Sie haben sich an die Umsetzung von Business Continuity Management, Krisenmanagement oder informationssicherheit gewagt und stecken jetzt bei einer Frage fest? Im neuen Menüpunkt “BCM-Hilfe” haben Sie jetzt die Möglichkeit, Ihre Frage loszuwerden und eine Hilfestellung zu bekommen. Für Ihre Frage erstellen Sie einfach unter “BCM-Hilfe” im Ticketsystem ein Ticket. Dieses Ticket können nur Sie und ich lesen. Ich werde versuchen, ihr Ticket so schnell als möglich zu beantworten. Da ich jeden Tag unterwegs bei meinen Kunden bin, kann die Rückantwort etwas Zeit benötigen. Bitte haben Sie hierfür Verständnis.
Die Bedrohungs- und Risikoanalyse ist ein Kernelement des BCM-Lifecycle. In seiner jährlichen Umfrage erhebt das Business Continuity Institute bereits zum sechsten Mal die Risikoeinschätzung der Unternehmen für das Business Continuity Management. Weiterlesen…
Am 7. November 2016 trifft sich das BCM-Grüpple in Ludwigsburg. Inhalt des Grüpple-Treffen ist dieses Mal der Erfahrungsaustausch von Tools & Templates für die operative Umsetzung des Business Continuity Management.
Zur konkreten Vorbereitung des Termins melden Sie sich bitte hier im Terminkalender an.
Das “neue” Zivilschutzkonzept hat die Medien in den vergangenen Wochen sehr bewegt. Leider ist die Kommunikation des Konzepts völlig verunglückt, weil Auszüge über die Presse vorab veröffentlicht wurden. Gerade diese vorab veröffentlichten Auszüge über die private Vorsorge, die unseren Hamster ins Rampenlicht rückten, sind der mit Abstand harmlose Teil des Konzepts. Die Empfehlungen für die persönliche Vorsorge liegen seit vielen Jahren vom BBK vor. Vielleicht ist es ein positiver Aspekt des Medien-Hype, dass diese Notfallvorsorge wieder in das Bewusstsein rückt. Einige Anbieter von Prepper-Artikeln freuen sich gerade über einen temporären Nachfrageboom. Ich gehe davon aus, dass die Konzeption Zivile Verteidigung von den Medienvertretern überwiegend gar nicht gelesen oder in der Tragweite nicht verstanden wurde. Der Wehrdienst ist rechtlich nur ausgesetzt, im Verteidigungsfall kann der Staat sehr weitreichend in die Abläufe der kritischen Infrastrukturen eingreifen und Transport- sowie Produktionsmittel beschlagnahmen genau so wie Lebensmittel und deren Herstellung sowie Distribution (Notstandsverfassung 115a bis 115l GG). Interessant ist eher der Schwenk von rein militärischen Angriffsszenarien, die die zivile Verteidigung bislang beherrschten zu “hybriden Bedrohungen” für die kritischen Infrastrukturen. Damit gemeint sind unter anderem auch Cyber-Attacken und der Ausfall oder die Störung von kritischen Infrastrukturen. Beim Studium des Konzepts wird man feststellen, dass sich die Bundesregierung vielen Aufgaben stellt, die in der Zukunft noch konzipiert und umsetzt werden müssen. Viele Sätze beginnen mit “Der Bund entwickelt ein Konzept …”. Der Handlungsbedarf des Bundes ist in diesem Konzept zumindest erkannt und benannt, auch wenn noch vieles zu konkretisieren und umzusetzen ist. Auch die Betreiber kritischer Infrastrukturen werden deutlich adressiert:
“Jeder Betreiber soll in seinem Zuständigkeitsbereich freiwillig und eigeninitiativ Verantwortung für ein angemessenes Sicherheitsniveau übernehmen. Der Staat erteilt den Betreibern nach Einschätzung der Erforderlichkeit konkrete Auflagen zur Verbesserung der Resilienz und Sicherheit der Kritischen Infrastrukturen. Eine „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ fasst die Zielvorstellungen und den politisch-strategischen Ansatz des Bundes auf diesem Politikfeld zusammen. In einem „Rahmenkonzept Risiko- und Krisenmanagement Betreiber Kritischer Infrastrukturen“ werden Anforderungen an das Erstellen betrieblicher Risikoanalysen und die Ableitung von Sicherheitsmaßnahmen sowie zum Auf- bzw. Ausbau betrieblicher Krisenmanagementstrukturen formuliert”. Neben dem IT-Sicherheitsgesetz können auf die Betreiber also weitere Anforderungen im Risiko- und Krisenmanagement zukommen.
