Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Fachartikel Swiss Infosec AG

Servicekontinuität im Fokus: ITSCM als Teil von BCM und Krisenmanagement

09/2025 – Fachartikel Swiss Infosec AG

IT-Störungen oder gezielte Angriffe wie Ransomware oder DDOS bedrohen die Verfügbarkeit geschäftskritischer ICT Services. Um den Schaden möglichst gering zu halten, braucht es mehr als nur Backups. Cyberangriffe oder Systemstörungen können kritische ICT Services lahmlegen – und damit den Geschäftsbetrieb gefährden. Es braucht ein strukturiertes IT Service Continuity Management (ITSCM), das nahtlos mit Business Continuity Management und der Krisenorganisation verzahnt ist.

Was ist ITSCM?

IT Service Continuity Management (ITSCM), oder gemäss ISO 27031 «IT Readiness for Business Continuity (IRBC)», hat das Ziel, unternehmensgefährdende IT-Risiken und deren Auswirkungen zu analysieren und durch Gegenmassnahmen zu minimieren. Dies können beispielsweise Dual Vendor-Strategien oder die Spiegelung von hochkritischen Systemen / Applikationen sein. Mittels ITSCM wird ein strukturierter Ansatz verfolgt, welcher die kritischen ICT Services identifiziert und mit den Vorgaben des BCM vergleicht – insbesondere sind hier sind hier Recovery Time Objective RTO (deutsch: maximale Wiederanlaufzeit) und Recovery Point Objective RPO (deutsch: maximal akzeptierbarer Datenverlust) gemeint. Auf Basis dieser Gap-Analyse werden technische und organisatorische Massnahmen abgeleitet, um die Verfügbarkeit, Wiederanlauffähigkeit und Datenkonsistenz der Services im Notfall sicherzustellen. Diese Massnahmen sollten sich auf die zuvor identifizierten Risiken, welche geschäftskritische ICT Services gefährden, konzentrieren.

Warum ITSCM?

Durch die Identifikation der geschäftskritischen ICT Services kann sichergestellt werden, dass der Fokus nicht auf «vernachlässigbare» Services gesetzt wird und somit wertvolle Ressourcen verschwendet werden. Gemeint ist, dass nicht für vermeintlich «wichtige» ICT Services Massnahmen (bspw. Pläne, Backup, UPS) definiert werden, welche personelle oder finanzielle Ressourcen benötigen. Denn – nicht jeder ICT Service benötigt maximale Redundanz oder Wiederanlaufplanung.
Der Fokus liegt dabei stets auf der Weiterführung – also dem Überleben – des Business: ITSCM hilft, Ressourcen gezielt und wirksam dort einzusetzen, wo ein Ausfall tatsächliche existenzgefährdende Auswirkungen hätte. Das ITSCM leistet somit einen entscheidenden Beitrag, um die Resilienz einer Organisation zu erhöhen und ist ein integraler Bestandteil eines angemessenen Risikomanagements.

ITSCM und seine Schnittstellen

Ein wirksames ITSCM steht nicht für sich allein. Erst im Zusammenspiel mit dem Business Continuity Management (BCM) und dem Krisenmanagement (KM) entfaltet es seine volle Wirkung.

Das BCM befasst sich mit den Geschäftsprozessen und deren Fortführung, das ITSCM hingegen mit der Wiederherstellung der zugrunde liegenden ICT Services und Systeme und Daten. Beide Bereiche haben für sich definierte Zeitgrössen, die sie verfolgen: Im BCM stehen Begriffe wie maximal zulässige Störungsdauer (MTPD: «Maximum Tolerable Period of Disruption») und RTO für den Wiederaufbau eines Notbetriebes – im ITSCM RTO für die technische Wiederherstellungszeit und RPO für den max. Datenverlust.

Aus dieser gemeinsamen Grundlage ergeben sich unterschiedliche, aber aufeinander abgestimmte Massnahmen:

Das BCM erstellt übergeordnete Business Continuity-Pläne (BCP), das ITSCM liefert die dazu benötigten Service Continuity-Pläne (SCP) und Disaster Recovery-Pläne (DR) für ICT Services.

  • SCP (Service Continuity-Plan): Beschreibt, wie ein konkreter ICT Service im Krisen- oder Notfall wiederhergestellt und betrieben wird.
  • DR (Disaster Recovery-Plan): Regelt, wie nach schwerwiegenden Ereignissen (z. B. RZ-Ausfall, Ransomware) Teile der technischen Umgebung (bspw. Server / Applikation) wiederhergestellt werden.

