Welche Geschäftsprozesse sind wirklich kritisch — und wie schnell müssen sie nach einem Ausfall wieder laufen? Die Business Impact Analysis beantwortet genau diese Fragen. Sie ist die Grundlage für jeden Continuity Plan, jeden Disaster Recovery Plan und jede Investitionsentscheidung in Ausfallsicherheit.
ISO 27001 (A.5.30) und ISO 22301 verlangen eine systematische Bewertung der Ausfallwirkung. Unsere Vorlage folgt der Methodik aus ISO/IEC 27031 und strukturiert die Analyse in acht praxistaugliche Abschnitte.
Was die Vorlage abdeckt
Methodik beschreibt den Bewertungsansatz: strukturierte Workshops mit Prozessverantwortlichen, vier Schadenskategorien, eine 1-bis-5-Skala und die Ableitung von MTPD, RTO und RPO aus den Ergebnissen.
Kritische Prozesse werden in einer Übersichtstabelle zusammengefasst — jeder Prozess mit Verantwortlicher, MTPD, RTO, RPO und Prioritätsstufe. Diese Tabelle ist das Herzstück: Sie bestimmt, welche Prozesse einen eigenen Continuity Plan brauchen.
Detailanalysen gehen für die kritischsten Prozesse in die Tiefe. Für jeden Prozess werden Abhängigkeiten (IT-Systeme, Personal, Lieferanten, Standorte), der finanzielle und operative Schadensverlauf über die Zeit und das Mindest-Betriebsziel (MBCO) dokumentiert. Die Vorlage enthält drei vollständig ausgearbeitete Beispiele.
Ressourcenbedarf bei Störung zeigt auf, welche Mindestressourcen für den Notbetrieb nötig sind — Personal, Systeme, Arbeitsplätze, Konnektivität.
Single Points of Failure werden explizit benannt, mit dem aktuellen Stand der Risikominderung. So wird transparent, wo die größten Verwundbarkeiten liegen.
Vorlage: Business Impact Analysis
Dokumentenkontrolle
Eigentümer: BCM-Leitung
Genehmigt von: CEO
Version: 2.0
Gültig ab: 2026-02-15
Nächste Überprüfung: 2027-02-15
Klassifizierung: Vertraulich
1. Zweck und Scope
Die Business Impact Analyse identifiziert die kritischen Geschäftsprozesse der Nordwind Logistics GmbH, quantifiziert die Auswirkung von Unterbrechungen im Zeitverlauf und definiert die Wiederherstellungsziele (RTO und RPO), die Grundlage für Continuity- und Disaster-Recovery-Pläne sind.
Scope: Alle Geschäftsprozesse der Nordwind Logistics GmbH, inklusive Hauptsitz in Hamburg und Niederlassung in Rotterdam.
2. Methodik
Die BIA folgt den Vorgaben von ISO 22301 und ISO/IEC 27031. Sie wurde zwischen dem 2026-01-20 und dem 2026-02-10 in strukturierten Workshops mit den Prozessverantwortlichen erhoben. Pro Prozess wurden bewertet:
- Finanzielle Auswirkung über vier Zeitfenster: 4 Stunden, 1 Tag, 3 Tage, 1 Woche.
- Regulatorische Auswirkung (Bußgelder, Meldepflichten, Vertragsverletzungen).
- Reputations-Auswirkung (Kundenvertrauen, mediale Aufmerksamkeit).
- Operative Auswirkung (Unfähigkeit, Kunden zu bedienen, Sicherheitsrisiken).
Jede Auswirkung wurde auf einer Skala von 1–5 bewertet. Die Werte bei 1 Woche dienten zur Ableitung der Maximum Tolerable Period of Disruption (MTPD) und zur Festlegung von Recovery Time Objective (RTO) und Recovery Point Objective (RPO) unterhalb der MTPD mit Sicherheitspuffer.
