Produkt und / oder Service, den die IT den Kunden im Rahmen ihres Dienstleistungsangebots zur Verfügung stellt. Hierzu zählt zum Beispiel die Bereitstellung von IT-Anwendungen, aber auch User Help Desk und Anwendungsentwicklung.

In der Business Impact Analyse wird der IT Servicekatalog für die Betrachtung der notwendigen Ressourcen der Geschäftsprozesse zu Grunde gelegt. Der IT-Service zur Bereitstellung einer IT-Anwendung beinhaltet hierbei neben der IT-Anwendung selbst, auch die erforderlichen Daten, Schnittstellen- und Batchprogramme, die für die Bearbeitung des Geschäftsprozesses in der IT-Anwendung erforderlich sind.

IT-Services werden im Rahmen des IT-Servicemanagements in der IT definiert. Häufig ist der Best Practice Ansatz ITIL die Grundlage für das IT-Servicemanagement.

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Das Gesetz wurde am Freitag 12. Juni 2015 verabschiedet. Rechtsverordnungen legen fest, wer als Betreiber kritischer Infrastrukturen gilt und den Anforderungen des Gesetzes unterliegt. Zu den Anforderungen zählen die Herstellung eines Mindestniveaus an IT-Sicherheit nach Branchen-Standards, Nachweise mittels Zertifizierungen hierüber sowie eine Meldepflicht bei Störungen. Ein Verstoß gegen das Gesetz ist mit Bußgeldern bis 100.000 Euro bewehrt.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das andere Gesetze ändert und ergänzt. In erster Linie betrifft dies das BSI-Gesetz.

“Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

• Nach § 8a BSIG Betreiber Kritischer Infrastrukturen, müssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
• Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Diese müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
• Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
• Dem BSI wird die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
• Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
• Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.”

Die Erstellung der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes erfolgt in 2016 in zwei Losen:

Los 1: Energie, IT + TK, Ernährung, Wasser im 1. Qrt. 2016

Los 2: Finanzen, Transport + Verkehr, Gesundheit im 4. Qrt. 2016.

IT Infrastructure Library (ITIL)

Best Practice Standard für IT-Prozesse.

ITIL wird in Deutschland durch die Organisation itSMF weiterentwickelt.

Siehe: IT Service Continuity Management

Über das Buch (Quelle: BSI):

Every organization needs a plan in place to recover key business processes following an incident which needs to match its priorities and expectations. This can be achieved through successful business continuity planning which is effectively a proactive incident management programme that is driven by business requirements.

The role of auditing is to assess and evaluate the effectiveness of the activities and functions of an organization against standards, regulations, best practice and organizational objectives. It can then provide advice and assurance as required by management.

Using risk as its basic evaluation tool and looking at those threats identified by the business as relevant provides audits with a unique insight into how organizations operate and how things may be improved or simplified.

Based on the new international standard for business continuity BS ISO 22301, this book combines personal experience and extensive research to produce an essential aid to developing a successful business continuity management programme.

It is a practical guide to using the insights that an auditor can provide through scrutiny and advice to help ensure that the plans decided on by management will achieve their planned and stated objectives.

About the Author

John Silltow has worked extensively in IT, audit and security across the UK and Europe. He has undertaken business continuity and disaster recovery reviews in private, public and for not-for-profit organizations. John has actively engaged in promoting the management, security and recovery of information assets. He has authored a number of books and articles and has presented at various international conferences. He has also been the editor of three magazines concerned with audit, security and control and currently works as a consultant, trainer and writer.

What does this book include?

