365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Notfallpläne kommen vor dem Ernstfall. Wer an der Vorsorge spart, hat das Nachsehen, denn ohne Vorkehrungen droht nach einem Notfall leicht die Katastrophe.
Unternehmen mit guter Notfallplanung sind im Ernstfall klar im Vorteil: Sie können Ausfälle deutlich minimieren. Der neue BSI-Standard 200-4 hilft bei der Planung. Er stellt die Praxistauglichkeit in den Vordergrund.
Sicherheitsbehörden sehen Defizite in der Notfallplanung: „Krisenreaktionspläne sind noch eine große Herausforderung“, sagte BKA-Chef Holger Münch unlängst, wie berichtet.
Nach Cyber-Angriffen zeigen sich häufig markante Unterschiede in der Bewältigung der Folgen. Während einige schnell wieder den Betrieb aufnehmen – wenn auch eingeschränkt – sind andere wochenlang offline oder nicht produktiv. Ursache dafür ist meist die Notfallvorsorge. Wer darauf verzichtet hat, muss zunächst aufwendige Analysen betreiben, um zumindest einen Notbetrieb herstellen zu können. Das geht nur selten aus eigener Kraft, in der Regel wird dafür externe Hilfe durch Experten oder Dienstleister benötigt. Die sind aber nur selten kurzfristig verfügbar.
Auch für eine Zertifizierung, etwa gemäß ISO 27001 oder für den Abschluss von Cyber-Versicherungen ist ein Notfallkonzept verpflichtend. Zu den zentralen Komponenten des Notfallmanagements gehören Notfallpläne. Sie stellen Unternehmen zugleich vor große Schwierigkeiten. Denn sie entstehen meist auf der Basis einer aufwendigen Business Impact Analyse (BIA), bei der die Kernprozesse identifiziert werden müssen, für die im Anschluss Notfallpläne anzulegen sind.
Nun hat das BSI den neuen Standard 200-4 veröffentlicht. Er behandelt das Thema Business Continuity Management (BCM) und ist eine Überarbeitung des 100-4. War im alten Standard noch Notfallmanagement der zentrale Begriff, wurde daraus im neuen Standard Business Continuity Management (BCM). Hintergrund der Umbenennung ist wie berichtet eine breitere Ausrichtung des Themenfeldes: Im Kern erfolgte eine Neuorientierung vom IT-Notfallmanagement, das den Schwerpunkt des 100-4 darstellte, hin zu einer breiteren Ausrichtung auf alle verbundenen Unternehmensbereiche. Das BSI dazu: „Unter BCM wird ein ganzheitlicher Prozess verstanden, der Unterbrechungen des IT-Betriebs minimieren soll“.
Das BKA hat als Hilfestellung einen Maßnahmenplan für IT-Notfälle veröffentlicht.
Ziel der Überarbeitung des BSI-Standard 200-4 war unter anderem, den Standard praxisnah, handhabbar und adaptierbar zu gestalten. „Somit ist der neue BSI-Standard 200-4 auf Institutionen beliebiger Art, Branche und Größe zugeschnitten“, erklärt das BSI.
Der Standard bietet auch eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufbauen zu können. Ferner geht er auf mögliche „Synergiepotentiale mit den angrenzenden Themen der Informationssicherheit und des Krisenmanagements ein und stellt somit einen zentralen Bestandteil zur organisatorischen Resilienz dar“, erläutert das Amt auf seinen Webseiten.
Insbesondere unerfahrene Personen sollen einen leichten Einstieg in die Thematik bekommen. Dafür sind Hilfsmittel und Dokumentvorlagen enthalten, die bei der Umsetzung von Prozessen und Methoden im BCM helfen sollen. Sie enthalten Beispieltexte, Tabellen und Abbildungen zur eigenen Anpassung.
Noch ist aber nicht alles auf dem aktuellen Stand: „Die Hilfsmittel basieren jedoch zum Teil noch auf dem Community Draft und werden im Laufe der zweiten Jahreshälfte 2023 vollständig auf den finalen BSI-Standard 200-4 angepasst“, räumt das BSI ein. Vor der Veröffentlichung hat der BSI-Standard zwei „Community-Draft-Phasen“ durchlaufen, in denen alle interessierten Anwenderinnen und Anwender ihr Feedback geben konnten. „So wurde sichergestellt, dass Ansätze und Methodik des Standards sowohl den eigenen Ansprüchen und den aktuellen, theoretischen Entwicklungen im Bereich BCM genügen, als auch den ersten Praxistest bestanden hat“, erläutert das Bundesamt.
