Business Impact Analysis · Cenedril Wiki

Welche Geschäftsprozesse sind wirklich kritisch — und wie schnell müssen sie nach einem Ausfall wieder laufen? Die Business Impact Analysis beantwortet genau diese Fragen. Sie ist die Grundlage für jeden Continuity Plan, jeden Disaster Recovery Plan und jede Investitionsentscheidung in Ausfallsicherheit.

ISO 27001 (A.5.30) und ISO 22301 verlangen eine systematische Bewertung der Ausfallwirkung. Unsere Vorlage folgt der Methodik aus ISO/IEC 27031 und strukturiert die Analyse in acht praxistaugliche Abschnitte.

Was die Vorlage abdeckt

Methodik beschreibt den Bewertungsansatz: strukturierte Workshops mit Prozessverantwortlichen, vier Schadenskategorien, eine 1-bis-5-Skala und die Ableitung von MTPD, RTO und RPO aus den Ergebnissen.

Kritische Prozesse werden in einer Übersichtstabelle zusammengefasst — jeder Prozess mit Verantwortlicher, MTPD, RTO, RPO und Prioritätsstufe. Diese Tabelle ist das Herzstück: Sie bestimmt, welche Prozesse einen eigenen Continuity Plan brauchen.

Detailanalysen gehen für die kritischsten Prozesse in die Tiefe. Für jeden Prozess werden Abhängigkeiten (IT-Systeme, Personal, Lieferanten, Standorte), der finanzielle und operative Schadensverlauf über die Zeit und das Mindest-Betriebsziel (MBCO) dokumentiert. Die Vorlage enthält drei vollständig ausgearbeitete Beispiele.

Ressourcenbedarf bei Störung zeigt auf, welche Mindestressourcen für den Notbetrieb nötig sind — Personal, Systeme, Arbeitsplätze, Konnektivität.

Single Points of Failure werden explizit benannt, mit dem aktuellen Stand der Risikominderung. So wird transparent, wo die größten Verwundbarkeiten liegen.

Vorlage: Business Impact Analysis

Dokumentenkontrolle
Eigentümer: BCM-Leitung
Genehmigt von: CEO
Version: 2.0
Gültig ab: 2026-02-15
Nächste Überprüfung: 2027-02-15
Klassifizierung: Vertraulich

1. Zweck und Scope

Die Business Impact Analyse identifiziert die kritischen Geschäftsprozesse der Nordwind Logistics GmbH, quantifiziert die Auswirkung von Unterbrechungen im Zeitverlauf und definiert die Wiederherstellungsziele (RTO und RPO), die Grundlage für Continuity- und Disaster-Recovery-Pläne sind.

Scope: Alle Geschäftsprozesse der Nordwind Logistics GmbH, inklusive Hauptsitz in Hamburg und Niederlassung in Rotterdam.

2. Methodik

Die BIA folgt den Vorgaben von ISO 22301 und ISO/IEC 27031. Sie wurde zwischen dem 2026-01-20 und dem 2026-02-10 in strukturierten Workshops mit den Prozessverantwortlichen erhoben. Pro Prozess wurden bewertet:

Finanzielle Auswirkung über vier Zeitfenster: 4 Stunden, 1 Tag, 3 Tage, 1 Woche.
Regulatorische Auswirkung (Bußgelder, Meldepflichten, Vertragsverletzungen).
Reputations-Auswirkung (Kundenvertrauen, mediale Aufmerksamkeit).
Operative Auswirkung (Unfähigkeit, Kunden zu bedienen, Sicherheitsrisiken).

Jede Auswirkung wurde auf einer Skala von 1–5 bewertet. Die Werte bei 1 Woche dienten zur Ableitung der Maximum Tolerable Period of Disruption (MTPD) und zur Festlegung von Recovery Time Objective (RTO) und Recovery Point Objective (RPO) unterhalb der MTPD mit Sicherheitspuffer.

