Übungen – Königsdiziplin des Business Continuity Management
Warum Tests und Übungen?
Wenn die Urlaubssaison anbricht steigen viele von uns mit großem Vertrauen in ein Flugzeug, das uns in weit entfernte exotische Urlaubsziele bringt. Ein großer Teil des Vertrauens, das wir der überaus komplexen Technik entgegenbringen, ist im Wissen darüber begründet, dass
- alle wichtigen Komponenten mehrfach redundant ausgelegt sind,
- die komplizierte Technik laufend gewartet und repariert wird,
- den Piloten für auftretende Störungen bewährte und getestete Notfallverfahren zur Verfügung stehen,
- die Piloten regelmäßig diese “Procedures” üben und „im Schlaf beherrschen“.
Dieses gleiche Vertrauen möchten wir natürlich auch gerne der Notfallplanung in unserer Organisation entgegenbringen können.
In einer zeitaufwändigen Business Impact Analyse sind daher die kritischen Prozesse des Unternehmens mit den erforderlichen Ressourcen identifiziert worden. Für Gebäude, Mitarbeiter, IT-Anwendungen, technische Anlagen, Dokumente und Dienstleister wurden Notfallkonzepte für deren Ausfall erstellt. Verfahren für die Einleitung eines Notbetriebs und den Wiederanlauf in den Normalbetrieb sind in Notfallplänen dokumentiert. Viele Seiten an Notfallplänen dokumentieren eine gut geplante Notfallvorsorge. Jetzt kann der Notfall kommen, denn wir sind ja gut gerüstet!
Würden wir in ein Flugzeug steigen, wo neben dem Kopiloten ein mehrhundertseitiger verstaubter Ordner mit Notfallchecklisten liegt, der nie auf Funktionsfähigkeit getestet wurde und den die Piloten nur von außen kennen? Wohl kaum. Leider ist diese Situation in vielen Unternehmen häufig die Normalität. Dabei ist das Testen und Üben die Königsdisziplin im Business Continuity Management. Hier zeigt sich die wahre Qualität der Notfallvorsorge – und nicht im Umfang der Notfallpläne. Nicht umsonst werfen Prüfer, Aufsichtsorgane und Kunden mittlerweile einen strengen Blick auf die durchgeführten Tests und Übungen, um sich einen Einblick in den Reifegrad des BCM zu verschaffen.
Inhalte von Tests und Übungen
Die Notfallvorsorge besteht aus
- Technischen und organisatorischen Maßnahmen,
- Prozeduren und Verfahren für den Notbetrieb und Wiederanlauf in den Normalbetrieb,
- Erkennungs-, Alarmierungs- und Eskalationsverfahren,
- Krisenmanagementorganisation und -prozesse.
Tests haben ein Testergebnis wie „ja/nein“, „erfolgreich/nicht erfolgreich“ oder eine Schulnote zum Ergebnis. Sie sind daher das geeignete Überprüfungsinstrument, um messbare Verfahren und Prozeduren zu bewerten.
Beispiele hierfür sind:
- Erreichbarkeitszeit für Mitglieder des Krisenstabs im Rahmen der Alarmierung,
- Zeitdauer für die vollständige Evakuierung eines Gebäudes nach einem Alarm,
- Bereitstellungszeit für redundante technische Lösungen (Bsp. Stromversorgung),
- Zeitdauer bis zur Inbetriebnahme der Prozesse an einem Ausweichstandort.
Bei Übungen geht es in Abgrenzung zu Tests darum, Verfahren und Prozeduren auf Funktionsfähigkeit zu testen und die Beteiligten in den Verfahren zu trainieren, so dass sie diese im Notfall beherrschen.