Neben dieser Initiative des Bundes ist die Überwindung der “Friedensdividende” auch bei Ländern und Gemeinden spürbar. Wurden vor Jahren flächendeckend die Sirenen zur Warnung der Bevölkerung demontiert, da auf elektronische Wege gesetzt wurde, verkünden Gemeinden jetzt stolz den Bau von Hochleistungssirenen. Daneben finden die elektronischen Warnsysteme “Katwarn” und “Nina“, gerade nach dem Attentat in München, zunehmend Verbreitung bei Gemeinden und in der Bevölkerung.
Die persönliche Vorsorge, in anderen Ländern eine Selbstverständlichkeit, wird hier noch mit Unverständnis und Belustigung (“Hamster”) aufgenommen. Zu sehr fehlt hier noch das Risikobewusstein bei den Bürgern und zu ausgeprägt ist das Verlassen auf Bund und Betreiber kritischer Infrastrukturen. Dabei ist die Anschaffung von Kerzen / Teelichte, einem batteriebetriebenen Radio, Batterien und Konserven keine große Sache. Alle Kollegen, die sich mit diesen Themen intensiver beschäftigen, betreiben die Vorsorge nach meiner Erfahrung berufsbedingt etwas intensiver – ohne gleich zur Gruppe der Prepper zu gehören. So findet sich in meiner Garage ein Notstromaggregat und in einem Karton schnell griffbereit Taschenlampe, Batterien, Kerzen, Zündhölzer, ein Kurbelradio, Battery-Packs mit Solarpanel zum Laden sowie Micropur-Tabletten für die Wasserentkeimung. Alles Dinge, die auch mal in den Camping-Urlaub oder die Motorradtour mitgehen. Vorsorge ist kein großer Aufwand und bei einem Stromausfall ist romantisches Kerzenlicht ganz angenehm und nützlich.
Bei Kerzenlicht empfehle ich dann die folgende Lektüre:
Praxistag Business Continuity und Krisenmanagement am 21. September 2016 in Karlsruhe
“Krise ist ein produktiver Zustand. Man muss ihr nur den Beigeschmack der Katastrophe nehmen”
(Max Frisch, schweizerischer Schriftsteller).
Störungen, Ausfälle, Notfälle und Krisen sind Ereignisse, die jedes Unternehmen jederzeit treffen können. Sei es beispielsweise durch Extremwetterereignisse, Personal- und IT-Ausfälle, Cyber-Attacken oder Unterbrechungen der Lieferkette.
Als Folge von Unterbrechungen geschäfts- und zeitkritischer Prozesse können finanzielle Verluste, Image- und Reputationsschäden sowie Verstöße gegen rechtliche und regulatorische Anforderungen entstehen.
Durch eine geeignete Prävention durch die Implementierung eines Business Continuity Management (BCM) und Krisenmanagement werden Schäden durch Geschäftsunterbrechungen vermindert.
In diesem Praxis-Seminar lernen Sie:
Was ist eine Krise und welches sind die wichtigen Schritte, um die Krise frühzeitig zu beherrschen?
Wichtige Regeln der Krisenkommunikation
Wie kann Notfällen durch ein Business Continuity Management vorgebeugt werden?
Umgang mit Risiken beim Outsourcing (Supply Chain Continuity Management)
Einhaltung gesetzlicher und regulatorischer Anforderungen (Bsp. IT-Sicherheitsgesetz).
In unserem Special “Umgang mit Medienkrisen – “die Geister, die ich nicht rief” lernen Sie von einem ausgewiesenen Experten, wie einem Shitstorm zu begegnen ist.