1. Overview of business continuity and the role of audit

2. Setting the business continuity management policy

3. Developing the business continuity programme

4. Understanding the organization and its continuity requirements

5. Developing the business continuity strategy

6. Incident recovery

7. The continuity plans

8. Exercising and maintaining the continuity plans

9. Bringing business continuity into the culture

Appendix 1) Certification to ISO 22301:2012

Appendix 2) Risk

Appendix 3) Auditing the business continuity life cycle

Appendix 4) Auditing the project

Appendix 5) Document management

Appendix 6) Gold-silver-bronze command structure

Appendix 7) Business continuity policy statement

Further reading

Bezugsquelle:

BSI.shop

KATWARN ist ein bundesweit einheitlicher Warndienst 
fürs Mobiltelefon. Bei Unglücksfällen wie Großbränden, Bombenfunden oder Wirbelstürmen senden die verantwortlichen Katastrophenschutzbehörden, Feuerwehrleitstellen oder der Deutsche Wetterdienst über KATWARN Warninformationen direkt und ortsbezogen an die Mobiltelefone der betroffenen Bürgerinnen und Bürger.

Link

Neukonzeption der zivilen Verteidigung des Bundesregierung. Das 70-seitige Konzept geht auf einen Auftrag des Bundestags zurück: der Haushaltsausschuss forderte 2012 die Erstellung eines Gesamtkonzepts.

Als Gefahren für die Sicherheit gelten Angriffe mit konventionellen, biologischen und chemischen Waffen ebenso wie Attacken auf kritische Infrastrukturen wie die Wasser-, Strom- und Gasversorgung. Gerade auch Angriffe im Cyberraum werden als direkte Bedrohung genannt.

Das neue Konzepts befasst sich mit den Aufgaben des Bundes beim Schutz der Bevölkerung. Hierzu gehört die Notversorgungen mit Trinkwasser, Nahrung, Medizin und Energie, bestehende und neue Warnsysteme,  Evakuierungsmaßnahmen, Schutz von Kulturgütern. Zu dem Gesamtkonzept gehört auch der Selbstschutz der Bevölkerung durch die Bevorratung von Lebensmitteln und Getränken für zwei Wochen.

Die Konzeption wurde am 24.08.2016 durch das Kabinett verabschiedet.

Link zur Konzeption Zivile Verteidigung

Key Performance Indicators (KPI) für das BCM. Wie misst man den Reifegrad und die Funktionsfähigkeit des Business Continuity Managements?

Der Reifegrad eines Business Continuity Management Systems lässt sich gut anhand der einzelnen Phasen des BCM Lifecycle messen. Für jede Phase kann der Reifegrad mittels Prüffragen erhoben und zum Beisiel in Form des Capability Maturity Model (CMM) in fünf Reifegraden abgebildet werden (1- initial; incomplete; 2 – managed; 3 – defined; 4- quantitatively managed; 5- Optimizing).

Beispiele für Fragen zum Reifegrad:

• Policy und Programm-Management
  • gibt es eine vom Vorstand unterschriebene Policy?
  • gibt es definierte Verantwortlichkeiten für das BCM?
  • sind ausreichend Budget und Ressourcen für das BCM verfügbar?
  • Werden Gesetze, Normen, Standards, vertragliche Anforderungen berücksichtigt?
  • …
• Einbettung in das Unternehmen
  • werden die Anforderungen des BCM bei Entscheidungen berücksichtigt?
  • Ist den Mitarbeitern mit einer Rolle  im BCM diese bekannt?
  • …
• Analyse
  • Werden die kritischen Geschäftsprozesse in Form einer BIA ermittelt?
  • Wird die BIA regelmäßig aktualisiert?
  • Werden die kritischen Prozess-Ressourcen erhoben?
  • …
• Design
  • Gibt es Notfallkonzepte für die BCM-Szenarien?
  • Gibt es Notfallplanungen für die kritischen Prozesse und deren Ressourcen?
  • …
• Implementierung
  • Sind die Maßnahmen zur Notfallvorsorge umgesetzt und funktionsfähig?
  • …
• Validierung
  • Finden regelmäßig Tests und Übungen statt?
  • Werden die Erkenntnisse aus Test und Übungen für korrigierende Maßnahmen verwendet?
  • …

Die Funktionsfähigkeit der Notfallvorsorgemaßnahmen im BCM lassen sich nur durch Ernstfälle (nicht angestrebt) und ersatzweise durch Tests und Übungen validieren. Hierfür steht die Phase “Validierung” im BCM Lifecycle.

