Zwischen dokumentierter Vorsorge und tatsächlicher Handlungsfähigkeit

Die trügerische Sicherheit von BCM-Plänen


Zwischen dokumentierter Vorsorge und tatsächlicher Handlungsfähigkeit: Die trügerische Sicherheit von BCM-Plänen Studie

Im Juni 2023 traf ein schwerer Ransomware-Angriff die britische KNP Logistics Group. Zu dem Unternehmensverbund gehörte auch Knights of Old, ein traditionsreiches Transportunternehmen mit Wurzeln bis ins Jahr 1865. Der Angriff beeinträchtigte zentrale Systeme, operative Abläufe und Finanzinformationen. Am 25. September 2023 wurde die Gruppe nach britischem Insolvenzrecht in Administration gestellt; rund 730 Beschäftigte verloren nach Angaben der Verwalter ihre Arbeitsplätze, während durch den Verkauf einer Tochtergesellschaft etwa 170 Arbeitsplätze erhalten blieben.

Der Cyberangriff war nicht die einzige Ursache der Krise. Die Insolvenzverwalter verwiesen zugleich auf schwierige Marktbedingungen und einen bereits bestehenden Finanzierungsbedarf. Doch die Attacke verschärfte die Lage entscheidend: Sie beschädigte die finanzielle Position, unterbrach die operative Steuerungsfähigkeit und erschwerte die Beschaffung dringend benötigten Kapitals. Gerade deshalb ist KNP ein aufschlussreiches Beispiel für ein unzureichendes Business-Continuity-Management. Nicht der einzelne IT-Ausfall allein wurde existenzbedrohend, sondern die Kaskade aus fehlender Datenverfügbarkeit, gestörter Leistungserbringung, eingeschränkter Finanzierung und schwindender Handlungszeit.

Die trügerische Sicherheit dokumentierter Pläne

Business Continuity Management ist in vielen Unternehmen längst formal etabliert. Zuständigkeiten sind benannt, Wiederanlaufziele definiert, Notfallpläne dokumentiert und Übungen terminiert. In der Befragung von Optro, einem Anbieter für Audit-, Risk-, ESG- und InfoSec-Management, bezeichnen 73 Prozent der Führungskräfte ihr BCM als etabliert oder strategisch. Diese Selbsteinschätzung vermittelt ein hohes Maß an organisatorischer Reife [vgl. Optro 2026, S. 6].

Die Daten realer Vorfälle zeichnen jedoch ein anderes Bild. 92 Prozent der Befragten sind überzeugt, die festgelegten "Recovery Time Objectives" erreichen zu können. Beim bedeutendsten Störfall gelang dies tatsächlich nur 39 Prozent. Mehr als die Hälfte benötigte länger als das definierte Wiederanlauffenster. Das ist keine kleine Abweichung zwischen Plan und Realität, sondern ein grundlegendes Validierungsproblem: Gemessen wird häufig, ob ein Plan existiert – nicht, ob die Organisation unter realem Zeit-, Informations- und Entscheidungsdruck funktioniert [vgl. Optro 2026, S. 6].

Die Folgen reichen weit über die IT hinaus. Jeweils 91 Prozent berichten von messbaren Auswirkungen auf Kunden und Beschäftigte; vier von zehn Organisationen beziffern störungsbedingte Verluste auf mehr als eine Million US-Dollar. Kontinuitätsmanagement ist damit keine administrative Vorsorgeaufgabe, sondern unmittelbar mit Ertrag, Kundenbindung, Reputation und Handlungsfähigkeit eines Unternehmens verbunden [vgl. Optro 2026, S. 6].

Selbstbewertung ersetzt keine unabhängige Bewährungsprobe

Die externe Überprüfung ist bei vielen Unternehmen schwach ausgeprägt. Nur 35 Prozent der Organisationen ließen ihr BCM innerhalb der vergangenen zwölf Monate unabhängig validieren oder auditieren. Fast 60 Prozent hatten seit mehr als einem Jahr keine externe Überprüfung; fünf Prozent noch nie. Ohne unabhängige Sicht entsteht leicht ein organisatorischer Echoraum, in dem bekannte Annahmen bestätigt, aber veraltete Abhängigkeiten und unrealistische Wiederanlaufziele nicht aufgedeckt werden [vgl. Optro 2026, S. 7].