Das Krisenmanagement wiederum ist der strategische und strukturierte Ansatz, eine Not- oder Krisensituation zu führen und zu koordinieren. Ein Krisenstab kann dabei auf bestehende Business Continuity-Pläne (BCP) zurückgreifen und aktivieren. Diese BCPs können dann wiederum auf Service Continuity-Pläne zurückgreifen. Der Krisenstab kann aber auch bei Bedarf neue Massnahmen ad hoc entwickeln und veranlassen.

Der 7-Punkte-Plan für ein ITSCM!

  1. Identifikation der geschäftskritischen IT Services mit einer Service Impact-Analyse. (Idealerweise abgeleitet von der Business Impact-Analyse) zur Erhebung der Kennzahlen RTO und RPO.
  2. Validierung der erhobenen Kennzahlen (RTO, RPO) mit den Anforderungen der Geschäftsprozesseigner
  3. Risikoanalyse zurIdentifikation technischer, organisatorischer und vertraglicher Risiken – inklusive Berücksichtigung von Supply Chain-Risiken und Abhängigkeiten zu externen IT-Dienstleistern oder Cloud-/SaaS-Anbietern.
  4. Definition und Umsetzung technischer, organisatorischer und vertraglicher Massnahmen
  5. Erstellung und Pflege von notwendigen service- und szenariobasierten Notfallplänen (SCP, DR, WAP)
  6. Awareness, Schulung und Durchführung von gesamtheitlichen Notfall- oder Krisenstabsübungen
  7. Tests, Reviews und kontinuierliche Verbesserung der Notfallpläne

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, wie unsere Spezialistinnen und Spezialisten Sie bei der praxisnahen Umsetzung eines wirksamen IT Service Continuity Management (ITSCM) unterstützen können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 22.08.2025
Kompetenzzentrum Consulting

Kategorie: Business Continuity Management | Fachartikel Swiss Infosec AG | Krisenmanagement
Michael Kuhn
Consultant
Anfrage
Michael Kuhn
Consultant
Anfrage

TPRM im Wandel: EBA-Guideline, DORA und MaRisk im Überblick

08/2025 – Fachartikel von Yahya Mohamed Mao, Swiss GRC AG

Die regulatorische Landschaft für Third-Party Risk Management (TPRM) verändert sich grundlegend. Mit der neuen EBA-Guideline, der DORA-Verordnung und der erwarteten Anpassung der MaRisk müssen Finanzinstitute ihr Auslagerungsmanagement strategisch neu ausrichten. Die Deggendorfer Notiz 2025/06 liefert hierzu eine fundierte Analyse und zeigt klar: Excel und Insellösungen reichen nicht mehr aus.

Die Grundlage für die neue Deggendorfer Notiz 2025/06 von Prof. Dr. Andreas Igl bildet das im Juli 2025 veröffentlichte Consultation Paper der Europäischen Bankenaufsichtsbehörde (EBA). Das Konsultationspapier konkretisiert erstmals umfassend die Anforderungen an das Management von Risiken aus non-ICT-Drittparteien und steht im engen Zusammenhang mit der seit Januar 2025 gültigen DORA-Verordnung (EU 2022/2554). In Verbindung mit dem bestehenden Rahmen der MaRisk AT 9 ergeben sich erhebliche Auswirkungen auf das Auslagerungsmanagement deutscher Kreditinstitute.

Der regulatorische Dreiklang: EBA-Guideline, DORA und MaRisk im Zusammenspiel

Mit der Konsultation der neuen EBA-Guideline zur Steuerung von Risiken aus Drittparteien (non-ICT) und der seit Januar 2025 geltenden DORA-Verordnung (EU 2022/2554) liegt erstmals ein klar strukturierter europäischer Rahmen für das TPRM vor.

Während DORA auf IKT-Dienstleister und deren Resilienz abzielt, fokussiert die EBA-Guideline auf nicht-IKT-bezogene Drittparteien, insbesondere bei der Erbringung kritischer oder wichtiger Funktionen. Die nationale Verwaltungsvorschrift MaRisk AT 9, lange Zeit Referenzrahmen in Deutschland, wird künftig von diesen europäischen Vorgaben beeinflusst und muss sich voraussichtlich entsprechend weiterentwickeln.

Kernerkenntnis aus der Deggendorfer Notiz: Die bisherige Praxis, Auslagerungen nur begrenzt und vorrangig operativ zu steuern, genügt nicht mehr. Zukünftig rückt die funktionale Kritikalität in den Mittelpunkt – unabhängig vom IKT-Bezug oder der vertraglichen Struktur.

Die erste Entscheidung: ICT oder non-ICT?