Bei Tests und Übungen wird ermittelt

• ob die Notfallkonzepte geeignet sind (Bsp. Erreichbarkeit Ausweich-Arbeitsplätze)
• angestrebte Wiederanlaufzeiten erreicht werden (Vergleich RTO gegen Ist-Zeiten für Prozesse und Ressourcen, isb. IT)
• die Notfallpläne richtig und ausreichend und zweckmäßig sind
• die Erreichbarkeit im Rahmen der Alarmierung funktioniert
• …

Ich tue mich schwer mit dem Begriff “Krise” im BCM-Kontext. Der Begriff “Krise” für Unternehmenskrisen wird inflationär verwendet- außerhalb von Unternehmen noch viel inflationärer. Nur die wenigsten Unternehmenskrisen sind jedoch Geschäftsunterbrechungen und daher Thema des BCM. Das Krisenmanagement stellt einen organisatorischen Rahmen her, um Unternehmenskrisen bewältigen zu können. An dieser Stelle kann man diskutieren, ob Krisenmanagement eine Teil-Disziplin von BCM oder eine eigenständige Disziplin ist. Meine persönliche Meinung: die fachlichen und vor allem persönlichen Skills, die im Krisenmanagement benötigt werden, sind ganz andere als im BCM. Für mich ist daher Krisenmanagement eine eigene Disziplin, wenn auch das BCM oftmals das Krisenmanagement im Unternehmen erst initiiert.

Begriff:

Krisenmanagement, Crisis Management

Beschreibung:

Strukturen, Organisation und Prozesse, um eine Krise zu bewältigen.

Verweise:

BSI 100-4 Notfallmanagement

PAS 200 Crisis Management

BS 11200 Crisis Management (under development)

Temporäre Organisationseinheit zur Bewältigung von Notfällen und Krisen. Der Krisenstab besteht aus dem Leiter und weiteren Verantwortlichen für Fachbereiche.

Im militärischen und polizeilichen Bereich hat sich die Struktur für “command and control”auf drei Ebenen durchgesetzt:

• Gold: strategische Ebene
• Silver: taktische Ebene
• Bronze: operative Ebene.

Die Regierungsebene ist “Platinum”.

Der Krisenstab besteht aus festen und optionalen Mitgliedern. Unterstützt wird der Krisenstab durch ein Unterstüzungsstab, der die Lageaufbereitung, Lagedarstellung und Aufgabenverfolgung verantwortet.

Aufgaben, Kompetenzen und Verantwortungen des Krisenstabs, isb. gegenüber der Linie, sind in der Geschäftsordnung des Krisenstabs festzulegen.

Da sich Krisen über einen längeren Zeitraum von mehreren Wochen hinziehen können, ist auf eine mehrfache Besetzung der Rollen zu achten.

Für die Treffen des Krisenstabs sind entsprechend ausgestattete Räumlichkeiten vorzusehen.

Die Erreichbarkeit der Mitglieder des Krisenstabs ist sicherzustellen, um eine schnelle Entscheidungsfähigkeit zu gewährleisten.

Als Entscheidungsmodell für den Krisenstab hat sich FORDEC aus der Lauftfahrt bewährt.

Kritische Infrastrukturen. Im Rahmen der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes werden derzeit branchenorientiert die Kriterien für die Kritischen Infrastrukturen neu definiert. Der bisherige Branchen-Ansatz wird durch Kriterien für Produkte, Services und Prozesse abgelöst. Das IT-Sicherheitsgesetz findet für die Produkte, Services und Prozesse Anwendung, die unter diese Kriterien fallen.