ISO 27031 Realitätscheck: Warum ITSCM nicht genug ist und ISO 27031 echtes BCM fordert

Der neue internationale Standard ISO/IEC 27031:2025 stellt diesen Status quo in Frage. Die Norm fordert unmissverständlich die Integration eines ganzheitlichen BCM-Ansatzes in die IT-Funktion selbst und behandelt diese als eine abzusichernde Geschäftseinheit.

Das grundlegende Missverständnis: Warum die IT ihr eigenes BCM braucht

In Organisationen herrscht eine konzeptionelle Unschärfe, die im Krisenfall katastrophale Folgen haben kann: die Verwechslung von BCM und ITSCM.

Business Continuity Management ist ein ganzheitlicher und strategischer Managementprozess, der darauf abzielt, die zeitkritischen Geschäftsprozesse der gesamten Organisation vor den Auswirkungen von Ereignissen mit Ausfallpotenzial zu schützen. BCM betrachtet alle Ressourcen, die zur Wertschöpfung beitragen: Menschen, Infrastruktur, Lieferketten und Technologie.

IT Service Continuity Management hingegen ist eine spezialisierte Disziplin und ein Teilbereich des BCM. Sein Fokus liegt ausschließlich auf den Wiederanlauf und der Wiederherstellung der technologischen Infrastruktur und der IT-Services, um die vom Business im BCM-Prozess definierten Ziele zu erfüllen. ITSCM ist der technische Beitrag der IT zur übergeordneten Resilienz des Unternehmens.

Das Problem entsteht, wenn die IT-Abteilung ihre Aufgabe als erfüllt ansieht, sobald sie einen IT Recovery Plan hat. Sie übersieht dabei, dass sie selbst eine zeitkritische Geschäftseinheit ist, die auf Weisen ausfallen kann, die weit über einen reinen Systemausfall hinausgehen. Ein IT Recovery Plan mag den Wiederanlauf und die Wiederherstellung eines Servers regeln, aber er beantwortet nicht die Frage, was passiert, wenn die dafür notwendigen Administratoren aufgrund einer Pandemie nicht verfügbar sind.

Die Wurzeln des Missverständnisses: Eine historisch-kulturelle Analyse

Diese gefährliche Vereinfachung ist kein Zufall, sondern das Ergebnis einer langen Entwicklung, die von organisatorischen Silos und dem Einfluss etablierter Frameworks geprägt ist.

• Seit den Anfängen der Unternehmens-IT wurden IT-Abteilungen oft als zentralisierte, technische Support-Einheiten betrachtet, die organisatorisch von den Kerngeschäftsbereichen getrennt waren, was zu historischen Silos zwischen Business und IT führte. Diese Trennung führte zu unterschiedlichen Prioritäten, Kommunikationsbarrieren und einem Mangel an geteilter Verantwortung für die gesamtunternehmerische Resilienz. Das Business "bestellt" Services, die IT "liefert" – eine Dynamik, die ein integriertes BCM-Verständnis erschwert.

• Das weit verbreitete Framework ITIL (IT Infrastructure Library) hat die IT zwar professionalisiert, aber gleichzeitig ihre Rolle als Dienstleister zementiert, was als der ITIL-Effekt bezeichnet werden kann. Da ITSCM ein Kernprozess innerhalb von ITIL ist, haben viele IT-Organisationen diesen als ihre primäre und oft einzige Kontinuitätsverpflichtung verinnerlicht. Sie erfüllen damit die Anforderungen ihres Frameworks, übersehen aber die Notwendigkeit, sich selbst als eine Geschäftseinheit zu betrachten, die ebenfalls ein BCM benötigt.

• IT-Experten denken naturgemäß in technologischen Lösungen, was zu einer technologiezentrierten Sichtweise führt. Ein "Notfall" wird primär als Systemausfall, Netzwerkproblem oder Cyberangriff verstanden. Der Wiederanlauf und die Wiederherstellung fokussiert sich auf Daten-Backups und redundante Hardware. Risiken wie der Ausfall von Schlüsselpersonal oder der Wegfall eines zeitkritischen Lieferanten fallen oft aus diesem technologiezentrierten Raster heraus.

