· Rexoma Team · IT-Sicherheit · 6 min read
Business Continuity für KMU: Wenn die IT ausfällt – was dann?
Ob Internetausfall, Ransomware oder defekter Server – ein IT-Ausfall trifft KMU ohne Plan besonders hart. Ein Business Continuity Plan sorgt dafür, dass Ihr Betrieb auch im Ernstfall handlungsfähig bleibt.
Ein IT-Ausfall trifft KMU fast immer im ungünstigsten Moment: mitten im Monatsabschluss, kurz vor einem Kundentermin, während der Hochsaison. Während Großkonzerne eigene Recovery-Teams und redundante Rechenzentren betreiben, stehen viele Betriebe mit 10 bis 80 Mitarbeitern plötzlich ohne funktionsfähige IT da. Ein durchdachter Business Continuity Plan ändert das – und ist kein Luxus, sondern operative Grundlage.
Was ein Business Continuity Plan wirklich ist
Der Begriff klingt nach Konzernvokabular, ist aber genauso relevant für einen Handwerksbetrieb mit 15 Mitarbeitern wie für ein mittelständisches Produktionsunternehmen. Während ein IT-Notfallplan beschreibt, was technisch zu tun ist, wenn etwas ausfällt, geht ein Business Continuity Plan (BCP) einen Schritt weiter: Er definiert, wie der Betrieb trotz Ausfall weiterläuft – mit eingeschränkten Mitteln, klaren Zuständigkeiten und konkreten Fallback-Prozessen.
Zwei Kennzahlen bilden das Fundament jedes BCPs:
- RTO (Recovery Time Objective): Wie lange darf ein System maximal ausfallen, bevor es den Betrieb ernsthaft gefährdet? Für ein Steuerbüro sind das vielleicht 4 Stunden, für einen Online-Shop 30 Minuten.
- RPO (Recovery Point Objective): Wie viel Datenverlust ist akzeptabel? Bei einem RPO von 24 Stunden genügt ein tägliches Backup. Bei 1 Stunde RPO sind stündliche Sicherungen oder eine Live-Replikation nötig.
Diese zwei Werte sollten für jedes kritische System definiert sein – bevor der erste echte Ausfall eintritt.
Die häufigsten Ausfallszenarien in KMU
Die Erfahrung aus Projekten mit Dresdner und sächsischen Betrieben zeigt: Es sind immer wieder dieselben fünf Szenarien, die den Betrieb zum Stillstand bringen.
Internetausfall
Der Glasfaseranschluss ist unterbrochen, und plötzlich funktionieren weder Cloud-Software noch E-Mail noch das VoIP-Telefonsystem. Gerade in Gewerbegebieten am Stadtrand von Dresden kann ein Leitungsschaden die komplette externe Kommunikation stundenlang lahmlegen.
Cloud-Dienst nicht erreichbar
Microsoft 365 und Google Workspace verzeichnen mehrmals pro Jahr Ausfälle von mehreren Stunden. Wer ausschließlich auf die Cloud setzt, ohne lokale Fallbacks eingeplant zu haben, kann in dieser Zeit nicht arbeiten – und das ist kein theoretisches Szenario.
Ransomware-Angriff
Kryptotrojaner verschlüsseln Dateiserver, NAS-Systeme und vernetzte Backups innerhalb von Minuten. Ohne isoliertes Offline-Backup und klaren Reaktionsplan verlieren betroffene Betriebe Tage oder Wochen Arbeitszeit. Der finanzielle Schaden liegt laut BSI-Lagebericht bei KMU regelmäßig im fünf- bis sechsstelligen Bereich.
Hardware-Defekt
Ein ausgefallenes RAID, eine defekte USV oder ein Mainboard-Fehler – Hardwareausfälle sind unvermeidbar. Ohne Ersatzsystem und ohne Wartungsvertrag mit schneller Reaktionszeit beginnt eine kostspielige Wartezeit auf Ersatzteile oder Techniker.
Stromausfall ohne USV
Ohne unterbrechungsfreie Stromversorgung fährt ein Server ohne sauberes Shutdown runter. Das kann Datenkorruption verursachen, die sich erst Tage später beim Zugriff auf beschädigte Dateien bemerkbar macht.
