ISO 27031 Realitätscheck: Operationalisierung manueller Workarounds im Business Continuity Plan

Das Kernstück dieser Neuausrichtung ist Klausel 6.6a. Sie schreibt unmissverständlich vor: Wenn die Informations- und Kommunikationstechnologie (IKT) die vom Geschäftsbetrieb geforderten Wiederanlaufzeiten (Recovery Time Objective – RTO) oder Wiederherstellungszeitpunkte (Recovery Point Objective – RPO) nicht erfüllen kann, muss die Organisation Workarounds im Business Continuity Plan (BCP) beschreiben, die den Betrieb für die Dauer dieser Lücke ohne IKT ermöglicht. 

Diese Anforderung wird durch Klausel 10.4 ergänzt, die „temporäre Workarounds“ als Lösung definiert. Dabei handelt es sich um manuelle oder teilmanuelle Prozesse, die es ermöglichen, zeitkritische Geschäftsprozesse mit potenziell geringerer Effizienz fortzusetzen, bis die IT-Services wieder verfügbar sind. Die Norm erzwingt damit eine ehrliche Auseinandersetzung mit der Lücke zwischen den Geschäftsanforderungen und den realen, oft budgetlimitierten IKT-Fähigkeiten. 

Ein entscheidender Aspekt, der in der Praxis oft zu Missverständnissen führt, ist die notwendige Unterscheidung zwischen den Wiederanlaufzielen des Business und denen der IT. Das vom Geschäftsbetrieb definierte RTO (Business-RTO) gibt an, wann ein Geschäftsprozess wieder laufen muss. Damit dies gelingt, muss die zugrunde liegende IKT-Infrastruktur zwangsläufig früher wiederhergestellt sein. Das RTO der IKT (IKT-RTO) muss also signifikant kürzer sein als das Business-RTO, um einen Puffer für den Neustart der Geschäftsprozesse, die Datenvalidierung und die Kommunikation zu schaffen. Noch wichtiger ist jedoch die tatsächliche Wiederanlaufzeit (Recovery Time Actual, RTA). Im Gegensatz zum RTO, der ein Zielwert ist, ist die RTA der gemessene Wert, der bei einem Test oder einer Simulation ermittelt wird, um die Leistungsfähigkeit für den Ernstfall zu bestimmen. Die RTA ist somit der ultimative Realitätscheck für jeden BCP.

Die Praxis-Lücke: Warum bekannte Prinzipien scheitern

Obwohl die Prinzipien der ISO-Norm in der Fachwelt bekannt sind, klafft eine gefährliche Lücke zwischen Theorie und Umsetzung. Die Gründe dafür sind systemisch und lassen sich oft auf grundlegende Fehleinschätzungen zurückführen:

• Eine organisatorische Kluft entsteht, da die Verantwortung für die Aufrechterhaltung des Geschäftsbetriebs fälschlicherweise oft als reine IT-Aufgabe missverstanden wird. Die Fachbereiche definieren ihre Anforderungen, die IT liefert, was das Budget hergibt. Der manuelle Workaround eines Geschäftsprozess fällt in das Zuständigkeitsvakuum zwischen diesen beiden Silos. Keine Seite fühlt sich für die Finanzierung, Entwicklung und das Testen verantwortlich.

• Das „Papierplan“-Syndrom beschreibt das Phänomen, bei dem viele BCPs nur existieren, um Audit-Anforderungen zu erfüllen. Sie sind oft veraltet, ungetestet und unrealistisch. Insbesondere manuelle Prozesse werden selten funktional getestet, da dies operativ aufwendig ist. Ein theoretischer Walkthrough Test reicht nicht aus, um die Belastbarkeit eines manuellen Prozesses unter Stress zu validieren.

• Eine fehlende Nachhaltigkeitsplanung führt dazu, dass manuelle Workarounds oft nur für sehr kurze Zeiträume ausgelegt sind. Jüngste Vorfälle wie der CrowdStrike-Ausfall 2024 zeigten jedoch, dass der Wiederanlauf und die Wiederherstellung Tage dauern kann und massive manuelle Eingriffe erfordert. Ein nicht nachhaltiger manueller Prozess kann durch massive Ineffizienz und hohe Fehleranfälligkeit schnell einen unkontrollierbaren Rückstand erzeugen und so zu einer eigenständigen, noch größeren Krise führen.

Diese systemischen Versäumnisse sind keine rein operativen Mängel. Sie manifestieren sich in direkten und oft verheerenden finanziellen Verlusten. Um das Ausmaß dieser Risiken zu verdeutlichen, belegt eine Studie von Information Technology Intelligence Consulting aus dem Jahr 2024 folgende Zahlen: Für 90% der Unternehmen verursacht eine einzige Stunde Ausfallzeit Kosten von über 300.000 US-Dollar, wobei 41% der Unternehmen sogar von Kosten zwischen 1 und 5 Millionen US-Dollar pro Stunde berichten. Dies unterstreicht die wirtschaftliche Notwendigkeit, die durch die ISO-Norm geforderte operative Resilienz zu schaffen und das Budget für entsprechende Maßnahmen zu rechtfertigen.