3. Kritische Prozesse
| ID | Prozess | Verantwortlich | MTPD | RTO | RPO | Priorität |
|---|---|---|---|---|---|---|
| P-01 | Sendungserfassung und -verfolgung (Kundenportal) | Operationsleitung | 8 h | 4 h | 1 h | Kritisch |
| P-02 | Disposition und Tourenplanung | Operationsleitung | 12 h | 6 h | 1 h | Kritisch |
| P-03 | Kundenrechnungsstellung | CFO | 5 Tage | 3 Tage | 24 h | Hoch |
| P-04 | Kundenservice | Vertriebsleitung | 1 Tag | 8 h | 8 h | Hoch |
| P-05 | Lohnabrechnung | HR-Leitung | 15 Tage | 7 Tage | 24 h | Mittel |
| P-06 | HR-Administration (ohne Lohnabrechnung) | HR-Leitung | 10 Tage | 5 Tage | 24 h | Mittel |
| P-07 | Einkauf und Lieferantenmanagement | Einkauf | 10 Tage | 5 Tage | 24 h | Mittel |
| P-08 | Recht und Vertragsmanagement | Legal | 30 Tage | 10 Tage | 7 Tage | Niedrig |
| P-09 | Marketing | Marketingleitung | 30 Tage | 15 Tage | 7 Tage | Niedrig |
4. Detailbewertung (Auszug — Top-3-Prozesse)
P-01 — Sendungserfassung und -verfolgung
Beschreibung: Kunden buchen Sendungen über das Online-Portal (AST-002) und verfolgen sie in Echtzeit. Der Prozess speist direkt Disposition und Kundenrechnungsstellung.
Abhängigkeiten:
- IT: AST-002 (Logistikportal SaaS), AST-001 (Kundendatenbank), AST-003 (M365), AST-010 (Firewall), Internetanbindung an Hamburg und Rotterdam.
- Personen: 4 Disponenten, 2 Kundenservice-Mitarbeitende, 1 IT-Rufbereitschaft.
- Lieferanten: Vendor X Logistics (SUP-004), AWS (SUP-001).
- Einrichtungen: Hamburg HQ (AST-016) — mit Rotterdam als Ausweichstandort.
Auswirkung im Zeitverlauf:
| Zeit | Finanziell | Regulatorisch | Reputation | Operativ | Gesamt (1–5) |
|---|---|---|---|---|---|
| 4 h | 15.000 EUR Umsatzverlust | Gering — SLA überwacht | Mittel — Kundenbeschwerden | Hoch — Lieferverzögerungen | 4 |
| 1 Tag | 80.000 EUR + SLA-Gutschriften | Mittel — SLA-Verletzung | Hoch — Social Media | Hoch — verpasste Lieferfenster | 5 |
| 3 Tage | 300.000 EUR + Kundenabwanderungsrisiko | Hoch — Vertragsverletzung | Sehr hoch — Presseberichterstattung wahrscheinlich | Sehr hoch — Logistik-Zusammenbruch | 5 |
| 1 Woche | 900.000 EUR + massive Abwanderung | Sehr hoch | Kritisch | Kritisch | 5 |
MTPD: 8 Stunden. RTO: 4 Stunden. RPO: 1 Stunde. Priorität: Kritisch.
Minimum Business Continuity Objective (MBCO): Manuelle Sendungserfassung per Telefon + Spreadsheet-Aufnahme bei 30 % Kapazität innerhalb von 2 Stunden nach erklärter Unterbrechung.
P-02 — Disposition und Tourenplanung
Beschreibung: Zuweisung von Sendungen an Fahrer und Routenoptimierung. Hängt von P-01 als Input ab.
Abhängigkeiten: AST-002, AST-007 (ERP), Routenplanungssystem (Teil des Logistikportals), Disponenten, Fahrer, Fahrzeuge.
