Die meisten Mittelständler wissen intuitiv, dass ein IT-Ausfall teuer ist. Aber fast niemand kann die Zahl konkret nennen. Dabei ist sie der stärkste Business Case für Business Continuity Management (BCM). Wer die Kosten eines Stillstands kennt, versteht auch, warum Backup allein nicht reicht und warum ein BCM-Plan keine Fleißaufgabe ist, sondern eine Versicherung gegen einen konkreten Schaden. Der Beitrag richtet sich an Geschäftsführer, die Business Continuity zum ersten Mal strukturiert angehen wollen – und an IT-Leiter, die ihre Geschäftsführung für das Thema sensibilisieren müssen.

Infografik zu den Kosten eines IT-Ausfalls im Mittelstand mit Stillstandskosten von 2.000 bis 9.000 Euro pro Stunde und Beispielrechnung für 80 Mitarbeiter.

Die wahren Kosten eines IT-Ausfalls

Branchenübliche Schätzungen liegen für Mittelständler zwischen 2.000 und 9.000 Euro pro Stunde Stillstand – je nach Geschäftsmodell. Darin enthalten sind:

• direkte Umsatzausfälle (ausbleibende Bestellungen, Produktionsausfälle),

• Personalkosten für nicht arbeitsfähige Mitarbeiter,

• Strafzahlungen an Kunden bei verpassten Lieferterminen,

• externe Notfallkosten (Forensiker, Wiederherstellungsdienstleister),

• Reputationsschäden und verlorene Folgegeschäfte,

• Versicherungs- und Rechtskosten.

Das BSI geht davon aus, dass 60 Prozent der Mittelständler ohne Notfallplan einen großen Cybervorfall nicht überleben. Der Schaden entsteht dabei fast nie durch den Ausfall selbst – sondern durch seine Dauer.

Die einfache Rechnung: Ein Unternehmen mit 80 Mitarbeitern und einem durchschnittlichen Stunden-Stillstandsschaden von 3.500 Euro verliert bei einem 18-stündigen Vorfall 63.000 Euro – nur an direkten Kosten. Dazu kommen verlorene Opportunitäten, Vertrauensschäden und die Zeit, die Mitarbeiter und Führung nicht in Wertschöpfung investieren können. Für viele Mittelständler entspricht ein solcher Vorfall dem Gewinn eines halben Monats.

Infografik zu den häufigsten Ursachen für IT-Ausfälle im Mittelstand: menschliches Versagen, Hardware-Ausfälle, Cyberangriffe, Software-Fehler und Infrastrukturereignisse.

Die häufigsten Ausfallursachen im deutschen Mittelstand

Die Reihenfolge überrascht viele Geschäftsführer. Ransomware ist medial präsent – aber nur ein Teil der Realität:

• Menschliches Versagen (ca. 35 %) – gelöschte Daten, falsche Konfigurationen, Phishing-Klicks.

• Hardware-Ausfälle (ca. 25 %) – Server-Defekte, Storage-Ausfälle, Stromversorgung.

• Cyberangriffe (ca. 20 %) – Ransomware, Business Email Compromise, Supply-Chain-Angriffe.

• Software-Fehler und Updates (ca. 15 %) – fehlgeschlagene Patches, inkompatible Updates.

• Umwelt- und Infrastrukturereignisse (ca. 5 %) – Stromausfall, Wasserschaden, Brand.

Die Konsequenz: Wer sich beim BCM nur auf Cyberangriffe vorbereitet, ignoriert 80 Prozent der realen Ausfallrisiken. Ein belastbarer Plan deckt alle fünf Ursachen ab – mit der gleichen Disziplin und denselben Wiederherstellungsmechanismen. Die gute Nachricht: Der Backup- und Recovery-Prozess ist meist derselbe, egal ob die Daten durch Ransomware, einen Hardware-Defekt oder einen Bedienfehler verloren gegangen sind.

Infografik erklärt den Unterschied zwischen Backup und Recovery und zeigt typische Gründe, warum Wiederherstellung im Ernstfall scheitert.

