Bonn (06. November 2025) — Kleine und mittlere Unternehmen (KMU) sind gegen Cyberangriffe oft weniger gut geschützt als große Unternehmen. Zwar besitzen sie wertvolle Daten, verfügen aber meist nur über begrenzte personelle und finanzielle Mittel für die IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte das mit der Broschüre „Einstieg in das BCM für KMU“ ändern. Darin werden KMU aufgefordert, einen „CyberRisikoCheck“ durchführen und ein reaktives Business Continuity Management System (BCMS) aufzubauen, um ihre Resilienz zu stärken.
Ein „Reaktiv-BCMS“ ist die erste von drei Stufen beim Business Continuity Management (BCM). Gemäß BSI-Standard 200-4 konzentriert es sich bei Schadensereignissen auf kurzfristige, reaktive Maßnahmen mit minimalem Ressourceneinsatz. Ziel ist die schnelle Wiederaufnahme des Betriebs auf einem definierten Notfallniveau. Der Fokus liegt dabei auf einfachen Notfallplänen, ohne umfassende präventive Analysen – wie beim „Aufbau-BCMS“ als zweiter Stufe. KMU können dieses BCMS dann schrittweise zu einem vollständig ausgereiften System ausbauen – dem „Standard-BCMS“ als dritter Stufe .
Kernelement eines „Reaktiv-BCMS“ in einem KMU ist ein Geschäftsfortführungsplan. Dieser umfasst laut BSI vier Maßnahmenpakete: (1) die Benennung von Alternativprozessen (z.B. manuelle Bestellungen), (2) die Schulungen für Mitarbeiter, um sie mit den geänderten Prozessen vertraut zu machen, (3) die Aktivierung von Ersatzressourcen (.B. mobile Arbeitsplätze) und (4) die Sicherstellung einer Notfallkommunikation, um die Beschäftigten, Zulieferer und Kunden mit regelmäßigen Updates zu versorgen. Das BSI empfiehlt den KMU, sich dabei gezielt auf „Worst-Case-Szenarien“ vorzubereiten – also vom Schlimmsten auszugehen.
Download der Broschüre „Einstieg in das BCM für KMU“: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/BCM_KMU.pdf?__blob=publicationFile&v=4
Quelle: Bundesamt für Sicherheit in der Informationstechnik, Bonn