Die Themen: Studie zeigt: Deutsche Kliniken sind nur bedingt krisenfest | Ransomware-Trend: Weniger Zahlungen, aber hohe Risiken für Datenverlust | KRITIS-Dachgesetz: Neuer Regierungsentwurf stärkt Schutz und Krisenvorsorge in Schlüsselbereichen | BSI-Gesetz: Neue Pflichten für KRITIS-Unternehmen | Cyberangriff auf IT-Dienstleister: FMO beweist die Stärke von Business Continuity
Liebe Leserinnen und Leser,
Liebe Leserinnen und Leser, während der britische Auto-Riese Jaguar Land Rover monatelang Produktionsausfälle hinnehmen musste, zeigte der kleine Flughafen Münster Osnabrück, wie Krisen durch klare Notfallpläne, redundante Systeme und regelmäßige Tests erfolgreich abgefedert werden können. Hier wird eindrücklich sichtbar, wie gezielte Vorbereitung Geschäftsausfälle verhindern und die Resilienz stärken kann.
Auch der Bund unterstreicht die Bedeutung von Resilienz für die gesamte Gesellschaft: Die Nationale Plattform Resilienz sowie der überarbeitete BBK-Ratgeber „Vorsorgen für Krisen und Katastrophen“ liefern praxisnahe Handlungsempfehlungen für Unternehmen, Behörden sowie Bürgerinnen und Bürger. Ziel ist es dabei, die Krisenvorsorge auf ein neues, gesamtheitliches Niveau zu heben – vom klassischen Katastrophenschutz bis hin zum modernen BCM.
In diesem Newsletter zeigen wir Ihnen, wie Sie Ihr BCM stärken: Profitieren Sie von Best Practices und bleien Sie neuen gesetzlichen sowie gesellschaftlichen Entwicklungen einen Schritt voraus. Denn wer vorbereitet ist, bleibt handlungsfähig, während andere noch improvisieren müssen.
Studie zeigt: Deutsche Kliniken sind nur bedingt krisenfest
Eine Studie der Deutschen Krankenhausgesellschaft zeigt, dass viele Krankenhäuser als kritische Infrastruktur derzeit nur eingeschränkt krisenfest sind. Insbesondere in den Bereichen IT-/Cybersicherheit, physischer Objektschutz, Notstrom- und Lagerkapazitäten sowie Personalverfügbarkeit bestehen nach wie vor relevante Resilienz-Lücken. Für ein wirksames Business Continuity Management wurden sechs Handlungsfelder definiert – von Energie- und Kommunikationssicherheit bis hin zu organisatorischer und personeller Resilienz. Je nach Bedrohungsszenario liegen die erforderlichen Investitionen zwischen 2,7 Mrd. Euro (heutige Lage) und rund 15 Mrd. Euro (Verteidigungsfall). Zusätzlich entstehen laufende Betriebskosten zwischen ca. 670 Mio. und 1,1 Mrd. Euro jährlich. Priorität haben Maßnahmen, die kurzfristig umsetzbar sind, insbesondere in IT-Sicherheit, Lagerhaltung und Notfallorganisation. Langfristig braucht es strukturelle Anpassungen, um die Funktionsfähigkeit der Versorgung auch unter außergewöhnlichen Bedingungen sicherzustellen.
Ransomware-Trend: Weniger Zahlungen, aber hohe Risiken für Datenverlust
Ransomware-Angriffe bleiben ein Dauerthema, doch die Angreifenden gehen dabei immer häufiger leer aus: Laut Coveware zahlten im dritten Quartal nur noch 23 % der Unternehmen das geforderte Lösegeld– ein neuer Tiefststand. Gleichzeitig sank der durchschnittliche Zahlungsbetrag deutlich.
https://www.coveware.com/blog/2025/10/24/insider-threats-loom-while-ransom-payment-rates-plummet
Demgegenüber zeigt die weltweite Umfrage von Hiscox unter 1.000 mittelständischen Unternehmen: Zwei von fünf Firmen, die Lösegeld zahlten, konnten ihre Daten nicht wiederherstellen. Insgesamt gaben 27 % der Befragten an, im vergangenen Jahr einen Ransomware-Angriff erlebt zu haben, und 80 % der Betroffenen zahlten Lösegeld – darunter sowohl versicherte als auch nicht versicherte Unternehmen.