3. Kritische Prozesse

ID	Prozess	Verantwortlich	MTPD	RTO	RPO	Priorität
P-01	Sendungserfassung und -verfolgung (Kundenportal)	Operationsleitung	8 h	4 h	1 h	Kritisch
P-02	Disposition und Tourenplanung	Operationsleitung	12 h	6 h	1 h	Kritisch
P-03	Kundenrechnungsstellung	CFO	5 Tage	3 Tage	24 h	Hoch
P-04	Kundenservice	Vertriebsleitung	1 Tag	8 h	8 h	Hoch
P-05	Lohnabrechnung	HR-Leitung	15 Tage	7 Tage	24 h	Mittel
P-06	HR-Administration (ohne Lohnabrechnung)	HR-Leitung	10 Tage	5 Tage	24 h	Mittel
P-07	Einkauf und Lieferantenmanagement	Einkauf	10 Tage	5 Tage	24 h	Mittel
P-08	Recht und Vertragsmanagement	Legal	30 Tage	10 Tage	7 Tage	Niedrig
P-09	Marketing	Marketingleitung	30 Tage	15 Tage	7 Tage	Niedrig

4. Detailbewertung (Auszug — Top-3-Prozesse)

P-01 — Sendungserfassung und -verfolgung

Beschreibung: Kunden buchen Sendungen über das Online-Portal (AST-002) und verfolgen sie in Echtzeit. Der Prozess speist direkt Disposition und Kundenrechnungsstellung.

Abhängigkeiten:

IT: AST-002 (Logistikportal SaaS), AST-001 (Kundendatenbank), AST-003 (M365), AST-010 (Firewall), Internetanbindung an Hamburg und Rotterdam.
Personen: 4 Disponenten, 2 Kundenservice-Mitarbeitende, 1 IT-Rufbereitschaft.
Lieferanten: Vendor X Logistics (SUP-004), AWS (SUP-001).
Einrichtungen: Hamburg HQ (AST-016) — mit Rotterdam als Ausweichstandort.

Auswirkung im Zeitverlauf:

Zeit	Finanziell	Regulatorisch	Reputation	Operativ	Gesamt (1–5)
4 h	15.000 EUR Umsatzverlust	Gering — SLA überwacht	Mittel — Kundenbeschwerden	Hoch — Lieferverzögerungen	4
1 Tag	80.000 EUR + SLA-Gutschriften	Mittel — SLA-Verletzung	Hoch — Social Media	Hoch — verpasste Lieferfenster	5
3 Tage	300.000 EUR + Kundenabwanderungsrisiko	Hoch — Vertragsverletzung	Sehr hoch — Presseberichterstattung wahrscheinlich	Sehr hoch — Logistik-Zusammenbruch	5
1 Woche	900.000 EUR + massive Abwanderung	Sehr hoch	Kritisch	Kritisch	5

MTPD: 8 Stunden. RTO: 4 Stunden. RPO: 1 Stunde. Priorität: Kritisch.

Minimum Business Continuity Objective (MBCO): Manuelle Sendungserfassung per Telefon + Spreadsheet-Aufnahme bei 30 % Kapazität innerhalb von 2 Stunden nach erklärter Unterbrechung.

P-02 — Disposition und Tourenplanung

Beschreibung: Zuweisung von Sendungen an Fahrer und Routenoptimierung. Hängt von P-01 als Input ab.

Abhängigkeiten: AST-002, AST-007 (ERP), Routenplanungssystem (Teil des Logistikportals), Disponenten, Fahrer, Fahrzeuge.

Auswirkung im Zeitverlauf: Finanzielle Auswirkung wächst rasch — bei 1 Woche 1,2 Mio. EUR Verlust plus Vertragsstrafen. Regulatorisch: mittel (verpasste EU-Lieferpflichten für regulierte Güter). Operativ: kritisch nach 12 h.

MTPD: 12 Stunden. RTO: 6 Stunden. RPO: 1 Stunde. Priorität: Kritisch.