Auswirkung im Zeitverlauf: Finanzielle Auswirkung wächst rasch — bei 1 Woche 1,2 Mio. EUR Verlust plus Vertragsstrafen. Regulatorisch: mittel (verpasste EU-Lieferpflichten für regulierte Güter). Operativ: kritisch nach 12 h.
MTPD: 12 Stunden. RTO: 6 Stunden. RPO: 1 Stunde. Priorität: Kritisch.
MBCO: Manuelle Disposition über ausgedruckte Tourenblätter aus dem letzten Backup, 50 % Normalkapazität innerhalb von 4 Stunden.
P-03 — Kundenrechnungsstellung
Beschreibung: Monatliche Rechnungserstellung und Ad-hoc-Rechnungen für Premium-Kunden. Hängt von Sendungsdaten (aus P-01) und ERP (AST-007) ab.
Abhängigkeiten: AST-007 (ERP), AST-001 (Kunden-DB), Finanzmitarbeitende, E-Mail für Rechnungsversand.
Auswirkung im Zeitverlauf: Finanzielle Auswirkung bei 1 Woche verzögert — 250.000 EUR verzögerter Umsatz, aber kein dauerhafter Verlust. Regulatorisch: niedrig. Reputation: mittel für Premium-Kunden. Operativ: niedrig.
MTPD: 5 Tage. RTO: 3 Tage. RPO: 24 Stunden. Priorität: Hoch.
MBCO: Manuelle Rechnungserstellung für die Top-20-Kunden innerhalb 1 Tag auf Basis exportierter Daten.
(Prozesse P-04 bis P-09 folgen derselben Struktur und sind im BIA-Workbook abgelegt.)
5. Ressourcenbedarf bei Unterbrechung
Um auf MBCO-Niveau während einer Unterbrechung zu arbeiten, werden mindestens folgende Ressourcen benötigt:
| Ressource | Normal | Minimum | Quelle |
|---|---|---|---|
| Disponenten | 4 | 2 | Quergeschultes Personal aus Kundenservice |
| Kundenservice-Mitarbeitende | 2 | 1 | Vertriebsleitung deckt zweite Position |
| IT-Rufbereitschaft | 1 | 1 | Rufbereitschaftsplan |
| Logistikportal (oder manuelles Fallback) | Portal | Telefon + Spreadsheet | Vorbereitetes Fallback-Kit |
| ERP | Verfügbar | Lese-Exports | Tägliche Exporte auf sicherem Share |
| Arbeitsplätze | 6 | 3 | Hot Desks + Laptops |
| Konnektivität | Glasfaser + Mobilfunk-Backup | Mobilfunk-Backup | Vorkonfigurierter 4G-Router |
| Einrichtungen | Hamburg HQ | Niederlassung Rotterdam | Niederlassung übernimmt HQ-Prozesse |
6. Identifizierte Single Points of Failure
Die BIA deckte drei Single Points of Failure auf, die nicht vollständig gemindert sind:
- Vendor X Logistics (SUP-004): Einziger SaaS-Anbieter für das Logistikportal. Minderung in Bearbeitung — Qualifizierung eines zweiten Anbieters (als RTP-008 verfolgt).
- Dispositionswissen konzentriert auf 4 Personen: Querschulungsplan für 2026-Q2 ins HR-Programm aufgenommen.
- ERP auf On-Prem-Server: HA vorhanden, aber ein RZ-Totalausfall erfordert 8 Stunden Failover zum DR-Standort. Akzeptiert angesichts der MTPD für Rechnungsstellung.
7. Verknüpfungen zu Continuity-Plänen
- P-01 und P-02 → Continuity Plan CP-01 (Logistikbetrieb).
- P-03 → Continuity Plan CP-02 (Finanzen).
- P-05 und P-06 → Continuity Plan CP-03 (HR).
- DR für alle IT-Assets → Disaster Recovery Plan DRP-01.