Im Fall eines Cybervorfalls sollte frühzeitig auf professionelle Incident-Unterstützung zurückgegriffen werden. Hiscox-Versicherte haben dabei die Möglichkeit, im Ernstfall auf die entsprechende Hotline von HiSolutions zurückzugreifen und schnelle fachliche Hilfe zu erhalten.
https://www.hiscox.ie/sites/ireland-new/files/2025-09/Hiscox%20Cyber%20Readiness%20Report%202025.pdf
Gemeinsam krisenfest: Nationale Plattform stärkt Austausch und Wissen
Die Nationale Plattform Resilienz und Katastrophenrisikomanagement (KatRiMa) ist ein neuer zentraler Informations- und Vernetzungsort für alle Akteurinnen und Akteure, die sich mit Krisenvorsorge und Katastrophenschutz befassen. Die Plattform bündelt bestehendes Wissen, Projekte und Strategien und macht sichtbar, wer in Deutschland in welchen Bereichen der Krisenvorbereitung aktiv ist. Sie erleichtert den Austausch zwischen Behörden, Forschung, Kommunen, Organisationen und Unternehmen und schafft damit einen gemeinsamen Wissensstand. Ihr Ziel ist es, die gesamtgesellschaftliche Resilienz zu stärken – also die Fähigkeit, Krisen vorzubeugen, sie besser zu bewältigen und im Ernstfall daraus zu lernen. Die Plattform versteht sich als Arbeitsraum: Inhalte werden fortlaufend gepflegt und können von der Fach-Community ergänzt werden. So entsteht ein lebendiges, verlässliches Netzwerk für alle, die professionell im Krisen- und Risikomanagement tätig sind.
https://www.katrima.de/DE/Nationale_Plattform/nationale_plattform_node.html
Modernisierte Krisenvorsorge: BBK erweitert Inhalte und Checklisten
Der Ratgeber „Vorsorgen für Krisen und Katastrophen“ des BBK wurde grundlegend überarbeitet– sowohl inhaltlich als auch gestalterisch. Neu im Fokus stehen hybride Bedrohungen wie Desinformation, Angriffe auf kritische Infrastruktur, aber auch die Themen Krieg und Sicherheitspolitik. Darüber hinaus wurden Bewältigungsstrategien für Alltagsunterbrechungen wie Stromausfall, Versorgungslücken oder Evakuierung ergänzt, inklusive konkreter Checklisten und Empfehlungen wie ein Vorrat von bis zu zehn Tagen aussehen kann. Damit bietet der Ratgeber nun einen breiteren, modernen Ansatz für Vorsorge – vom klassischen Katastrophenschutz bis hin zu Szenarien, die bislang kaum in der Breite zivilgesellschaftlich thematisiert wurden. Quellen:
KRITIS-Dachgesetz: Neuer Regierungsentwurf stärkt Schutz und Krisenvorsorge in Schlüsselbereichen
Der neue Regierungsentwurf für das KRITIS-Dachgesetz ist veröffentlicht und soll erstmals sektorübergreifende Mindeststandards für den Schutz kritischer Einrichtungen festlegen. Damit wir dafür gesorgt, dass Unternehmen in kritischen Versorgungsbereichen künftig einheitliche Vorgaben für Sicherheit und Krisenvorsorge erhalten. Betreibende müssen künftig nachvollziehbar dokumentieren, wie sie Risiken einschätzen, Notfallprozesse organisieren und ihre Lieferketten absichern – ergänzt um regelmäßige Übungen und Meldeprozesse bei erheblichen Störungen oder Ausfällen. Damit verschiebt sich der Fokus stärker auf den organisatorischen und physischen Schutz (z. B. Zugang, Personal, Ausfallszenarien). Für Unternehmen bedeutet das: Frühzeitig Strukturen schaffen, Verantwortlichkeiten klären und Resilienzpläne erstellen, um im Ernstfall vorbereitet zu sein und unnötigen Mehraufwand zu vermeiden.
