Business‑Continuity‑Plan (BCP)

• Personalausfälle: Plötzliche Engpässe beim Wachpersonal durch Krankheiten (z.B. ein COVID-19-Ausbruch), Ausfälle des öffentlichen Nahverkehrs, Streiks, eine Welle von Kündigungen oder vergleichbare Notfälle. Solche Situationen können kritische Posten unbesetzt lassen. Ein belastbarer BCP beschreibt, wie der Anbieter mit derartigen Ausfällen umgeht – beispielsweise durch Aktivierung eines Reserveteams von geschulten Sicherheitskräften, Anordnung von Überstunden für verfügbare Mitarbeiter, Heranziehen von Objektleitern für operative Aufgaben oder die schnelle Einbindung von temporären Sicherheitskräften zur Überbrückung. Häufige Strategien sind zudem bereichsübergreifende Schulungen, damit Mitarbeiter mehrere Rollen abdecken können, sowie das Hinzuziehen externer Subunternehmer oder Partnerfirmen, um trotz reduziertem Personalbestand die Präsenz aufrechtzuerhalten.

• Gebäuderäumungen oder -abriegelungen: Ereignisse wie Brände, Gaslecks, Bombendrohungen oder verdächtige Gegenstände können die Evakuierung oder Abriegelung eines Standorts erzwingen (inklusive der Sicherheitsleitzentrale). Der BCP sollte darlegen, wie die Sicherheitsmaßnahmen fortgeführt werden, wenn der primäre Einsatzort nicht zugänglich ist. Dies kann bedeuten, die Überwachungs- und Kontrollfunktionen in eine Ausweich-Leitstelle oder an einen alternativen Standort mit redundanten Systemen zu verlagern, mobile Streifenteams einzusetzen, um das Gelände und sensible Bereiche zu sichern, und vordefinierte Anweisungen für die Abriegelung oder Stilllegung jedes Postens bereitzuhalten. Klare Evakuierungsprozesse für das Sicherheitspersonal, Sammelpunkte und die Übergabe von Aufgaben müssen dokumentiert sein, damit selbst in einer gebäudeweiten Notlage die Überwachung und Reaktionsfähigkeit der Sicherheit nicht unterbrochen wird.

• Technologie- und Infrastrukturausfälle: Der Ausfall kritischer Sicherheitssysteme kann die Schutzmaßnahmen erheblich beeinträchtigen. Denkbare Szenarien sind ein Stromausfall oder Serverabsturz, der Videoüberwachung und IT-Systeme lahmlegt, eine Störung der Zutrittskontrollanlage, der Ausfall von Alarmanlagen oder Funk-/Telefonnetzen. Ein wirksamer BCP antizipiert solche Probleme durch Sicherstellung von Redundanzen und manuellen Alternativen. So könnte der Dienstleister z.B. Notstromaggregate und unterbrechungsfreie Stromversorgungen für sicherheitskritische Technik vorhalten, Ersatz-Funkgeräte oder eine alternative Mobilkommunikationsplattform bereithalten, falls das primäre Funksystem ausfällt, sowie Verfahren definieren, um Überwachungs- und Meldeaufgaben vorübergehend analog durchzuführen. Ein bewährtes Kontinuitätskonzept besteht darin, analoge oder manuelle Prozesse als Auffanglösung zu haben – z.B. Ereignisse auf Papier protokollieren und Vorfallnummern manuell vergeben, während das IT-System ausgefallen ist, um diese Daten später ins System nachzutragen. Durch Planung für Technologieausfälle (und wo möglich das Vorhalten von Duplikatsystemen bzw. schnelle Reparaturverträge) stellt der Anbieter sicher, dass Überwachung und Zugangskontrolle trotz Störung funktionsfähig bleiben.