Die Deggendorfer Notiz zeigt, dass die Trennung zwischen ICT- und non-ICT-Dienstleistungen zur neuen Weichenstellung im TPRM wird. Sie bestimmt:

  • welche regulatorischen Anforderungen gelten (DORA vs. EBA-Guideline),
  • welche Klassifizierungen vorgenommen werden müssen,
  • welche Dokumentations-, Überwachungs- und Meldepflichten zu erfüllen sind.

Diese Trennung erfordert robuste Governance-Strukturen, die in der Lage sind, Auslagerungen konsistent und risikoorientiert zu klassifizieren. Die Verantwortung dafür liegt zunehmend auf Vorstandsebene, da die Ableitung kritischer Funktionen strategischen Charakter hat.

Von der Auslagerung zur Funktionssicht: TPRM wird strategisch

Ein Paradigmenwechsel zeichnet sich ab: Nicht mehr die rechtliche Auslagerung als solche ist zentral, sondern die Funktion, die durch eine Drittpartei unterstützt wird. Dies führt zu tiefgreifenden Veränderungen in der Risikosteuerung:

  • Die Bewertung erfolgt funktionsbasiert und nicht primär vertraglich.
  • Die Relevanz ergibt sich aus der Bedeutung für das Geschäftsmodell – nicht nur aus zeitkritischen Aspekten.
  • Das Proportionalitätsprinzip erlaubt eine differenzierte Umsetzung, abhängig von Institutstyp und Risikoexponierung.

Fazit aus Sicht der Deggendorfer Notiz: Die klassische organisatorische Perspektive muss einer strategisch-risikoorientierten Governance weichen.

Excel war gestern: Steuerung und Berichtspflichten steigen deutlich

Die Deggendorfer Notiz kritisiert offen, dass viele Institute ihre Drittparteibeziehungen weiterhin über Excel-Listen und dezentrale Dokumentationen verwalten. Damit lassen sich die geforderten Vorgaben – wie Informationsregister, Kontrollrechte, Notfallplanung, Exit-Strategien und strukturierte Berichterstattung – nicht mehr erfüllen.

DORA verlangt u.a.:

  • ein zentrales Informationsregister (Art. 28),
  • IKT-bezogene Resilienztests und Audits,
  • direkte Meldepflichten bei Incidents (Art. 19).

Die EBA-Guideline (non-ICT):

  • fordert umfassende Vertragsgestaltung inkl. KPIs und Audit-Rechten,
  • legt besonderen Wert auf funktionsbezogene Risikobewertung,
  • verlangt Governance-Massnahmen über die gesamte Dienstleisterkette hinweg.

Die Botschaft ist klar: Instituten wird empfohlen, bestehende Prozesse zu professionalisieren und zu digitalisieren.

Umsetzung: Von regulatorischer Anforderung zur technologischen Unterstützung

Auch wenn die Deggendorfer Notiz bewusst technologie-neutral formuliert ist, ergibt sich aus ihrer Analyse ein klarer Umsetzungsimpuls: Die Steuerung von Drittparteirisiken muss in strukturierte, toolgestützte Systeme überführt werden. Nur so lassen sich Transparenz, Nachvollziehbarkeit, Auditierbarkeit und Skalierbarkeit sicherstellen.

Swiss GRC bietet hierzu ein modulares System, das:

  • ein zentrales Informationsregister integriert,
  • risikobasierte Klassifizierungen und Governance-Workflows unterstützt,
  • eine konsistente Dokumentation und automatisierte Berichtserstellung ermöglicht.

Erfahren Sie mehr zur Lösung für TPRM unserer Schwesterfirma, Swiss GRC AG: Third-Party-Risiken sicher und souverän managen

Fazit: TPRM wird zur Führungsaufgabe

Die Deggendorfer Notiz 2025/06 zeigt eindrücklich, dass das Management von Drittparteien zu einer Kernkompetenz in der Governance von Kreditinstituten wird. Die Anforderungen aus DORA, der neuen EBA-Guideline und künftig auch aus MaRisk zwingen Organisationen dazu, ihre Auslagerungsstrategien neu zu denken – strategisch, systematisch und risikoorientiert.

Wer jetzt handelt, stärkt nicht nur seine regulatorische Resilienz, sondern auch die eigene digitale und organisatorische Zukunftsfähigkeit.

Kontakt Beratung TPRM und Einführung

Swiss Infosec AG, Meienriesliweg 15, 6210 Sursee
Unverbindliche Anfrage unter +41 41 984 12 12 oder infosec@infosec.ch

Kontakt TPRM-Software und Betrieb

Swiss GRC AG, Hirschmattstrasse 36, 6003 Luzern
+41 41 220 75 00, www.swissgrc.com, sales@swissgrc.com

Kategorie: Fachartikel Swiss Infosec AG | Risikomanagement
© Swiss Infosec AG 2025