8. Überprüfung und nächste Schritte
- Die BIA wird jährlich und nach jeder größeren organisatorischen, technischen oder lieferantenseitigen Änderung überprüft.
- Validierung der Annahmen durch Tabletop-Übungen (nächste: 2026-05-20).
- Quartalsweiser Abgleich der RTO/RPO mit dem Disaster-Recovery-Register.
Genehmigt von Katharina Meier (CEO) am 2026-02-15.
Document control
Owner: Business Continuity Lead
Approved by: CEO
Version: 2.0
Effective date: 2026-02-15
Next review: 2027-02-15
Classification: Confidential
1. Purpose and scope
This Business Impact Analysis identifies the critical business processes of Nordwind Logistics GmbH, quantifies the impact of disruptions over time, and defines the recovery objectives (RTO and RPO) that drive the continuity plans and disaster recovery plans.
Scope: all business processes of Nordwind Logistics GmbH, including the HQ in Hamburg and the branch in Rotterdam.
2. Methodology
The BIA follows ISO 22301 and ISO/IEC 27031 guidance. It was conducted through structured workshops with process owners between 2026-01-20 and 2026-02-10. For each process, the team assessed:
- Financial impact across four time buckets: 4 hours, 1 day, 3 days, 1 week.
- Regulatory impact (fines, reporting obligations, breach of contract).
- Reputational impact (customer confidence, media attention).
- Operational impact (inability to serve customers, safety risks).
Each impact was rated on a 1–5 scale. Scores at 1 week were used to derive Maximum Tolerable Period of Disruption (MTPD) and to set Recovery Time Objectives (RTO) and Recovery Point Objectives (RPO) below the MTPD with a safety margin.
3. Critical processes
| ID | Process | Owner | MTPD | RTO | RPO | Priority |
|---|---|---|---|---|---|---|
| P-01 | Shipment booking and tracking (customer portal) | Head of Ops | 8h | 4h | 1h | Critical |
| P-02 | Dispatch and route planning | Head of Ops | 12h | 6h | 1h | Critical |
| P-03 | Customer invoicing | CFO | 5 days | 3 days | 24h | High |
| P-04 | Customer support | Head of Sales | 1 day | 8h | 8h | High |
| P-05 | Payroll | HR Lead | 15 days | 7 days | 24h | Medium |
| P-06 | HR administration (excluding payroll) | HR Lead | 10 days | 5 days | 24h | Medium |
| P-07 | Procurement and supplier management | Procurement | 10 days | 5 days | 24h | Medium |
| P-08 | Legal and contract management | Legal | 30 days | 10 days | 7 days | Low |
| P-09 | Marketing | Marketing Lead | 30 days | 15 days | 7 days | Low |
4. Detailed assessment (extract — top 3 processes)
P-01 — Shipment booking and tracking
Description: Customers book shipments through the online portal (AST-002) and track them in real time. The process feeds directly into dispatch and customer invoicing.
Dependencies:
- IT: AST-002 (logistics portal SaaS), AST-001 (customer database), AST-003 (M365), AST-010 (firewall), internet connectivity at Hamburg and Rotterdam.
- People: 4 dispatchers, 2 customer service agents, 1 IT on-call.
- Suppliers: Vendor X Logistics (SUP-004), AWS (SUP-001).
- Facilities: Hamburg HQ (AST-016) — with Rotterdam as secondary site.
Impact over time:
| Time | Financial | Regulatory | Reputational | Operational | Total (1–5) |
|---|---|---|---|---|---|
| 4h | EUR 15,000 lost revenue | Low — SLA monitored | Medium — customer complaints | High — delivery delays | 4 |
| 1 day | EUR 80,000 lost revenue + SLA credits | Medium — SLA breach | High — social media | High — missed delivery windows | 5 |
| 3 days | EUR 300,000 + customer churn risk | High — contract breach | Very high — press coverage likely | Very high — logistics collapse | 5 |
| 1 week | EUR 900,000 + major churn | Very high | Critical | Critical | 5 |
MTPD: 8 hours. RTO: 4 hours. RPO: 1 hour. Priority: Critical.
