Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
ITSCM Beratung: IT-Notfallplanung und Wiederanlauf | SECURAM
BCMS · IT Service Continuity

ITSCM Beratung für kritische IT-Services

ITSCM (IT Service Continuity Management) stellt sicher, dass kritische IT-Services nach einem Ausfall innerhalb definierter RTO- und RPO-Vorgaben wiederhergestellt werden. Als IT-spezifischer Teil des Business Continuity Management verbindet ITSCM die Anforderungen aus ISO 22301, ISO 27001 und BSI 200-4. SECURAM begleitet von der IT-Service-Analyse über die Wiederanlaufplanung bis zum Testprogramm und übernimmt auf Wunsch den laufenden Betrieb als externer BCM-Beauftragter.

Erstgespräch vereinbaren Leistungsumfang ↓
ITSCM IT Service Continuity
ISMS AIMS BCMS RMS

Ausgangslage

Warum IT-Ausfälle das größte Geschäftsrisiko sind

Ohne funktionierende IT-Infrastruktur steht der Geschäftsbetrieb still. ITSCM definiert, wie schnell kritische Systeme zurückkommen.

ITSCM (IT Service Continuity Management) bezeichnet den IT-spezifischen Teilbereich des Business Continuity Management. Während BCM die Geschäftskontinuität auf organisatorischer Ebene sicherstellt, konzentriert sich ITSCM auf die Frage, wie kritische IT-Services nach einer Störung innerhalb definierter Zeitvorgaben wiederhergestellt werden. Die beiden zentralen Kenngrößen sind RTO (Recovery Time Objective) und RPO (Recovery Point Objective). Im ITIL-Framework ist ITSCM als eigenständiger Prozess im Bereich Service Design verankert.

Die regulatorische Relevanz von ITSCM wächst. Die ISO 27001:2022 fordert in Annex A mit den Controls A.5.29 und A.5.30 die ICT-Bereitschaft für die Geschäftskontinuität. Die NIS-2-Richtlinie verlangt von betroffenen Unternehmen operative Resilienz, und der BSI-Standard 200-4 beschreibt ITSCM als integralen Bestandteil der Notfallvorsorge. Unternehmen, die unter mehrere dieser Regelwerke fallen, brauchen ein ITSCM, das die Anforderungen gebündelt erfüllt.

In unseren Projekten sehen wir, dass ITSCM dann wirksam wird, wenn es direkt an das organisatorische BCM nach ISO 22301 angebunden ist. SECURAM plant ITSCM von Anfang an als Teil der BCM-Strategie und stellt die Schnittstellen zur Informationssicherheit nach ISO 27001 her. Nach der Implementierung übernimmt SECURAM auf Wunsch den laufenden Betrieb als externer BCM-Beauftragter.

Leistungsumfang

ITSCM: Von der IT-Service-Analyse bis zum Regelbetrieb

Strukturierte Implementierung des IT Service Continuity Management in sechs Leistungsbausteinen.

01

IT-Service-Analyse und Kritikalitätsbewertung

Erfassung aller IT-Services und Bewertung ihrer Kritikalität auf Basis der Business Impact Analyse. Zuordnung der Services zu den unterstützten Geschäftsprozessen und Festlegung der Prioritätenreihenfolge für den Wiederanlauf.

02

RTO/RPO-Definition und Wiederanlaufstrategie

Gemeinsame Festlegung der Recovery Time Objectives und Recovery Point Objectives mit den Fachbereichen. Ableitung der technischen Wiederanlaufstrategie: Backup-Konzepte, Redundanzen, Failover-Mechanismen und Cloud-Recovery-Optionen.

03

IT-Notfallpläne und Wiederanlaufverfahren

Erstellung detaillierter Wiederanlaufpläne für jeden kritischen IT-Service. Dokumentation der Schritt-für-Schritt-Verfahren, Verantwortlichkeiten, Eskalationswege und Abhängigkeiten zwischen Systemen.

04

IT-Notfalltests und Übungen

Planung und Durchführung von IT-Notfalltests in drei Stufen: Tabletop-Übungen (Planspiel), Walkthroughs (geführter Durchgang) und Volltests (tatsächlicher Wiederanlauf). Dokumentation der Ergebnisse und Ableitung von Verbesserungsmaßnahmen.

05

Dokumentation und Prozessintegration

Integration des ITSCM in die bestehenden BCM- und ISMS-Strukturen. Erstellung der Prozessdokumentation, Verankerung in den Managementsystem-Handbüchern und Abstimmung mit dem organisatorischen Notfallmanagement.

06

Laufender Betrieb und BCMaaS-Übergang

Übergabe des ITSCM in den Regelbetrieb mit definierten Review-Zyklen. Auf Wunsch Übernahme des laufenden Betriebs durch SECURAM als externer BCM-Beauftragter mit regelmäßigen RTO/RPO-Reviews und Testprogrammen.

