Business Continuity Management
Single Point of Failure: Abhängigkeiten von Einzelpersonen beseitigen
Wenn eine Schlüsselperson krank wird, kündigt oder ausfällt, darf der Betrieb nicht stillstehen. ISO 22301 fordert explizit Maßnahmen gegen personelle Einzelabhängigkeiten – sechs Strategien, die Ihr BCM wirklich resilient machen.
Stellen Sie sich vor: Der einzige Mitarbeitende, der das Backup-System bedienen kann, liegt morgen früh im Krankenhaus. Die Person, die alle Lieferantenkontakte kennt, hat gestern gekündigt. Der IT-Leiter, ohne den kein Notfallplan funktioniert, ist im Urlaub – ohne Erreichbarkeit. Jedes dieser Szenarien ist Alltag in Unternehmen jeder Größe. Und jedes davon ist vermeidbar.
In der Business-Continuity-Praxis spricht man von Single Points of Failure (SPOF) – Schwachstellen, bei denen der Ausfall einer einzigen Komponente das gesamte System gefährdet. Während technische SPOFs (Server, Leitungen, Systeme) in der IT-Planung längst Standard sind, werden personelle SPOFs systematisch unterschätzt. ISO 22301 adressiert das explizit – unter anderem in Kapitel 7.2 (Kompetenz) und Kapitel 8.3 (Business Continuity Strategies).
Warum personelle Abhängigkeiten so gefährlich sind
Anders als technische Ausfälle kündigen sich personelle Ausfälle selten an. Die Konsequenzen sind oft schwerer zu beheben als ein Serverausfall – denn Wissen lässt sich nicht einfach neu starten:
🧠 Implizites Wissen geht verloren
Schlüsselpersonen tragen kritisches Wissen oft im Kopf: Kontakte, Abläufe, Passwörter, informelle Eskalationswege. Dieses Wissen ist bei Ausfall sofort weg – und kaum rekonstruierbar.
⏱️ Entscheidungsblockaden
In Krisensituationen müssen Entscheidungen in Minuten fallen. Wenn eine einzige Person dafür autorisiert oder qualifiziert ist, entsteht ein gefährlicher Zeitverzug.
📋 Notfallpläne werden unbrauchbar
Ein BCM-Plan, der davon abhängt, dass Person X ihn ausführt, ist kein echter Notfallplan. Er funktioniert nur, solange X verfügbar ist – also genau dann nicht, wenn er gebraucht wird.
⚖️ NIS-2 und regulatorischer Druck
NIS-2 und DORA verlangen nachweisbare Resilienz von Schlüsselprozessen. Personelle Einzelabhängigkeiten können als Mangel bei Audits gewertet werden und Bußgelder oder Nachbesserungspflichten auslösen.
„Die Organisation muss sicherstellen, dass Personen, die unter ihrer Aufsicht tätig sind, kompetent sind – auf der Grundlage von Ausbildung, Schulung oder Erfahrung. Fehlende Kompetenz muss durch dokumentierte Maßnahmen adressiert werden.“
— ISO 22301:2019, Kapitel 7.2 – Kompetenz
Sechs Strategien, die wirklich helfen
Die folgenden Maßnahmen sind nicht neu – aber in der Praxis wird ihre Umsetzung regelmäßig aufgeschoben, bis es zu spät ist. BCM nach ISO 22301 fordert systematische, dokumentierte und regelmäßig überprüfte Lösungen:
01 Wissensmanagement und Dokumentation — Kritisches Wissen darf nicht nur in Köpfen existieren. Jeder Schlüsselprozess braucht eine schriftliche Verfahrensanweisung, die ein fachfremder Mitarbeitender im Notfall ausführen kann. Mindestinhalt: Kontaktlisten, Zugangsdaten (verschlüsselt hinterlegt), Schritt-für-Schritt-Ablauf, Eskalationswege, Entscheidungsbefugnisse. ISO 22301 verlangt diese Dokumentation explizit in Kapitel 8.4.
02 Vertretungsregelungen und Cross-Training — Jede kritische Rolle muss durch mindestens eine Vertretung abgedeckt sein – nicht nominell, sondern praktisch: Die Vertretung muss die Aufgabe tatsächlich ausführen können. Cross-Training bedeutet, dass Mitarbeitende gezielt in fremden Schlüsselkompetenzen geschult werden. Empfehlung: Jährliche Übungsszenarien, bei denen die Primärperson bewusst ausgesetzt wird.