Kritische Systeme klassifizieren: Was muss zuerst wieder laufen?
Der erste konkrete Schritt eines Business Continuity Plans ist die Klassifizierung der eigenen Systeme. Nicht alles ist gleich kritisch.
Tier 1 – Sofort wiederherstellbar (RTO unter 2 Stunden)
- E-Mail-Kommunikation
- Zugriff auf Kunden- und Auftragsdaten
- Kassensystem oder Warenwirtschaft
- VoIP-Telefonanlage
Tier 2 – Bis Tagesende wiederherstellbar (RTO unter 8 Stunden)
- Interne Dateiablage
- Kollaborationstools
- Entwicklungs- oder Testumgebungen
Tier 3 – Bis Ende der Woche (RTO unter 72 Stunden)
- Archivdaten
- Nicht-kritische interne Anwendungen
Erstellen Sie eine einfache Tabelle: System, RTO, RPO, Verantwortlicher. Diese Tabelle ist der Kern Ihres BCPs. Alles weitere – Backup-Strategie, Failover-Lösungen, Notfallprozesse – baut darauf auf.
Konkrete Maßnahmen für ostdeutsche KMU
LTE/5G als Failover-Internet einrichten
Ein LTE-Router als Backup-Leitung kostet 20–40 Euro im Monat und übernimmt bei einem Leitungsausfall automatisch. Moderne Business-Router von Mikrotik oder Teltonika beherrschen automatisches Failover – sobald die Hauptleitung ausfällt, wechseln alle Geräte ohne manuellen Eingriff auf Mobilfunk. Für KMU mit kritischen Cloud-Abhängigkeiten ist das eine der günstigsten Resilienz-Maßnahmen überhaupt.
Offline-Fallback-Prozesse definieren
Für jeden Tier-1-Prozess sollte es eine offline-fähige Alternative geben: Können Mitarbeiter einen Kundenauftrag auf Papier aufnehmen, wenn das CRM nicht erreichbar ist? Gibt es eine lokal gespeicherte Preisliste? Ist die Notfall-Telefonnummer des wichtigsten Lieferanten auch ohne CRM-Zugriff verfügbar? Diese analogen Fallbacks klingen altmodisch, sind aber im Ernstfall entscheidend.
Lokale Datenkopien für Cloud-Nutzer anlegen
Wer ausschließlich auf SharePoint, Google Drive oder Nextcloud setzt, sollte regelmäßige lokale Backups einplanen. Tools wie Veeam Backup für Microsoft 365 oder einfache Sync-Skripte sichern Cloud-Daten auf ein lokales NAS – so besteht eine Arbeitskopie, auch wenn der Cloud-Dienst nicht erreichbar ist.
Kommunikationsplan für den Notfall aufsetzen
Im Ernstfall fragen alle gleichzeitig: Was ist passiert? Was tun wir jetzt? Wer informiert die Kunden? Definieren Sie vorab drei Dinge:
- Eskalationskette: Wer wird zuerst informiert? IT-Verantwortlicher → Geschäftsführung → betroffene Kunden.
- Ausweich-Kommunikationskanal: Wenn E-Mail ausfällt, kommunizieren alle über einen definierten Kanal (Signal, WhatsApp Business). Die Nummern müssen offline verfügbar sein – nicht nur im Handy, sondern ausgedruckt.
- Kundenkommunikation: Eine vorbereitete E-Mail-Vorlage für Ausfallbenachrichtigungen spart im Stress wertvolle Zeit und sorgt für eine professionelle Außenwirkung.
Business-Continuity-Tests durchführen
Ein Plan, der nie getestet wurde, ist wertloses Papier. Führen Sie mindestens einmal jährlich einen simulierten Ausfall durch: Schalten Sie einen Server ab und prüfen Sie, ob das Backup wirklich funktioniert und wie lang die tatsächliche Wiederherstellungszeit ist. Testen Sie den LTE-Failover unter echten Bedingungen. Testen Sie das Wiederherstellen einer einzelnen Datei.
