Stellen wir uns vor: Eine Cloud-Plattform fällt aus, ein zentraler Dienstleister wird Opfer eines Cyberangriffs oder ein KI-System trifft fehlerhafte Entscheidungen in kritischen Geschäftsprozessen. In solchen Fällen zeigt sich erst, wie es um die Widerstandsfähigkeit eines Unternehmens wirklich steht.
Denn die Resilienz hängt heute nicht mehr nur von den eigenen Systemen und Prozessen ab. Diese Abhängigkeit haben viele Business-Continuity-Management-(BCM)-Programme nicht ausreichend berücksichtigt. Oft stammen die Pläne noch aus einer Zeit, in der Anwendungen im eigenen Rechenzentrum liefen, die Lieferketten überschaubar waren und kritische Geschäftsprozesse weitestgehend innerhalb der Unternehmensgrenzen verortet waren. Doch diese Welt existiert nicht mehr. Heute operieren Unternehmen in vernetzten Ökosystemen aus Cloud-Infrastrukturen, SaaS-Plattformen, externen Dienstleistern, digitalen Lieferketten und zunehmend auch KI-Systemen. Dadurch entstehen neue Abhängigkeiten und Risiken.
Lücke zwischen Selbstbild und Realität
Wie gut sind die Unternehmen auf diese neue Realität vorbereitet? Der aktuelle Optro BCM Report 2026, für den 506 Risiko-, Compliance-, Audit-, BCM- und IT-Verantwortliche in Nordamerika, Großbritannien, Deutschland und den Vereinigten Arabischen Emiraten befragt wurden, zeigt hier eine deutliche Diskrepanz: 92 Prozent der Unternehmen sind überzeugt, ihre definierten Recovery-Ziele im Ernstfall erreichen zu können. Bei der letzten größeren Störung haben das jedoch weniger als 40 Prozent der Befragten tatsächlich erreicht.
Diese Zahlen zeigen eine strukturelle Schwäche vieler Resilienzprogramme: Unternehmen investieren seit Jahren in Notfallpläne, Governance-Strukturen und Wiederanlaufkonzepte. In der operativen Umsetzung unter realen Bedingungen scheitern sie aber häufig. Die Folge: 91 Prozent der Befragten berichten von negativen Auswirkungen auf ihre Kunden und ebenso auf Mitarbeitende. Resilienz bleibt damit für viele Unternehmen ein strategisches Problem.
Das eigentliche Risiko liegt außerhalb des Unternehmens
Die Ursachen für diese Diskrepanz liegen laut Bericht häufig nicht primär in den internen Prozessen selbst, sondern in den Abhängigkeiten, die Unternehmen nur unzureichend verstehen oder kontrollieren. Der Studie zufolge haben 76 Prozent der Unternehmen in den vergangenen zwei Jahren eine durch externe Partner verursachte Störung erlebt. Fast die Hälfte der Unternehmen gab an, dass diese Vorfälle Schäden von mindestens 1 Million US-Dollar verursacht haben. In Deutschland berichteten 8,2 Prozent der Unternehmen von Verlusten von über zehn Millionen US-Dollar.
Diese Entwicklung verdeutlicht den Wandel. Klassische BCM-Programme wurden entwickelt, um interne Anwendungen, Standorte oder Geschäftsprozesse wiederherzustellen. Moderne Unternehmen sind jedoch Teil komplexer digitaler Wertschöpfungsnetzwerke. Der Ausfall eines Cloud-Anbieters kann heute hunderte Geschäftsprozesse gleichzeitig beeinträchtigen. Eine Störung bei einem SaaS-Dienstleister kann Kundenservice, Vertrieb, Finanzprozesse und Compliance-Funktionen gleichzeitig treffen. Probleme bei Identitätsdiensten, Datenplattformen oder Kommunikationssystemen können sich innerhalb weniger Minuten durch ganze Organisationen ausbreiten. Resilienz wird dadurch zunehmend zu einer Frage der Abhängigkeitssteuerung.
Besonders kritisch ist, dass viele Unternehmen ihre externen Risiken zwar dokumentieren, aber kaum praktisch überprüfen. Nur 31 Prozent der befragten Organisationen führen gemeinsame Kontinuitäts- oder Krisentests mit kritischen Drittanbietern durch. Die Mehrheit verlässt sich also auf Verträge, Dokumentationen und Zusicherungen, ohne diese je unter realistischen Bedingungen zu testen. Gleichzeitig wird Cloud-Infrastruktur im Report als häufigstes einzelnes Drittanbieter-Risiko genannt.