Die wichtigsten Studienergebnisse

→ Lücke zwischen Selbsteinschätzung und Realität: 92 % erwarten, ihre Wiederanlaufziele zu erreichen; beim schwersten Störfall gelang dies nur 39 %. 54 % überschritten das festgelegte Zeitfenster.
→ Unvollständige Abhängigkeitsanalysen: 56 % haben kritische Prozesse und deren Abhängigkeiten nur teilweise oder minimal erfasst. Bei realen Vorfällen waren 31 % der betroffenen Prozesse nicht korrekt dokumentiert oder zugeordnet.
→ Drittparteien als Ausfalltreiber: 76 % erlebten innerhalb von zwei Jahren mindestens einen Lieferanten- oder Dienstleisterausfall. 57 % der bedeutenden Vorfälle verursachten Verluste von mindestens 1 Mio. US-Dollar.
→ AI ohne ausreichende Governance: Rund ein Drittel nutzt AI bereits in zentralen BCM-Aufgaben, aber nur 26 % verfügen über ein eigenständiges AI-Governance-Programm für diese Anwendungen.
→ Investitionslücke: Obwohl 64 % ihre BCM-Budgets erhöhten, lagen die Ausgaben für AI-Initiativen zehn- bis zwanzigmal höher als für Resilienzwerkzeuge.
→ Fragmentierung als Kernproblem: Vollständig integrierte BCM-Programme erreichen Wiederanlaufziele häufiger und aktivieren Krisenprotokolle schneller als wenig integrierte Programme.
→ Anforderung für die Zukunft: Notwendig sind integrierte, kontinuierlich getestete Resilienzsysteme mit gemeinsamen Kennzahlen, klarer Verantwortung und Echtzeitinformationen.

Die unbekannte Architektur hinter kritischen Leistungen

Viele Unternehmen investieren bevorzugt in sichtbare Elemente der Vorsorge: IT-Wiederanlaufpläne, Business-Continuity-Pläne und Business-Impact-Analysen. Schwächer ausgeprägt sind ausgerechnet jene Bausteine, die erklären, wie sich eine Störung tatsächlich durch das Unternehmen bewegt: Prozesslandkarten, dokumentierte Abhängigkeiten, Gap-Analysen oder auch verbindliche Kontinuitätsanforderungen an Drittparteien [vgl. Optro 2026, S. 8].

Nur 42 Prozent geben an, alle kritischen Services vollständig mit Abhängigkeiten und aktiven Auswirkungstoleranzen erfasst zu haben. Bei 56 Prozent ist die Abbildung lediglich teilweise oder minimal. Damit versuchen zahlreiche Organisationen, Wiederanlaufziele zu steuern, ohne die vorgelagerten und nachgelagerten Ressourcen vollständig zu kennen, die für deren Einhaltung erforderlich sind [vgl. Optro 2026, S. 9].

Im Ereignisfall kann diese Intransparenz zu konkreten Schmerzen und einer längeren Wiederherstellungszeit führen: 31 Prozent führen das Versagen ihrer Pläne darauf zurück, dass betroffene Prozesse nicht oder falsch dokumentiert waren. Weitere 27 Prozent berichten von Drittparteiausfällen, die in der Prozessabbildung nicht erwartet wurden. Die Schwachstellen, die im Alltag nicht modelliert werden, tauchen in der Krise als Überraschung wieder auf [vgl. Optro 2026, S. 8].

Auffällig ist zudem die unterschiedliche Wahrnehmung zwischen Führungsebene und operativen Funktionen. C-Level-Befragte melden deutlich häufiger, dass Abhängigkeits- und Prozessmapping vorhanden seien, als die Gesamtstichprobe. Das deutet auf eine gefährliche Übersetzungslücke hin: Auf Vorstandsebene wird ein vorhandenes Framework leicht mit belastbarer operativer Transparenz verwechselt. In der Praxis kann eine Prozessgrafik jedoch vollständig aussehen und trotzdem zentrale Personen, Datenquellen, Cloud-Dienste, Standorte oder Unterauftragnehmer ausblenden.