Die entscheidende Methodik: Die Gap-Analyse

Der Prozess, die Anforderungen des Business (Business-RTO) mit den nachgewiesenen Fähigkeiten der IT (gemessen als RTA) zu vergleichen, ist die Gap-Analyse. Diese Analyse ist keine oberflächliche Prüfung, sondern eine tiefgehende, mehrschichtige Untersuchung der gesamten technologischen Kette. Sie beginnt bei der Basisinfrastruktur wie Stromversorgung und Klimatisierung des Rechenzentrums, geht über die Netzwerkkomponenten, Server und Speichersysteme bis hin zu den Datenbanken und schließlich der Anwendung selbst, die den Geschäftsservice bereitstellt.

Jeder dieser Layer hat eigene Wiederherstellungscharakteristika und Abhängigkeiten. Nur durch eine solche granulare Analyse kann die IT eine realistische und ehrliche Aussage über ihre tatsächliche Wiederanlaufzeit (RTA – ermittelt durch das Testen der unterschiedlichen Komponenten) treffen. Das Ergebnis dieser Gap-Analyse ist die Grundlage für die strategische Entscheidung: Entweder wird in die Technologie investiert, um die Lücke zu schließen, oder es wird ein manueller Workaround entwickelt. 

Ein Handlungsrahmen für wirksame Workarounds

Um die Anforderungen der Norm zu erfüllen und die Praxis-Lücke zu schließen, ist ein strukturierter Ansatz erforderlich:

• Realitätsnahes Design erfordert, dass digitale Prozesse akribisch in analoge, schrittweise Anleitungen übersetzt werden. Diese müssen in einem krisentauglichen „Playbook“-Format, dem BCP, dokumentiert und offline in gedruckter Form verfügbar sein.

• Quantitative Ressourcenplanung bedeutet, dass der Plan präzise definieren muss, wie viele Mitarbeiter und welche Materialien (z. B. vorgedruckte Formulare, Rechner) benötigt werden, um ein definiertes Mindestmaß an Service aufrechtzuerhalten.
• Modellierung des Rückstands ist notwendig, da die geringere Effizienz manueller Arbeit quantifiziert werden muss. Ein Modell, das den stündlich anfallenden Rückstand (Backlog) berechnet, ermöglicht es dem Krisenmanagement, proaktiv zu steuern und die wahren Geschäftsauswirkungen an die Führungsebene zu kommunizieren.

• Validierung ist entscheidend, weshalb die Teststrategie über Tests hinausgehen muss. Funktionale Tests, bei denen ein Team den manuellen Prozess real durchführt, und integrierte Tests, die die Übergaben zwischen Abteilungen testen, sind unerlässlich, um die tatsächliche Funktionsfähigkeit nachzuweisen.

Fazit

Die ISO 27031:2025 zwingt Organisationen, eine unbequeme Wahrheit zu akzeptieren: Technologische Resilienz allein ist unzureichend. Die Fähigkeit, zeitkritische Geschäftsprozesse temporär ohne IT aufrechtzuerhalten, ist kein optionales Extra, sondern ein zentraler Bestandteil eines BCM nach Stand der Technik. Die weit verbreitete Praxis, die Lücke zwischen RTO-Anforderungen und IT-Fähigkeiten durch Risikoakzeptanz zu ignorieren, ist nach der Norm nicht länger konform.

Handlungsempfehlungen für Führungsebene und Verantwortliche:

• Die klare Zuweisung der Verantwortung ist entscheidend. Die Verantwortung für die Entwicklung und Pflege manueller Workarounds muss explizit den Prozessverantwortlichen der Geschäftsprozesse zugewiesen werden, nicht der IT.

• Die Bereitstellung von Budgets ist unerlässlich. Schaffen Sie dedizierte Budgetposten für die Ressourcen, die für manuelle Workarounds benötigt werden – dazu gehören unter anderem Schulungszeit für Mitarbeiter, IT-Hardware, Druckkosten für Notfall-Formulare und die Durchführung realistischer Tests mit ggf. externer Unterstützung.

• Die Quantifizierung und Berichterstattung von Risiken ist ein Muss. Erstellen Sie eine transparente Gap-Analyse und eine quantitative Modellierung des potenziellen Geschäftsrückstands bei einem Ausfall. Der Business Case für die Investition in Workarounds muss auf der Basis der Reduzierung des finanziellen Restrisikos argumentiert werden, nicht als reiner Kostenfaktor.

• Die Etablierung einer Testkultur ist fundamental. Etablieren Sie ein mandatorisches, progressives Testprogramm, das über einfache Tests hinausgeht und regelmäßige funktionale Drills für diese Workarounds vorschreibt. Fördern Sie eine Kultur, in der bei Tests aufgedeckte Schwachstellen als wertvolle Erkenntnisse und nicht als Versagen betrachtet werden.

Der nächste Schritt: Von der Planung zur gelebten Resilienz

Die Umsetzung dieser anspruchsvollen Aufgaben, von der Gap-Analyse bis zur Entwicklung robuster Workarounds, erfordert spezifisches Fachwissen. IRBC- und BCM-Verantwortliche müssen zu internen Treibern werden und die strategische Notwendigkeit gegenüber der Führungsebene verdeutlichen. Externe Expertise kann diesen Prozess entscheidend beschleunigen. Handeln Sie jetzt, denn dies ist keine Compliance-Übung, sondern eine strategische Investition in die Überlebensfähigkeit und Resilienz Ihres Unternehmens.