• Regionale oder externe Krisenereignisse: Umfassende Notlagen in der Umgebung können ebenfalls Sicherheitsdienste beeinträchtigen. Naturkatastrophen (Überschwemmungen, Unwetter, Erdbeben), großflächige zivile Unruhen oder Proteste in der Nähe, gesundheitliche Notlagen oder sogar ein Cyberangriff auf die IT-Systeme des Auftraggebers können die normalen Abläufe völlig verändern. Der BCP sollte Szenarien berücksichtigen, in denen der Alltag über den unmittelbaren Standort hinaus durcheinandergerät – etwa gesperrte Straßen oder Ausgangssperren, die den Schichtwechsel der Wachleute erschweren, oder Protestaktionen, die verstärkte Perimetersicherung erfordern. Geplant werden müssen die Zusammenarbeit mit Behörden (Polizei, Feuerwehr, Katastrophenschutz), die Anpassung von Patrouillenrouten und die Gewährleistung der eigenen Mitarbeiter-Sicherheit in solchen Lagen. Ein gutes Beispiel ist die Vorbereitung auf Naturkatastrophen: Falls z.B. ein Sturm oder Waldbrand vorhergesagt wird, könnte der Anbieter vorab Notfallteams positionieren, die rasch zum Einsatz kommen, um die Einrichtung zu sichern, den Zugang zu kontrollieren und gefährdete Bereiche vor Plünderung oder weiteren Schäden zu schützen. Durch solche Weitsicht im BCP bleibt die Sicherheitslage des Kunden selbst dann stabil, wenn außen herum Chaos herrscht.

• Störungen in der Lieferkette des Anbieters: Die Kontinuität der Sicherheitsleistung hängt auch von der eigenen Versorgungskette und Infrastruktur des Dienstleisters ab. Ein umfassender BCP wird daher Probleme einbeziehen wie Engpässe bei Uniformen oder Ausrüstung, den Ausfall einer Sicherheits-Softwareplattform oder Verzögerungen bei der Reparatur/ dem Austausch wichtiger Hardware (Kameras, Alarmmodule, Einsatzfahrzeuge). Sollte z.B. der Uniformlieferant oder Funkgeräteanbieter des Dienstleisters ausfallen, könnte der Plan vorsehen, einen Pufferbestand an kritischer Ausrüstung zu lagern. Falls die Software für Berichts- und Meldesysteme ausfällt, sollte der Anbieter alternative Methoden (oder Offline-Verfahren) haben, um Vorfälle zu dokumentieren. Im Kern muss der Anbieter also auch für alles gerüstet sein, was seine Erbringung der Dienstleistung behindern könnte. Dazu gehört etwa, Ersatzlieferanten für wichtige Materialien identifiziert zu haben und essenzielle Ausrüstung auf Vorrat zu halten, um Engpässe zu vermeiden, sowie sicherzustellen, dass Wartungsverträge für technische Systeme schnelle Reaktionszeiten vorsehen. So unbedeutend solche internen Probleme auch scheinen mögen – sie können die Moral, Professionalität und Effektivität der Sicherheitskräfte beeinflussen. Ein resilientes Sicherheitsunternehmen hat diese Aspekte in seinem BCP bedacht, um eine unterbrechungsfreie Servicequalität zu garantieren.

• Personelle Resilienz: Der Plan muss Strategien darlegen, wie eine ausreichende Anzahl von Sicherheitskräften sichergestellt wird. Dazu gehören aktuelle Listen mit Ersatzkräften (die im Notfall kontaktiert werden können), Rufbereitschafts-Teams und Vereinbarungen mit Partnerfirmen für kurzfristiges Personal. Wesentlich ist auch die bereits erwähnte bereichsübergreifende Schulung von Mitarbeitern, damit sie im Ernstfall in verschiedene Rollen einspringen können – z.B. werden Streifenfahrer so geschult, dass sie vorübergehend den Empfangsdienst übernehmen können, und umgekehrt. Der BCP sollte für jeden Posten Mindestbesetzungen definieren und erläutern, wie diese im Krisenfall erreicht werden (etwa durch das Umsetzen von Personal von weniger kritischen Objekten, Freigabe von Überstunden oder den Einsatz von Managementpersonal an der Front).