Drittparteien: Der Ausfall beginnt außerhalb des eigenen Unternehmens

Die moderne Leistungserbringung endet nicht an der Unternehmensgrenze. Cloud-Infrastruktur, Managed Services, Logistik, Zahlungsverkehr, Plattformen und spezialisierte Softwareanbieter sind Bestandteil des eigenen Betriebsmodells. Entsprechend wird Third-Party Risk zu einem Kernbereich der operationalen Resilienz – nicht zu einer Nebenfrage des Einkaufs.

Drei Viertel der befragten Organisationen erlebten in den vergangenen zwei Jahren mindestens einen Ausfall eines Dienstleisters oder Lieferanten. Kritische Anbieter- und IT-/Cloud-Ausfälle gehören zu den häufigsten erheblichen Störungen. 57 Prozent dieser Vorfälle verursachten Verluste von mindestens einer Million US-Dollar. In der Risikomanagement-Funktion berichten 63 Prozent von Kosten zwischen einer und zehn Millionen US-Dollar; interne Revisoren nennen überdurchschnittlich häufig noch höhere Schadensklassen [vgl. Optro 2026, S. 10].

Die Governance bleibt dagegen überwiegend dokumentenorientiert. Verträge enthalten Resilienzklauseln, beim Onboarding werden Nachweise geprüft und kritische Anbieter regelmäßig neu bewertet. Gemeinsame Notfallübungen mit Drittparteien führen aber nur 31 Prozent durch. Genau dort entscheidet sich, ob Eskalationswege, Kommunikationsschnittstellen, Datenzugriffe und Ausweichlösungen im Ernstfall tatsächlich funktionieren.

Deutschland schneidet bei der formalen Vendor-BCM-Governance vergleichsweise stark ab, zeigt laut Studie aber ebenfalls eine Lücke bei gemeinsamen Tests. Das illustriert ein wiederkehrendes Muster: Gute Regeln und vollständige Fragebögen sind nützlich, doch sie beweisen keine Wiederanlauffähigkeit. 

AI im Resilienzmanagement: Beschleuniger ohne Sicherheitsnetz

Künstliche Intelligenz wird bereits in zentrale Resilienzprozesse integriert. 33 Prozent nutzen sie zur Risikoidentifikation und -überwachung, jeweils 32 Prozent für Business-Impact-Analysen und zur Behebung von Lücken in Kontinuitätsplänen. Damit verändert AI nicht nur das Risikoprofil des Unternehmens, sondern zunehmend auch die Instrumente, mit denen dieses Risikoprofil überwacht werden soll [vgl. Optro 2026, S. 12].

Das Tempo der Einführung überholt allerdings die Governance. 42 Prozent investierten innerhalb eines Jahres zwischen einer und 4,9 Millionen US-Dollar in entsprechende Initiativen. Nur 26 Prozent verfügen über ein formelles, eigenständiges AI-Governance-Programm für BCM-Anwendungen; 38 Prozent äußern Sorge über fehlende Kontrollmechanismen. Besonders problematisch ist, dass die neuartigen Ausfallarten kaum erprobt werden [vgl. Optro 2026, S. 13].

Agentische AI-Systeme, die autonom entscheiden oder Aktionen auslösen, sind das am häufigsten ungetestete Szenario: 30 Prozent haben einen Kontrollverlust oder eine Fehlentscheidung solcher Systeme noch nie simuliert. Es folgen Shadow AI mit 29 Prozent und AI-gestützte Cyberangriffe mit 28 Prozent. Gleichzeitig erwarten 36 Prozent der BCM-Verantwortlichen, dass AI-bedingte Störungen bis 2030 eine Geschwindigkeit erreichen können, die menschliche Reaktionskapazitäten vollständig überfordert.

Unternehmen stehen damit vor einer doppelten Herausforderung. Sie müssen einerseits die Kontinuität AI-gestützter Geschäftsprozesse absichern. Andererseits dürfen sie sich bei Analyse, Priorisierung und Krisensteuerung nicht blind auf dieselben Modelle verlassen, deren Fehlverhalten sie bewerten sollen. Resilienz verlangt deshalb technische Kontrollen, menschliche Eingriffsmöglichkeiten, nachvollziehbare Entscheidungsrechte und Szenarien, in denen Daten, Modelle oder Agenten bewusst als nicht vertrauenswürdig behandelt werden.

