Was ist der Unterschied zur Risikoanalyse (RA)?

Die BIA bewertet die Auswirkungen eines Prozessausfalls – unabhängig von der Ursache. Die Risikoanalyse bewertet hingegen die Wahrscheinlichkeit einer bestimmten Ursache, etwa Brand oder Hackerangriff.

Was bedeuten RTO und RPO?

RTO (Recovery Time Objective) ist die maximal tolerierbare Ausfallzeit eines Prozesses. RPO (Recovery Point Objective) ist der maximal tolerierbare Datenverlust. Beide Kennzahlen werden durch die BIA ermittelt.

Wie oft muss eine BIA aktualisiert werden?

Eine BIA sollte regelmäßig – meist jährlich – sowie anlassbezogen, z. B. bei neuen IT-Systemen, Produkten oder Dienstleistern, überprüft und aktualisiert werden.

Warum ist eine BIA für MaRisk (AT 7.3) oder DORA wichtig?

Aufsichtsbehörden wie BaFin oder EZB verlangen, dass Institute ihre kritischen Prozesse und Wiederanlaufzeiten (RTOs) systematisch ermitteln. Die BIA ist die vorgeschriebene Methode, um diese Nachweise zu erbringen.

Business Impact Analyse (BIA): Definition, Prozess und Ziele

Wenn Ihr Unternehmen von einem schwerwiegenden Vorfall getroffen wird – sei es ein IT-Ausfall, ein Brand oder eine Pandemie – entscheidet eine Frage über das Überleben: Wissen Sie, welche Prozesse zuerst wieder laufen müssen?

Viele Unternehmen können diese Frage nicht präzise beantworten. Sie schützen oft alles gleichmäßig oder schützen das, was sie glauben, dass es wichtig sei. Die Business Impact Analyse (BIA) ist die systematische Methode, um Vermutungen durch Fakten zu ersetzen.

Sie ist das Fundament für jedes professionelle Business Continuity Management (BCM) und eine zentrale Anforderung in Standards wie DORA, MaRisk (AT 7.3) oder ISO 27001.

DORA & Informationssicherheitsbeauftragter

BIA vs. Risikoanalyse: Der Kernunterschied

Kriterium	Business Impact Analyse (BIA)	Risikoanalyse (RA)
Hauptfrage	„Welche Auswirkungen hat der Ausfall eines Prozesses?“	„Wie wahrscheinlich ist der Eintritt einer Ursache (z.B. Brand, Hacker)?“
Fokus	Die Konsequenz / Der Schaden (unabhängig von der Ursache)	Die Bedrohung / Die Ursache (unabhängig vom Prozess)
Ziel	Priorisierung der Prozesse; Ermittlung der RTO/RPO	Identifizierung von Bedrohungen & Schwachstellen
Ergebnis	„Prozess A muss in 4h laufen, Prozess B in 72h.“	„Das Risiko eines Brandes ist hoch; das eines Erdbebens niedrig.“

Was ist eine Business Impact Analyse (BIA) genau?

Die Business Impact Analyse (BIA) ist eine Methode zur Identifizierung und Bewertung der potenziellen Auswirkungen (Impacts) einer Unterbrechung von kritischen Geschäftsaktivitäten.

Sie beantwortet nicht die Frage, was passieren könnte (das ist die Risikoanalyse), sondern:

„Welche Auswirkungen hat der Ausfall eines bestimmten Prozesses auf das Gesamtunternehmen – und wie schnell wird dieser Ausfall kritisch?“

Die BIA fokussiert sich auf die zeitkritischen Geschäftsprozesse. Das Ziel ist es, eine klare Prioritätenliste für die Wiederherstellung zu erstellen und die minimalen Anforderungen für einen Notbetrieb zu definieren.

Warum ist eine BIA unverzichtbar? (Die Ziele)

Die Durchführung einer BIA ist kein theoretischer Akt, sondern die strategische Grundlage für die Überlebensfähigkeit Ihres Unternehmens.

Priorisierung der Wiederherstellung: Sie wissen genau, welcher Prozess (z.B. „Kunden-Zahlungsverkehr“) wichtiger ist als ein anderer (z.B. „internes Schulungsportal“).
Definition von Kennzahlen (RTO/RPO): Sie legen fest, wie schnell ein Prozess wiederhergestellt sein muss (RTO) und wie viele Daten maximal verloren gehen dürfen (RPO).
Grundlage für Notfallpläne: Nur wenn Sie wissen, was kritisch ist, können Sie sinnvolle Geschäftsfortführungspläne (siehe auch WpI MaRisk AT 7.3 – Notfallmanagement) und IT-Notfallpläne (ITSCM) entwickeln.
Effiziente Ressourcen-Allokation: Sie investieren Ihr Budget (z.B. für IT-Redundanz) gezielt dort, wo der größte Schaden droht, anstatt es mit der „Gießkanne“ zu verteilen.
Erfüllung regulatorischer Anforderungen: Aufsichtsbehörden (wie die BaFin) oder Auditoren wollen sehen, dass Sie Ihre kritischen Prozesse und deren Wiederanlaufzeiten (z.B. in MaRisk AT 7.3) systematisch ermittelt haben.