MBCO: Manuelle Disposition über ausgedruckte Tourenblätter aus dem letzten Backup, 50 % Normalkapazität innerhalb von 4 Stunden.

P-03 — Kundenrechnungsstellung

Beschreibung: Monatliche Rechnungserstellung und Ad-hoc-Rechnungen für Premium-Kunden. Hängt von Sendungsdaten (aus P-01) und ERP (AST-007) ab.

Abhängigkeiten: AST-007 (ERP), AST-001 (Kunden-DB), Finanzmitarbeitende, E-Mail für Rechnungsversand.

Auswirkung im Zeitverlauf: Finanzielle Auswirkung bei 1 Woche verzögert — 250.000 EUR verzögerter Umsatz, aber kein dauerhafter Verlust. Regulatorisch: niedrig. Reputation: mittel für Premium-Kunden. Operativ: niedrig.

MTPD: 5 Tage. RTO: 3 Tage. RPO: 24 Stunden. Priorität: Hoch.

MBCO: Manuelle Rechnungserstellung für die Top-20-Kunden innerhalb 1 Tag auf Basis exportierter Daten.

(Prozesse P-04 bis P-09 folgen derselben Struktur und sind im BIA-Workbook abgelegt.)

5. Ressourcenbedarf bei Unterbrechung

Um auf MBCO-Niveau während einer Unterbrechung zu arbeiten, werden mindestens folgende Ressourcen benötigt:

Ressource	Normal	Minimum	Quelle
Disponenten	4	2	Quergeschultes Personal aus Kundenservice
Kundenservice-Mitarbeitende	2	1	Vertriebsleitung deckt zweite Position
IT-Rufbereitschaft	1	1	Rufbereitschaftsplan
Logistikportal (oder manuelles Fallback)	Portal	Telefon + Spreadsheet	Vorbereitetes Fallback-Kit
ERP	Verfügbar	Lese-Exports	Tägliche Exporte auf sicherem Share
Arbeitsplätze	6	3	Hot Desks + Laptops
Konnektivität	Glasfaser + Mobilfunk-Backup	Mobilfunk-Backup	Vorkonfigurierter 4G-Router
Einrichtungen	Hamburg HQ	Niederlassung Rotterdam	Niederlassung übernimmt HQ-Prozesse

6. Identifizierte Single Points of Failure

Die BIA deckte drei Single Points of Failure auf, die nicht vollständig gemindert sind:

Vendor X Logistics (SUP-004): Einziger SaaS-Anbieter für das Logistikportal. Minderung in Bearbeitung — Qualifizierung eines zweiten Anbieters (als RTP-008 verfolgt).
Dispositionswissen konzentriert auf 4 Personen: Querschulungsplan für 2026-Q2 ins HR-Programm aufgenommen.
ERP auf On-Prem-Server: HA vorhanden, aber ein RZ-Totalausfall erfordert 8 Stunden Failover zum DR-Standort. Akzeptiert angesichts der MTPD für Rechnungsstellung.

7. Verknüpfungen zu Continuity-Plänen

P-01 und P-02 → Continuity Plan CP-01 (Logistikbetrieb).
P-03 → Continuity Plan CP-02 (Finanzen).
P-05 und P-06 → Continuity Plan CP-03 (HR).
DR für alle IT-Assets → Disaster Recovery Plan DRP-01.

8. Überprüfung und nächste Schritte

Die BIA wird jährlich und nach jeder größeren organisatorischen, technischen oder lieferantenseitigen Änderung überprüft.
Validierung der Annahmen durch Tabletop-Übungen (nächste: 2026-05-20).
Quartalsweiser Abgleich der RTO/RPO mit dem Disaster-Recovery-Register.

Genehmigt von Katharina Meier (CEO) am 2026-02-15.