• Technologische Redundanzen: Ein belastbarer BCP sieht alternative Systeme und Ausfallsicherungen für den Fall von Technikausfällen vor. Das bedeutet, Ersatz-Kommunikationskanäle bereitzuhalten (z.B. eine sekundäre Funkfrequenz oder eine zellulare Push-to-Talk-App, falls das primäre Funksystem ausfällt), einen Backup-Zugriff auf die Sicherheits-Leitstellensysteme sicherzustellen (z.B. Remote-Zugriffsmöglichkeiten oder eine zweite Leitstelle, die einspringen kann, wenn die Hauptleitstelle ausfällt), sowie redundante IT-Infrastruktur für Alarme, Videoüberwachung und Berichtswesen vorzuhalten. Im Plan sollten alle kritischen Hard- und Software-Komponenten aufgelistet sein, die zur Leistungserbringung genutzt werden, verbunden mit Wiederherstellungsmaßnahmen für jede einzelne – von der Reaktivierung eines ausgefallenen Servers, über das Umschalten auf manuellen Betrieb einer Zutrittskontrolle bis hin zur Nutzung batteriebetriebener bzw. notstromversorgter Geräte bei Stromausfall. Ein wichtiger Aspekt ist die Überlegung, wie viele Sicherheitsfunktionen notfalls offline oder analog erfüllt werden können, solange die Primärsysteme nicht verfügbar sind. Beispielsweise könnten Sicherheitsmitarbeiter Formulare in Papierform nutzen, um Vorfälle und Besucherregistrierungen festzuhalten, falls die Computer ausfallen – so bleibt die Dokumentation kontinuierlich erhalten, bis die digitalen Systeme wieder laufen.

• Operative Flexibilität: Der BCP sollte flexible Einsatzkonzepte enthalten, um sich an veränderte Bedingungen anzupassen. Dies kann bedeuten, Ressourcen dynamisch umzudisponieren – z.B. mobile Streifen zur temporären Bewachung stationärer Posten einzusetzen, falls dort Personal fehlt, oder Aufgaben zu bündeln und mit weniger Personal abzudecken, falls z.B. während eines Lockdowns nur wenige Personen vor Ort sind. Ebenso können Vorkehrungen beschrieben sein, bestimmte Objektleiter oder Leitstellen-Mitarbeiter bei Bedarf an andere Standorte abzuziehen, oder regionale Supervisor vorzuhalten, die lokale Ausfälle ausgleichen können. Der Plan muss manuelle oder alternative Protokolle für kritische Abläufe definieren, falls automatisierte Prozesse versagen; zum Beispiel sollen bei Ausfall der elektronischen Zutrittskontrolle die Sicherheitskräfte auf manuelle Ausweiskontrollen und ein schriftliches Besuchsregister umstellen. Ein weiterer essenzieller Teil ist die Eskalationsprozedur: Der BCP sollte festhalten, wie Vorfälle in der Krise nach oben gemeldet werden (z.B. wer Entscheidungen trifft, wenn die normale Führungskraft nicht erreichbar ist, und wie in solchen Fällen der Kunde oder die Notdienste informiert werden). Insgesamt stellt dieser Baustein sicher, dass der Dienstleister seine Betriebsabläufe schnell neu konfigurieren kann, um alle wichtigen Sicherheitsfunktionen am Laufen zu halten.

• Kommunikation während der Störung: Effiziente Kommunikation ist das A und O des Notfallmanagements und der Kontinuität. Der BCP eines Sicherheitsdienstleisters muss klar geregelte Melde- und Informationswege sowohl intern (innerhalb der Anbieterorganisation) als auch extern (gegenüber dem Auftraggeber und ggf. Dritten) für Krisenfälle festlegen. Dazu zählt ein aktueller Notfallkontaktbaum mit mehreren Kontaktmöglichkeiten (Telefon, E-Mail, SMS) für Schlüsselpersonen auf Seiten des Anbieters und des Kunden. Im Plan sollte definiert sein, wie und wann das Sicherheitsteam den Auftraggeber über eine die Dienstleistung betreffende Störung informiert (beispielsweise sofortige Benachrichtigung des Sicherheitsmanagers des Kunden, wenn ein Schichtausfall droht, inklusive der Schritte, die zur Behebung eingeleitet wurden). Bei länger andauernden Vorfällen sind regelmäßige Statusupdates vorgesehen (z.B. stündliche Lageberichte in der anfänglichen kritischen Phase eines großen Zwischenfalls). Auch Kommunikationsprotokolle mit externen Stellen sind wichtig – etwa die Koordination mit Polizei oder Rettungskräften in einer Krisensituation und deren fortlaufende Information ebenso wie die des Kunden. Ziel ist es, Verwirrung zu vermeiden und sicherzustellen, dass alle Beteiligten die Lage und die eingeleiteten Maßnahmen in Echtzeit kennen. Ein gut definierter Kommunikationsplan im BCP schafft Transparenz und Vertrauen und verhindert, dass in der Hektik falsche Informationen kursieren.