BIA vs. Risikoanalyse (RA): Der entscheidende Unterschied

Dies ist der häufigste Punkt der Verwirrung. BIA und Risikoanalyse (RA) sind zwei Seiten derselben Medaille, beantworten aber unterschiedliche Fragen.

Business Impact Analyse (BIA): Fokus auf die AUSWIRKUNG
- Die BIA fragt: „Wie schlimm ist es, wenn der Prozess ‚Produktion‘ ausfällt?“
- Sie ignoriert die Ursache (ob Brand, Stromausfall oder Hacker). Sie bewertet nur den Schaden (finanziell, Reputation, rechtlich) über die Zeitachse.
Risikoanalyse (RA): Fokus auf die URSACHE
- Die RA fragt: „Wie wahrscheinlich ist es, dass ein Brand, Stromausfall oder Hackerangriff den Prozess ‚Produktion‘ lahmlegt?“
- Sie bewertet die Wahrscheinlichkeit von Bedrohungen und die Stärke vorhandener Schutzmaßnahmen.

Merksatz: Die BIA definiert, was Sie schützen müssen (die Kronjuwelen). Die Risikoanalyse definiert, wogegen Sie es schützen müssen (die Bedrohungen).

So führen Sie eine Business Impact Analyse durch (Der Prozess)

Obwohl die Tiefe variiert, folgt eine BIA in der Regel einem 5-stufigen Prozess:

Schritt 1: Identifikation der Geschäftsprozesse

Zuerst müssen Sie wissen, was Ihr Unternehmen tut. Erstellen Sie eine „Prozesslandkarte“ aller relevanten Geschäftsprozesse (z.B. „Lohnabrechnung“, „Kunden-Support“, „Rechnungseingang“).

Schritt 2: Analyse der Auswirkungen (Impact Assessment)

Dies ist das Herzstück. Für jeden Prozess werden die Auswirkungen eines Ausfalls über die Zeit bewertet. Stellen Sie den Prozessverantwortlichen die entscheidenden Fragen:

Welcher finanzielle Schaden entsteht (pro Stunde, pro Tag, pro Woche)?
Welche Reputationsschäden treten auf?
Welche rechtlichen/regulatorischen Konsequenzen drohen (Vertragsstrafen, BaFin-Meldungen)?
Welche operativen Störungen (Kettenreaktionen) werden ausgelöst?

Schritt 3: Definition der Zeitkritikalität (RTO & RPO)

Basierend auf der Schadensanalyse aus Schritt 2 legen Sie nun die zwei wichtigsten Kennzahlen des BCM fest:

RTO (Recovery Time Objective / Maximale tolerierbare Ausfallzeit): Wie schnell muss der Prozess wieder laufen? (z.B. „4 Stunden“)
RPO (Recovery Point Objective / Datenverlusttoleranz): Wie viele Daten dürfen maximal verloren gehen? (z.B. „15 Minuten“ – was die Backup-Frequenz bestimmt)

Schritt 4: Analyse der Ressourcen und Abhängigkeiten

Ein Prozess läuft nicht im luftleeren Raum. Sie müssen ermitteln, was ein zeitkritischer Prozess zum Funktionieren braucht:

IT-Systeme: Welche Software? Welche Server?
Personal: Welches Schlüsselpersonal (Mindestanzahl)?
Dienstleister: Welche externen Partner sind kritisch?
Standorte/Räume: Werden spezielle Büros oder Maschinen benötigt?

Schritt 5: Dokumentation und Reporting

Alle Ergebnisse werden in einem BIA-Bericht zusammengefasst. Dieses Dokument priorisiert alle Geschäftsprozesse (z.B. in „Kritisch“, „Wichtig“, „Normal“) und listet die RTOs/RPOs sowie die benötigten Ressourcen auf. Dieser Bericht ist der offizielle Auftrag an die IT und das BCM, die entsprechenden Notfallpläne zu erstellen.

Anwendungsfälle der BIA: Wann und Warum?

Anwendungsfall (Trigger)	Ziel der BIA in diesem Szenario	Welches Problem wird gelöst?
Regulatorische Prüfung (MaRisk, DORA)	Nachweis der systematischen Ermittlung von RTOs/RPOs.	„Wir müssen der BaFin/Prüfern beweisen, dass unsere Notfallpläne auf Fakten basieren.“
Budgetplanung IT / Redundanz	Rechtfertigung für Investitionen (z.B. gespiegelte Server).	„Wir wissen nicht, ob ein teures Backup-Rechenzentrum für alle oder nur zwei Systeme nötig ist.“
Outsourcing & Dienstleister-Management	Definition von SLAs (Service Level Agreements) für kritische Partner.	„Wir müssen unserem IT-Dienstleister sagen, wie schnell System X nach einem Ausfall wieder laufen muss.“
Vorbereitung auf IT-Notfalltests	Festlegung, was (welche Prozesse/Systeme) in welcher Reihenfolge getestet werden muss.	„Wir wollen einen Notfalltest machen, wissen aber nicht, was wir zuerst wiederherstellen sollen.“
Standort-Ausfall (Brand, Pandemie)	Ermittlung des Mindestbedarfs an Personal und Ressourcen für einen Notbetrieb.	„Wir wissen nicht, wie viele Leute (und welche) im Homeoffice arbeiten m̈ssen, damit der Laden nicht stillsteht.“

