitung die Bereitschaft zur Rückkehr:
- Systeme sind betriebsbereit und verifiziert.
- Datenintegrität ist validiert.
- Sicherheitsniveau ist wiederhergestellt (durch die ISB bestätigt).
- Mitarbeitende sind über das Rückkehrvorgehen informiert.
Die CEO erklärt formal die Rückkehr zum Normalbetrieb. Lessons Learned werden innerhalb von 10 Arbeitstagen in einem Post-Incident-Review erfasst und in das CAPA-Register überführt.
Genehmigt von Katharina Meier (CEO) am 2026-02-20.
Document control
Owner: Business Continuity Lead
Approved by: CEO
Version: 1.3
Effective date: 2026-02-20
Next review: 2027-02-20
Classification: Confidential — BCM team
1. Purpose and scope
This continuity plan covers processes P-01 (Shipment booking and tracking) and P-02 (Dispatch and route planning), identified in the BIA as critical with an MTPD of 8 and 12 hours respectively.
The plan applies to disruptions that affect Hamburg HQ, the Rotterdam branch, or critical suppliers (primarily Vendor X Logistics, AWS, M365). It does not cover personnel emergencies, which are handled by the HR continuity plan.
2. Activation
2.1 Trigger conditions
Activation is triggered by any of the following:
- The logistics portal (AST-002) is unreachable for more than 30 minutes during business hours.
- Hamburg HQ is inaccessible for more than 1 hour during business hours.
- A confirmed major incident (severity High or above) affects a critical system with RTO ≤ 4 hours.
- Declaration by the Crisis Management Team (CMT).
2.2 Decision authority
The BCM Lead, the ISO, or the IT Operations Lead may declare activation. The CEO is informed immediately and has override authority.
2.3 Notification
On activation, the following notifications are issued within 15 minutes:
- CMT members via the crisis phone tree.
- All affected staff via SMS and email.
- Customers via the portal status page.
- Key suppliers that are relied on during recovery.
3. Roles and responsibilities
| Role | Name | Responsibility During Activation |
|---|---|---|
| CMT Chair | Katharina Meier (CEO) | Overall decision-making, external communications |
| Deputy | Thomas Weissenberg (CFO) | Financial decisions, deputising for CEO |
| BCM Lead | Markus Schulz | Coordinate recovery, maintain situation log |
| ISO | Anna Weber | Security implications, incident response interface |
| IT Ops Lead | Markus Schulz (deputised) | Technical recovery of IT systems |
| Ops Lead | Tobias Wagner | Business process continuity |
| Comms Lead | Sarah Lindner | Internal and external communications |
| DPO | Julia Hoffmann | GDPR impact assessment if applicable |
4. Recovery strategy
4.1 Scenario A — Logistics portal outage (Vendor X Logistics)
Objective: Maintain 30% shipment booking capacity within 2 hours, full capacity within 4 hours.
Steps:
- T+0 to T+15 min: BCM Lead confirms outage with vendor. IT Ops Lead opens P1 ticket with vendor. CMT notified.
- T+15 to T+30 min: Activate fallback procedure LOG-FB-01 (manual intake via phone + shared spreadsheet). Dispatch team switches to the printed route sheet from the last export.
- T+30 to T+60 min: Customer service team announces fallback on portal status page and prepared email template. Top-20 customers are called individually by account managers.
- T+1h to T+2h: Additional staff cross-deployed from customer support to dispatch to reach 30% capacity.
- T+2h to T+4h: Continue manual operation. Monitor vendor updates every 30 minutes. Prepare for portal recovery.
- On recovery: Reconcile manually captured bookings into the portal. Issue recovery confirmation to customers.
4.2 Scenario B — Hamburg HQ inaccessible
Objective: Relocate critical operations to Rotterdam within 4 hours.
Steps:
- T+0 to T+15 min: CMT activates relocation. Rotterdam branch is notified.
- T+15 min to T+1h: Core staff (dispatchers, IT on-call, BCM Lead) relocate to Rotterdam or work from home with pre-provisioned laptops.
- T+1h to T+4h: Rotterdam office provides 6 hot desks + conference room for CMT. VPN + VoIP redirected to Rotterdam.
- T+4h onwards: Monitor HQ status. Plan return.
4.3 Scenario C — M365 tenant outage
Objective: Maintain internal and external communication via alternative channels.
Steps:
- T+0 to T+15 min: Confirm outage with Microsoft Service Health. Notify CMT.
- T+15 min: Switch internal communication to Signal (pre-provisioned crisis group) and personal phone numbers.
- T+30 min: Customer communications via portal status page and vendor-hosted backup email (
crisis@nordwind-logistics.net). - T+1h onwards: Critical documents accessible via offline copy of the crisis binder and daily export of key M365 data.
4.4 Scenario D — Ransomware or major cyber incident
Managed jointly with the Incident Response Plan (PROC-001). BCM activation focuses on business continuity while incident response focuses on containment and eradication.
5. Resources available at activation
- Crisis room: Hamburg HQ, room Nordsee. Backup: Rotterdam, room Haven.
- Crisis binder: Printed copies at HQ, Rotterdam, at the BCM Lead's home.
- Fallback kit: 6 preconfigured laptops, 2 × 4G routers, 2 × satellite phones stored in the HR safe.
- Crisis communication templates: See Crisis Communication Template document.
- Offline contact lists: Employees, suppliers, customers (top 50), authorities.
- Alternative email:
crisis@nordwind-logistics.nethosted at a separate provider.
6. Dependencies
| Dependency | Provider | Failover |
|---|---|---|
| Logistics portal | Vendor X Logistics | Manual fallback (LOG-FB-01) |
| Email and collaboration | Microsoft M365 | Signal + backup email |
| Cloud infrastructure | AWS eu-central-1 | Cross-region read replica |
| Connectivity | Primary fibre ISP | 4G mobile backup router |
| Power | Grid | UPS (30 min) + generator (24h) |
| Dispatch expertise | 4 dispatchers | Cross-trained customer service staff |
7. Recovery procedures
The plan references the following runbooks:
- RB-DB-001 — Customer database restore
- RB-SAAS-002 — Logistics portal failover and recovery
- RB-AD-001 — Domain controller failover
- RB-ERP-001 — ERP failover
- LOG-FB-01 — Manual logistics fallback procedure
8. Testing and review
- Tabletop exercise: Twice per year (last: 2025-11-10, next: 2026-05-20).
- Partial simulation: Annually (last: 2025-09-15 — portal failover).
- Full walk-through: Annually.
- Plan review: Annually or after any significant change in people, processes, technology, or suppliers.
9. Return to normal
Once the triggering incident is resolved, the BCM Lead assesses readiness for return:
- Systems operational and verified.
- Data integrity validated.
- Security posture restored (confirmed by the ISO).
- Staff briefed on return procedures.
The CEO formally declares return to normal operations. Lessons learned are captured in a post-incident review within 10 working days and fed into the CAPA register.
Approved by Katharina Meier (CEO) on 2026-02-20.
Quellen
- ISO/IEC 27001:2022 Annex A 5.29–5.30 — Informationssicherheitskontinuität
- ISO 22301:2019 — Business Continuity Management Systems
- BSI-Standard 200-4 — Business Continuity Management