• Wiederanlaufziele (RTOs): Der BCP sollte für die Wiederherstellung der vollen Leistungsfähigkeit der Sicherheitsdienste nach einer Unterbrechung konkrete Wiederanlaufzeiten festlegen. Ein Recovery Time Objective (RTO) bezeichnet die maximal tolerierbare Ausfallzeit für einen bestimmten Service oder Prozess, bevor er wiederhergestellt sein muss. Für jede kritische Sicherheitsfunktion (Wachposten, Alarmüberwachung, IT-Systeme etc.) sollte der Dienstleister ein RTO definieren – beispielsweise „Zutrittskontrollsystem innerhalb von 2 Stunden wieder voll funktionsfähig“ oder „Vollbesetzung aller Sicherheitspositionen binnen 24 Stunden wieder erreicht“. Diese Ziele machen die Kontinuitätsplanung greifbar und messbar. Der BCP enthält dann konkrete Wiederanlaufmaßnahmen, um diese RTOs einzuhalten, etwa die Schritte, um eine erkrankte Schicht innerhalb von X Stunden durch verfügbare Kräfte zu ersetzen, oder um einen Notstromgenerator innerhalb von Y Minuten nach Stromausfall in Betrieb zu nehmen. Durch das Setzen von RTOs haben Anbieter und Auftraggeber ein gemeinsames Verständnis darüber, wie schnell im Ernstfall die normale Serviceerbringung in den jeweiligen Bereichen zurück sein muss. Zudem lassen sich so die Vorgaben des Kunden berücksichtigen (der Auftraggeber könnte z.B. für bestimmte Objekte vorschreiben, dass diese höchstens 30 Minuten unbewacht sein dürfen). Kurz: Die RTOs im BCP definieren den zeitlichen Rahmen, in dem der Sicherheitsdienstleister sich verpflichtet, jede Facette seiner Leistungskontinuität wiederherzustellen.

Um die Betriebskontinuität zu einem greifbaren Kriterium bei der Anbieterauswahl zu machen, sollten Sicherheits-Ausschreibungen klare Vorgaben zur Vorlage und Bewertung eines BCP enthalten. Konkret bedeutet das, dass Bieter einen auf den Auftrag zugeschnittenen Business Continuity Plan als Teil ihres Angebots einreichen müssen, der darlegt, wie sie sämtliche vereinbarten Sicherheitsleistungen auch bei Störungen erbringen würden. Der einzureichende BCP sollte direkt auf den Leistungsumfang der Ausschreibung zugeschnitten sein – egal ob es um Objektschutz und Empfangsdienste in einer Unternehmenszentrale geht, um eine 24/7-Leitstellenüberwachung für kritische Infrastruktur, um mobile Patrouillen für einen Werkscampus oder eine Kombination dieser Dienste. Vom Dienstleister wird erwartet, dass der Plan die wichtigsten Kontinuitätsszenarien abdeckt (wie zuvor beschrieben: Personalausfall, Technikausfall, Notfälle am Objekt usw.) und die Strategien des Anbieters für jedes Szenario detailliert beschreibt. Hat der Auftrag beispielsweise einen Wachdienst zum Inhalt, muss der BCP-Abschnitt zur Personalausfall-Notfallreserve die Gutachter davon überzeugen, dass der Bieter auch bei einer Grippewelle oder einem ÖPNV-Streik noch Wachpersonal an den Posten stellen kann. Beinhaltet der Auftrag die Betreuung elektronischer Sicherheitssysteme, sollte der BCP darlegen, wie der Anbieter mit Geräte- oder Softwareausfällen umgeht – etwa durch eine Ausweich-Leitstelle oder bereitstehende Servicetechniker im Notfall. Außerdem sollte der Plan Eskalations- und Reaktionszeiten skizzieren – wer wird im Ereignisfall wann informiert, und wie schnell werden Zwischenlösungen bzw. endgültige Lösungen umgesetzt.