Fazit: Die BIA ist das Fundament Ihrer Widerstandsfähigkeit

Eine Business Impact Analyse ist keine „Nice-to-have“-Übung, sondern das Fundament Ihres Notfallmanagements. Ohne eine BIA investieren Sie blind in Schutzmaßnahmen und riskieren, im Ernstfall die falschen Prioritäten zu setzen.

Sie verlagert den Fokus von einer vagen Angst vor Risiken hin zu einer klaren, datengesteuerten Strategie zur Sicherung Ihrer wichtigsten Werte. Sie ist der erste und wichtigste Schritt, um Ihr Unternehmen resilient und zukunftsfähig aufzustellen.

Outsourcing & Unterstützung durch S+P: Compliance as a Service

Setzen Sie auf die professionelle Auslagerung zentraler Compliance-Funktionen mit dem S+P Compliance Package. Unser „Compliance as a Service“-Modell ist skalierbar, auditsicher und vollständig dokumentiert.

Wir decken ein breites Spektrum ab – von Geldwäscheprävention und Datenschutz bis hin zur internen Revision und MaRisk-Compliance.

Speziell im Kontext der Business Impact Analyse und IT-Resilienz übernehmen wir als externer Informationssicherheitsbeauftragter (nach DORA Art. 6 Abs. 4) die IKT-Risikokontrollfunktion (z.B. nach DORA) vollständig oder unterstützen gezielt beim Aufbau Ihrer internen Organisation. Dies kann auch im Rahmen eines Outsourcing des Informationssicherheitsbeauftragten erfolgen. Sie profitieren von praxisnahen Methoden, entlasten Ihre internen Ressourcen und reduzieren Ihre regulatorischen Risiken nachhaltig. Eine Übersicht zu DORA & Informationssicherheitsbeauftragter finden Sie hier.

Zu unseren Outsourcing-Services

Weitere relevante Artikel

Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein? (MaRisk AT 7.3)
Die BIA ist der erste Schritt. Erfahren Sie hier, wie Sie die Ergebnisse (RTOs/RPOs) in ein prüfungssicheres Notfallkonzept gemäß MaRisk AT 7.3 überführen.
DORA: Cyber-Resilienz & Sensibilisierung der Mitarbeiter
Die BIA identifiziert, was geschützt werden muss. Dieser Artikel zeigt, wie Sie die Resilienz (auch nach DORA) durch Notfallübungen und Awareness-Programme stärken.
WpI MaRisk BTR 3 – Liquiditätsrisiken wirksam steuern
Eine BIA betrachtet oft IT-Prozesse. Dieser Artikel vertieft den Blick auf ein kritisches Szenario: die Steuerung von Liquiditätsrisiken und die Erstellung von Notfallplänen dafür.

FAQ: Business Impact Analyse (BIA)

Was ist eine Business Impact Analyse (BIA)?

Eine BIA ist eine systematische Methode, um zeitkritische Geschäftsprozesse zu identifizieren. Sie bewertet die (finanziellen, reputativen, rechtlichen) Auswirkungen eines Ausfalls über die Zeit.
Was ist der Unterschied zur Risikoanalyse (RA)?

Die BIA bewertet die *Auswirkungen* eines Prozessausfalls (unabhängig von der Ursache). Die Risikoanalyse (RA) bewertet die *Wahrscheinlichkeit* einer bestimmten *Ursache* (z.B. Brand, Hacker).
Was bedeuten RTO und RPO?

RTO (Recovery Time Objective) ist die maximal tolerierbare Ausfallzeit eines Prozesses. RPO (Recovery Point Objective) ist der maximal tolerierbare Datenverlust. Die BIA ermittelt diese Kennzahlen.
Wie oft muss eine BIA aktualisiert werden?

Eine BIA muss regelmäßig (z.B. jährlich) und immer anlassbezogen (z.B. bei Einführung neuer IT-Systeme, Produkte oder Dienstleister) überprüft und aktualisiert werden, um relevant zu bleiben.
Warum ist eine BIA für MaRisk (AT 7.3) oder DORA wichtig?

Aufsichtsbehörden (BaFin, EZB) fordern, dass Institute ihre kritischen Prozesse und Wiederanlaufzeiten (RTOs) systematisch ermitteln. Die BIA ist die geforderte Methode, um diese Nachweise zu erbringen.