Ablauf

ITSCM-Implementierung in 5 Phasen

IT-Service-Analyse und Kritikalitätsbewertung

Woche 1–2

Erfassung aller IT-Services, Zuordnung zu Geschäftsprozessen und Bewertung der Kritikalität auf Basis der Business Impact Analyse. Festlegung der Prioritätenreihenfolge für den Wiederanlauf.

Ergebnis: IT-Service-Katalog, Kritikalitätsmatrix, Wiederanlauf-Priorisierung

RTO/RPO-Definition und Wiederanlaufstrategie

Woche 2–4

Definition der Recovery Time Objectives und Recovery Point Objectives gemeinsam mit den Fachbereichen. Ableitung der technischen Wiederanlaufstrategie und Bewertung der vorhandenen Backup- und Redundanz-Konzepte.

Ergebnis: RTO/RPO-Matrix, Wiederanlaufstrategie, GAP-Analyse Backup-Konzepte

IT-Notfallpläne und Wiederanlaufverfahren

Woche 4–8

Erstellung detaillierter Wiederanlaufpläne für jeden kritischen IT-Service. Dokumentation der Schritt-für-Schritt-Verfahren, Verantwortlichkeiten und Abhängigkeiten. Abstimmung mit dem organisatorischen BCM.

Ergebnis: IT-Notfallpläne, Wiederanlaufverfahren, Eskalationsmatrix

Tests und Übungen

Woche 8–10

Durchführung von IT-Notfalltests in abgestufter Intensität: Tabletop-Übung, Walkthrough und bei ausreichendem Reifegrad ein Volltest. Dokumentation der Ergebnisse und Ableitung von Verbesserungsmaßnahmen.

Ergebnis: Testprotokolle, Verbesserungsmaßnahmen, angepasste Notfallpläne

Prozessintegration und BCMaaS-Übergang

Woche 10–12 / fortlaufend

Integration des ITSCM in die bestehenden Managementsystem-Strukturen. Verankerung der Review-Zyklen und Testprogramme. Auf Wunsch Übergang in den laufenden Betrieb mit SECURAM als externem BCM-Beauftragten.

Ergebnis: ITSCM-Prozessdokumentation, BCMaaS-Vertrag für laufenden Betrieb

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter) mit bestehender IT-Dokumentation. Bei fehlendem BCM nach ISO 22301 ist eine vorgelagerte BCM-Implementierung erforderlich.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

ITSCM als IT-Baustein der BCM-Strategie

ITSCM sichert die IT-Seite der Geschäftskontinuität. ISO 22301 liefert den organisatorischen Rahmen, BSI 200-4 die Methodik.

ITSCM bildet den technischen Kern der Geschäftskontinuität. ISO 22301 stellt den organisatorischen Rahmen bereit, BSI 200-4 liefert die methodische Grundlage für die Notfallvorsorge in deutschen Organisationen.

Weitere Standards in der BCMS-Säule
Notfallmanagement Schwachstellenmanagement

Laufender Betrieb

BCMaaS — Externer BCM-Beauftragter für den IT-Betrieb

Nach der ITSCM-Implementierung müssen IT-Notfallpläne regelmäßig aktualisiert, RTO/RPO-Werte überprüft und Tests durchgeführt werden. SECURAM übernimmt diese Aufgabe als externer BCM-Beauftragter (BCMaaS) und stellt sicher, dass Ihr ITSCM dauerhaft wirksam bleibt und die Anforderungen aus ISO 27001, ISO 22301 und BSI 200-4 erfüllt.

Gerade für Unternehmen, die keinen eigenen BCM-Beauftragten beschäftigen, ist das Modell wirtschaftlich sinnvoll: Sie erhalten die Fachkompetenz eines erfahrenen BCM-Spezialisten, ohne eine Vollzeitstelle besetzen zu müssen. Die kontinuierliche Pflege des ITSCM und die Vorbereitung auf Audits sind im laufenden Betrieb bereits enthalten.

  • Laufende Aktualisierung der IT-Notfallpläne bei Infrastrukturänderungen
  • Regelmäßige RTO/RPO-Reviews mit den Fachbereichen
  • Planung und Durchführung des jährlichen Testprogramms
  • Unterstützung bei internen und externen Audits (ISO 27001, ISO 22301)