Mehr Budget – aber nicht automatisch mehr Bereitschaft

Die Studie beschreibt kein generelles Desinteresse an Resilienz. 64 Prozent der Organisationen erhöhten ihre BCM-Budgets im vergangenen Jahr um mindestens fünf Prozent. Gleichzeitig wurden jedoch zehn- bis zwanzigmal höhere Beträge in AI-Initiativen als in Resilienzwerkzeuge investiert. Diese Relation ist nicht automatisch falsch, zeigt aber, wie schnell Modernisierungsvorhaben die Fähigkeit überholen können, neue Abhängigkeiten systematisch zu überwachen und zu testen.

Für die kommenden 18 Monate nennen 31 Prozent die Integration von BCM und GRC als Top-Priorität, 30 Prozent die Einbettung von AI in BCM-Workflows. Beides ist konsequent – sofern die Organisation nicht lediglich weitere Technik auf fragmentierte Prozesse setzt. Ein neues Dashboard schafft keine gemeinsame Verantwortung; automatisierte Analysen ersetzen keine abgestimmten Eskalations- und Entscheidungswege [vgl. Optro 2026, S. 14].

Fragmentierung ist die eigentliche Resilienzlücke

Der zentrale Befund der Studie lautet: Nicht fehlende Aufmerksamkeit, sondern organisatorische Fragmentierung begrenzt die Wirksamkeit. Audit bewertet Risiken, IT verantwortet technische Wiederherstellung, BCM pflegt Pläne, Einkauf und Third-Party-Risk-Management steuern Anbieter, Compliance überwacht Pflichten und AI-Governance entwickelt eigene Regeln. Jede Funktion kann für sich professionell arbeiten – und dennoch fehlt dem Unternehmen ein gemeinsames Lagebild [vgl. Optro 2026, S. 17].

Rund jede siebte Organisation betreibt BCM vollständig als eigenständige Funktion, isoliert von angrenzenden Risikodisziplinen. 29 Prozent nennen die schwierige Integration mit übergeordneten Risikoprogrammen als größtes Hindernis, 27 Prozent verweisen auf fest verankerte Silos. Die Folgen sind messbar: Vollständig integrierte BCM-Programme erreichten definierte Wiederanlaufziele in 31 Prozent der Fälle, minimal integrierte nur in 15 Prozent. 50 Prozent der integrierten Programme aktivierten Reaktionsprotokolle innerhalb von vier Stunden, gegenüber 20 Prozent bei geringer Integration [vgl. Optro 2026, S. 15]. 

Was Unternehmen jetzt konkret verändern sollten

Die Ergebnisse legen nahe, dass Unternehmen ihre Resilienzprogramme nicht durch zusätzliche Dokumentation, sondern durch überprüfbare operative Fähigkeiten weiterentwickeln sollten. Der entscheidende Perspektivwechsel lautet: Weg von der Frage, ob ein Plan vorhanden ist, hin zu der Frage, ob kritische Leistungen auch bei unvollständigen Informationen, parallelen Ausfällen und hohem Zeitdruck tatsächlich aufrechterhalten oder rechtzeitig wiederhergestellt werden können. Daraus ergeben sich sechs konkrete Handlungsfelder:

  • Von Plänen zu Leistungsnachweisen wechseln. BCM-Reife sollte nicht primär anhand vorhandener Dokumente bewertet werden. Entscheidend sind nachgewiesene Wiederanlaufzeiten, die Qualität von Entscheidungen, die Verfügbarkeit kritischer Ressourcen und die tatsächliche Aufrechterhaltung von Kundenleistungen.
  • Kritische Services Ende-zu-Ende modellieren. Prozess-, Technologie-, Daten-, Personal-, Standort- und Lieferantenabhängigkeiten müssen in einem gemeinsamen Modell verbunden werden. Dabei sind auch Unterauftragnehmer, Konzentrationsrisiken und Single Points of Failure sichtbar zu machen.
  • Drittparteien gemeinsam testen. Vertragliche Nachweise sollten durch Übungen ergänzt werden, in denen Anbieter, Fachbereiche, IT, Kommunikation und Krisenstäbe reale Eskalations- und Wiederanlaufszenarien durchspielen.
  • AI-Ausfälle als eigenständige Szenarioklasse behandeln. Zu testen sind nicht nur Cyberangriffe, sondern auch falsche Modellentscheidungen, autonome Fehlaktionen, Datenvergiftung, Shadow AI, Verlust menschlicher Eingriffsmöglichkeiten und gleichzeitige Ausfälle mehrerer digitaler Dienste.
  • Ein gemeinsames Resilienz-Cockpit etablieren. Audit, Risiko, BCM, IT, TPRM, Compliance und Fachbereiche benötigen abgestimmte Kennzahlen und ein geteiltes Lagebild. Unterschiedliche Tools dürfen nicht zu unterschiedlichen Wahrheiten über denselben kritischen Service führen.
  • Unabhängige Validierung verstärken. Regelmäßige Reviews durch interne Revision oder externe Prüfer können "blinde Flecken" aufdecken, sofern sie nicht nur die formale Existenz von Plänen, sondern deren Belastbarkeit bewerten.