Warum Backup nicht gleich Recovery ist

Das ist der größte Irrtum in Mittelstands-IT. Viele Geschäftsführer bekommen auf die Frage Wir haben doch Backups, oder? ein Ja der IT-Abteilung – und fühlen sich sicher. Tatsächlich gilt: Ein Backup ist nur dann wertvoll, wenn es auch wiederhergestellt werden kann. In der Realität scheitert die Wiederherstellung häufig an:

• beschädigten oder unvollständigen Backup-Dateien,

• fehlenden Infrastruktur-Informationen (IP-Konfigurationen, Zertifikate, Passwörter),

• mitverschlüsselten Backups bei Ransomware-Angriffen,

• unklaren Verantwortlichkeiten im Ernstfall,

• zu langen Wiederherstellungszeiten, die im Tagesgeschäft niemand toleriert.

Backup ist die Versicherungspolice. Recovery ist der Prozess, den diese Police auslöst. Beides muss getrennt geplant und getestet werden.

Wir empfehlen das Recovery Readiness Review als stehenden Agenda-Punkt: einmal pro Quartal wird mindestens ein kritisches System aus dem Backup wiederhergestellt – nicht im Produktivsystem, sondern in einer isolierten Umgebung. Die Lehrmomente sind dabei oft größer als die technische Übung selbst: Fehlende Dokumentation, unklare Prioritäten, nicht erreichbare Entscheider werden so rechtzeitig sichtbar.

Infografik zum pragmatischen Business-Continuity-Plan in fünf Schritten: Kritikalitätsanalyse, RTO und RPO, technische Maßnahmen, Organisation und Tests.

Ein pragmatischer BCM-Plan in fünf Schritten

Business Continuity Management klingt nach Konzern-Thema. Für KMU reicht ein handhabbares Modell in fünf Schritten:

1. Kritikalitätsanalyse

Welche Systeme, Daten und Prozesse sind wie wichtig? Faustregel: Was ist nach 1, 4, 24 Stunden unzumutbar ausgefallen?

2. RTO und RPO festlegen

Recovery Time Objective: Wie schnell muss ein System wieder laufen? Recovery Point Objective: Wie viel Datenverlust ist maximal akzeptabel? Diese zwei Zahlen pro kritischem System sind der Kompass.

Infografik erklärt RTO und RPO anhand einer Zeitachse mit maximaler Wiederherstellungszeit und maximal akzeptiertem Datenverlust.

3. Technische Maßnahmen aufsetzen

Backup-Strategie (3-2-1-Regel: 3 Kopien, 2 Medien, 1 extern), Redundanzen, Notfall-Infrastruktur. Unveränderliche (immutable) Backups gegen Ransomware sind mittlerweile Standard.

4. Organisation definieren

Wer entscheidet im Ernstfall? Wer informiert Kunden, Mitarbeiter, Behörden? Welche externen Partner werden alarmiert? Eine einseitige Notfall-Kontaktliste ist oft das wertvollste Dokument des Plans.

5. Regelmäßig testen

Ein Notfallplan, der nie getestet wurde, ist ein Wunschzettel. Mindestens einmal pro Jahr eine echte Wiederherstellungsübung.

Eine kleine, aber wirksame Ergänzung: Hinterlegen Sie eine Krisen-Kommunikationsmatrix – wer informiert wann welche Stakeholder. Die Erfahrung zeigt: Im Ernstfall scheitert es oft nicht an der Technik, sondern an der Kommunikation nach außen. Kunden, die zwölf Stunden im Unklaren gelassen werden, sind verloren – auch wenn das technische Problem nach acht Stunden gelöst war.

Infografik mit drei Business-Continuity-Beispielen für den Mittelstand aus Produktion, Handel und Professional Services inklusive RTO und Investitionsrahmen.

Branchenbeispiele: BCM in der Praxis

Die Umsetzung unterscheidet sich stark nach Branche. Drei typische Szenarien aus unseren Projekten zeigen, was im Mittelstand realistisch ist:

Produktion (120 Mitarbeiter, Maschinenbau)

Kritische Systeme: ERP, CAD, SPS-Datenhaltung. RTO 4 Stunden, RPO 1 Stunde. Lösung: hybride Backup-Strategie mit unveränderlichen Offline-Kopien, redundantem ERP-Server, dokumentiertem Schichtwechsel-Notbetrieb auf Papier für 24 Stunden. Investition: ca. 45.000 Euro, jährliche Übung verpflichtend.

