Notfallpläne kommen vor dem Ernstfall. Wer an der Vorsorge spart, hat das Nachsehen, denn ohne Vorkehrungen droht nach einem Notfall leicht die Katastrophe.
Unternehmen mit guter Notfallplanung sind im Ernstfall klar im Vorteil: Sie können Ausfälle deutlich minimieren. Der neue BSI-Standard 200-4 hilft bei der Planung. Er stellt die Praxistauglichkeit in den Vordergrund.
Sicherheitsbehörden sehen Defizite in der Notfallplanung: „Krisenreaktionspläne sind noch eine große Herausforderung“, sagte BKA-Chef Holger Münch unlängst, wie berichtet.
Nach Cyber-Angriffen zeigen sich häufig markante Unterschiede in der Bewältigung der Folgen. Während einige schnell wieder den Betrieb aufnehmen – wenn auch eingeschränkt – sind andere wochenlang offline oder nicht produktiv. Ursache dafür ist meist die Notfallvorsorge. Wer darauf verzichtet hat, muss zunächst aufwendige Analysen betreiben, um zumindest einen Notbetrieb herstellen zu können. Das geht nur selten aus eigener Kraft, in der Regel wird dafür externe Hilfe durch Experten oder Dienstleister benötigt. Die sind aber nur selten kurzfristig verfügbar.
Ohne Notfallkonzept keine Zertifizierung
Auch für eine Zertifizierung, etwa gemäß ISO 27001 oder für den Abschluss von Cyber-Versicherungen ist ein Notfallkonzept verpflichtend. Zu den zentralen Komponenten des Notfallmanagements gehören Notfallpläne. Sie stellen Unternehmen zugleich vor große Schwierigkeiten. Denn sie entstehen meist auf der Basis einer aufwendigen Business Impact Analyse (BIA), bei der die Kernprozesse identifiziert werden müssen, für die im Anschluss Notfallpläne anzulegen sind.
Nun hat das BSI den neuen Standard 200-4 veröffentlicht. Er behandelt das Thema Business Continuity Management (BCM) und ist eine Überarbeitung des 100-4. War im alten Standard noch Notfallmanagement der zentrale Begriff, wurde daraus im neuen Standard Business Continuity Management (BCM). Hintergrund der Umbenennung ist wie berichtet eine breitere Ausrichtung des Themenfeldes: Im Kern erfolgte eine Neuorientierung vom IT-Notfallmanagement, das den Schwerpunkt des 100-4 darstellte, hin zu einer breiteren Ausrichtung auf alle verbundenen Unternehmensbereiche. Das BSI dazu: „Unter BCM wird ein ganzheitlicher Prozess verstanden, der Unterbrechungen des IT-Betriebs minimieren soll“.
Wichtige BCM-Maßnahmen:
- Risikoanalyse und Business Impact Analysis (BIA): Eine gründliche Analyse der Risiken und potenziellen Auswirkungen.
- Entwicklung einer Business-Continuity-Strategie basierend auf den Ergebnissen der Risikoanalyse und BIA.
- Erstellung detaillierter Notfallpläne mit klaren Anweisungen, Verantwortlichkeiten und Schritt-für-Schritt-Anleitungen.
- Kontinuierliche Überwachung und Aktualisierung der entwickelten Pläne.
- Nur mit regelmäßigen Übungen kann sichergestellt werden, dass die Pläne den Anforderungen genügen und funktionieren.
Das BKA hat als Hilfestellung einen Maßnahmenplan für IT-Notfälle veröffentlicht.
Neuer BSI-Standard stellt Praxisnähe ins Zentrum
Ziel der Überarbeitung des BSI-Standard 200-4 war unter anderem, den Standard praxisnah, handhabbar und adaptierbar zu gestalten. „Somit ist der neue BSI-Standard 200-4 auf Institutionen beliebiger Art, Branche und Größe zugeschnitten“, erklärt das BSI.
Der Standard bietet auch eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufbauen zu können. Ferner geht er auf mögliche „Synergiepotentiale mit den angrenzenden Themen der Informationssicherheit und des Krisenmanagements ein und stellt somit einen zentralen Bestandteil zur organisatorischen Resilienz dar“, erläutert das Amt auf seinen Webseiten.
Insbesondere unerfahrene Personen sollen einen leichten Einstieg in die Thematik bekommen. Dafür sind Hilfsmittel und Dokumentvorlagen enthalten, die bei der Umsetzung von Prozessen und Methoden im BCM helfen sollen. Sie enthalten Beispieltexte, Tabellen und Abbildungen zur eigenen Anpassung.
Noch ist aber nicht alles auf dem aktuellen Stand: „Die Hilfsmittel basieren jedoch zum Teil noch auf dem Community Draft und werden im Laufe der zweiten Jahreshälfte 2023 vollständig auf den finalen BSI-Standard 200-4 angepasst“, räumt das BSI ein. Vor der Veröffentlichung hat der BSI-Standard zwei „Community-Draft-Phasen“ durchlaufen, in denen alle interessierten Anwenderinnen und Anwender ihr Feedback geben konnten. „So wurde sichergestellt, dass Ansätze und Methodik des Standards sowohl den eigenen Ansprüchen und den aktuellen, theoretischen Entwicklungen im Bereich BCM genügen, als auch den ersten Praxistest bestanden hat“, erläutert das Bundesamt.