KI schafft neue Ausfall- und Fehlerszenarien
Mit Künstlicher Intelligenz entsteht eine weitere Herausforderung, die viele BCM-Programme bislang kaum berücksichtigen. Immer mehr Unternehmen integrieren KI in kritische Geschäftsprozesse. Doch vielerorts geschieht das schneller, als Governance- und Resilienzstrukturen aufgebaut werden können. So entstehen neue Verwundbarkeiten.
Dazu gehören etwa Schatten-KI-Anwendungen, die außerhalb offizieller Governance-Prozesse genutzt werden. Hinzu kommen agentische KI-Systeme, die eigenständig Entscheidungen treffen oder Aktionen auslösen können. Je autonomer solche Systeme werden, desto schwieriger wird die Nachvollziehbarkeit von Entscheidungen und desto komplexer werden mögliche Fehlerszenarien.
Die Studienergebnisse deuten darauf hin, dass genau hier erhebliche Lücken bestehen. Viele Unternehmen haben weder KI-bezogene Störungsszenarien noch Ausfälle von Cloud- und KI-Infrastrukturen systematisch getestet. So haben rund 30 Prozent der Unternehmen weltweit und fast die Hälfte der US-Unternehmen entsprechende Szenarien bislang nicht formal geprüft. Das ist problematisch, denn KI verändert nicht nur bestehende Prozesse, sondern schafft auch neue Fehlerquellen. Ein fehlerhaftes Modell, eine manipulierte Trainingsbasis oder eine unerwartete KI-Entscheidung können heute geschäftskritische Auswirkungen haben, ohne dass klassische BCM-Mechanismen darauf vorbereitet sind.
Resilienzstrategien müssen deshalb künftig auch Fragen beantworten wie: Was passiert, wenn ein KI-System falsche Entscheidungen trifft? Wie lassen sich automatisierte Prozesse kontrolliert abschalten? Wer trägt Verantwortung, wenn autonome Systeme Fehlentscheidungen treffen?
Resilienz muss zur operativen Fähigkeit werden
Resilienz darf daher nicht länger als isoliertes BCM-Programm verstanden werden. Der Report zeigt, dass insbesondere fehlende Integration zwischen Funktionen und unzureichende Transparenz über Abhängigkeiten Schwächen darstellen. Erfolgreiche Organisationen betrachten das Thema zunehmend als unternehmensweite Fähigkeit, die Risiko-, Sicherheits-, IT-, Compliance- und Drittanbietermanagement miteinander verbindet.
Dazu gehört an erster Stelle, kritische Abhängigkeiten überhaupt sichtbar zu machen. Unternehmen müssen verstehen, welche Prozesse von welchen Plattformen, Dienstleistern und Technologien abhängig sind. Ebenso wichtig ist die kontinuierliche Überprüfung dieser Abhängigkeiten durch realistische Szenarioanalysen und Belastungstests.
Zudem sollten Cloud-Ausfälle, KI-Fehlfunktionen und Lieferantenstörungen ebenso selbstverständlich geübt werden wie klassische Notfallszenarien. Besonders wertvoll sind gemeinsame Übungen mit kritischen Partnern, da sie Schwachstellen offenlegen, die in internen Tests oft verborgen bleiben.
Wichtig ist außerdem, Resilienz stärker zu operationalisieren. Dokumentierte Pläne bleiben wichtig, reichen jedoch nicht mehr aus. Unternehmen müssen sicherstellen, dass Erkenntnisse aus Risikoanalysen, Drittanbieterbewertungen, Sicherheitsprozessen und KI-Governance laufend zusammengeführt werden. Resilienz entsteht nicht durch Dokumente, sondern durch Transparenz, Koordination und die Fähigkeit, unter Unsicherheit handlungsfähig zu bleiben.
Die entscheidende Frage für die nächsten Jahre
Viele Unternehmen messen Resilienz noch immer daran, wie schnell einzelne Systeme wiederhergestellt werden können. In einer Welt digitaler Ökosysteme lautet die entscheidende Frage aber: „Wie gut verstehen und steuern wir die Verflechtungen, von denen unser Geschäft tatsächlich abhängt?“
Die Unternehmen, die diese Perspektive einnehmen, werden künftige Krisen nicht verhindern können, aber deutlich besser darauf vorbereitet sein. Denn Resilienz entsteht heute nicht mehr an den Grenzen des eigenen Unternehmens, sondern im Zusammenspiel der Netzwerke, Plattformen und Partner, auf denen moderne Geschäftsmodelle aufbauen.
Wer weiterhin auf BCM-Konzepte setzt, die für eine weniger vernetzte Welt entwickelt wurden, riskiert, genau dort überrascht zu werden, wo die größten Risiken längst entstanden sind.