https://dserver.bundestag.de/btd/21/025/2102510.pdf
BSI-Gesetz: Neue Pflichten für KRITIS-Unternehmen
Die Regierungskoalition im Bundestag hat sich auf die Umsetzung der NIS-2-Richtlinie im BSI-Gesetz geeinigt. Künftig gelten etwa 30.000 Betreibende mehr als wichtige oder besonders wichtige Einrichtung oder als kritische Infrastruktur und sind von den neuen Pflichten betroffen, deutlich mehr als bisher. Bereits heute gibt es im BSI-Gesetz die Möglichkeit, dass der Einsatz kritischer Komponenten vom Bundesinnenministerium unter bestimmten Voraussetzungen untersagt werden kann. Künftig sollen in einer Kabinettsverordnung die jeweils als kritisch erachteten Komponenten aufgelistet werden, für die ein Einsatz ebenfalls untersagt wäre, sobald die herstellenden Unternehmen nicht als vertrauenswürdig gelten. Statt einer vorherigen Prüfung müssen Betreibende die Nutzung kritischer Komponenten melden und im Falle einer Untersagung des Einsatzes nachträglich austauschen. Das BSI übernimmt darüber hinaus auch erweiterte Kontroll- und Steuerungsaufgaben durch die neue Rolle des zentralen CISO auf Bundesebene. Ziel ist es, die EU-Richtlinie schnellstmöglich umzusetzen und Klagen wegen Nicht-Umsetzung aufgrund des erheblichen Verzugs zu vermeiden. Unternehmen sollten sich nun dringlichst mit der Betroffenheit und der Umsetzung auseinandersetzen, wenn noch nicht geschehen.
https://www.bundestag.de/dokumente/textarchiv/2025/kw46-de-nis-2-1123138
Cyberangriff auf IT-Dienstleister: FMO beweist die Stärke von Business Continuity
Der Flughafen Münster Osnabrück (FMO) zeigte am 19. September 2025 eindrucksvoll, wie ein professionelles Business Continuity Management Dienstleisterausfälle abfedern kann. Was ist geschehen? Eine gezielte Cyberattacke setzte den IT-Dienstleister Collins Aerospace außer Betrieb. Viele Flughäfen, z.B. der BER, erlebten massive Ausfälle, währenddessen blieb der FMO nahezu unbeeindruckt. Entscheidend waren klare Notfallpläne, die Trennung vom betroffenen Netzwerk, redundante Systeme und regelmäßige Tests – alles war vorbereitet, bevor der Ernstfall eintrat. Das Beispiel zeigt: Effektives BCM ist kein Nice-to-have, sondern das Rückgrat betrieblicher Resilienz. Wer seine kritischen Prozesse kennt, Szenarien antizipiert und Technik sowie Personal aufeinander abstimmt, ist vorbereitet, wenn andere noch improvisieren müssen.
Ganz klar, unser BCM-Gewinner des November-Newsletters! Warum Stabsrahmenübungen essentieller Bestandteil jedes Unternehmens sein sollten und warum sie helfen, Silos aufzubrechen und Schnittstellen zu stärken, beschreiben Henrik Schütte und Hendrik Hoppe in unserem Beitrag "Krisenbewältigung ist Teamwork – wie Stabsrahmenübungen helfen, Silos aufzubrechen und Schnittstellen zu stärken."
https://www.protector.de/flughafen-muenster-osnabrueck-resilienzbeweis-durch-cyberangriff
Jaguar Land Rover lahmgelegt: Teuerster Cyberangriff der britischen Geschichte
Im Spätsommer 2025 wurde Jaguar Land Rover von einem massiven Cyberangriff getroffen, der weltweit die Produktion lahmlegte. Die IT-Systeme wurden gezielt heruntergefahren, sodass wochenlang keine Fahrzeuge gefertigt werden konnten. Der Schaden für Jaguar, Zuliefernde und Handelspartner wird auf rund 1,9 Milliarden Pfund geschätzt – der teuerste Cyberangriff in der britischen Geschichte. Mehr als 5.000 Organisationen, darunter Zuliefernde und Partner, waren betroffen. Um die Lieferkette zu sichern, gewährte die britische Regierung einen Kredit von bis zu 1,5 Milliarden Pfund. Die Produktion konnte nur schrittweise wieder aufgenommen werden, was weiterhin zu Kapazitäts- und Logistikproblemen führte. Der Vorfall zeigt: Cyberangriffe auf IT-Systeme können ganze Produktionsketten lahmlegen und massive wirtschaftliche Folgen haben. Gleichzeitig werden Reputation, Kundenvertrauen und Marktpräsenz stark gefährdet.