Übungen haben zum Ziel, Schwachstellen und Verbesserungspotential zu identifizieren. Eine Übung ist daher erfolgreich, wenn möglichst viele noch nicht bekannte Schwachstellen und Optimierungsmöglichkeiten identifiziert werden konnten und die Beteiligten sicherer im Umgang mit den Notfallplänen wurden. Die Identifikation von Schwachstellen und Optimierungspotentialen ist ein Qualitätskriterium für eine gute Übung. Ich kenne keine Übung, in der die Übungsbeteiligten im Ablauf der Übung nicht auf Schwachstellen gestoßen sind, die bei der Erstellung der Notfallpläne am Schreibtisch übersehen oder bei der Aktualisierung vergessen wurden. Das Ergebnis von Übungen ist daher im Unterschied zu Tests daran zu bemessen, wie viele der versteckten Fehler in der Notfallplanung durch die Übung identifiziert und eliminiert werden konnten und wie sich die Kenntnis der Übenden in den Verfahren durch die Übung verbessert hat. „Fehlerlos“ ist daher kein Erfolgskriterium für eine Übung, sondern eher ein Verdachtsmoment, dass die Übung nicht intensiv genug durchgeführt wurde oder jahrelang das gleiche Szenario beübt wird. Übungen so künstlich zu gestalten und vorbereitet werden, dass in der Übung kein Fehler mehr passieren kann macht sie hierdurch wirkungslos und führt sie ad absurdum.
Die Übungs-Rahmenplanung gibt den Takt vor
Würden Sie in ein Flugzeug einsteigen, bei dem mit schöner Regelmäßigkeit ausschließlich das Szenario „Ausfall rechtes Triebwerk“ getestet wird? Natürlich verlaufen nach mehreren Wiederholungen diese Tests alle reibungslos und es gibt einen ganzen Stapel positiver Testprotokolle. Das Triebwerk beginnt schon beinahe selbständig mit den Tests … . Leider ist das Schicksal von Natur aus gemein und hält sich nicht an unsere Vorgaben aus den Tests. Tests und Übungen müssen daher alle Aspekte der Notfallplanung abdecken. Diese beinhalten die kritischen Prozesse mit deren Ressourcen sowie die Abdeckung der unterschiedlichen Szenarien. Gebäudeevakuierungen, Alarmierungsübungen sowie Krisenstabsübungen gehören ebenso zum Übungsportfolio wie gemeinsame Übungen mit Kunden und Lieferanten sowie Blaulichtorganisationen und Behörden. Dies ist ein umfangreiches Spektrum, das natürlich nicht innerhalb einer Übung abgedeckt werden kann. Die Übungs-Rahmenplanung hat daher zum Ziel, für einen Zeitrahmen von zwei oder besser drei Jahren die Übungsformen, -inhalte und -beteiligte aufeinander abgestimmt zu planen. Mit Hilfe der Übungs-Rahmenplanung muss die Abdeckung über die gesamte Notfallvorsorge sichergestellt werden. Durch die mittel- und langfristige Planung erhalten die Übungsbeteiligten Planungssicherheit für die erforderlichen Ressourcen und Kapazitäten. Umfangreiche Simulationsübungen mit externen Beteiligten haben zudem eine Vorbereitungszeit für Planung und Organisation von bis zu 12 Monaten.
Die Konzeption und Planung einer Übung sichert den Übungserfolg
Auf Basis des Übungs-Rahmenplans erfolgt die Konzeption und Planung der einzelnen Übungen.
