27.05.2025
Blog
Resilience
Cyber Security

Resilienz und Business Continuity im öffentlichen Sektor – krisenfest und zukunftssicher

Ein funktionales Business Continuity Management (BCM) hilft Organisationen, widerstandsfähiger zu werden und Krisen strukturiert zu bewältigen. Ohne BCM drohen Ausfälle – sei es durch Cyberangriffe oder unvorhersehbare Ereignisse wie Naturkatastrophen.

Robert Stricker
Vice President Security Consulting

Laut Bitkom-Studie sind 76 Prozent der Befragten der Meinung, dass die öffentliche Verwaltung schlechter auf Cyberangriffe vorbereitet ist als die freie Wirtschaft. Gleichzeitig besteht erheblicher Optimierungsbedarf bei der Umsetzung von IT-Sicherheitsstandards und Notfallplänen.

Die Sicherstellung der Funktionsfähigkeit staatlicher Institutionen ist essenziell, insbesondere im Kontext geopolitischer Spannungen. Der “Operationsplan Deutschland" im Rahmen eines möglichen NATO-Bündnisfalls 2029 unterstreicht die Notwendigkeit, Resilienz- und Business-Continuity-Strategien gezielt zu verzahnen. Dazu gehört der Ausbau kritischer Infrastruktur sowie eine effektive Krisenvorsorge. Interkommunale und internationale Kooperationen sind notwendig, um logistische Engpässe zu minimieren. Der öffentliche Sektor muss proaktiv handeln, um unter extremen Bedingungen widerstandsfähig zu bleiben. Der Operationsplan Deutschland bietet eine Grundlage, um bestehende Sicherheitskonzepte mit modernen Resilienzstrategien zu verbinden und dadurch eine nachhaltige Krisenbewältigung zu gewährleisten.

BCM als strategische Aufgabe

  • Sicherstellung der öffentlichen Daseinsvorsorge
  • Erfüllung regulatorischer Anforderungen
  • Schutz kritischer Infrastrukturen und sensibler Daten
  • Minimierung finanzieller und reputationsbezogener Schäden
  • Koordination mit IT-Dienstleistern und externen Partnern

Resilienz und BCM: Zwei Seiten einer Medaille

Resilienz ist die Fähigkeit, sich an äußere Einflüsse anzupassen und schnell von Störungen zu erholen. BCM dient als strukturierter Ansatz zur Stärkung dieser Eigenschaft, indem es Notfallpläne und Präventionsmaßnahmen etabliert. Ziel ist es, den "Headless Chicken Mode" – unkoordiniertes Handeln in Krisensituationen – zu minimieren.

Regulatorische Anforderungen und praktische Umsetzung

Zwischen internationalen Normen (ISO 22301, ISO 27001) und nationalen Standards (BSI 200-4, KRITIS-Regulierungen) gibt es zahlreiche Anforderungen, die ein effizientes BCM erfordert. Trotz der Komplexität ist eine pragmatische Umsetzung möglich – durch regelmäßige Schulungen, Zuteilung von Verantwortlichkeiten, Systemaktualisierungen und definierte Notfallprozesse.

Das Nashorn-Prinzip

Robust, wachsam und widerstandsfähig – das Nashorn steht sinnbildlich für ein erfolgreiches BCM. Wer seine Organisation krisenfest machen will, sollte strategisch denken, präventiv handeln und langfristige Resilienz aufbauen.

  • Regulatorik und Compliance – Strategische Vorgaben und Leitlinien für BCM, die mit den Organisationszielen verknüpft sind. Wichtig ist eine Top-Down-Vorgabe durch das Management, um eine resiliente Organisation zu schaffen.
  • Human Firewall – Die Sensibilisierung der Mitarbeitenden für Sicherheitsrisiken. Eine gelebte Fehler- und Ausfallkultur hilft, Panik im Notfall zu vermeiden.
  • Intrusion Prevention – Präventive Sicherheitsmaßnahmen wie Netzwerksegmentierung, Systemhärtung und Multi-Faktor-Authentifizierung reduzieren Angriffsflächen und stärken die Reaktionsfähigkeit.
  • Notfallpläne und Krisenmanagement – Klare Verantwortlichkeiten, Entscheidungsstrukturen und Kommunikationswege im Krisenfall sind essenziell. Ein Krisenstab muss vorbereitet und handlungsfähig sein.
  • Optimierung und kontinuierliche Verbesserung – BCM ist ein fortlaufender Prozess. Sicherheitsmaßnahmen müssen regelmäßig überprüft und angepasst werden, um die Organisation langfristig resilient zu halten. 

Ein funktionierendes BCM erfordert strategische Unterstützung, ausreichend Ressourcen, eine konsequente Umsetzung und kontinuierliche Verbesserung. Führungskräfte sollten nicht nur delegieren, sondern aktiv unterstützen. Eine resiliente Organisation kann Notfälle besser bewältigen und bleibt trotz diesen handlungsfähig. 