Einkäufer sollten Mindestinhalte festlegen, die der BCP des Bieters abdecken muss. Üblich sind: eine Identifizierung der kritischen Leistungen und Aufgaben des Anbieters für den Auftrag; eine Risikoanalyse mit den wahrscheinlichsten Störszenarien und deren Auswirkungen; klar definierte RTOs sowie Wiederherstellungsprozeduren für jedes dieser Szenarien; Benennung von Zuständigkeiten (inklusive Namen oder Funktionen der Schlüsselpersonen, die im Krisenfall Entscheidungen treffen und Maßnahmen koordinieren); sowie aktuelle Kontaktdaten für die Krisenkommunikation. Mit anderen Worten sollte der vorgelegte BCP wie ein umsetzbarer Notfallplan gelesen werden, nicht bloß wie eine abstrakte Unternehmensrichtlinie. So kann man z.B. verlangen, dass Bieter konkrete Backup-Ressourcen auflisten (wie viele zusätzliche Kräfte oder Fahrzeuge stehen auf Abruf bereit) und bestimmte Kennzahlen nennen, etwa Recovery Point Objectives und Sicherungskonzepte für IT-Systeme, die im Rahmen der Dienstleistung genutzt werden. Auftraggeber können auch Nachweise zur Pflege und Erprobung des BCP anfordern – z.B.: „Bitte beschreiben Sie, wann Ihr BCP zuletzt aktiviert oder getestet wurde und welche Erkenntnisse daraus gewonnen wurden.“ In einer städtischen Ausschreibung für Sicherheitsdienste lautete die Vorgabe beispielsweise eindeutig: „Der Auftragnehmer muss einen Business Continuity Plan haben. Beschreiben Sie den Plan, den Sie derzeit umgesetzt haben…“. Eine ähnliche Formulierung kann für jede Unternehmenssicherheits-Ausschreibung übernommen werden.

Bei der Bewertung der eingereichten BCPs sind Qualität und Realitätsnähe ausschlaggebend. Der Auftraggeber sollte jene Angebote positiv bewerten, die ein tiefgehendes Verständnis für sein spezifisches Risikoprofil und seine Betriebsabläufe erkennen lassen. Ein generischer 08/15-BCP, der die Besonderheiten der Kundenumgebung nicht anspricht (z.B. ein Schema-F-Plan, der ignoriert, dass es sich um ein Hochhaus oder ein Rechenzentrum handelt), sollte hingegen schlechter bewertet werden. Stattdessen verdienen Pläne hohe Punkte, die zu den konkreten Gefahren des Kunden passen und operationell umsetzbar erscheinen. Beispiel: Betreibt ein Bieter eine zentrale Alarmempfangsstelle, verfügt er laut Plan über eine glaubwürdige Backup-Lösung, wenn diese ausfällt? Befindet sich der Kundenstandort in einem überschwemmungsgefährdeten Gebiet, erwähnt der BCP Hochwasserschutzmaßnahmen? Die Bewertung kann auch darauf achten, wie klar und strukturiert der Plan formuliert ist – in einer Krise nützt ein zu komplexer oder vager Plan wenig, daher sind Übersichtlichkeit (etwa in Form von Checklisten oder Ablaufdiagrammen) ein Pluspunkt. Letztlich stärkt man durch die Verankerung des BCP als obligatorische, bewertete Komponente der Ausschreibung die Bedeutung von Kontinuität und stellt sicher, dass man einen Sicherheitspartner auswählt, der wirklich vorbereitet ist. Dieser Ansatz senkt das Risiko, einen Anbieter zu beauftragen, dessen Leistung bei der ersten echten Bewährungsprobe zusammenbricht.

Das Einfordern eines BCP vom Dienstleister ist nur eine Seite der Medaille. Auf Auftraggeberseite müssen die Verantwortlichen aus Sicherheit und Beschaffung dafür sorgen, dass der BCP des Dienstleisters mit den eigenen Notfall- und Kontinuitätsplänen verzahnt wird. Die Wirksamkeit des Anbieter-BCP erhöht sich deutlich, wenn er mit den internen Krisenmanagement-, Disaster-Recovery- und Business-Continuity-Konzepten der Firma abgestimmt ist. In der Praxis bedeutet dies, dass nach Zuschlagserteilung der Kunde und der Sicherheitsdienstleister gemeinsam den BCP des Anbieters im Kontext der Kundenumgebung durchgehen. Etwaige Lücken oder Inkonsistenzen können so erkannt und bereinigt werden. Beispielsweise sollten die Notfall-Evakuierungsverfahren des Kunden und die Pläne des Sicherheitsdienstleisters für Gebäuderäumungen (wie im BCP beschrieben) aufeinander abgestimmt sein, damit die Sicherheitskräfte genau wissen, wie sie im Ernstfall mit der Belegschaft des Kunden zusammenwirken. Wenn der Kunde über ein Krisenkommunikationsprotokoll verfügt (z.B. eine interne Hotline oder ein Massenbenachrichtigungssystem), sollten die Kommunikationsschritte des Dienstleisters sich dort nahtlos einfügen. Die Abstimmung betrifft auch Richtlinien – hat der Auftraggeber bestimmte Vorgaben zur Notfallvorsorge oder Resilienz (gerade üblich bei kritischer Infrastruktur oder im Finanzsektor), sollte der BCP des Dienstleisters diesen entsprechen oder sie zumindest referenzieren. Letztendlich gilt: Den BCP beider Partner aufeinander abzustimmen, Ressourcen zu teilen und gemeinsame Notfallstrategien festzulegen, sorgt dafür, dass beide Seiten in einer Krise Hand in Hand arbeiten können.