Das Mandat der ISO 27031:2025: Die IT als abzusichernde Geschäftseinheit

Der neue Standard ISO 27031 bricht radikal mit dieser isolierten Sichtweise. Er behandelt die IT-Funktion nicht mehr nur als technischen Dienstleister, sondern als eine eigenständige, zeitkritische Geschäftseinheit, die ein eigenes, integriertes BCM benötigt.

Dieser Paradigmenwechsel wird durch mehrere Schlüsselaspekte der Norm untermauert:

• Die Norm fordert explizit die Integration statt Isolation (Kapitel 6) der "ICT Readiness for Business Continuity" (IRBC) in das gesamtunternehmerische BCM. Dies positioniert die IT nicht als externen Lieferanten, sondern als integralen Bestandteil der Resilienzstrategie, der sich denselben ganzheitlichen Prinzipien unterwerfen muss wie jede andere Abteilung.

• Ein ganzheitlicher Ressourcenfokus wird durch die ISO 27031 etabliert, indem sie explizit die abzusichernden Ressourcen der IT-Funktion auflistet. Dazu gehören nicht nur Technologie und Daten, sondern auch "staff competencies" (Mitarbeiterkompetenzen), "facilities" (Standorte), "processes" (interne Prozesse) und "suppliers" (Lieferanten). Damit wird unmissverständlich klargemacht, dass ein reiner ITSCM-Ansatz, der sich nur auf den Wiederanlauf und die Wiederherstellung von Technologie und Daten konzentriert, nicht ausreicht. Die IT muss Pläne für den Ausfall von Schlüsselpersonal, den Verlust ihrer Arbeitsstätten, den Ausfall ihrer IT-Infrastruktur und den Ausfall ihrer eigenen Lieferanten haben.

• Der Standard weist dem Top-Management eine klare Verantwortung (Kapitel 13) für die Bewertung und Genehmigung der IRBC-Strategien zu. Dies hebt die Kontinuität der IT-Funktion selbst auf eine strategische Ebene und signalisiert, dass sie mit der gleichen Ernsthaftigkeit behandelt werden muss wie die Kontinuität von z. B. einer Produktion.

Die ISO 27031 verlangt von der IT also, sich selbst einer Business Impact Analyse zu unterziehen und ein BCM zu implementieren, das ihre eigene Organisation absichert, damit sie überhaupt in der Lage ist, ihre ITSCM-Aufgaben für den Rest des Unternehmens zu erfüllen.

Die Risiken des ITSCM-Trugschlusses in der Praxis

Wenn eine IT-Abteilung nur ITSCM betreibt und glaubt, damit resilient zu sein, setzt sie das Unternehmen unkalkulierbaren Risiken aus. Ein reiner Fokus auf die technische Wiederherstellung lässt zeitkritische, nicht-technische Ausfallszenarien unberücksichtigt:

• Ein IT Recovery Plan, der nur die technischen Wiederherstellungsschritte beschreibt, ist wertlos, wenn niemand da ist, der ihn ausführen kann, was das Risiko des Ausfalls von Schlüsselpersonal Was passiert, wenn die wenigen Spezialisten, die ein komplexes Altsystem oder eine kritische Datenbank administrieren, aufgrund einer Pandemie, eines Unfalls oder eines Streiks gleichzeitig ausfallen? Ein BCM für die IT würde hier Maßnahmen wie z. B. Multi-Skill-Training, Separation of Core Skills und Automatisierung fordern.

• Der Verlust von IT-Standorten ist ein weiteres Risiko, denn ein Brand im Verwaltungsgebäude der IT, eine regionale Überschwemmung oder ein Stromausfall, der die Arbeitsplätze der IT-Mitarbeiter betrifft, kann die Fähigkeit zur Koordination des Wiederanlaufs und der Wiederherstellung lahmlegen. ITSCM plant den Wiederanlauf von Servern in einem Ausweichrechenzentrum, aber ein BCM für die IT plant, von wo aus die IT-Teams diesen Wiederanlauf überhaupt steuern und durchführen können.

