MENU Schließen
Schließen

Business Continuity: Was muss laufen, wenn nichts mehr läuft?

Warum Business Continuity heute eine Frage der Cyber-Resilienz ist – und was das für die Geschäftsführung bedeutet.

Sie sind auf einer Messe, zwei Flüge von zu Hause entfernt, und der Tag war ohnehin lang. Dann klingelt das Telefon: Ihre IT-Leiterin ist am Apparat, die Stimme angespannt: „Wir wurden angegriffen, die Systeme sind verschlüsselt, nichts geht mehr.“

Für einen Moment verschwindet der Messelärm um Sie herum und wirkt seltsam fern. Der Magen zieht sich zusammen, und während Sie sich bemühen, ruhig zu klingen, rast im Kopf die Suche nach einer Lösung, was zu tun ist. Sonst sind Sie der Mensch mit den Antworten, für Bank und Beirat. Ausgerechnet jetzt haben Sie keine.

Bräche stattdessen ein Feuer in der Lagerhalle aus, wüssten Sie es besser. Dann liefe ein eingeübter Ablauf an, bei dem jeder seine Aufgabe kennt und niemand am Telefon erst überlegen muss. Beim Cyberangriff fehlt in vielen Unternehmen genau dieser Ablauf, und damit die Ruhe, die daraus entsteht.

Seit Dezember haftet die Geschäftsführung persönlich

Seit dem 6. Dezember 2025 ist Cybersicherheit in Deutschland Chefsache. An diesem Tag trat das NIS2-Umsetzungsgesetz in Kraft, ohne Übergangsfrist und mit einer klaren Ansage an die Führungsebene: Wer ein betroffenes Unternehmen leitet, haftet persönlich für ein angemessenes Sicherheitsniveau. Rund 29.500 Unternehmen aus 18 Sektoren fallen darunter.

Das Gesetz verlangt unter anderem ein funktionierendes Krisen- und Notfallmanagement. Damit rückt die Frage nach Business Continuity nach vorne, die viele Mittelständler bisher gern dem IT-Team überlassen haben: Was passiert eigentlich in den ersten Stunden, wenn ein Angriff durchkommt?

Der Schaden entsteht nach dem Angriff

Ein Angriff beginnt selten spektakulär. Häufig steht am Anfang eine einzige kompromittierte Zugangskennung. Das eigentliche Problem entsteht danach, wenn sich die Störung über vernetzte Systeme ausbreitet und auf einmal der Versand stillsteht und die Buchhaltung nicht mehr an ihre Daten kommt.

Viele Unternehmen haben für diesen Moment keine belastbare Antwort. Auf dem Papier existiert ein Notfallplan, aber kaum jemand weiß genau, welche Prozesse das Geschäft wirklich am Leben halten und in welcher Reihenfolge sie wieder anlaufen müssen. Wenn dann tatsächlich etwas brennt, arbeiten IT, Geschäftsführung und Rechtsabteilung jeweils für sich, statt einer gemeinsamen Linie zu folgen.

Was Stillstand kostet

Diese Lücke hat einen Preis. Der IBM Cost of a Data Breach Report 2025 (veröffentlicht am 30. Juli 2025) beziffert die durchschnittlichen Kosten eines Datenlecks in Deutschland auf 3,87 Millionen Euro je Vorfall. Ein großer Teil dieser Summe geht auf die Zeit bis zur Eindämmung zurück.

Deutsche Unternehmen brauchten laut derselben Studie im Schnitt 170 Tage, um einen Vorfall zu erkennen und zu stoppen. Jeder dieser Tage kostet Umsatz und Vertrauen. IBM benennt die schnellere Erkennung als einen der wirksamsten Hebel, um die Schadenshöhe zu senken.

Dazu kommt die persönliche Dimension. NIS2 sieht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor, und die Verantwortung dafür liegt bei der Geschäftsleitung. Ein gut gepflegter Backup-Ordner allein trägt vor diesem Hintergrund nicht mehr weit, es bedarf eines umfassenden Plans für Business Continuity.

Womit resiliente Unternehmen für Business Continuity vorbauen

Weiter kommt man mit einer einfachen Einsicht: Resilienz lässt sich planen.

Sie beginnt mit Sichtbarkeit. Solange ein Unternehmen nicht weiß, welche Systeme es betreibt und wie sie voneinander abhängen, bleibt jeder Notfallplan Theorie. Der erste Schritt ist deshalb eine ehrliche Bestandsaufnahme der eigenen IT.

Der zweite Schritt bringt Verteidigung und Weiterbetrieb zusammen. Während ein Vorfall läuft, müssen Eindämmung und laufender Geschäftsbetrieb gleichzeitig gelingen. Das klappt nur, wenn vorher feststeht, wer entscheidet – von der Geschäftsführung bis zur IT-Leiterin.