Der Auftraggeber sollte außerdem bestimmte vertragliche Pflichten nach Zuschlagserteilung im Hinblick auf den BCP festschreiben. Ein Best Practice besteht darin, gemeinsame Übungen oder Tests des BCP in regelmäßigen Abständen zu verlangen. So könnten Kunde und Dienstleister jährlich eine Simulation durchführen, bei der ein hypothetisches Szenario (z.B. eine Bombendrohung mit Evakuierung der Liegenschaft) durchgespielt wird: Der Sicherheitsanbieter würde dann gemäß seinem BCP agieren (Ersatzkräfte mobilisieren, alternative Kommunikationsmittel einsetzen usw.), während die Notfallteams des Kunden ihre Maßnahmen umsetzen – so zeigt sich, wie gut der Plan in der Praxis greift. Solche gemeinsamen Übungen, wie sie von Kontinuitätsexperten empfohlen werden, stärken die Zusammenarbeit und erhöhen die Gesamtresilienz deutlich. Beide Seiten können dabei die Koordination trainieren und Schwachstellen im Ablauf erkennen, bevor ein echter Ernstfall eintritt. Zusätzlich sollten klare Absprachen über gegenseitige Verantwortlichkeiten und Eskalationsschwellen getroffen werden. Zum Beispiel könnte im BCP festgelegt sein, dass ab einer Ausfallquote von mehr als 20% der Sicherheitskräfte der Vorfall an den Sicherheitsleiter des Kunden eskaliert wird und gemeinsam entschieden wird, ob ggf. bestimmte Bereiche temporär geschlossen oder staatliche Stellen um Unterstützung gebeten werden – solche Triggerpunkte müssen beidseitig vereinbart sein. Auch die Rollenverteilung in der Krise (wer vom Kundenseite als Ansprechpartner für den Krisenmanager des Dienstleisters fungiert, wer die Befugnis hat, Notfallausgaben freizugeben etc.) sollte im Voraus definiert werden.

Ein weiteres Erwartungsfeld ist die Pflege und ständige Verbesserung des BCP über die gesamte Vertragslaufzeit. Der Kunde sollte vom Sicherheitsdienstleister verlangen, dass dieser seinen BCP mindestens einmal jährlich (eher häufiger) überprüft und aktualisiert – sowie nach jedem größeren Zwischenfall oder jeder relevanten Änderung. Unternehmensumfelder ändern sich ständig – kommt z.B. ein neues Gebäude zum Vertrag hinzu oder hat ein größerer Vorfall Lücken im Vorgehen aufgezeigt, muss der BCP angepasst werden. Regelmäßige Reviews (z.B. quartalsweise oder jährliche Meetings speziell zur Kontinuitätsplanung) sind wichtig, um den Plan aktuell und wirksam zu halten. Der Auftraggeber kann hierfür eine Checkliste oder ein Auditverfahren entwickeln, um sicherzustellen, dass der Plan des Dienstleisters der Realität entspricht – dabei wird geprüft, ob Kontaktlisten aktuell sind, ob neue Risiken berücksichtigt wurden und ob beschlossene Verbesserungsmaßnahmen umgesetzt wurden. In regulierten Branchen wie der Finanzwirtschaft oder der Energieversorgung erwarten Aufsichtsbehörden mitunter sogar entsprechende Nachweise solcher Planungen und Tests. Zusammengefasst sollte aus Sicht des Kunden der BCP des Dienstleisters kein statisches Dokument im Aktenordner sein; er muss ein lebendiger Plan sein, der in das eigene Kontinuitätsprogramm eingebunden, gemeinsam erprobt und im Laufe der Zeit kontinuierlich geschärft wird. Dieser kooperative Ansatz stellt sicher, dass bei einer Störung sowohl der Kunde als auch sein beauftragtes Sicherheitsteam als Einheit reagieren.