Der News Blog zu Business Continuity Management und IT Service Continuity Management
Ein Mitarbeiter erhält eine an ihn persönlich adressierte Mail in der ihm ein befreundeter Geschäftspartner das Profil eines interessanten Kandidaten für eine offene Stelle im Anhang zusendet. Der Mitarbeiter öffnet den Anhang der Mail und das Schicksal nimmt seinen Lauf. Schrittweise verschlüsselt die im Anhang enthaltene Ransomware alle Dateien in den Laufwerken. Weiterlesen…
Auf dem Online-Drehkreuz 3GRC für Governance Risk & Compliance ist heute mein Artikel “Tear down the wall” – integrierte Umsetzung des Sicherheitsmanagements erschienen. An einem praktischen Beispiel wird die Notwendigkeit der Integration der verschiedenen Disziplinen des Sicherheitsmanagements eines Unternehmens beschrieben. Noch arbeiten oftmals die Disziplinen Business Continuity Management, Informationssicherheit, physische und personelle Sicherheit, Datenschutz und Risikomanagement eher neben- als miteinander. Hierdurch werden wichtige Synergieeffekte verschenkt und ein einheitliches übergreifendes Sicherheitsniveau kann nicht geschaffen werden. Ich freue mich über Ihre Rückmeldungen und Meinungen.
Das Fachmagazin Sicherheitsberater veröffentlicht jedes Jahr zu Jahresbeginn seine Prognosen zur Entwicklung der Märkte der verschiedenen Sicherheitsthemen. In der aktuellen Ausgabe 1/2 geben die erfahrenen Autoren auf 15 Seiten des aktuellen Hefts ihre Prognose 2015 für das ganze Spektrum der Sicherheitsthemen ab von BCM bis zur RZ-Sicherheit. Für das BCM und Notfallmanagement hatten die Autoren für die vergangenen Jahre große Investitionen der Unternehmen in die Behebung der existierenden Lücken und Synergiedefizite prognostiziert. Der Trend zur Hebung der Synergieeffekte wird laut Sicherheitsberater in 2015 weiter anhalten. Die Beratungsunternehmen werden von dieser Entwicklung allerdings nur eingeschränkt profitieren können. Es gebe zu wenig gute BCM-Berater und Unternehmen bilden ihre Mitarbeiter in Schulungen aus, um das Thema dann intern umzusetzen. Für Seminare / Schulungen sieht der Sicherheitsberater einen Trend zu Inhouse-Schulungen. Zu viele Anbieter mit qualitativ zweifelhaften Angeboten drängen sich auf dem Markt und Inhouse-Schulungen erlauben die Individualisierung der Inhalte auf die spezifischen Bedürfnisse der Unternehmen.
Die von mir sehr geschätzte und regelmäßig gelesene Fachzeitschrift Sicherheits-Berater widmet sich im aktuellen Sonderheft dem Thema Business Continuity Management. Zu den Themen der Nummer 23 im 40igsten Jahr des Bestehens der Zeitschrift gehören die Risikoanalyse, Erstellung eines Notfallhandbuchs für die IT, Resilienz sowie BCM beim Sicherheitsdienstleister . Ich freue mich sehr, als Gastautor einen Beitrag zum Thema Notfall-Szenario “Personalausfall” beisteuern zu dürfen. Daneben gibt es wie immer interessante und lesenswerte Artikel rund um die Unternehmenssicherheit. Sehr zu empfehlen ist die Auseinandersetzung mit der Empfehlung des BSI zum Mindestabstand von Rechenzentren, die leider oft falsch verstanden wird.
Das Sonderheft BCM des Sicherheits-Berater können Sie auch über mich erhalten. Der Sicherheits-Berater bietet ein kostenloses Probeabo an, das ich natürlich sehr empfehlen kann.