03 Prozessstandardisierung — Je stärker ein Prozess von einer bestimmten Person abhängt, desto weniger ist er standardisiert. Definierte Workflows, Checklisten und automatisierte Schritte reduzieren Ermessensspielraum und damit Abhängigkeit. Ziel: Ein Prozess funktioniert auch dann, wenn ihn jemand zum ersten Mal ausführt.
04 Technologische Unterstützung — BCM-Software, Passwort-Manager (zentral und rollenbasiert), automatisierte Monitoring- und Alarmierungssysteme sowie dokumentenbasierte Wissensplattformen reduzieren die Abhängigkeit von Einzelpersonen strukturell. Wichtig: Die Tools müssen selbst auf Personenunabhängigkeit ausgelegt sein – kein Tool, das nur einer Person bekannt ist.
05 Dediziertes BCM-Team und Succession Planning — Ein BCM-Team mit klar definierten Rollen aus verschiedenen Abteilungen verteilt Verantwortung auf mehrere Schultern. Ergänzend dazu: Succession Planning für kritische Positionen – nicht nur auf Führungsebene, sondern für alle Rollen, deren Ausfall den Notfallbetrieb gefährdet. Wer tritt ein, wenn Schlüsselperson A für 6 Wochen ausfällt?
06 Regelmäßige Tests und Übungen — ISO 22301 fordert in Kapitel 8.5 explizit die regelmäßige Überprüfung und das Testen von Business-Continuity-Plänen. Entscheidend: Tests müssen auch Szenarien abdecken, in denen Schlüsselpersonen nicht verfügbar sind. Empfehlung: Tabletop-Übungen mindestens einmal jährlich, vollständige Simulationen alle zwei Jahre.
Selbstcheck: Wo steht Ihr Unternehmen?
✓ Rollenanalyse durchgeführt – alle kritischen Rollen und ihre personellen Abhängigkeiten sind dokumentiert
✓ Vertretungsregelungen praktisch getestet – nicht nur auf dem Papier, sondern im Übungsbetrieb
✓ Notfalldokumentation aktuell – Prozesse so beschrieben, dass Fachfremde sie ausführen können
✓ Zugänge geregelt – kritische Zugangsdaten rollenbasiert hinterlegt, nicht bei Einzelpersonen
✓ BCM-Team etabliert – abteilungsübergreifend, mit klaren Verantwortlichkeiten
✓ Tests durchgeführt – Notfallszenarien regelmäßig geübt, Erkenntnisse dokumentiert
✗ Kein implizites Wissen – kein kritischer Prozess existiert nur im Kopf einer Person
✗ Kein Tool ohne Übergabe – keine Software, kein System ohne bekannte und dokumentierte Alternative
Weiterführende Informationen
BSI: Empfehlungen nach Angriffszielen – Notfallmanagement
Das Bundesamt für Sicherheit in der Informationstechnik gibt Empfehlungen zum Notfallmanagement und zur Aufrechterhaltung des Betriebs – darunter konkrete Hinweise zur Vermeidung personeller Abhängigkeiten in kritischen Prozessen.
Zum BSI-Artikel →Personelle Abhängigkeiten sind eine der häufigsten – und am wenigsten beachteten – Schwachstellen im Business Continuity Management. Ein BCM, das auf dem Papier vollständig aussieht, aber im Ernstfall von der Verfügbarkeit einzelner Personen abhängt, ist kein echtes BCM. ISO 22301 gibt den Rahmen vor. Die Umsetzung erfordert Konsequenz: systematische Dokumentation, praktisch getestete Vertretungen und eine Unternehmenskultur, in der Wissenstransfer als Pflicht und nicht als Option verstanden wird.
Als zertifizierter Business Continuity Manager unterstützt TBCS IT GmbH Sie dabei, personelle Einzelabhängigkeiten in Ihrem Unternehmen zu identifizieren, zu bewerten und systematisch abzubauen – praxisnah und normkonform nach ISO 22301.
Kennen Sie Ihre personellen Abhängigkeiten?
Wir analysieren gemeinsam mit Ihnen, welche Schlüsselpersonen in Ihrem Unternehmen zum Single Point of Failure geworden sind – und entwickeln Maßnahmen, die Ihr BCM wirklich resilient machen.