In der Übungs-Konzeption werden die „W-Fragen“ für die Übung geklärt und festgelegt:
Übungs-Konzeption | Inhalte |
Was | Ziele und Inhalte der Übung: Notfallpläne, Prozesse, IT-Anwendungen, Standorte, Gebäude, Gebäudeteile, Lieferketten mit Dienstleister und Lieferanten, Prozessschnittstellen mit Kunden, Krisenmanagement, Alarmierung und Eskalation, Erreichbarkeit… |
Wie | Auswahl der Übungsform: – („walkthrough“)Schreibtischtest der Notfallplanung auf Basis eines Szenarios („desktop scenario“) – Funktionstests der Ersatzverfahren, – Simulationsübung auf Basis eines Szenarios mit Einspielungen („live exercise“) |
Wer | Teilnehmer an der Übung: – Übungs-Leitung – Übungs-Teilnehmer intern / extern – Beobachter intern / extern |
Mit wem | Weitere Übungsbeteiligte: – Dienstleister, Lieferanten – Kunden – Blaulicht-Organisationen (Feuerwehr, Polizei) – Behörden |
Übungs-Szenarien sollten abwechslungsreich, herausfordernd und realitätsnah sein. Klassische Übungs-Szenarien beinhalten den Ausfall von Gebäuden und/oder IT-Anwendungen. Seltener werden Personalausfallszenarien sowie Non-physical Damage-Risiken in Übungen abgebildet. Zu diesen Risikoszenarien ohne physische Beschädigungen zählen Störungen in den Lieferketten mit Dienstleistern und Kunden sowie Cyber-Risiken. Hacker-Attacken, Datenverlust oder -verschlüsselung durch Ransomware sowie Denial-of-Service-Angriffe sind hochaktuell und sollten demzuzfolge in Übungs-Szenarien mit abgebildet werden.
Jede Übung stellt auch ein Projekt dar, das eine Projektplanung mit einer Zeit-, Kapazitäts- und Aufwandsplanung erfordert. Die Dauer einer Übung kann von einer Stunde bis zu mehreren Tagen reichen. Längere Übungen über zwei oder mehr Tage spiegeln die realistischen Herausforderungen eines Notfalls besonders gut wieder. So erfordern diese Übungen Schichtwechsel im Krisenmanagement und Übergaben in den Prozessen.
Die beteiligten Rollen stellen die Durchführung sicher
Bei den beteiligten Rollen ist zwischen der Übungsvorbereitung und der Übungsdurchführung zu unterscheiden. Der Übungsleiter oder Übungs-Verantwortliche ist verantwortlich für die Konzeption und Planung der Übung. Er bindet die Beteiligten in den Planungsprozess ein, stellt die Verfügbarkeit der personellen und technischen Ressourcen sicher.
In der Übung führen die Übungsteilnehmer unter der Übungsleitung die zu übenden Verfahren durch und protokollieren Ablauf und Ergebnisse.
Neben den Teilnehmern können Übungs-Beobachter zusätzliche Aspekte protokollieren und Einsicht in die Übungsdurchführung gewinnen.
Bei Stabsrahmenübungen kommt die Übungsregie und der Gegenstab als weitere Rollen hinzu.
Wichtige Punkte bei der Durchführung einer Übung
Die Übungsleitung weist die Beteiligten in die Übung ein, startet die Übung, steuert und koordiniert den Ablauf und beendet die Übung. Bei besonderen Erfordernissen kann die Übungsleitung die Übung abbrechen.
Unabhängig von den variierenden Übungsinhalten ist bei jeder Übungsdurchführung auf folgende Punkte besonders zu achten
- Risikomanagement zur Vermeidung, dass aus der Übung ein echter Notfall resultiert,
- Übungssteuerung mittels Einspielungen und Reaktionen auf Aktionen und Entscheidungen der Übungsteilnehmer,
- Beobachtung, Protokollierung und Dokumentation für die Dokumentation des Ablaufs sowie der identifizierten Schwachstellen für die spätere Auswertung. Bereitstellung von Templates für die Protokollierung und Dokumentation.
- Umgang mit unerwarteten Reaktionen und korrigierende Eingriffe in den Übungsablauf, um die Sicherheit und Erreichung der Übungsziele sicherzustellen.
Auswertung einer Übung und Lessons Learned
Übungen dienen der Weiterentwicklung der Notfallvorsorge durch die Identifikation von Schwachstellen und Optimierungspotentialen. Grundlage für die Übungsauswertung sind die während der Übung angefertigte Übungsprotokolle sowie Beobachter- und Teilnehmerfeedback.
- Was ist in der Übung gut gelaufen?
- Wo sind in der Übung Fehler oder Schwachstellen aufgetaucht?
