Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Servicekontinuität im Fokus: ITSCM als Teil von BCM und Krisenmanagement

09/2025 – Fachartikel Swiss Infosec AG

IT-Störungen oder gezielte Angriffe wie Ransomware oder DDOS bedrohen die Verfügbarkeit geschäftskritischer ICT Services. Um den Schaden möglichst gering zu halten, braucht es mehr als nur Backups. Cyberangriffe oder Systemstörungen können kritische ICT Services lahmlegen – und damit den Geschäftsbetrieb gefährden. Es braucht ein strukturiertes IT Service Continuity Management (ITSCM), das nahtlos mit Business Continuity Management und der Krisenorganisation verzahnt ist.

Was ist ITSCM?

IT Service Continuity Management (ITSCM), oder gemäss ISO 27031 «IT Readiness for Business Continuity (IRBC)», hat das Ziel, unternehmensgefährdende IT-Risiken und deren Auswirkungen zu analysieren und durch Gegenmassnahmen zu minimieren. Dies können beispielsweise Dual Vendor-Strategien oder die Spiegelung von hochkritischen Systemen / Applikationen sein. Mittels ITSCM wird ein strukturierter Ansatz verfolgt, welcher die kritischen ICT Services identifiziert und mit den Vorgaben des BCM vergleicht – insbesondere sind hier sind hier Recovery Time Objective RTO (deutsch: maximale Wiederanlaufzeit) und Recovery Point Objective RPO (deutsch: maximal akzeptierbarer Datenverlust) gemeint. Auf Basis dieser Gap-Analyse werden technische und organisatorische Massnahmen abgeleitet, um die Verfügbarkeit, Wiederanlauffähigkeit und Datenkonsistenz der Services im Notfall sicherzustellen. Diese Massnahmen sollten sich auf die zuvor identifizierten Risiken, welche geschäftskritische ICT Services gefährden, konzentrieren.

Warum ITSCM?

Durch die Identifikation der geschäftskritischen ICT Services kann sichergestellt werden, dass der Fokus nicht auf «vernachlässigbare» Services gesetzt wird und somit wertvolle Ressourcen verschwendet werden. Gemeint ist, dass nicht für vermeintlich «wichtige» ICT Services Massnahmen (bspw. Pläne, Backup, UPS) definiert werden, welche personelle oder finanzielle Ressourcen benötigen. Denn – nicht jeder ICT Service benötigt maximale Redundanz oder Wiederanlaufplanung.
Der Fokus liegt dabei stets auf der Weiterführung – also dem Überleben – des Business: ITSCM hilft, Ressourcen gezielt und wirksam dort einzusetzen, wo ein Ausfall tatsächliche existenzgefährdende Auswirkungen hätte. Das ITSCM leistet somit einen entscheidenden Beitrag, um die Resilienz einer Organisation zu erhöhen und ist ein integraler Bestandteil eines angemessenen Risikomanagements.

ITSCM und seine Schnittstellen

Ein wirksames ITSCM steht nicht für sich allein. Erst im Zusammenspiel mit dem Business Continuity Management (BCM) und dem Krisenmanagement (KM) entfaltet es seine volle Wirkung.

Das BCM befasst sich mit den Geschäftsprozessen und deren Fortführung, das ITSCM hingegen mit der Wiederherstellung der zugrunde liegenden ICT Services und Systeme und Daten. Beide Bereiche haben für sich definierte Zeitgrössen, die sie verfolgen: Im BCM stehen Begriffe wie maximal zulässige Störungsdauer (MTPD: «Maximum Tolerable Period of Disruption») und RTO für den Wiederaufbau eines Notbetriebes – im ITSCM RTO für die technische Wiederherstellungszeit und RPO für den max. Datenverlust.

Aus dieser gemeinsamen Grundlage ergeben sich unterschiedliche, aber aufeinander abgestimmte Massnahmen:

Das BCM erstellt übergeordnete Business Continuity-Pläne (BCP), das ITSCM liefert die dazu benötigten Service Continuity-Pläne (SCP) und Disaster Recovery-Pläne (DR) für ICT Services.

  • SCP (Service Continuity-Plan): Beschreibt, wie ein konkreter ICT Service im Krisen- oder Notfall wiederhergestellt und betrieben wird.
  • DR (Disaster Recovery-Plan): Regelt, wie nach schwerwiegenden Ereignissen (z. B. RZ-Ausfall, Ransomware) Teile der technischen Umgebung (bspw. Server / Applikation) wiederhergestellt werden.

Das Krisenmanagement wiederum ist der strategische und strukturierte Ansatz, eine Not- oder Krisensituation zu führen und zu koordinieren. Ein Krisenstab kann dabei auf bestehende Business Continuity-Pläne (BCP) zurückgreifen und aktivieren. Diese BCPs können dann wiederum auf Service Continuity-Pläne zurückgreifen. Der Krisenstab kann aber auch bei Bedarf neue Massnahmen ad hoc entwickeln und veranlassen.

Der 7-Punkte-Plan für ein ITSCM!

  1. Identifikation der geschäftskritischen IT Services mit einer Service Impact-Analyse. (Idealerweise abgeleitet von der Business Impact-Analyse) zur Erhebung der Kennzahlen RTO und RPO.
  2. Validierung der erhobenen Kennzahlen (RTO, RPO) mit den Anforderungen der Geschäftsprozesseigner
  3. Risikoanalyse zurIdentifikation technischer, organisatorischer und vertraglicher Risiken – inklusive Berücksichtigung von Supply Chain-Risiken und Abhängigkeiten zu externen IT-Dienstleistern oder Cloud-/SaaS-Anbietern.
  4. Definition und Umsetzung technischer, organisatorischer und vertraglicher Massnahmen
  5. Erstellung und Pflege von notwendigen service- und szenariobasierten Notfallplänen (SCP, DR, WAP)
  6. Awareness, Schulung und Durchführung von gesamtheitlichen Notfall- oder Krisenstabsübungen
  7. Tests, Reviews und kontinuierliche Verbesserung der Notfallpläne

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, wie unsere Spezialistinnen und Spezialisten Sie bei der praxisnahen Umsetzung eines wirksamen IT Service Continuity Management (ITSCM) unterstützen können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 22.08.2025
Kompetenzzentrum Consulting

Kategorie: Business Continuity Management | Fachartikel Swiss Infosec AG | Krisenmanagement
Michael Kuhn
Consultant
Anfrage
Michael Kuhn
Consultant
Anfrage
© Swiss Infosec AG 2025