• Die IT selbst ist auf eine Kette von Prozessen angewiesen, und der Zusammenbruch interner IT-Prozesse kann eine effektive Reaktion auf den eigentlichen Notfall unmöglich machen. Wenn die Systeme, die diese internen Prozesse unterstützen (z. B. Ticketsystem, Monitoring-Tools), oder das dafür zuständige Personal ausfallen, verliert die IT ihre Steuerungsfähigkeit.

• Die IT ist massiv von externen Partnern abhängig, weshalb der Ausfall von Lieferanten ein erhebliches Risiko darstellt. Ein ITSCM-Plan mag ein Backup der Cloud-Daten vorsehen, aber ein BCM für die IT analysiert die vertraglichen Verpflichtungen, plant alternative Lieferanten und definiert Prozesse für den Fall, dass ein strategischer Partner ausfällt.

Fazit

Die Annahme, dass ITSCM oder IRBC ein BCM für die IT ersetzt, ist eine der gefährlichsten Resilienz-Lücken in modernen Unternehmen. Sie entspringt einer veralteten, technologiezentrierten Sichtweise und wird durch organisatorische Silos zementiert. Die ISO/IEC 27031  macht unmissverständlich klar: Die IT ist nicht nur ein Dienstleister, sondern eine kritische Geschäftseinheit, die ein eigenes, integriertes Business Continuity Management benötigt.

Handlungsempfehlungen für Führungsebene und Verantwortliche:

• Die klare Zuweisung der Verantwortung ist entscheidend. Die Führungsebene muss anerkennen, dass die IT-Organisation selbst ein BCM benötigt. Die Verantwortung für dieses "interne" BCM der IT muss klar beim CIO/IT-Leiter verankert werden, in enger Abstimmung mit dem BCM-Verantwortlichen des Unternehmens.

• Die Durchführung einer BIA für die IT-Organisation ist unerlässlich. Führen Sie eine Business Impact Analyse durch, die nicht die IT-Services für andere, sondern die internen Prozesse, das Personal, die Standorte und die Lieferanten der IT-Abteilung selbst bewertet. Identifizieren Sie die wahren "Single Points of Failure" innerhalb Ihrer IT-Organisation.

• Die Entwicklung von BCP in der IT ist ein Muss. Erweitern Sie die Sichtweise um die bestehenden IT- und Desaster-Recovery-Pläne um nicht-technische Aspekte. Erstellen Sie konkrete Pläne für Szenarien wie den Ausfall von Schlüsselpersonal, den Verlust von IT-Arbeitsplätzen, Ausfall IT-Infrastruktur und den Ausfall kritischer IT-Lieferanten.

• Die Etablierung einer integrierten Testkultur ist fundamental. Führen Sie Übungen durch, die nicht nur den technischen Failover testen, sondern auch die Resilienz der IT-Organisation selbst. Simulieren Sie den Ausfall von IT-Personal und testen Sie, ob die dokumentierten Prozesse auch von alternativen Teams ausgeführt werden können.

Schließen Sie die Resilienz-Lücke: Ist Ihre IT wirklich resilient oder nur wiederherstellbar?

Die ISO 27031:2025 fordert eine neue Denkweise. Ein rein technischer Wiederanlaufplan reicht nicht mehr aus, um die IT selbst abzusichern. Wir unterstützen Sie dabei, die Lücke zwischen ITSCM und einem echten BCM für Ihre IT zu schließen – von der BIA für Ihre IT-Organisation bis zur Entwicklung integrierter Notfallpläne. Kontaktieren Sie uns, um die Resilienz Ihrer IT auf den Prüfstand zu stellen und sie zu einer krisenfesten Geschäftseinheit zu machen.