Fazit: Resilienz ist eine Fähigkeit des gesamten Unternehmens

Die Studie macht deutlich, dass die größte Schwäche vieler Business-Continuity-Programme eine zu große Distanz zwischen formaler Vorsorge und praktischer Bewährung liegt. 92 Prozent der Befragten vertrauen darauf, ihre Wiederanlaufziele erfüllen zu können; beim schwersten realen Störfall gelang dies jedoch nur 39 Prozent. Zugleich waren bei 31 Prozent der Vorfälle betroffene Prozesse nicht korrekt dokumentiert oder zugeordnet, und 27 Prozent berichteten von Drittparteiausfällen an unerwarteten Stellen. Diese Zahlen zeigen: Ein belastbarer Plan setzt ein belastbares Verständnis der tatsächlichen Leistungsketten voraus. 

Auch die wachsende Abhängigkeit von externen Anbietern und AI verschärft die Lücke. 76 Prozent der Organisationen erlebten innerhalb von zwei Jahren mindestens einen Lieferanten- oder Dienstleisterausfall; 57 Prozent der bedeutenden Drittparteivorfälle verursachten Verluste von mindestens einer Million US-Dollar. Gleichzeitig nutzen rund ein Drittel der Unternehmen AI bereits heute für zentrale Resilienzaufgaben, während nur 26 Prozent über ein eigenständiges AI-Governance-Programm für diese Anwendungen verfügen. Resilienz muss deshalb als gemeinsames Steuerungsmodell von BCM, IT, Risiko, Compliance, Revision, Fachbereichen und Drittparteien verstanden werden. 

Der Fall KNP Logistics zeigt, wie diese abstrakten Befunde in eine existenzielle Unternehmenskrise umschlagen können. Der Ransomware-Angriff traf ein Unternehmen, das bereits unter wirtschaftlichem Druck stand, und nahm ihm in einer kritischen Phase operative Sichtbarkeit, verlässliche Finanzinformationen und die Möglichkeit, kurzfristig neues Kapital zu sichern. Genau darin liegt die zentrale Lehre der Studie: Business Continuity darf nicht auf den Wiederanlauf einzelner Systeme reduziert werden. Sie muss sicherstellen, dass das Unternehmen seine kritischen Leistungen, Entscheidungsfähigkeit und Finanzierung auch dann stabilisiert, wenn mehrere Abhängigkeiten gleichzeitig ausfallen. Dokumentierte Pläne bleiben notwendig. Überlebensfähig wird eine Organisation jedoch erst, wenn ihre Annahmen regelmäßig getestet, ihre Abhängigkeiten Ende-zu-Ende verstanden und ihre Reaktionen funktionsübergreifend eingeübt sind. 

Weiterführende Literaturhinweise:

  • Optro (2026): When business continuity fails. Why plans collapse under real-world stress and the 2030 mandate for organizational resilience. 

Die Studie basiert auf einer Onlinebefragung von 506 Führungskräften aus Audit, Risiko, Compliance, BCM/Resilienz, Informationssicherheit und IT. Befragt wurden Unternehmen mit mindestens 250 Beschäftigten und mindestens 100 Mio. US-Dollar Jahresumsatz in Nordamerika, dem Vereinigten Königreich, Deutschland und den Vereinigten Arabischen Emiraten.
Die Autoren weisen ausdrücklich darauf hin, dass es sich um ein Online-Panel handelt, dessen exakte Repräsentativität unbekannt ist; eine klassische statistische Fehlermarge wird daher nicht angegeben. 

 

[ Bildquelle Titelbild: Generiert mit AI ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.