https://www.bbc.com/news/articles/cvgmp1prnv0o
Brandanschlag auf Trafostation vereitelt: Blackout-Risiko bleibt hoch
In Berlin‑Mariendorf wurde ein Versuch unternommen, eine Trafostation in Brand zu setzen – glücklicherweise ohne Erfolg: Ein Sicherheitsmitarbeiter entdeckte auf einer Baustelle eine Brandvorrichtung und alarmierte die Polizei. Trotz des positiven Ausgangs bleibt die Gefahr eines größeren Stromausfalls („Blackout“) in der Hauptstadtregion nach dem Brandanschlag im September weiterhin real. Ermittlungen des Staatsschutzes laufen wegen einer möglichen politisch motivierten Tat. Berliner Unternehmen und Infrastrukturanbietende sollten deshalb ihre Geschäftsfortführungs- und Wiederanlaufpläne sowie spezifische Blackout-Notfallpläne überprüfen und bei Bedarf aktualisieren.
Kundenstory: RheinLand Versicherungs AG - Zukunftssichere Optimierung des ISMS und BCMS
Die RheinLand Versicherungs AG (RLV) mit Hauptsitz in Neuss ist ein privat geführtes Versicherungsunternehmen, das konsequent auf Digitalisierung und Innovation setzt und seit 2017 ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001 betreibt. Seit 2019 ergänzt ein Business Continuity Managementsystem (BCMS) nach ISO 22301 das Sicherheitsfundament der RLV.
Um sich optimal auf die anstehende Re-Zertifizierung in der zweiten Jahreshälfte 2025 vorzubereiten, beauftragte die RLV HiSolutions mit einer integrierten Gap-Analyse sowie einem internen Audit für beide Systeme.
HiSolutions Know-how to go: ISMS-Automatisierung – Agil. Sicher. Effizient. | 26.11. | Berlin
Informationssicherheit muss heute mehr denn je flexibel, transparent und praxisnah gestaltet werden. Genau hier setzen unsere drei Vorträge an: Die Teilnehmenden erhalten konkrete Einblicke in agile Methoden zur ISMS-Einführung, eine Git-basierte Umsetzung ohne klassische Office-Tools sowie einen pragmatischen Einstieg ins Risikomanagement anhand von Projektmanagement-Software.
Unsere Experten zeigen, wie sich Normanforderungen mit modernen Arbeitsweisen verbinden lassen, Aufgaben im ISMS automatisiert werden können und damit weniger Belastung bei den Verantwortlichen (CISO/ISB) liegt – effizient, skalierbar und zukunftsfähig.
Wir freuen uns über Ihre Teilnahme an unserem kostenfreien Wissensfrühstück.
HiAcademy-Schulung zum BSI-BCM-Praktiker | 09.-12.02.2026 | remote
In einer vernetzten Welt sind Institutionen – von Behörden bis zu Unternehmen jeder Größe – zunehmend komplexen Risiken ausgesetzt. Betriebsunterbrechungen, Notfälle und unerwartete Krisen können schwerwiegende Auswirkungen haben. Deshalb ist ein robustes Business Continuity Management (BCM) unerlässlich.
Unsere Schulung zum BCM-Praktiker vermittelt Ihnen praxisnahe Kenntnisse sowie praktische Kompetenzen, um BCM-Strategien zu entwickeln, umzusetzen und erfolgreich zu steuern – umso die Resilienz Ihrer Institution nachhaltig zu stärken.
Die nächsten HiSolutions BCM-News erscheinen Mitte Januar 2026!
Für Rückfragen und Anregungen kontaktieren Sie uns gern!
Auf Facebook teilen
Auf X teilen
Auf LinkedIn teilen
Auf Xing teilen
Link kopieren