In Zügen, Bussen sowie der Tube wurden 2013 in London 15.833 Mobiltelefone beim Fundamt abgegeben. Nur 2.308 konnten ihrem wieder Besitzer zurückgegeben werden. Der Trend zu Tablets zeigt sich auch hier: 506 Tablets gingen verloren, wovon nur 290 ihren Besitzer wiedergesehen haben. Von 528 Laptops sind noch 191 herrenlos. Die Dunkelziffer der verlorenen IT- und Kommunikationsgeräte dürfte deutlich höher liegen, da so manches verlorene Gerät einen neuen Besitzer erhält und nicht den korrekten Weg zum Fundbüro einschlägt.
Am Frankfurt Flughafen sind es 10 Laptops täglich, die sich in den Schränken des Fundbüros von Fraport stapeln.
Neben dem materiellen Verlust birgt dies ein erhebliches Sicherheitsrisiko für die ehemaligen Besitzer der Geräte und den Unternehmen. Auf den Smartphones sind neben Kontaktdaten, E-Mails und Paßwörter häufig auch Zugänge zum Online-Banking oder auch zu Unternehmensnetzwerken eingerichtet. Auf Tablets befinden sich Präsentationen und Dokumente. Die Menge und Kritikalität der auf den mobilen Geräten gespeicherten Daten stehen dem Verlust eines PC nicht nach.
Mittlerweile gibt es zahlreiche Möglichkeiten, den Zugang zu sichern, Daten zu verschlüsseln und die Geräte per Fernsteuerung zu orten, zu sperren sowie per Fernzugriff alle Daten zu löschen. Einer dieser Anbieter ist zum Beispiel Prey, der auf meinen mobilen Geräten im Einsatz ist.
Aber wie immer bei Sicherheitsthemen, tragen Bequemlichkeit und Sicherheit einen immerwährenden und erbitterten Konflikt miteinander aus, bei dem die Sicherheit leider meist auf der Strecke bleibt.
Rätselhaft bleibt mir, warum offensichtlich so Wenige den Gang zum Fundamt unternehmen, bei einem Wert von mehreren bis vielen hundert Euro für ein Smartphone oder Tablet. Dieser Gang würde sich lohnen, zumal die Einrichtung eines neuen Smatphones auch noch erhebliche Zeit in Anspruch nimmt.
Gilt diese Aussage auch für das BCM? Sicherlich. Ein Tool alleine schafft noch kein angemessenes BCM. Doch wer Methodik und Erfahrung mit einem geeigneten BCM-Tool kombiniert, kann Compliance schaffen, sich die Arbeit erleichtern und in der Notfallbewältigung schneller sein … Weiterlesen…
Gilt diese Aussage auch für das BCM? Sicherlich. Ein Tool alleine schafft noch kein angemessenes BCM. Doch wer Methodik und Erfahrung mit einem geeigneten BCM-Tool kombiniert, kann Compliance schaffen, sich die Arbeit erleichtern und in der Notfallbewältigung schneller sein … Weiterlesen…
Plötzlich sollte die Anwendung höchstverfügbar sein. Plötzlich? Wirklich plötzlich? Nun gut, explizit hatte dies niemand gefordert, aber implizit hätte es eigentlich bekannt sein können – bei einer geschäftskritischen Online-Applikation. Weiterlesen…
Nicht immer steht Informationssicherheitsmanagement (ISM) auf der „Verpackung“ – und trotzdem ist es drin. Das zu berücksichtigen hilft, Defizite zu vermeiden. Weiterlesen…
Das Bundesamt für Sicherheit in der Informationstechnik BSI hat das GSTOOL für die neue Version 5.0 völlig neu programmieren lassen. Das GSTOOL ist jetzt webbasiert, plattformunabhängig und basiert auf einer Oracle-Datenbank. Das BSI stellt die neue Lösung auf dem IT-Grundschutztag am 12.10.2011 im Rahmen der IT-Security Messe (it-sa) in Nürnberg vor. Neben der Vorstellung des Tools gibt es Berichte der Beta-Tester sowie interessante Fachvorträge. Anmeldungen zum IT-Grundschutztag sind auf der Internetseite des BSI möglich.