Drittens gehört der Ernstfall geübt. Ein Plan, der nie unter Druck getestet wurde, hält dem Druck selten stand. Realistische Übungen, die auch Ransomware und den Ausfall eines wichtigen Dienstleisters durchspielen, zeigen die Schwachstellen, bevor ein Angreifer sie findet.

Und schließlich endet die eigene Verantwortung nicht am Firmentor. Cloud-Plattformen und externe Dienstleister gehören in jeden Notfallplan, weil ihr Ausfall das eigene Geschäft sofort trifft.

So erfahren Sie, wie es um Ihre Business Continuity steht

Einen ersten Anhaltspunkt bekommen Sie schon in wenigen Minuten. Der folgende Selbstcheck geht Ihre Business Continuity entlang der Logik des BSI-Standards 200-4 durch und reicht bewusst über die reine IT hinaus. Jeder Punkt, den Sie ehrlich mit Nein beantworten, markiert eine konkrete Lücke. Einige davon sind als kritisch gekennzeichnet: Bleiben sie offen, trägt der Betrieb im Ernstfall selbst dann nicht, wenn das Gesamtergebnis gut aussieht.

Business Continuity · Selbstcheck

Wie belastbar ist Ihr Geschäftsbetrieb im Ernstfall?

Dieser Selbstcheck zeigt, wie gut Ihr Unternehmen auf einen Ausfall vorbereitet ist – über die reine IT hinaus, einschließlich Standort, Personal, Lieferkette und Meldepflichten. Er orientiert sich an der Logik des BSI-Standards 200-4 (Business Continuity Management) und dauert rund zehn Minuten. Beantworten Sie jeden Punkt ehrlich – jedes Nein markiert eine konkrete Lücke. Mit „kritisch“ markierte Punkte sind existenziell: Fehlen sie, hilft auch ein hoher Gesamtwert wenig.

Erfüllte Checks 0 / 34

Noch kein Punkt bestätigt. Gehen Sie die Liste ehrlich durch – jedes Nein zeigt, wo Sie ansetzen sollten.

kritisch = existenziell, wird gesondert bewertet

  1. 01

    Kritische Prozesse & Auswirkungen kennen

    BSI 200-4 · Reaktiv → Aufbau 0/5
  2. 02

    Die eigene IT sichtbar machen

    BSI 200-4 · Aufbau 0/5
  3. 03

    Rollen, Entscheidung & Alarmierung

    BSI 200-4 · Reaktiv 0/3
  4. 04

    Erkennen und in der ersten Stunde reagieren

    BSI 200-4 · Reaktiv → Aufbau 0/4
  5. 05

    Daten sichern und wieder anlaufen

    BSI 200-4 · Reaktiv → Aufbau 0/4
  6. 06

    Standort, Personal & Versorgung

    BSI 200-4 · Aufbau 0/3
  7. 07

    Lieferkette, Dienstleister & Souveränität

    BSI 200-4 · Aufbau 0/3
  8. 08

    Krisenkommunikation & Meldepflichten

    BSI 200-4 · Aufbau → Standard 0/3
  9. 09

    Üben, aktuell halten und nachweisen

    BSI 200-4 · Standard 0/4

Wer seine Lücken kennt, kann gezielt schließen – wer sie nur ahnt, improvisiert im Ernstfall. Ein Security Audit macht den Unterschied: Es prüft Ihre reale Umgebung objektiv auf Schwachstellen, bewertet das tatsächliche Risiko und liefert priorisierte Handlungsempfehlungen. Damit wird aus dem Plan auf dem Papier eine belastbare Grundlage für den Ernstfall.

Security Audit anfragen In die Zwischenablage kopiert

Die Stufen-Einordnung (Reaktiv / Aufbau / Standard) dient der Orientierung an der Methodik des BSI-Standards 200-4 und ersetzt keine formale Reifegrad-Bewertung. Dieser Selbstcheck ersetzt kein Audit.
Quellen: BSI-Standard 200-4 · NIS2-Umsetzungsgesetz, in Kraft seit 6. Dezember 2025 · DSGVO Art. 33/34.

Wie Enginsight Sie bei Business Continuity unterstützt

Genau hier setzt Enginsight an. Die Plattform bündelt als Security Operations Platform mehrere Bausteine, die zusammen die Resilienz und somit die Business Continuity eines Unternehmens stärken, ohne dass dafür ein großes Sicherheitsteam nötig wäre.

Den Anfang macht die Sichtbarkeit. Watchdog und der Pulsar Agent erstellen automatisch ein genaues Bild der eigenen IT, vom Server im Rechenzentrum bis zum Notebook im Homeoffice. Damit liegt die Landkarte vor, auf der jeder Notfallplan aufbaut.