- Hat die technische Ausstattung funktioniert? Oftmals sind es Kleinigkeiten wie fehlende oder abhanden gekommene technische Kleinteile und Ausrüstungen (Steckdosen, Verlängerungskabel, Ladekabel, Adapter etc.), die erst bei Übungen auffallen.
- Was muss im Aufbau und Inhalt der Notfallpläne geändert oder ergänzt werden?
- Was muss für die nächsten Übungen bedacht werden.
Im Anschluss an die Übung sollte eine Feedback-Runde mit den Übungs-Beteiligten durchgeführt werden, in der erste Erkenntnisse und Erfahrungen gesammelt werden.
Die Auswertung des Erfolgs einer Übung basiert auf dem Abgleich der Übunsgziele mit den erreichten Ergebnissen. Ohne eindeutig formulierte Übunsgziele ist eine Auswertung des Übungserfolgs daher schwierig bis unmöglich.
Häufig wird als Übungsziel deklariert, dass die Übung fehlerfrei durchläuft. Diesem Übunsgziel liegt jedoch eine falsche Annahme zu Grunde, die Übungen in die falsche Richtung leiten. Es ist gerade das Ziel von Tests und Übungen, Fehler aufzudecken, um diese beheben zu können. Das Aufdecken möglichst vieler vorhandender Fehler macht gerade die Qualität einer Übung aus.
Es ist daher sinnvoll, zwischen der Erreichung der Übungsziele und den Übungsergebnissen zu unterscheiden. Das Erreichen der Übungsziele beschreibt, inwieweit der Umfang und die Inhalte der Übung durchgeführt werden konnte. Die Übungsergebnisse beschreiben Abweichungen zwischen der tatsächlichen und geplanten Test- und Übungsdurchführung. Das Übunsgziel ist erreicht, wenn der Workaround für einen IT-Service überprüft wurde. Das Übunsgergebnis ist negativ, wenn sich bei dieser Prüfung herausstellt, dass für die Nutzung der Ersatzlösung erforderliche Berechtigungen bei den Mitarbeitern fehlen.
Die Dokumentation von Tests und Übungen
Es gibt eine wichtige Grundregel: nur eine dokumentierte Übung ist eine durchgeführte Übung. Dies gilt natürlich auch für Tests. Tests und Übungen dienen neben der Validierung auch dem Nachweis der Funktionsfähigkeit. Und dieser Nachweis, zum Beispiel gegenüber Revision oder Prüfern kann nur mittels der Dokumentationen geführt werden.
Welche Dokumentationen sind hierfür erforderlich?
Übungsrahmenplanung: | Die Übungsrahmenplanung beinhaltet eine Mehrjahresplanung (i.d.R. rollierende 3-Jahresplanung) der druchzuführenden Tests und Übungen. Diese Planung dient der Sicherstellung der Abdeckung aller kritischen Prozesse und Ressourcen, der Ressourcenplanung der beteiligten Fachbereiche sowie der Überprüfung der Zielerreichung zum Beispiel im Rahmen des BCM-Berichtswesens. |
Übungskonzept, -plan: | Das Übungskonzept wird für jede einzelne Übung erstellt und beinhaltet die Übungsziele, – objekte, -form, -zeiten, -beteiligte sowie -risiken. Das Übungskonzept beschreibt somit die Details eines Tests / einer Übung im Detail und dient neben der Detailplanung auch der Erfolgsmessung. Wurden die definierten Übungsinhalte überprüft, wurden die definierten Test- und Übungsziele erreicht? Welche Abweichungen gab es zum Übungskonzept im Ablauf und Ergebnis der Übung? Ein Übungskonzept kann auch zur Dokumentation eines realen Notfalls eingesetzt werden und der bewältigte Notfall als Übung aufgenommen werden. |
Übungsprotokolle: | Protokolle zur Erfassung der durchgeführten Testfälle und den Ergebnissen sowie Auffälligkeiten und Ideen für Verbesserungsmaßnahmen |
Übungsbericht: | Im Übungsbericht wird der Ablauf und die Ergebnisse der Übung dokumentiert. Inhalte sind zum Beispiel: – Management Summary – Übungsziele – Übungsorganisation – Ablauf der Übung und Abweichungen gegenüber dem Übungskonzept – Testfälle und Testergebnisse – Lessons learned – Maßnahmen |
Fazit
Tests und Übungen sind mit hohem Aufwand für die Vorbereitung, Durchführung und Auswertung verbunden. Dieser Aufwand für die „Königs-Disziplin“ des Business Continuity Management ist jedoch gut investiert, erfüllen Übungen doch gleichzeitig mehrere wichtige Ziele:
- Validierung der Notfallkonzepte und -pläne,
- Training der Beteiligten in den Notfallprozeduren,
- Schaffung von Awareness für das BCM,
- Erfüllung von Anforderungen an das BCM durch Kunden, Dienstleister und Regulatorik.