Die Urlaubszeit steht an und für viele Mitarbeiter beginnt die schönste Zeit des Jahres zu Hause im Garten, in nahen oder in fernen Ländern. Nur einer macht leider keinen Urlaub und wartet nur darauf zuschlagen zu können: der Notfall.
Deswegen: denken Sie an die Zweit- und Drittbesetzung Ihres Notfall- und Krisenmanagements.
Kennen die Mitarbeiter ihre Rolle?
Sind die Mitarbeiter geschult?
Ist die Erreichbarkeit der Schlüsselpersonen für das Notfall- und Krisenmanagement sichergestellt?
Die ruhigere Zeit ist auch eine gute Gelegenheit, Krisenstabsräume (“war room”), Krisenmanagementausrüstung (“battle case”) und Kommunikationstechnik zu überprüfen und bei Bedarf aufzufrischen.
Wenn ja, dann genießen Sie die Sommer- und Urlaubszeit!
Ich wünsche Ihnen, dass auch für Sie Störungen, Ausfälle, Notfälle und Krisen durch Abwesenheit glänzen, wie so mancher Kollege und manche Kollegin.
Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit über die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der Komplexität von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natürlich auch aus, dass auf Test, Dokumentation, Versionsführung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile Prüfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbständig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen für die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur Verfügung. Das mag im privaten Bereich komfortabel und günstig sein. Doch für Unternehmen entsteht aus dieser “Schatten-IT” ein beträchtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschätzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, Integrität und Verfügbarkeit können für IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewährleistet werden.
An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen für die Geschäftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunächst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu müssen. Denn Ziel der BIA ist die Absicherung der Geschäftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage für eine risikoorientierte Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen müssen durch die IT Lösungen an die Hand gegeben werden, die Funktionalitäten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genügen.
Dies können zum Beispiel sein
Integration der Funktionalitäten in bestehende Standard-Anwendungen
Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
Geschlossene Unternehmens Cloud Lösungen
Sichere Dateitransfer- und Kommunikationslösungen
Geregelter Einkauf von Web-Anwendungen über Einkauf und IT.
Auch wenn Prüfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management über die reine Notfallvorsorge hinaus.
„Gemeinsamkeiten sucht man nicht, Gemeinsamkeiten schafft man sich“ Manfred Hinrich, deutscher Philosoph 1926-2015
1. Einleitung
Business Impact Analyse (BIA) im Business Continuity Management und Schutzbedarfsanalyse (SBA) in der Informationssicherheit weisen große Parallelen auf. Oftmals werden beide Analysen unabhängig voneinander durchgeführt und Chancen für Synergieeffekte vergeben sowie wichtige methodische Abstimmungen nicht durchgeführt. Die Ursache ist häufig die unterschiedliche Verantwortlichkeit der BIA im BCM und der SBA in der Informationssicherheit. In diesem Beitrag sollen Gemeinsamkeiten und Unterschiede der beiden Analysen dargestellt und Chancen durch eine konzeptionelle und zeitliche Abstimmung aufgezeigt werden.
2. Die Business Impact Analyse im Business Continuity Management
Im Rahmen der Business Impact Analyse (BIA) im Lebenszyklus des Business Continuity Management (BCM) werden die (zeit-) kritischen Geschäftsprozesse des Unternehmens identifiziert. Für die kritischen Geschäftsprozesse werden die erforderlichen Ressourcen identifiziert. Zu diesen Ressourcen zählen die Mitarbeiter mit entsprechendem Know How und Kapazitäten, IT-Anwendungen, Gebäude und Arbeitsplätze, Produktionsanlagen sowie Dokumente und Dienstleister. Für die kritischen Prozesse und deren Ressourcen werden die zeitlichen und kapazitativen Anforderungen an die Wiederherstellung im Notfall festgelegt. Die Anforderungen an die Wiederherstellung werden in der Folge von den Geschäftsprozessen auf die Prozess-Ressourcen vererbt. Die Business Impact Analyse wird auf der Basis von Templates oder BCM-Tools durch die Fachbereiche erhoben. Die Business Impact Analyse ist Grundlage für die BCM-Phasen „BCM-Strategien“, „BCM-Planung“ sowie „Tests und Übungen“ im BCM-Lebenszyklus.
Das Vorgehen für die BIA ist in den Standards ISO 22301:2012 oder BSI 100-4 definiert.
Auf Basis der Ergebnisse der BIA werden im IT Service Continuity Management (ITSCM) die Verfügbarkeitsanforderungen für IT-Anwendungen, IT-Systeme, Middleware, Netzwerke und -komponenten sowie IT-Infrastrukturkomponenten abgeleitet und umgesetzt. Hierzu zählen Disaster Recovery Konzepte und -pläne für IT-Services und -systeme.
Das Vorgehen für das ITSCM ist in den Standards ITIL (IT Infrastructure Library) sowie ISO 27031:2011 definiert.
3. Die Schutzbedarfsanalyse im Informationssicherheitsmanagement
Im Rahmen der Schutzbedarfsanalyse (SBA) im Informationssicherheitsmanagement wird der Schutzbedarf für die Schutzbedarfsziele Integrität, Vertraulichkeit und Authentizität für Daten, Dokumente und IT-Anwendungen ermittelt. Der ermittelte Schutzbedarf für die Informationswerte wird von den IT-Anwendungen auf die dahinter liegenden IT-Systeme, Netzwerke und -komponenten vererbt. Grundlage für die Vererbung ist die Strukturanalyse der IT-Architektur mit der Identifikation und Gruppierung der IT-Informationswerte.
Die Schutzbedarfsanalyse wird auf der Basis von Templates oder ISMS-Tools durch das Informationssicherheitsmanagement in den Fachbereichen erhoben.
Auf Grundlage der festgelegten Schutzbedarfe für die Informationswerte werden Maßnahmen zum Schutz der Vertraulichkeit und Integrität festgelegt und umgesetzt. Dies können zum Beispiel Maßnahmen zur Verschlüsselung der Daten bei der Speicherung und dem Transport oder Berechtigungssysteme für den Zugriff auf Anwendungen und Daten sein.
Das Vorgehen zur Schutzbedarfsanalyse ist im ISO-Standard ISO 27001:2015 sowie den BSI-Standards und Grundschutzkatalogen definiert.
4. Gemeinsamkeiten und Unterschiede von BIA und SBA
Gemeinsamkeiten und Unterschiede gibt es bei BIA und SBA sowohl inhaltlich als auch im Vorgehen. Durch die Gegenüberstellung der beiden Methoden können Synergieeffekte in der Durchführung identifiziert sowie methodische Brüche vermieden werden.
Sowohl die BIA als auch die SBA basieren auf den Geschäftsprozessen mit den zugeordneten Prozess-Ressourcen. Eine Prozessdokumentation mit diesen Informationen erleichtert und beschleunigt die Durchführung sowohl der BIA als auch der SBA erheblich und stellt sicher, dass die Ergebnisse nahtlos aneinander passen. Unterschiedliche Betrachtungsebenen der Geschäftsprozesse oder einfach nur unterschiedliche Benennungen der gleichen Informationswerte (Bsp. Verschiedene Namen für die gleiche IT-Anwendung) machen eine Zusammenführung der Ergebnisse von BIA und SBA aufwändig. Denn am Ende müssen alle Schutzziele für die Informationswerte durch Maßnahmen erfüllt werden. Ideal ist ein gemeinsames Repository mit den Informationen zu Geschäftsprozessen und deren Ressourcen – das immer aktuell gepflegt ist. Auf dieses Prozess-Repository können dann Informationssicherheit, Business Continuity Management aber auch die Revision, das Interne Kontrollsystem IKS und andere Nutzer zugreifen. Eigentlich ist dies seit den Veröffentlichungen von Prof. A.W. Scheer zur Architektur Integrierter Informationssysteme ein alter Hut, doch in vielen Unternehmen nach wie vor eher Wunsch als Wirklichkeit. Obwohl diese Grundlagenarbeit ein lohnenswertes Unterfangen ist. Im schlimmsten Fall – und diesen habe ich bereits mehrfach erlebt – definiert jede dieser Disziplinen sein eigenes Prozessmodell für sich. Selbstredend, dass diese nicht zusammenpassen.
