• it-sa News
  • Management, Awareness und Compliance

BSI-Experten im Gespräch zum neuen BSI-Standard Notfallmanagement (BSI 200-4)

BSI-Experten erklären den neuen Standard für Notfallmanagement (BSI 200-4) im Kontext des Business Continuity Management.

Thomas Philipp Haas
Thomas Philipp Haas
Director Marketing & Manager Public Relations NürnbergMesse GmbH
close

Diese Inhalte stehen der it-sa 365 Community zur Verfügung. Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

BSI 200-4 © pexels.com/ Seven Storm JUHASZIMRUS

Wir sprachen mit BSI-Verantwortlichen über die Neufassung des BSI-Standards Notfallmanagement/BCM.

IT-Sicherheit beruht zum einen auf effektiver Prävention, um Schäden durch Sicherheitsvorfälle zu verhindern. Aber zum anderen auch auf Konzepten zum Umgang mit eingetretenen Schadensereignissen. Konnte beispielsweise eine Ransomware-Attacke nicht verhindert werden, kann durch verschlüsselte Geschäftsdaten und unbrauchbare Computer die Existenz des Unternehmens bedroht sein. Kompromittierte Systeme müssen forensisch analysiert werden, neue Hardware für Ersatzsysteme muss gegebenenfalls beschafft und eingerichtet werden, bevor temporär ein Notbetrieb gestartet werden kann. Das alles kostet Zeit, in der elementare Geschäftsabläufe nicht funktionieren.

Es ist daher in vielen Unternehmen üblich, dass die Security-Abteilung auch für das IT-Notfallmanagement zuständig ist. Unterstützung finden Verantwortliche seit Langem beim Bundesamt für Sicherheit in der Informationstechnik (BSI): „Als die Cyber-Sicherheitsbehörde des Bundes ist es uns ein wichtiges Anliegen, IT-Systeme in Wirtschaft und Staat ausfallsicherer zu machen und Anwender zu befähigen, in Krisen und Notfällen schnell zu reagieren“, schreibt das Amt dazu auf seinen Webseiten.

 

Ganzheitlicher Ansatz

Die Prävention von und der Umgang mit Notsituationen zählt zum Themenkomplex Notfallmanagement. International wird aber häufig von Business Continuity Management (BCM) gesprochen. In der letzten Zeit rückte BCM durch gesetzliche Regularien wie Sarbanes-Oxley Act oder Civil Contingencies Act verstärkt in das Blickfeld. Im BSI werden die Begriffe nicht unterschieden: „Notfallmanagement und BCM benutzen wir als Synonyme“, erläutert Daniel Gilles, stellvertretender Projektleiter für den Standard zum Notfallmanagement.

Schon 2008 schuf das BSI mit dem Standard 100-4 eine Richtlinie für das Notfallmanagement in Ergänzung zum IT-Grundschutz. Auch davor hatte sich die Behörde um die Thematik gekümmert: „Wir haben uns schon frühzeitig mit IT-Notfallmanagement befasst, aber damals vorrangig auf IT-Notfälle konzentriert“, erzählt Gilles im Gespräch. Man sei jedoch zu der Erkenntnis gekommen, dass das nicht ausreiche, ergänzt er. „Man muss eine Institution ganzheitlich betrachten“, hebt die zuständige Projektleiterin Cäcilia Jung hervor. Der Informatiker Gilles erklärt: „IT-Notfallmanagement betrachtet nur IT, aber es gibt andere wichtige Ressourcen, wie zum Beispiel Personal, Gebäude und Dienstleister“. Ein ganzheitlicher Ansatz setzt den Schwerpunkt auf die relevanten Geschäftsprozesse. „Entscheidend ist, das nötigste Business abzusichern, damit die Institution am Leben bleibt. Da kann ich nicht nur auf die IT schauen, ich muss mir den ganzen Geschäftsbetrieb anschauen“. Dabei steht der Faktor Zeit im Vordergrund, denn „bei manchen Prozessen ist selbst ein zweiwöchiger Ausfall nicht so schlimm, andere Prozesse müssen hingegen vielleicht nach zwei Stunden wieder verfügbar sein“, sagt die Mathematikerin Jung.

 

Business Continuity Management: mehr als nur IT-Notfälle

Notfallmanagement, wie es als BCM verstanden wird, umfasst weit mehr als nur IT-Notfälle. Die beiden Projektverantwortlichen verdeutlichen den Unterschied mit einem Beispiel: „Beim Ransomware-Angriff auf das Lukaskrankenhaus in Neuss gab es keinen Notfallplan für Ransomware-Attacken, man hatte aber einen Notfallplan für den Komplettausfall der IT. Den hat man aktiviert und analog weitergearbeitet mit Papier und Stift und dergleichen“, erläutert Gilles. Das zeige, wenn etwas nicht auf der IT-Ebene abgefangen werden kann, kann es vielleicht auf anderer Ebene abgefangen werden. Jung fügt hinzu: „In der IT wäre das eine Krise, aber im BCM wäre das ein Notfall; ein IT-Notfall muss nicht zwangsläufig auch innerhalb des BCM ein Notfall sein“.

Schon beim BSI-Standard 100-4 habe man sich für einen umfassenden systematischen Ansatz entschieden, so Gilles. Seitdem hat sich viel getan. „Um den Entwicklungen seit der Veröffentlichung des BSI-Standard 100-4 Rechnung zu tragen, wird der Standard derzeit überarbeitet“, betont Jung. Auch solle damit der Einstieg in das Thema vereinfacht werden, denn: „Der bisherige Standard war an einigen Stellen etwas akademisch und hatte noch keinen richtigen Anleitungscharakter“, gibt Gilles zu bedenken. Heraus kam der neue Standard 200-4, „der kann von Einsteigern deutlich einfacher umgesetzt werden“, berichtet Jung. 

Die vorläufige Fassung des Standards 200-4 steht auf der Webseite des BSI zur Verfügung. Bei dieser Version handelt es sich um einen sogenannten Community Draft. Dieses Dokument stellt noch nicht die finale Fassung des Standards dar. Der Entwurf konnte bis Ende Juni kommentiert werden. „Derzeit arbeiten wir die Kommentare ein und werden wohl noch eine zweite Kommentierungsphase einplanen. Nach aktuellem Stand gehen wir von einer Veröffentlichung im nächsten Jahr aus“, berichtet Jung. Kommentare, egal ob es sich um orthografische oder inhaltliche Anmerkungen handelt, können an grundschutz@bsi.bund.de gerichtet werden.

Einzelheiten zu den Neuerungen des überarbeiteten Standards finden Sie auch in diesem Beitrag: „Der neue Standard 200-4: BSI-Experten klären auf“.

Autor: Uwe Sievers