Document control
Owner: Business Continuity Lead
Approved by: CEO
Version: 2.0
Effective date: 2026-02-15
Next review: 2027-02-15
Classification: Confidential

1. Purpose and scope

This Business Impact Analysis identifies the critical business processes of Nordwind Logistics GmbH, quantifies the impact of disruptions over time, and defines the recovery objectives (RTO and RPO) that drive the continuity plans and disaster recovery plans.

Scope: all business processes of Nordwind Logistics GmbH, including the HQ in Hamburg and the branch in Rotterdam.

2. Methodology

The BIA follows ISO 22301 and ISO/IEC 27031 guidance. It was conducted through structured workshops with process owners between 2026-01-20 and 2026-02-10. For each process, the team assessed:

Financial impact across four time buckets: 4 hours, 1 day, 3 days, 1 week.
Regulatory impact (fines, reporting obligations, breach of contract).
Reputational impact (customer confidence, media attention).
Operational impact (inability to serve customers, safety risks).

Each impact was rated on a 1–5 scale. Scores at 1 week were used to derive Maximum Tolerable Period of Disruption (MTPD) and to set Recovery Time Objectives (RTO) and Recovery Point Objectives (RPO) below the MTPD with a safety margin.

3. Critical processes

ID	Process	Owner	MTPD	RTO	RPO	Priority
P-01	Shipment booking and tracking (customer portal)	Head of Ops	8h	4h	1h	Critical
P-02	Dispatch and route planning	Head of Ops	12h	6h	1h	Critical
P-03	Customer invoicing	CFO	5 days	3 days	24h	High
P-04	Customer support	Head of Sales	1 day	8h	8h	High
P-05	Payroll	HR Lead	15 days	7 days	24h	Medium
P-06	HR administration (excluding payroll)	HR Lead	10 days	5 days	24h	Medium
P-07	Procurement and supplier management	Procurement	10 days	5 days	24h	Medium
P-08	Legal and contract management	Legal	30 days	10 days	7 days	Low
P-09	Marketing	Marketing Lead	30 days	15 days	7 days	Low

4. Detailed assessment (extract — top 3 processes)

P-01 — Shipment booking and tracking

Description: Customers book shipments through the online portal (AST-002) and track them in real time. The process feeds directly into dispatch and customer invoicing.

Dependencies:

IT: AST-002 (logistics portal SaaS), AST-001 (customer database), AST-003 (M365), AST-010 (firewall), internet connectivity at Hamburg and Rotterdam.
People: 4 dispatchers, 2 customer service agents, 1 IT on-call.
Suppliers: Vendor X Logistics (SUP-004), AWS (SUP-001).
Facilities: Hamburg HQ (AST-016) — with Rotterdam as secondary site.

Impact over time:

Time	Financial	Regulatory	Reputational	Operational	Total (1–5)
4h	EUR 15,000 lost revenue	Low — SLA monitored	Medium — customer complaints	High — delivery delays	4
1 day	EUR 80,000 lost revenue + SLA credits	Medium — SLA breach	High — social media	High — missed delivery windows	5
3 days	EUR 300,000 + customer churn risk	High — contract breach	Very high — press coverage likely	Very high — logistics collapse	5
1 week	EUR 900,000 + major churn	Very high	Critical	Critical	5

MTPD: 8 hours. RTO: 4 hours. RPO: 1 hour. Priority: Critical.

Minimum Business Continuity Objective (MBCO): Manual shipment booking via phone + spreadsheet intake at 30% capacity within 2 hours of declared disruption.

P-02 — Dispatch and route planning

Description: Assigning shipments to drivers and optimising routes. Depends on P-01 for inputs.

Dependencies: AST-002, AST-007 (ERP), route planning system (part of logistics portal), dispatchers, drivers, vehicles.

Impact over time: Financial impact grows rapidly — at 1 week, EUR 1.2M lost plus penalty clauses. Regulatory impact: moderate (missed EU delivery obligations for regulated goods). Operational impact: critical after 12h.

MTPD: 12 hours. RTO: 6 hours. RPO: 1 hour. Priority: Critical.