Ohne diese Tests und Übungen bleibt die Notfallvorsorge ein Hoffnungswert, der im Realfall schnell zur Seite gelegt wird und durch Improvisation in Verbindung mit Hoffen und Wünschen ersetzt wird. Dies hat jedoch meist keinen positiven Ausgang.
Testen und Üben –Sisyphusarbeit im Business Continuity Management
Die Novellierungen der MaRisk und BAIT stellen hohe Anforderungen an die Durchführung von Tests und Übungen
Am 26. August 2021 hat das BaFin die Novellierungen der Mindestanforderungen an das Risikomanagement (MaRisk) und der Bankaufsichtlichen Anforderungen an die IT (BAIT) nach der Konsultationsphase final veröffentlicht.
Für das Business Continuity- und IT-Notfallmanagement gibt es insbesondere hinsichtlich der Durchführung von Übungen und Tests konkretisierte Anforderungen, die für die betroffenen Finanzdienstleister erhebliche Mehraufwände im Testen und Üben nach sich ziehen.
Für so manchen BCM- und ITSCM-Verantwortlichen wird die Umsetzung der Anforderungen wie eine nie enden wollende Sisyphusarbeit erscheinen.
Es gibt jedoch Stellschrauben, um die Aufwände für die nachzuweisenden Tests und Übungen zumindest zu verringern, ohne an Qualität zu verlieren.
In meinem aktuellen Beitrag auf 3GRC stelle ich mehrere dieser Stellschrauben vor.
Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management
Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.
Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.
Aber jetzt lassen wir das Spiel beginnen.
Weiterlesen…Herausforderung „BCM-Übungsrahmenplanung“ –Weniger ist manchmal Mehr
Die Anforderungen an Häufigkeit, Umfang und Variabilität von BCM-Tests und Übungen steigen laufend, getrieben insbesondere durch Kunden, Prüfer, Audits sowie Regulatorik. Mehr Tests und Übungen in kürzerer Zeit und dies auch noch verbunden mit höheren Anforderungen an Inhalte, Variabilität der Szenarien und Dokumentation erfordern eine gut durchdachte und stringent durchgeführte BCM Test- und Übungsrahmenplanung.
Notfallvorsorge: Nur Üben macht den Meister
Die Urlaubssaison bricht gerade an und viele von uns steigen mit großem Vertrauen in ein Flugzeug, das uns in weit entfernte exotische Urlaubsziele bringt. Ein großer Teil des Vertrauens, den wir der überaus komplexen Technik entgegenbringen, ist im Wissen darüber begründet, dass
- alle wichtigen Komponenten mehrfach redundant ausgelegt sind,
- die komplizierte Technik laufend gewartet und repariert wird,
- den Piloten für auftretende Störungen bewährte und getestete Verfahren in Form von Checklisten zur Verfügung stehen,
- die Piloten regelmäßig diese Notfallverfahren üben und „im Schlaf beherrschen“.