Minimum Business Continuity Objective (MBCO): Manual shipment booking via phone + spreadsheet intake at 30% capacity within 2 hours of declared disruption.
P-02 — Dispatch and route planning
Description: Assigning shipments to drivers and optimising routes. Depends on P-01 for inputs.
Dependencies: AST-002, AST-007 (ERP), route planning system (part of logistics portal), dispatchers, drivers, vehicles.
Impact over time: Financial impact grows rapidly — at 1 week, EUR 1.2M lost plus penalty clauses. Regulatory impact: moderate (missed EU delivery obligations for regulated goods). Operational impact: critical after 12h.
MTPD: 12 hours. RTO: 6 hours. RPO: 1 hour. Priority: Critical.
MBCO: Manual dispatch via printed route sheets from the last known backup, supporting 50% of normal capacity within 4 hours.
P-03 — Customer invoicing
Description: Monthly invoice generation plus ad-hoc invoicing for premium customers. Depends on shipment records (from P-01) and ERP (AST-007).
Dependencies: AST-007 (ERP), AST-001 (customer DB), finance staff, email for delivery of invoices.
Impact over time: Financial impact at 1 week is delayed — EUR 250,000 in postponed revenue but no permanent loss. Regulatory: low. Reputational: medium for premium customers. Operational: low.
MTPD: 5 days. RTO: 3 days. RPO: 24 hours. Priority: High.
MBCO: Manual invoice creation for top 20 customers within 1 day using exported data.
(Processes P-04 to P-09 follow the same structure and are stored in the BIA workbook.)
5. Resource requirements at disruption
To operate at MBCO level during a disruption, the following minimum resources are required:
| Resource | Normal | Minimum | Source |
|---|---|---|---|
| Dispatchers | 4 | 2 | Cross-trained staff from customer support |
| Customer service agents | 2 | 1 | Head of Sales covers second |
| IT on-call | 1 | 1 | On-call rota |
| Logistics portal (or manual fallback) | Portal | Phone + spreadsheet | Prepared fallback kit |
| ERP | Available | Read-only exports | Daily exports in secure share |
| Workstations | 6 | 3 | Hot desks + laptops |
| Connectivity | Fibre + mobile backup | Mobile backup | Pre-provisioned 4G router |
| Facilities | Hamburg HQ | Rotterdam branch | Branch supports HQ processes |
6. Single points of failure identified
The BIA revealed three single points of failure that are not fully mitigated:
- Vendor X Logistics (SUP-004): Sole SaaS provider for the logistics portal. Mitigation in progress — second provider qualification (tracked as RTP-008).
- Dispatch expertise concentrated in 4 people: Cross-training plan added to the HR programme for 2026-Q2.
- ERP on-prem server: HA in place, but a DC-level disaster would require 8 hours to fail over to the DR site. Accepted given MTPD of invoicing.
7. Links to continuity plans
- P-01 and P-02 → Continuity Plan CP-01 (Logistics operations).
- P-03 → Continuity Plan CP-02 (Finance).
- P-05 and P-06 → Continuity Plan CP-03 (HR).
- DR for all IT assets → Disaster Recovery Plan DRP-01.
8. Review and next steps
- Review the BIA annually and after any major organisational, technological, or supplier change.
- Validate the assumptions through tabletop exercises (next: 2026-05-20).
- Confirm RTO/RPO against the disaster recovery register quarterly.
Approved by Katharina Meier (CEO) on 2026-02-15.
Quellen
- ISO/IEC 27001:2022 Annex A 5.30 — ICT-Bereitschaft für die Geschäftskontinuität
- ISO 22301:2019 — Business Continuity Management Systems
- ISO/IEC 27031:2011 — ICT Readiness for Business Continuity