MBCO: Manual dispatch via printed route sheets from the last known backup, supporting 50% of normal capacity within 4 hours.

P-03 — Customer invoicing

Description: Monthly invoice generation plus ad-hoc invoicing for premium customers. Depends on shipment records (from P-01) and ERP (AST-007).

Dependencies: AST-007 (ERP), AST-001 (customer DB), finance staff, email for delivery of invoices.

Impact over time: Financial impact at 1 week is delayed — EUR 250,000 in postponed revenue but no permanent loss. Regulatory: low. Reputational: medium for premium customers. Operational: low.

MTPD: 5 days. RTO: 3 days. RPO: 24 hours. Priority: High.

MBCO: Manual invoice creation for top 20 customers within 1 day using exported data.

(Processes P-04 to P-09 follow the same structure and are stored in the BIA workbook.)

5. Resource requirements at disruption

To operate at MBCO level during a disruption, the following minimum resources are required:

Resource	Normal	Minimum	Source
Dispatchers	4	2	Cross-trained staff from customer support
Customer service agents	2	1	Head of Sales covers second
IT on-call	1	1	On-call rota
Logistics portal (or manual fallback)	Portal	Phone + spreadsheet	Prepared fallback kit
ERP	Available	Read-only exports	Daily exports in secure share
Workstations	6	3	Hot desks + laptops
Connectivity	Fibre + mobile backup	Mobile backup	Pre-provisioned 4G router
Facilities	Hamburg HQ	Rotterdam branch	Branch supports HQ processes

6. Single points of failure identified

The BIA revealed three single points of failure that are not fully mitigated:

Vendor X Logistics (SUP-004): Sole SaaS provider for the logistics portal. Mitigation in progress — second provider qualification (tracked as RTP-008).
Dispatch expertise concentrated in 4 people: Cross-training plan added to the HR programme for 2026-Q2.
ERP on-prem server: HA in place, but a DC-level disaster would require 8 hours to fail over to the DR site. Accepted given MTPD of invoicing.

7. Links to continuity plans

P-01 and P-02 → Continuity Plan CP-01 (Logistics operations).
P-03 → Continuity Plan CP-02 (Finance).
P-05 and P-06 → Continuity Plan CP-03 (HR).
DR for all IT assets → Disaster Recovery Plan DRP-01.

8. Review and next steps

Review the BIA annually and after any major organisational, technological, or supplier change.
Validate the assumptions through tabletop exercises (next: 2026-05-20).
Confirm RTO/RPO against the disaster recovery register quarterly.

Approved by Katharina Meier (CEO) on 2026-02-15.

Quellen

ISO/IEC 27001:2022 Annex A 5.30 — ICT-Bereitschaft für die Geschäftskontinuität
ISO 22301:2019 — Business Continuity Management Systems
ISO/IEC 27031:2011 — ICT Readiness for Business Continuity

Häufig gestellte Fragen

Wann brauche ich eine Business Impact Analysis?

Sobald du Continuity Plans schreibst. Die BIA liefert die Grundlage: Welche Prozesse sind kritisch? Wie lange darf ein Ausfall maximal dauern (MTPD)? Welche Wiederherstellungsziele (RTO, RPO) sind realistisch? Ohne BIA setzt du Prioritäten nach Bauchgefühl.

Wie viele Prozesse muss die BIA abdecken?

Alle Geschäftsprozesse der Organisation. Die Bewertung priorisiert dann — kritische Prozesse mit kurzem MTPD bekommen detaillierte Analysen und eigene Continuity Plans. Prozesse mit niedrigerer Priorität werden dokumentiert, brauchen aber weniger Detailtiefe.

Wie oft wird die BIA aktualisiert?

Mindestens jährlich und nach jeder wesentlichen Änderung an Prozessen, Technologie, Personal oder Lieferanten. Die Annahmen aus der BIA werden durch Übungen und Restore-Tests validiert — wenn die Realität von den Annahmen abweicht, wird die BIA angepasst.