Die meisten Lücken in einem Business Continuity Plan werden beim Test sichtbar – nicht erst beim echten Ausfall.
Besonderheiten für sächsische KMU
Für Betriebe in Sachsen kommen einige regionale Faktoren hinzu. Die Elbhochwasser-Geschichte zeigt, dass physische Risiken fest in die Planung gehören: Ein Server-Standort im Keller eines hochwassergefährdeten Dresdner Gebäudes ist kein tragbares Konzept. Zusätzlich sind viele sächsische Betriebe stark abhängig von einzelnen IT-Verantwortlichen oder einem externen Dienstleister. Fällt die Hauptkontaktperson aus, bricht die Koordination zusammen. Der Business Continuity Plan sollte daher auch Vertreterregelungen für alle IT-Schlüsselrollen enthalten.
Sie suchen Unterstützung in Dresden?
Rexoma IT begleitet KMU in Dresden und Sachsen von der Risikoanalyse über die Definition von RTO und RPO bis zur technischen Umsetzung: redundante Internetzugänge, automatisierte Backups, Failover-Systeme und klare Notfallprozesse. Sprechen Sie uns an – wir kennen die typischen Engpässe sächsischer Betriebe und entwickeln Business-Continuity-Lösungen, die zur Größe und den Ressourcen Ihres Unternehmens passen.
FAQ: Business Continuity für KMU
Wie unterscheidet sich ein Business Continuity Plan vom IT-Notfallplan? Ein IT-Notfallplan beschreibt die technischen Schritte zur Wiederherstellung ausgefallener Systeme. Ein Business Continuity Plan geht weiter: Er regelt, wie der Geschäftsbetrieb insgesamt aufrechterhalten wird – auch mit eingeschränkter IT, mit Offline-Prozessen und mit klarer Kommunikation nach innen und außen. Der IT-Notfallplan ist ein Baustein des BCPs.
Wie lange dauert die Erstellung eines Business Continuity Plans für ein KMU? Für einen Betrieb mit 10–50 Mitarbeitern ist ein grundlegender BCP in einem bis drei Tagen erstellbar, wenn die Systemlandschaft dokumentiert ist und die Geschäftsführung die kritischen Prozesse kennt. Rexoma IT führt dazu einen strukturierten Workshop durch, der die wichtigsten Systeme, Abhängigkeiten und Ausfallszenarien in einem halben Tag erfasst.
Ist ein Business Continuity Plan für KMU gesetzlich vorgeschrieben? Direkt vorgeschrieben ist er für die meisten KMU in Deutschland nicht. Allerdings fordern NIS2 für Unternehmen in betroffenen Sektoren und die ISO 27001 entsprechende Resilienznachweise. Auch Cyber-Versicherungen verlangen zunehmend nachweisbare Maßnahmen zur Betriebskontinuität – ohne diese steigt die Prämie oder der Versicherungsschutz greift im Schadensfall nicht vollständig.
Was kostet ein IT-Ausfall ein KMU im Schnitt? Die Kosten hängen stark von Branche und Dauer ab. Direktkosten entstehen durch Produktionsausfall, Mitarbeiterstillstand und IT-Wiederherstellung. Hinzu kommen indirekte Kosten: Reputationsschaden, verpasste Fristen, Vertragsstrafen. Der BSI-Lagebericht zeigt, dass Ransomware-Vorfälle bei KMU regelmäßig Schäden im fünf- bis sechsstelligen Euro-Bereich verursachen – selbst wenn kein Lösegeld gezahlt wird.
Reicht ein gutes Backup als Business-Continuity-Maßnahme? Ein Backup ist notwendig, aber nicht ausreichend. Es sichert Daten, schützt aber nicht vor Ausfallzeiten während der Wiederherstellung. Ohne definierten Plan, wer wen wann kontaktiert, welche Systeme zuerst wiederhergestellt werden und wie der Betrieb in der Zwischenzeit operiert, verlängert sich die tatsächliche Ausfallzeit erheblich – oft um ein Vielfaches der rein technischen Wiederherstellungszeit.
Rexoma IT