Der neue Standard 200-4: BSI-Experten klären auf

Die Komplexität eines Standards ist nicht zu unterschätzen. BSI-Fachleute erklären, worauf es ankommt und was IT-Sicherheitsexperten erwartet.

Oft kümmern sich Unternehmen erst um ein Notfallmanagement, wenn ein Notfall eingetreten ist. Dann ist es jedoch zu spät. Für den Aufbau eines Notfallmanagements, das auch als Business Continuity Management (BCM) bezeichnet wird, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Standard 100-4 entwickelt. Der befindet sich nun in Überarbeitung und wird als BSI-Standard 200-4 erscheinen, ein Entwurf liegt bereits vor (Einzelheiten dazu finden Sie im Text „BSI-Experten im Gespräch zum neuen BSI-Standard Notfallmanagement“). 

In der Neufassung wurden aktuelle Entwicklungen aufgegriffen, wie Cloud-Dienste, Outsourcing oder auch der Umgang mit Pandemien. „Zusätzlich haben wir Wert darauf gelegt, zur überarbeiteten Fassung der relevanten ISO-Norm 22301:2019 (Security and resilience – Business continuity management systems – Requirements) kompatibel zu sein“, betont die verantwortliche Projektleiterin für den Standard zum Notfallmanagement beim BSI, Cäcilia Jung. Die 2019 vorgenommene Überarbeitung der ISO-Norm steigerte deren Stringenz und brachte zahlreiche Vereinfachungen mit sich. Das fand in der Fachwelt viel Anklang.

 

Stufenmodell hilft kleineren Unternehmen

Zu den wesentlichen Neuerungen des überarbeiteten BSI-Standards gehört ein Stufenmodell: „Mit dem Stufenmodell werden wir den unterschiedlichen Bedürfnissen von kleinen und großen Unternehmen stärker gerecht“, beschreibt Jung den Beweggrund dafür. „Das Ziel ist, möglichst schnell reaktionsfähig zu sein“, fügt sie hinzu. Dazu bietet der Standard je nach Anforderungen unterschiedliche Einstiegspunkte. Verantwortliche können sich entscheiden, auf welcher Ebene sie einsteigen wollen, drei Grundvarianten sind vorhanden, Reaktiv-, Aufbau- und Standard-BCMS. Ein Business Continuity Management System, kurz BCMS, fußt auf einer organisatorischen Systematik von Verfahren und Regeln, die sicherstellen sollen, dass die Fortführung kritischer Geschäftsprozesse auch in Notfällen gewährleistet ist.

 

Erste Stufe: Reaktiv-BCMS

Die erste Stufe bildet eine Minimalversion, das Reaktiv-BCMS. Es zielt darauf ab, mit relativ geringem Aufwand eine Basishandlungsfähigkeit in Notsituationen zu erzielen. „Für ein Reaktiv-BCMS werden erst mal reaktive Strukturen aufgebaut, beispielsweise Notfallteams und eine Stabsstruktur, erstellt einen Alarmierungsplan und sucht einen geeigneten Raum, der auch in Notfällen zur Verfügung steht“, erläutert Jung. Doch das ist noch nicht alles, Jung fährt fort: „Zusätzlich schaut man sich die dringendsten Geschäftsprozesse an und prüft, was mit einfachen, gegebenenfalls schon vorhanden Mitteln abgesichert werden kann“. In der Regel werden dazu mittels einer Business-Impact-Analyse die einzelnen Geschäftsprozesse analysiert. Ziel ist, herauszufinden, welche Prozesse wie zeitkritisch sind, also wie lange ausfallen dürfen. 

 

Zweite und dritte Stufe: Aufbau-BCMS und Standard-BCMS

Ein Reaktiv-BCMS entdeckt zwar eventuelle Lücken, sie werden aber in dieser Stufe gewöhnlich noch nicht geschlossen. Das geschieht erst bei der zweiten Stufe, dem Aufbau-BCMS. Dieses ist um einiges aufwendiger und erfordert umfassende Vorkehrungen: „Für ein Aufbau-BCMS ist eine sehr genaue Analyse die Voraussetzung, um zum Beispiel erfasste Lücken zu schließen – das kostet auch ein bisschen mehr“, erklärt die Mathematikerin. In der dritten und letzten Stufe würden schließlich sukzessive weitere Geschäftsprozesse erfasst und untersucht, bis alle vom BCMS abzudeckenden Geschäftsprozesse berücksichtigt sind, sagt sie. Dann ist ein Standard-BCMS erreicht.

 

Einfacher und besser skalierbar

Der neue Standard bietet noch weitere Vorteile: „Er erlaubt eine bessere Skalierbarkeit des eigenen Ressourcen-Einsatzes“, was Jung folgendermaßen beschreibt: „Man kann beispielsweise mit den besonders zeitkritischen Prozessen anfangen und etwa zunächst alles absichern, was nicht einen einzigen Tag ausfallen darf und sich anschließend weiter vortasten. Zum Beispiel anschließend alles, was nicht länger als drei Tage ausfallen darf und so weiter“.

Die Überarbeitung des Standards hat auch das Ziel, ihn durch Vereinfachungen zugänglicher zu gestalten. „Einsteiger stehen im Fokus“, betont ihr Kollege Daniel Gilles, stellvertretender Projektleiter. „Der Standard ist so leicht wie möglich, man kann das auch als eine Anleitung nehmen und loslegen“, ergänzt er. Deshalb werden zahlreiche Dokumentenvorlagen zur Verfügung gestellt. „Die kann man einfach nehmen und einfach ausfüllen“, sagt Gilles. Das gilt auch für die ergänzenden Hilfsmittel, dazu zählen Anleitungen, wie gefundene Lücken geschlossen werden können oder Besonderheiten für IT-Notfälle.

Autor: Uwe Sievers