Verantwortlichkeiten festlegen 

In einem Notfall ist eine gezielte Vorgehensweise entscheidend. Gut gemeinte, aber unkoordinierte Hilfe kann mehr schaden als nützen. Klare Verantwortlichkeiten, festgelegte Handlungsabfolgen und Kommunikationsmanagement sind essenziell. Eigenständiges Agieren ohne Abstimmung sollte vermieden werden. Wer ist für Business Continuity Management (BCM) zuständig? Es braucht eine verantwortliche Person, einen Krisenstab mit definierten Rollen sowie Entscheidungsprozesse. Diese müssen im Voraus festgelegt und geübt werden, um in Stresssituationen nicht improvisieren zu müssen. Klare Kommunikationswege und flache Entscheidungsstrukturen sind essenziell für schnelle Reaktionen. 

Resilienz bedeutet auch, Vertretungen einzuplanen – eine einzige BCM-Person ist keine nachhaltige Lösung. Ebenso wichtig sind Nichtverantwortlichkeiten: In der Krise sollte niemand mit irrelevanten Aufgaben belastet werden. Regelmäßige Übungen helfen, Fehler frühzeitig zu erkennen und Abläufe zu optimieren. 

Zentrale Schritte: 

  • Geschäftsprozessanalyse: Identifikation kritischer Prozesse und Abhängigkeiten
  • Business Impact Analyse (BIA): Bewertung der Folgen von Ausfällen
  • Notfallpläne: Dokumentation von Maßnahmen mit realistischen Wiederherstellungszeiten
  • Tests und Übungen: Regelmäßige Validierung und Optimierung 

BCM sorgt für Resilienz und handlungsfähige Organisationen. Wichtiger als Perfektion ist der Start – lieber klein anfangen als gar nicht. 

Weitere Informationen: Business Continuity Management 

Robert Stricker
Vice President Security Consulting

Robert Stricker ist Vice President Security Consulting bei Materna.

Verwandte Artikel

Event
Dortmund
05.11.2026
XCS Day (Xchange in Cyber Security)

Beim XCS Day treffen sich erneut Expert:innen aus Wirtschaft und Verwaltung, um aktuelle Herausforderungen und Strategien rund um Cyber Security und Regulierung zu diskutieren. Erfahren Sie, wie Organisationen ihre Widerstandsfähigkeit gegenüber…

Weiterlesen
Event
Bochum
03.11.2026
IT.Connect
Weiterlesen
Event
Berlin
13.10.2026 - 15.10.2026
Smart Country Convention (SCCON)

Treffen Sie uns erneut in Halle 27 am Stand 206 auf der führenden Veranstaltung für den digitalen Staat und öffentliche Dienste. Die SCCON ist ein Muss für alle Akteurinnen und Akteure, die den digitalen Wandel aktiv vorantreiben und gestalten.

Weiterlesen
Event
Düsseldorf
30.09.2026
27. ÖV-Symposium NRW

Künstliche Intelligenz, Digitale Souveränität, Cloud, Datenökonomie und Cyber Security bilden den Rahmen für die digitale Transformation der Verwaltung in NRW. Die beliebte Informations- und Dialogplattform für Verwaltungsmodernisierung bietet einen…

Weiterlesen
Event
Dortmund
10.09.2026
Resilience Readiness Day

Erleben Sie einen Tag voller Impulse, Best Practices und wegweisender Ideen rund um nationale Resilienz. Wir laden zum Resilience Readiness Day ein. Materna bringt Entscheider:innen aus Verwaltung, Sicherheitsbehörden, Bundeswehr, KRITIS-Unternehmen…

Weiterlesen
Event
Online
30.07.2026
Webcast „Mitarbeitende im Fokus: HR-Services im öffentlichen Sektor digital gestalten“

Wie können Personalprozesse im öffentlichen Sektor einfacher, transparenter und serviceorientierter gestaltet werden? In diesem Webcast zeigt agineo anhand eines durchgängigen Employee Lifecycles, wie Behörden und öffentliche Einrichtungen…

Weiterlesen
Presse
Dortmund
08.07.2026
agineo richtet sich auf die nächste Marktphase im ServiceNow-Geschäft aus

Der Markt für Unternehmensplattformen wie ServiceNow-Lösungen verändert sich. Unternehmen erwarten heute mehr als die erfolgreiche Einführung einer Plattform. Gefragt sind Partner, die Plattformen sicher betreiben, kontinuierlich weiterentwickeln und…

Weiterlesen
Blog
Enterprise Service Management
07.07.2026
Autonomous IT im Mittelstand: Mit KI schrittweise zur intelligenten IT-Organisation

Mittelständische Unternehmen stehen vor der Aufgabe, ihre IT leistungsfähiger und gleichzeitig effizienter zu gestalten. Künstliche Intelligenz kann…

Weiterlesen
Blog
Digital Experience
30.06.2026
Kampf gegen Windmühlen: Warum UX kein KI-Prompting ist

Heute muss eigentlich alles eine gute User Experience haben: Die Art, wie ich eine Pizza bestelle, wie ich im Supermarkt die Uhr kurz über einen…

Weiterlesen
Blog
Verwaltung Digital
23.06.2026
BDI-Agenda EinfachStaat: So wird die Verwaltung digital

Ein Auto online zulassen, Unternehmensdaten nur einmal angeben, Verwaltungsleistungen ohne Medienbruch nutzen: Die BDI-Agenda EinfachStaat beschreibt, wo der digitale Staat heute steht und welche Reformen ihn handlungsfähiger machen sollen.

Weiterlesen