Auch wenn das quantitative Risikomanagement rational und objektiv erscheint, ist letztendlich die Einschätzung von Risiken doch stark subjektiv geprägt. Im Lesezeichen “So vermeiden Sie Katastrophen” hatte ich auf den Beitrag von Tinsley, Dillon und Madsen im Harvard Business manager hingewiesen, in dem beschrieben wird, wie uns Effekte der selektiven Wahrnehmung der Chance berauben Katastrophen rechtzeitig wahrzunehmen. In seinem Beitrag “Illusion der Risikokontrolle” beschreibt Dipl. Psych. Johannes Wadle auf RiskNET anhand praktischer Beispiele wie subjektiv am Ende doch die Einschätzung von Risiken ist. Am Beispiel des Risikos beim Fliegen durch einen Absturz ums Leben zu kommen zeigt Wadle auf, dass das Risiko von verschiedenen Personen völlig unterschiedlich wahrgenommen wird und in der Konsequenz zu anderem Verhalten führt (Flugangst und Vermeidung von Flügen im Gegensatz zum Gefühl der Sicherheit beim Fliegen). Was lernen wir hieraus? Die Messung von Eintrittswahrscheinlichkeiten und Schadensfolgen ist eine wichtige Grundlage für das Management von Risiken. Subjektive Wahrnehmungsfehler können jedoch zu falschen Konsequenzen und damit zu Katastrophen führen, wenn zum Beispiel Fehler mehrfach ohne Folgen bleiben bis sie dann eines Tages zur Katastrophe führen. Diese subjektiven Wahrnehmungsfehler zu erkennen und zu korrigieren ist mit Aufgabe des Managements von Risiken. Gerade im Business Continuity Mangement führt dies manchmal zur Situation, dass der Business Continuity Manager auf Unverständnis oder gar Ablehnung im Unternehmen stösst, wenn er auf Risiken hinweist, die bislang nicht gesehen werden (wollten oder konnten). Eine kleine Hilfe für den BC Manger ist in diesen Situationen zu wissen, dass es keine böse Absicht ist, oder gar gegen ihn persönlich gerichtet ist, sondern verbreitete psychologische Wahrnehmungsfehler, die dazu geführt haben, dass Risiken nicht als solche wahrgenommen wurden. Aus Japan kam der Trend zur Fehlerkultur. Auch hinsichtlich der Risikokultur können wir aus den tragischen Ereignissen in Japan lernen, wo Fehler in der Erkennung von Risiken durch einen großen Tsunami nach dem Motto “was nicht sein darf, kann nicht sein”, verbunden mit einer mangelnder Aufsicht, zum Tod vieler Menschen geführt hat.
Katastrophen werden in der Regel durch zahlreiche kleine Fehler vorher angekündigt. Wer auf diese “schwachen Signale” achtet, kann Krisen vermeiden. Dies ist das Thema des sehr lesenswerten Artikels zum Risikomanagement im Harvard Business Manager. An den Beispielen “Ölkatastrophe von BP im Golf von Mexiko”, “Antennenprobleme beim iPhone4”, “Gaspedal Toyota in den USA”, “Jetblue” sowie psychologischer Studien zeigen die Autoren auf, dass es vor Eintreten der Krise zahlreiche schwache Signale gegeben hat, die die Krise angekündigt haben. Effekte der selektiven Wahrnehmung des Menschen, die “Normalisierung” und “Outcome Bias” verhindern, dass wir diese Signale richtig deuten. Die Autoren geben uns sieben Strategien an die Hand, um diese Wahrnehmungsfehler vermindern zu können.
Das Konzept der schwachen Signale ist schon etwas älter. Ansoff hat bereits in den siebziger Jahren das Konzept der “weak signals” im Rahmen der Risikofrüherkennung beschrieben. Der Artikel überträgt die Erkenntnisse auf aktuelle Beispiele und gibt konkrete Handlungsempfehlungen. Ein klarer Lesetipp für alle Risiko- und BC Manager.