BCM — Business Continuity Management
Testing & Übungen
Planmäßige Notfallübungen, Tabletop-Exercises, Vollübungen und Testkalender. Lessons Learned und kontinuierliche Verbesserung.
Übungsarten
Tabletop-Exercise
Besprechungsbasierte Übung: Krisenstab durchläuft fiktives Szenario. Keine technische Wiederherstellung.
Dauer: 2-4h | Frequenz: Quartalsweise
Teilübung (Walkthrough)
Ausgewählte Komponenten werden technisch wiederhergestellt. Kommunikationswege getestet.
Dauer: 4-8h | Frequenz: Halbjährlich
Vollübung
Komplette Notfallwiederherstellung aller kritischen Systeme inkl. Krisenstab und Kommunikation.
Dauer: 8-24h | Frequenz: Jährlich
Testkalender (jährlich)
- Q1: Tabletop — Ransomware-Szenario
- Q2: Teilübung — Cloud-Ausfall (Primary DC → DR)
- Q3: Tabletop — Drittanbieter-Ausfall
- Q4: Vollübung — Komplettausfall Hauptrechenzentrum
- Laufend: IT-Notfallübungen nach DORA-Testprogramm
Lessons Learned
Jede Übung wird strukturiert ausgewertet:
- · Übungsprotokoll mit Zeitstrahl der Ereignisse
- · Bewertung der erreichten RTO/RPO-Ziele
- · Identifizierte Lücken und Verbesserungspotenziale
- · Maßnahmenplan mit Verantwortlichen und Fristen
- · Management-Reporting mit Kennzahlen
- · Nachverfolgung offener Maßnahmen bis zur Schließung
DORA-Testprogramm
Die Übungen sind Teil des übergreifenden IKT-Resilienztestprogramms nach DORA Art. 24-25:
- · Art. 24: Allgemeine Anforderungen an IKT-Resilienztests — risikobasierter Ansatz
- · Art. 25: Testprogramm — jährlicher Testplan, abgestimmt auf BIA und Risikoanalyse
- · TLPT (Art. 26-27): Threat-Led Penetration Testing — alle 3 Jahre für systemrelevante Institute
- · MaRisk BTO 1.3: Notfallübungen als Teil des operationellen Risikomanagements