Appearance
Business Impact Analyse (BIA)
Dieses Dokument enthält die Business Impact Analyse (BIA) der CERTANIA Holding GmbH. Die BIA identifiziert und bewertet die Auswirkungen eines Ausfalls kritischer Geschäftsprozesse und IT-Systeme und bildet die Grundlage für die Definition von Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO).
Methodik
Die BIA wurde in Anlehnung an ISO 22301:2019, BSI 200-4 und NIST SP 800-34 Rev. 1 durchgeführt. Die Bewertung erfolgt anhand der folgenden Kriterien:
- Finanzieller Schaden (Umsatzverlust, Vertragsstrafen, Wiederherstellungskosten)
- Reputationsschaden (Kundenverlust, Medienpräsenz, Vertrauensverlust)
- Regulatorischer Schaden (DSGVO-Bußgelder, Meldepflichten, Lizenzentzug)
- Operativer Schaden (Produktivitätsverlust, manuelle Ersatzprozesse)
Kritische Geschäftsprozesse
Die folgende Tabelle listet die als kritisch eingestuften Geschäftsprozesse der CERTANIA Holding GmbH und ihrer Tochtergesellschaften:
⚠️ PLATZHALTER – Vollständige Liste aller kritischen Geschäftsprozesse je Tochtergesellschaft muss durch Tina Turner (DRM) bis [Datum] befüllt werden.
| # | Geschäftsprozess | Betroffene Systeme | Kritikalität | MTPD | RTO | RPO |
|---|---|---|---|---|---|---|
| 1 | E-Mail-Kommunikation (intern & extern) | M365 Exchange Online, Hornet Security | Kritisch | 4h | 2h | 1h |
| 2 | Finanzkonsolidierung & Reporting | LucaNet | Hoch | 24h | 12h | 12h |
| 3 | Dokumentenmanagement & Zusammenarbeit | M365 SharePoint, Teams, OneDrive | Kritisch | 8h | 4h | 2h |
| 4 | M&A-Datenräume | SharePoint, externe Anbieter | Hoch | 8h | 4h | 2h |
| 5 | Endgeräte & Workplace | Windows-Clients, Microsoft 365 | Mittel | 8h | 4h | 2h |
Legende:
- MTPD – Maximum Tolerable Period of Disruption (maximal tolerierbare Ausfallzeit)
- RTO – Recovery Time Objective (Ziel-Wiederherstellungszeit)
- RPO – Recovery Point Objective (maximal tolerierbarer Datenverlust)
Kritikalitätseinstufung IT-Systeme
Die folgende Tabelle zeigt die Kritikalitätseinstufung der relevanten IT-Systeme:
| System | Kategorie | RTO | RPO | Tier |
|---|---|---|---|---|
| Microsoft 365 (Exchange, SharePoint, Teams) | Cloud-Plattform | 2h | 1h | Tier 1 |
| Hornet Security (E-Mail-Schutz & Archivierung) | Cloud-Dienst | 4h | 1h | Tier 1 |
| LucaNet | SaaS-Applikation | 12h | 12h | Tier 2 |
| M&A-Datenräume (externe Anbieter) | Cloud-Dienst | 4h | 2h | Tier 2 |
| Hornet Backup (Immutable Backup) | Cloud-Backup | 2h | 1h | Tier 1 |
| DNS / MX / DKIM-Konfiguration | Infrastruktur | 1h | – | Tier 1 |
| Endgeräte (Windows-Clients) | Endpunkt | 4h | 2h | Tier 3 |
Abhängigkeiten zwischen Systemen
Die kritischen IT-Systeme der CERTANIA Holding GmbH weisen folgende Abhängigkeiten auf:
- Microsoft 365 ist die primäre Plattform – alle weiteren Cloud-Dienste nutzen M365-Identitäten (Azure AD / Entra ID)
- Hornet Security ist abhängig von funktionierendem DNS/MX-Routing
- LucaNet erfordert aktive Microsoft 365-Authentifizierung (SSO)
- M&A-Datenräume (externe) haben eigene Authentifizierung, Kopien liegen in SharePoint
- Endgeräte benötigen Internetzugang für M365-Zugriff (Cloud-first)
Szenarien und Auswirkungsanalyse
Die BIA betrachtet die folgenden Hauptszenarien:
Szenario 1: Totalausfall Microsoft 365
- Wahrscheinlichkeit: Gering (Microsoft SLA 99,9%)
- Auswirkung: Kritisch – alle E-Mail-, Collaboration- und Dokumentenprozesse betroffen
- Betroffene Prozesse: Alle Tier-1-Prozesse
- Maximaler Schaden: Hoch (Kommunikationsausfall, Produktivitätsverlust)
Szenario 2: Ransomware-Angriff
- Wahrscheinlichkeit: Mittel
- Auswirkung: Kritisch – Datenverschlüsselung, möglicher Datenverlust
- Betroffene Prozesse: Alle Prozesse mit lokalen Daten und M365-Daten
- Maximaler Schaden: Sehr hoch (Betriebsunterbrechung, Wiederherstellungskosten, Reputationsschaden)
Szenario 3: Ausfall LucaNet
- Wahrscheinlichkeit: Gering
- Auswirkung: Hoch – Finanzreporting und Konsolidierung nicht möglich
- Betroffene Prozesse: Finanzkonsolidierung, Jahresabschluss, Reporting
- Maximaler Schaden: Mittel bis hoch (Verzögerung Berichterstattung)
Szenario 4: DNS/E-Mail-Ausfall
- Wahrscheinlichkeit: Mittel
- Auswirkung: Kritisch – gesamte externe Kommunikation unterbrochen
- Betroffene Prozesse: E-Mail-Kommunikation, externe Erreichbarkeit
- Maximaler Schaden: Hoch (Kundenkommunikation, SLA-Verstöße)
Ergebnisse und Empfehlungen
Auf Basis der BIA werden die folgenden Maßnahmen empfohlen:
- Priorisierte Wiederherstellung von Microsoft 365 und DNS/E-Mail in allen Notfallszenarien
- Regelmäßige Tests der Backup- und Wiederherstellungsverfahren (Hornet Security)
- Einrichtung und Test von Notfall-Kommunikationswegen (außerhalb M365)
- Formale Bestätigung aller RTO/RPO-Werte durch Geschäftsführung
- Jährliche Überprüfung und Aktualisierung der BIA
Änderungshistorie
| Version | Datum | Autor | Änderung |
|---|---|---|---|
| 0.1 | 2026-02-24 | Alexander Schedler | Initiale Erstellung mit Platzhaltern |
Dokumentensteuerung
| Feld | Wert |
|---|---|
| Dokumentenname | 03_Business-Impact-Analyse.md |
| Version | 0.1 |
| Status | Entwurf |
| Erstellt von | Alexander Schedler |
| Freigegeben von | – |
| Datum | 2026-02-24 |
| Nächste Überprüfung | 2027-02-24 |