Dieses gleiche Vertrauen möchten wir natürlich auch gerne der Notfallplanung in unserer Organisation entgegenbringen können.
Mein aktueller Beitrag auf der Plattform 3GRC beschäftigt sich mit dem Thema Tests und Übungen zur Validierung der Notfallplanung. Damit wir in unsere Notfallvorsorge im Ernstfall vertrauen können.
Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette
Wenn die Lieferkette an einer Stelle reißt, kommt häufig die gesamte Wertschöpfungskette für ein Produkt oder einen Service zum Stillstand. Die Vorsorge für Notfälle in der Lieferkette – das Supply Chain Continuity Management – ist daher ein elementarer Baustein für eine widerstandsfähige Lieferkette. Der vorangegangene Beitrag „Supply Chain Resilience“ behandelte die Governance, Risk und Compliance-Aspekte. Dieser Beitrag, den ich auf der Plattform GR3C veröffentlicht habe, geht vertieft auf die Rolle des Business Continuity Management zur Sicherung der Lieferketten bei Unterbrechungen ein:
Die zehn Schritte zum Business Continuity Management
Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.
Diese 10 Schritte führen dann trotzdem zum Ziel:
- Unterstützung der Geschäftsführung sicherstellen:
Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen. - Scope für das BCM definieren:
welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet? - Betroffene Mitarbeiter abholen:
Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”. - Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität. - Notfallkonzepte für die kritischen Prozesse erstellen:
Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte. - Notfallchecklisten für Szenarien erstellen:
Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend. - eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis. - Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen. - Die weitere Implementierung planen:
Planen Sie die nächsten Stufen der BCM-Implementierung. - BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.
Wie eine Krisenstabsübung entsteht
Übungen der Krisenstäbe zählen zu den wichtigsten Maßnahmen der Notfall- und Krisenprävention. Notfallpläne sind wichtig, sie können allerdings nicht alle möglichen Szenarien und Szenariokombinationen abdecken. Statt umfangreicher Notfallpläne – die im Notfall nicht gelesen werden – präferiere ich die Kombination von Notfallkonzepten und Notfallchecklisten. Das Krisenmanagement baut auf dieser präventiven Planung des BCM auf und setzt diese entsprechend der Lage um. Weiterlesen…
Spiegel online erläutert die technischen Hintergründe für den Ausfall am Samstag
Spannungsschwankungen im Netz, womöglich verursacht durch den Test von Netzersatzanlagen, waren die Ursache für die massiven Ausfälle in dem Rechenzentrum in Gütersloh. Die Server liefen, doch waren Geräte für die Netzanbindung durch die Spannungsschwankungen ausgefallen und mussten ersetzt werden. Leider war auch das Mobilfunknetz O2 betroffen, so dass die Mitarbeiter vor Ort kaum mehr kommunizieren konnten. So war der Test sicherlich nicht gedacht.
Auch die Telekom hat in der Vergangenheit bei einem großen Netzausfall die Erfahrung machen müssen, dass es nicht gut ist, wenn die Techniker nur im eigenen Netz telefonieren können. Seitdem sind die Techniker der Telekom redundant ausgestattet.
Hier die Erläuterungen von Spiegel online zum Ausfall. Schön, dass sich die Redaktion so umfangreich zu dem Ausfall äußert.
Literatur zur wichtigsten Phase im BCM-Lifecycle
Ein brandneues Buch zum Thema Tests und Übungen von Business Continuity Plänen. Sehr gut strukturiert, aktuell und mit Beispielen für Szenarien zum Üben. Als Kindle-Buch habe ich dies jetzt immer dabei! Validating your Business Continuity Plan von Robert Clark, erschienen bei IT Governance Publishing am 19. November 2015.
Nicht “ob”, sondern “wann” ist die Frage
Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …
Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen. Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.
Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.
Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:
- 1. Verteidigungslinie: Awareness bei den Mitarbeitern
- 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
- 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
- 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
- 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.
Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.
Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.
be prepared
Ihr Matthias Hämmerle