Handel (60 Mitarbeiter, B2B-Großhandel)

Kritische Systeme: Warenwirtschaft, Onlineshop, Logistikschnittstelle. RTO 2 Stunden (weil Shop-Ausfall direkt Umsatz kostet). Lösung: geografisch verteilte Cloud-Redundanz, ständiger Replikations-Stream, automatisiertes Failover-Playbook. Investition: ca. 28.000 Euro einmalig plus laufende Cloud-Kosten.

Professional Services (40 Mitarbeiter, Beratung)

Kritische Systeme: E-Mail, DMS, Zeiterfassung. RTO 8 Stunden akzeptabel. Lösung: Microsoft 365 mit Third-Party-Backup, DMS in Cloud mit Snapshotting, klares Kommunikationsprotokoll Richtung Kunden. Investition: ca. 12.000 Euro einmalig.

Die Bandbreite zeigt: BCM ist kein Konzern-Thema. Es ist skalierbar – und selbst kleine Mittelständler kommen mit überschaubarem Invest auf ein belastbares Niveau.

Was alle drei Beispiele eint: Die Geschäftsführung war operativ involviert – nicht nur als Genehmiger, sondern als Mit-Entscheider zu Prioritäten und Budgets. Wo Geschäftsführer BCM rein an die IT delegieren, entstehen Pläne, die technisch korrekt, aber organisatorisch wirkungslos sind. Im Ernstfall fehlen dann Entscheidungen, die nur die Geschäftsleitung treffen kann (Lösegeld zahlen oder nicht? Welche Kunden zuerst informieren? Wann öffentlich kommunizieren?). Diese Entscheidungen lassen sich nicht improvisieren – sie gehören in den Plan.

Fazit: BCM ist kein IT-Projekt. Es ist Risikomanagement

IT-Ausfälle sind keine Frage des Ob, sondern des Wann. Für Geschäftsführer bedeutet das: Die richtige Frage ist nicht Wie verhindern wir jeden Ausfall?, sondern Wie kurz halten wir den Stillstand im Ernstfall? Ein pragmatischer BCM-Plan, regelmäßig getestet, reduziert diese Ausfallzeit oft um den Faktor 5 bis 10. Das ist der konkrete ROI – und der lässt sich auf jede Stundenschaden-Rechnung anwenden.

CALL-TO-ACTION

→ Wir prüfen Ihre BCM-Readiness in einem 60-Minuten-Workshop – kostenfrei und ohne Kaufverpflichtung.

Häufige Fragen (FAQ)

Diese Q&A-Blöcke eignen sich für FAQ-Schema-Markup und Google-SGE-Featured-Snippets.

F1. Wie lange dauert ein typischer IT-Ausfall im Mittelstand?

Ohne BCM-Plan zwischen 1 und 5 Tagen bei großen Vorfällen. Mit getestetem BCM-Plan oft unter 8 Stunden – bei kritischen Systemen teils unter 1 Stunde.

F2. Was ist die 3-2-1-Backup-Regel?

Drei Kopien der Daten, auf zwei verschiedenen Medien, eine davon extern (offline oder in einer getrennten Cloud). Moderne Ergänzung: zusätzlich unveränderliche Backups gegen Ransomware.

F3. Brauchen auch kleinere Unternehmen ein BCM-Konzept?

Ja. Je kleiner ein Unternehmen, desto schneller führen längere Ausfälle zu existenziellen Problemen, weil Reserven und Ausweichressourcen fehlen.

F4. Was kostet ein Business-Continuity-Konzept für ein 50-Mann-Unternehmen?

Die Ersterstellung liegt typischerweise zwischen 8.000 und 20.000 Euro, je nach Komplexität. Laufende Pflege ist meist Teil des Managed-IT-Vertrags.

IT-Ausfall kostet Geld: Warum Business Continuity im Mittelstand Chefsache ist