Kommt ein Angriff durch, zählt Geschwindigkeit. Die Plattform erkennt verdächtiges Verhalten und alarmiert auf Wunsch automatisch, so dass rasch isoliert werden kann. Wer kein eigenes Team rund um die Uhr stellen kann, übergibt diesen Teil an den Managed-Detection-and-Response-Service: ein deutschsprachiges Sicherheitsteam, das im Ernstfall direkt eingreift, auch auf Systemen im eigenen Haus.

Der Ernstfall lässt sich vorher proben. Mit Hacktor läuft ein automatisierter Penetrationstest wann immer benötigt gegen die eigene Umgebung und deckt Schwachstellen auf, bevor jemand anderes sie nutzt. Als Flatrate gehört dieses Testen zum Alltag und wird zur Gewohnheit.

Ein Punkt zahlt besonders auf die Frage nach dem Weiterbetrieb ein: Enginsight läuft auf Wunsch vollständig im eigenen Rechenzentrum oder in einer europäischen Cloud. Die Software stammt aus Deutschland, ist nach ISO 27001 zertifiziert und unterliegt nicht dem US-amerikanischen CLOUD Act. Sollte ein US-Dienst rechtlich oder politisch wegbrechen, bleibt die eigene Sicherheitsüberwachung handlungsfähig.

Eine Einschätzung, die auch große Konzerne teilen

Resilienz heißt am Ende, dass das Geschäft weiterläuft, während die Technik wackelt. Erreichbar wird das, wenn ein Unternehmen seine Systeme kennt und im Ernstfall schnell handeln kann dank Business Continuity.

Mit dieser Sicht stehen wir in guter Gesellschaft. Steve Durbin, Chief Executive des Information Security Forum, hat sie im Mai 2026 in einem vielbeachteten Beitrag auf den Punkt gebracht. Das Information Security Forum ist ein unabhängiger Branchenverband, zu dessen Mitgliedern Konzerne aus der Fortune 500 und den Forbes 2000 gehören. Durbin beschreibt Business Continuity als eine Frage des Risikomanagements, deren Rückgrat die Cyber-Resilienz bildet. Er nennt es das „Minimum Viable Business“: die Prozesse, Daten und Partner, die ein Unternehmen am Laufen halten müssen, koste es, was es wolle.

Was ein internationaler Verband zu Business Continuity seinen Großkonzernen rät, gilt für den deutschen Mittelstand genauso.

Wer wissen möchte, wo das eigene Unternehmen in Bezug auf Business Continuity heute steht, beginnt am besten mit einer Bestandsaufnahme der Angriffsfläche. Enginsight bietet hier Unterstützung, und erkundet gemeinsam mit Ihnen die wichtigsten Systeme und macht ihre Abhängigkeiten sichtbar.

Ihre Business Continuity sicherstellen im Workshop

Wenn Sie den Selbstcheck ausgefüllt haben und mehrere kritische Punkte bestehen, ist das ein deutliches Signal, gezielt anzusetzen. Für genau diesen Fall bündelt Enginsight zwei Schritte, damit Sie im Ernstfall ruhig bleiben können und damit sie die passende Antwort immer bereit haben – zu jeder Zeit: Ein Security Audit prüft Ihre reale Umgebung objektiv auf Schwachstellen und ordnet das tatsächliche Risiko ein. Darauf aufbauend planen wir gemeinsam mit Ihnen einen dazugehörenden Business-Continuity-Workshop, in dem wir die Ergebnisse gemeinsam mit Ihnen in einen belastbares Konzept übersetzen, mit klaren Rollen und einer Reihenfolge, die unter Druck hält. Am Ende steht ein Ablauf, den Ihr Team kennt, und ein Nachweis, den Sie im Zweifel Ihrem Versicherer und dem Beirat vorlegen können.

Security Audit + Business-Continuity-Workshop

Mehrere kritische Punkte offen?

Security Audit + Business-Continuity-Workshop anfragen Erst prüfen, dann proben — bevor es der Ernstfall tut.
Weitere Beiträge im Enginsight Blog
Titelbild zum Blogbeitrag „Wie Künstliche Intelligenz die Cybersecurity umkrempelt" – abstrakte Grafik: eine Flut ungeordneter Datenpunkte wird durch eine Filterebene in ein strukturiertes Netzwerk überführt; Subline: „KI-Patch-Flut: Warum klassisches Schwachstellenmanagement an seine Grenzen stößt"

Wie KI Cybersecurity umkrempelt

KI-Patch-Flut: Warum klassisches Schwachstellenmanagement an seine Grenzen stößt Es war eine Zahl die aufhorchen ließ: Mitte April schloss Mozilla mit Hilfe von Anthropics neuem KI-Modell