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — ITSCM

ITSCM steht für IT Service Continuity Management und bezeichnet den IT-spezifischen Teil des Business Continuity Management (BCM). Ziel ist es, kritische IT-Services nach einer Störung innerhalb definierter Zeitvorgaben wiederherzustellen. Die beiden zentralen Kenngrößen sind RTO (Recovery Time Objective) und RPO (Recovery Point Objective). ITSCM ist in ITIL als eigenständiger Prozess beschrieben und wird in der ISO 27001 durch die Controls A.5.29 und A.5.30 gefordert.
RTO (Recovery Time Objective) definiert die maximal tolerierbare Ausfallzeit eines IT-Services, also die Zeitspanne vom Eintritt der Störung bis zur Wiederherstellung. RPO (Recovery Point Objective) legt fest, wie viel Datenverlust akzeptabel ist, gemessen in Zeiteinheiten seit dem letzten verwertbaren Backup. Beide Werte werden gemeinsam mit den Fachbereichen auf Basis der Business Impact Analyse festgelegt und bestimmen die technische Wiederanlaufstrategie.
In unseren Projekten rechnen wir mit 10 bis 12 Wochen vom Kick-off bis zum abgeschlossenen ersten Testlauf. Organisationen, die bereits über ein BCM nach ISO 22301 verfügen, können den Zeitraum auf 6 bis 8 Wochen verkürzen, weil die Business Impact Analyse und die organisatorischen Strukturen bereits vorhanden sind. Die verbleibende Zeit entfällt auf die IT-spezifische Detailplanung und die Durchführung von Wiederanlauftests.
Die Kosten hängen von der Anzahl kritischer IT-Services, der Komplexität der IT-Landschaft und dem vorhandenen Reifegrad ab. Unternehmen mit 20 kritischen Services benötigen mehr Aufwand als Organisationen mit fünf. Pauschalpreise wären unseriös. Eine IT-Service-Analyse liefert innerhalb von ein bis zwei Wochen eine belastbare Aufwandsschätzung. SECURAM arbeitet auf Tagessatzbasis, sodass Sie die Kostenkontrolle behalten.
BCM (Business Continuity Management) betrachtet die Geschäftskontinuität auf organisatorischer Ebene: Prozesse, Personal, Standorte, Lieferketten. ITSCM konzentriert sich auf den IT-spezifischen Anteil und stellt sicher, dass die technische Infrastruktur kritische Geschäftsprozesse innerhalb der definierten RTO und RPO wieder unterstützen kann. ITSCM ist damit ein Teilbereich des BCM und liefert die technischen Wiederanlaufpläne, die das BCM auf organisatorischer Ebene voraussetzt.
SECURAM behandelt ITSCM nicht als isoliertes IT-Projekt, sondern als integralen Bestandteil der BCM-Strategie. Die IT-Wiederanlaufpläne werden direkt an die Business Impact Analyse und die Notfallpläne aus dem organisatorischen BCM nach ISO 22301 angebunden. Zusätzlich deckt SECURAM die Schnittstellen zur Informationssicherheit nach ISO 27001 ab, sodass ITSCM, BCM und ISMS aus einer Hand gesteuert werden. Nach der Implementierung übernimmt SECURAM auf Wunsch den laufenden Betrieb als externer BCM-Beauftragter.
IT-Notfalltests sollten mindestens einmal jährlich durchgeführt werden, bei besonders kritischen Services halbjährlich. Der BSI-Standard 200-4 empfiehlt darüber hinaus anlassbezogene Tests nach wesentlichen Änderungen an der IT-Infrastruktur, etwa nach Migrationen, Systemwechseln oder organisatorischen Umstrukturierungen. SECURAM unterscheidet zwischen Tabletop-Übungen (Planspiel am Tisch), Walkthroughs (Schritt-für-Schritt-Durchgang) und Volltests (tatsächlicher Wiederanlauf), je nach Reifegrad und Risikoprofil.
Ja. Die ISO 27001:2022 fordert in Annex A die Controls A.5.29 (ICT readiness for business continuity) und A.5.30 (ICT readiness for business continuity). Diese verlangen, dass Organisationen ihre IT-Systeme auf Geschäftskontinuität vorbereiten und Wiederanlaufpläne vorhalten. Ein formales ITSCM erfüllt diese Anforderungen strukturiert. Organisationen, die sich nach ISO 27001 zertifizieren lassen, müssen nachweisen, dass kritische IT-Services innerhalb definierter Zeitvorgaben wiederhergestellt werden können.

ITSCM-Projekt starten

Klären Sie in einem Erstgespräch den Scope, die kritischen IT-Services und den Zeitrahmen für Ihr ITSCM-Projekt.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die ITSCM-Implementierung

GAP-Analyse

ITSCM GAP-Analyse

Systematischer Abgleich Ihrer IT-Notfallvorsorge gegen die Anforderungen aus ISO 27001, ISO 22301 und BSI 200-4. Sie erhalten einen priorisierten Maßnahmenplan.

GAP-Analyse anfragen →
Internes Audit

Internes Audit ITSCM

Prüfung Ihrer bestehenden IT-Notfallpläne und Wiederanlaufverfahren. SECURAM bewertet als unabhängige Instanz, ob Ihre IT-Notfallvorsorge den Anforderungen standhält.

Audit anfragen →
Implementierung

ITSCM implementieren

Von der IT-Service-Analyse über RTO/RPO-Definition bis zum ersten Notfalltest. SECURAM begleitet die Implementierung und den Übergang in den Regelbetrieb.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen