365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Wir sprachen mit BSI-Verantwortlichen über die Neufassung des BSI-Standards Notfallmanagement/BCM.
IT-Sicherheit beruht zum einen auf effektiver Prävention, um Schäden durch Sicherheitsvorfälle zu verhindern. Aber zum anderen auch auf Konzepten zum Umgang mit eingetretenen Schadensereignissen. Konnte beispielsweise eine Ransomware-Attacke nicht verhindert werden, kann durch verschlüsselte Geschäftsdaten und unbrauchbare Computer die Existenz des Unternehmens bedroht sein. Kompromittierte Systeme müssen forensisch analysiert werden, neue Hardware für Ersatzsysteme muss gegebenenfalls beschafft und eingerichtet werden, bevor temporär ein Notbetrieb gestartet werden kann. Das alles kostet Zeit, in der elementare Geschäftsabläufe nicht funktionieren.
Es ist daher in vielen Unternehmen üblich, dass die Security-Abteilung auch für das IT-Notfallmanagement zuständig ist. Unterstützung finden Verantwortliche seit Langem beim Bundesamt für Sicherheit in der Informationstechnik (BSI): „Als die Cyber-Sicherheitsbehörde des Bundes ist es uns ein wichtiges Anliegen, IT-Systeme in Wirtschaft und Staat ausfallsicherer zu machen und Anwender zu befähigen, in Krisen und Notfällen schnell zu reagieren“, schreibt das Amt dazu auf seinen Webseiten.
Die Prävention von und der Umgang mit Notsituationen zählt zum Themenkomplex Notfallmanagement. International wird aber häufig von Business Continuity Management (BCM) gesprochen. In der letzten Zeit rückte BCM durch gesetzliche Regularien wie Sarbanes-Oxley Act oder Civil Contingencies Act verstärkt in das Blickfeld. Im BSI werden die Begriffe nicht unterschieden: „Notfallmanagement und BCM benutzen wir als Synonyme“, erläutert Daniel Gilles, stellvertretender Projektleiter für den Standard zum Notfallmanagement.
Schon 2008 schuf das BSI mit dem Standard 100-4 eine Richtlinie für das Notfallmanagement in Ergänzung zum IT-Grundschutz. Auch davor hatte sich die Behörde um die Thematik gekümmert: „Wir haben uns schon frühzeitig mit IT-Notfallmanagement befasst, aber damals vorrangig auf IT-Notfälle konzentriert“, erzählt Gilles im Gespräch. Man sei jedoch zu der Erkenntnis gekommen, dass das nicht ausreiche, ergänzt er. „Man muss eine Institution ganzheitlich betrachten“, hebt die zuständige Projektleiterin Cäcilia Jung hervor. Der Informatiker Gilles erklärt: „IT-Notfallmanagement betrachtet nur IT, aber es gibt andere wichtige Ressourcen, wie zum Beispiel Personal, Gebäude und Dienstleister“. Ein ganzheitlicher Ansatz setzt den Schwerpunkt auf die relevanten Geschäftsprozesse. „Entscheidend ist, das nötigste Business abzusichern, damit die Institution am Leben bleibt. Da kann ich nicht nur auf die IT schauen, ich muss mir den ganzen Geschäftsbetrieb anschauen“. Dabei steht der Faktor Zeit im Vordergrund, denn „bei manchen Prozessen ist selbst ein zweiwöchiger Ausfall nicht so schlimm, andere Prozesse müssen hingegen vielleicht nach zwei Stunden wieder verfügbar sein“, sagt die Mathematikerin Jung.
Notfallmanagement, wie es als BCM verstanden wird, umfasst weit mehr als nur IT-Notfälle. Die beiden Projektverantwortlichen verdeutlichen den Unterschied mit einem Beispiel: „Beim Ransomware-Angriff auf das Lukaskrankenhaus in Neuss gab es keinen Notfallplan für Ransomware-Attacken, man hatte aber einen Notfallplan für den Komplettausfall der IT. Den hat man aktiviert und analog weitergearbeitet mit Papier und Stift und dergleichen“, erläutert Gilles. Das zeige, wenn etwas nicht auf der IT-Ebene abgefangen werden kann, kann es vielleicht auf anderer Ebene abgefangen werden. Jung fügt hinzu: „In der IT wäre das eine Krise, aber im BCM wäre das ein Notfall; ein IT-Notfall muss nicht zwangsläufig auch innerhalb des BCM ein Notfall sein“.
Schon beim BSI-Standard 100-4 habe man sich für einen umfassenden systematischen Ansatz entschieden, so Gilles. Seitdem hat sich viel getan. „Um den Entwicklungen seit der Veröffentlichung des BSI-Standard 100-4 Rechnung zu tragen, wird der Standard derzeit überarbeitet“, betont Jung. Auch solle damit der Einstieg in das Thema vereinfacht werden, denn: „Der bisherige Standard war an einigen Stellen etwas akademisch und hatte noch keinen richtigen Anleitungscharakter“, gibt Gilles zu bedenken. Heraus kam der neue Standard 200-4, „der kann von Einsteigern deutlich einfacher umgesetzt werden“, berichtet Jung.
Die vorläufige Fassung des Standards 200-4 steht auf der Webseite des BSI zur Verfügung. Bei dieser Version handelt es sich um einen sogenannten Community Draft. Dieses Dokument stellt noch nicht die finale Fassung des Standards dar. Der Entwurf konnte bis Ende Juni kommentiert werden. „Derzeit arbeiten wir die Kommentare ein und werden wohl noch eine zweite Kommentierungsphase einplanen. Nach aktuellem Stand gehen wir von einer Veröffentlichung im nächsten Jahr aus“, berichtet Jung. Kommentare, egal ob es sich um orthografische oder inhaltliche Anmerkungen handelt, können an grundschutz@bsi.bund.de gerichtet werden.
Einzelheiten zu den Neuerungen des überarbeiteten Standards finden Sie auch in diesem Beitrag: „Der neue Standard 200-4: BSI-Experten klären auf“.
Autor: Uwe Sievers