Identisch ist neben dieser Informationsbasis auch die Vorgehensweise zur Erhebung der Informationen in den Fachbereichen. Mittels Templates oder einer toolbasierten Erhebung werden die Daten für die BIA und die SBA in den Fachbereichen erhoben. Gerade in dieser Erhebungsphase lassen sich große Synergien heben. Zweifach auf die Fachbereiche zuzugehen bedeutet doppelter Aufwand auf Fachbereichseite – der Engpass schlechthin für BIA und SBA. Also, warum nicht BIA und SBA in der Erhebung zusammenlegen und nur einmal auf die Fachbereiche zugehen? Zumal für die Fachbereiche die Unterschiede zwischen BIA und SBA nicht erheblich sind. Sie verstehen nur nicht, warum man mit so ähnlichen Fragestellungen zwei Mal auf sie zukommt und Mitarbeiter mit wertvoller Zeit in Anspruch nimmt. Eine Zusammenlegung der Erhebung von BIA und SBA hat zudem den Vorteil, dass die Informationen für die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität zur gleichen Zeit vorliegen. Maßnahmen können so aufeinander abgestimmt auf- und umgesetzt werden. Die Ergebnisse können nahtlos zusammengeführt werden.
Es gibt zahlreiche Gemeinsamkeiten zwischen Business Impact Analyse und Schutzbedarfsanalyse.
Aus meiner Sicht sprechen die Argumente daher für eine methodische und zeitliche Zusammenführung von Business Impact Analyse und Schutzbedarfsanalyse. Voraussetzung ist eine Verabschiedung vom Silo-Denken und die enge Abstimmung der Methoden und Verfahren zwischen BCM, Informationssicherheitsmanagement und ITSCM.
Ich freue mich auf Ihre Erfahrungen und Kommentare
Die Schnittstellen zwischen den Risiko- und Notfallmanagement-Disziplinen sind ein kritischer Erfolgsfaktor für eine effiziente und effektive Erhöhung der Widerstandsfähigkeit gegen Störungen, Notfällen und Krisen. Christian Zänker hat sich diese Schnittstellen im nachfolgenden Gastbeitrag für die BCM-News einmal aus Sicht des ITSCM angeschaut.
Das IT Service Continuity Management (ITSCM) sollte in die bestehenden Managementsysteme der Organisation integriert werden. Nur so lässt sich seine Wirksamkeit entfalten und über die zu definierenden Schnittstellen ein effektiver und unter Wirtschaftlichkeitsaspekten effizienter Workflow implementieren. Weiterlesen…
Ja, wo sind sie denn die Mitarbeiter alle?
Zu Hause, den Keller auspumpen.
Auch Szenarien wie die jüngsten monsunartigen Regenfälle mit Tornados führen zu Personalausfällen, auch wenn das Unternehmen nicht direkt betroffen ist. Im Zweifel ist dem Mitarbeiter die Rettung des eigenen Mobiliars näher als die Aufrechterhaltung der Geschäftsprozesse. Wer will es ihnen verdenken.
Ein Notfallplan für den Personalausfall stellt daher auf die Wirkungen ab und nicht auf die Ursachen.Und neben Plan “A” immer Plan “B” und Plan “C” in der Hinterhand haben. Denn das Wetter ist schon schwer genug vorherzusagen, beeinflussen lässt es sich schon gar nicht.
Das Business Continuity Institute BCI führt gemeinsam mit Zurich Insurance bereits die achte Umfrage zur Sicherheit von Lieferketten durch. Die vergangenen Studien haben interessante Ergebnisse erbracht:
“Some of the findings from the 2015 Supply Chain Resilience Report published by the BCI were that three quarters of respondents (74%) had experienced at least one supply chain disruption and that half of those disruptions occurred below the tier 1 supplier.”
Die Teilnahme an der Umfrage ist anonym und es gibt einen Amazon Gutschein in Höhe von 100 GBP zu gewinnen. Hier der Link zur Teilnahme an der Umfrage.
Cookies erleichtern die Bereitstellung unserer Dienste. Wenn du diese Website weiterhin besuchst, erklärst du dich damit einverstanden.OkDatenschutz
