Business Impact Analysis

[ˈbɪznɪs ˈɪmpækt əˈnælɪsɪs] · Abk.: BIA

Eine Business Impact Analysis (BIA) ist die systematische Analyse der Auswirkungen, die der Ausfall von Geschäftsprozessen, IT-Systemen oder Dienstleistungen auf eine Organisation hat – gemessen in finanziellen, operativen, regulatorischen und reputationsbezogenen Schäden.

Warum eine BIA unverzichtbar ist

Ohne BIA ist Business Continuity Planning ein Ratespiel: Welche Systeme müssen zuerst wiederhergestellt werden? Wie lange kann der Betrieb einen Ausfall tolerieren? Die BIA liefert die objektive Grundlage für alle nachgeordneten Continuity-Entscheidungen.

Wo die BIA gefordert wird

Framework	Referenz	Anforderung
ISO 22301:2019	Kap. 8.2.2	BIA ist die Grundlage des Business-Continuity-Management-Systems – ohne BIA keine belastbare BCMS-Planung.
NIS-2 / BSIG	§ 30 Abs. 2b	Business-Continuity-Maßnahmen setzen eine Analyse der Auswirkungen von Ausfällen voraus.
DORA	Art. 11	BIA ist implizit als Grundlage des IKT-Kontinuitätsmanagements gefordert.
BSI 200-4	Kap. 3	BSI-Standard für Business Continuity Management verlangt BIA als ersten Schritt der BCMS-Implementierung.

BAM-Objektreferenz

BAM-Objekt RISK-BIA-01

BeschreibungBIA-Bericht mit RTO/RPO je kritischem Prozess, Priorisierung und Abstimmung mit IT-Betrieb

GitHubBAM Core →

Häufige Audit-Fehler

BIA nicht dokumentiert oder nicht datiert
RTO und RPO nicht für alle kritischen Prozesse definiert
BIA nie mit tatsächlichen Systemen abgeglichen
Keine Priorisierung der Wiederherstellungsreihenfolge

Kernkennzahlen der BIA: RTO und RPO

Recovery Time Objective (RTO) ist die maximal tolerierbare Ausfallzeit eines Prozesses oder Systems – wie lange darf der Ausfall dauern, bevor der Schaden nicht mehr akzeptabel ist? Recovery Point Objective (RPO) ist der maximal akzeptable Datenverlust – auf welchen Zeitpunkt muss das System mindestens wiederhergestellt werden können? Beide Kennzahlen müssen für jeden kritischen Prozess separat bestimmt werden.

BIA-Durchführung: Ablauf

Schritt 1: Kritische Geschäftsprozesse identifizieren. Schritt 2: Abhängigkeiten zu IT-Systemen, Personen und externen Dienstleistern erfassen. Schritt 3: Ausfallszenarien durchspielen und Schadensausmaß bewerten. Schritt 4: RTO und RPO je Prozess festlegen. Schritt 5: Priorisierung der Wiederherstellungsreihenfolge ableiten. Ergebnis ist ein BIA-Bericht, der als Grundlage für den Business Continuity Plan dient.

Nächste Ebene

BIA durchführen: Methodik, RTO/RPO und Dokumentation

Schritt-für-Schritt-Anleitung für eine auditfeste Business Impact Analysis nach NIS-2 und ISO 22301.

Ebene 2 lesen → NIS-2-Stresstest starten →