Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Ein gelbes Warnsymbol (Dreieck mit Ausrufezeichen) und der Schriftzug
  • Branchennews
  • Management, Awareness und Compliance

Neuer BSI-Standard 200-4: Notfallpläne gehören zur elementaren Vorbereitung auf einen IT-Ernstfall

Nach Cyber-Angriffen zeigen sich häufig markante Unterschiede in der Bewältigung der Folgen. Während einige schnell wieder den Betrieb aufnehmen – wenn auch eingeschränkt – sind andere wochenlang offline oder nicht produktiv. Ursache dafür ist meist die Notfallvorsorge. Nun hat das BSI den neuen Standard 200-4 veröffentlicht. Er behandelt das Thema Business Continuity Management (BCM), das als ganzheitlicher Prozess im Unternehmen verstanden wird.

Notfallpläne kommen vor dem Ernstfall. Wer an der Vorsorge spart, hat das Nachsehen, denn ohne Vorkehrungen droht nach einem Notfall leicht die Katastrophe.

Unternehmen mit guter Notfallplanung sind im Ernstfall klar im Vorteil: Sie können Ausfälle deutlich minimieren. Der neue BSI-Standard 200-4 hilft bei der Planung. Er stellt die Praxistauglichkeit in den Vordergrund.

Sicherheitsbehörden sehen Defizite in der Notfallplanung: „Krisenreaktionspläne sind noch eine große Herausforderung“, sagte BKA-Chef Holger Münch unlängst, wie berichtet.

Nach Cyber-Angriffen zeigen sich häufig markante Unterschiede in der Bewältigung der Folgen. Während einige schnell wieder den Betrieb aufnehmen – wenn auch eingeschränkt – sind andere wochenlang offline oder nicht produktiv. Ursache dafür ist meist die Notfallvorsorge. Wer darauf verzichtet hat, muss zunächst aufwendige Analysen betreiben, um zumindest einen Notbetrieb herstellen zu können. Das geht nur selten aus eigener Kraft, in der Regel wird dafür externe Hilfe durch Experten oder Dienstleister benötigt. Die sind aber nur selten kurzfristig verfügbar.

 

Ohne Notfallkonzept keine Zertifizierung

Auch für eine Zertifizierung, etwa gemäß ISO 27001 oder für den Abschluss von Cyber-Versicherungen ist ein Notfallkonzept verpflichtend. Zu den zentralen Komponenten des Notfallmanagements gehören Notfallpläne. Sie stellen Unternehmen zugleich vor große Schwierigkeiten. Denn sie entstehen meist auf der Basis einer aufwendigen Business Impact Analyse (BIA), bei der die Kernprozesse identifiziert werden müssen, für die im Anschluss Notfallpläne anzulegen sind.

Nun hat das BSI den neuen Standard 200-4 veröffentlicht. Er behandelt das Thema Business Continuity Management (BCM) und ist eine Überarbeitung des 100-4. War im alten Standard noch Notfallmanagement der zentrale Begriff, wurde daraus im neuen Standard Business Continuity Management (BCM). Hintergrund der Umbenennung ist wie berichtet eine breitere Ausrichtung des Themenfeldes: Im Kern erfolgte eine Neuorientierung vom IT-Notfallmanagement, das den Schwerpunkt des 100-4 darstellte, hin zu einer breiteren Ausrichtung auf alle verbundenen Unternehmensbereiche. Das BSI dazu: „Unter BCM wird ein ganzheitlicher Prozess verstanden, der Unterbrechungen des IT-Betriebs minimieren soll“.

 

Wichtige BCM-Maßnahmen:

  • Risikoanalyse und Business Impact Analysis (BIA): Eine gründliche Analyse der Risiken und potenziellen Auswirkungen.
  • Entwicklung einer Business-Continuity-Strategie basierend auf den Ergebnissen der Risikoanalyse und BIA.
  • Erstellung detaillierter Notfallpläne mit klaren Anweisungen, Verantwortlichkeiten und Schritt-für-Schritt-Anleitungen.
  • Kontinuierliche Überwachung und Aktualisierung der entwickelten Pläne.
  • Nur mit regelmäßigen Übungen kann sichergestellt werden, dass die Pläne den Anforderungen genügen und funktionieren.

 

Das BKA hat als Hilfestellung einen Maßnahmenplan für IT-Notfälle veröffentlicht.

 

Neuer BSI-Standard stellt Praxisnähe ins Zentrum

Ziel der Überarbeitung des BSI-Standard 200-4 war unter anderem, den Standard praxisnah, handhabbar und adaptierbar zu gestalten. „Somit ist der neue BSI-Standard 200-4 auf Institutionen beliebiger Art, Branche und Größe zugeschnitten“, erklärt das BSI.

Der Standard bietet auch eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufbauen zu können. Ferner geht er auf mögliche „Synergiepotentiale mit den angrenzenden Themen der Informationssicherheit und des Krisenmanagements ein und stellt somit einen zentralen Bestandteil zur organisatorischen Resilienz dar“, erläutert das Amt auf seinen Webseiten.

Insbesondere unerfahrene Personen sollen einen leichten Einstieg in die Thematik bekommen. Dafür sind Hilfsmittel und Dokumentvorlagen enthalten, die bei der Umsetzung von Prozessen und Methoden im BCM helfen sollen. Sie enthalten Beispieltexte, Tabellen und Abbildungen zur eigenen Anpassung.

Noch ist aber nicht alles auf dem aktuellen Stand: „Die Hilfsmittel basieren jedoch zum Teil noch auf dem Community Draft und werden im Laufe der zweiten Jahreshälfte 2023 vollständig auf den finalen BSI-Standard 200-4 angepasst“, räumt das BSI ein. Vor der Veröffentlichung hat der BSI-Standard zwei „Community-Draft-Phasen“ durchlaufen, in denen alle interessierten Anwenderinnen und Anwender ihr Feedback geben konnten. „So wurde sichergestellt, dass Ansätze und Methodik des Standards sowohl den eigenen Ansprüchen und den aktuellen, theoretischen Entwicklungen im Bereich BCM genügen, als auch den ersten Praxistest bestanden hat“, erläutert das Bundesamt.

close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.