standard_200_4.pdf

Business Continuity Management BSI-Standard 200-4 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National- bibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Reguvis Fachmedien GmbH Amsterdamer Straße 192 50735 Köln www.reguvis.de Beratung und Bestellung: [email protected] ISBN (Print): 978-3-8462- 1518-0 © 2023 Reguvis Fachmedien GmbH © 2023 Bundesamt für Sicherheit in der Informationstechnik Alle Rechte vorbehalten. Hinsichtlich der in diesem Werk ggf. enthaltenen Texte von Normen weisen wir darauf hin, dass rechtsverbindlich allein die amtlich verkündeten Texte sind. Herausgeber: Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel: +49 228 99 9582-5369 E-Mail: [email protected] Internet: https://www.bsi.bund.de Herstellung: Günter Fabritius Satz: Cicero Computer GmbH, Bonn Druck und buchbinderische Verarbeitung: Appel & Klinger Druck und Medien GmbH, Schneckenlohe Printed in Germany Inhalt Änderungshistorie............................................................................................................................ 11 1 Einleitung...................................................................................................................... 13 1.1 Adressatenkreis.............................................................................................................. 13 1.2 Zielsetzung....................................................................................................................... 13 1.3 Anw endungsw eise......................................................................................................... 15 2 Was ist Business Continuity Managem ent (BCM)?................................... 19 2.1 Begriffe............................................................................................................................. 19 2.2 Grundlag en eines Manag em entsy stem s (BCMS)..................................................... 23 2.3 (zeitlicher) Ablauf der Bew ältigung........................................................................... 25 2.4 Abgr enzung und Sy nergien.......................................................................................... 31 2.4.1 BCM und Informationssicherheit........................................................................... 31 2.4.2 BCM und ITSCM.................................................................................................... 35 2.4.3 BCM und Krisenmanagement................................................................................ 36 2.4.4 BCM und Outsourcing sowie Lieferketten.............................................................. 37 2.5 Überblick über Norm en und Stand ards..................................................................... 38 2.6 BCMS-Stufenm od ell (Reaktiv -, Aufbau- und Stand ard -BCMS)............................ 41 2.6.1 Übersicht zum Stufenmodell.................................................................................. 42 2.6.2 Übersicht über den BCMS-Prozess......................................................................... 45 3 Initiierung des BCMS durch die Institutionsleitung (R+AS)................. 52 3.1 Übernahm e der Verantw ortung durch die Leitungseb ene (R+AS)..................... 52 3.2 Zielsetzung (R+AS)......................................................................................................... 53 3.2.1 Motivation für den Aufbau eines BCMS (R+AS).................................................... 54 3.2.2 Entwicklung der Ziele des BCMS (R+AS)............................................................... 56 3.2.3 Abzusichernder Zeitraum durch ein BCMS (R+AS)................................................ 56 3.3 Geltungsber eich (R+AS)................................................................................................ 58 3.4 Entscheidung zur Vorg ehensw eise (R+AS)............................................................... 60 3.5 Bene nnung d es oder d er BC-Beauftragt en (R+AS)................................................. 62 4 Konzeption und Planung des BCMS (R+AS)................................................. 66 4.1 Definition und Ab grenzung (R+AS)............................................................................ 66 4.2 Analy se d er erw eiterten Rahm enb edingungen (AS)............................................. 67 4.2.1 Identifizierung von Anforderungen und Einflussfaktoren an das BCMS (AS)......... 68 5 Inhalt 4.2.2 Festlegung der Kommunikation mit Interessengruppen (AS).................................. 72 4.2.3 Identifizierung von Schnittstellen (AS).................................................................... 73 4.3 Definition der BC-Aufb auorg anisation (R+AS)......................................................... 79 4.3.1 Institutionsleitung (R+AS)...................................................................................... 81 4.3.2 Der oder die BC-Beauftragte (R+AS)...................................................................... 81 4.3.3 Die BC-Koordinierenden (optional) (R+AS)............................................................. 82 4.3.4 BC-Gremium (optional) (R+AS).............................................................................. 82 4.3.5 BC-Vorsorgeteams (optional) (R+AS)..................................................................... 83 4.4 Dokum ent ation (R+AS).................................................................................................. 83 4.4.1 Dokumentenstruktur (R+AS).................................................................................. 84 4.4.2 Festlegung von Dokumentinformationen (AS)........................................................ 87 4.4.3 Überprüfung und Aktualisierung von Dokumenten (AS)......................................... 89 4.5 Ressourcenplanung (R+AS)........................................................................................... 91 4.6 Schulung (R+AS).............................................................................................................. 92 4.7 Sensibilisierung (R+AS).................................................................................................. 92 4.8 Leitlinie BCMS (R+AS).................................................................................................... 93 4.8.1 Erstellung der Leitlinie BCMS (R+AS)..................................................................... 94 4.8.2 Veröffentlichung und Aktualisierung der Leitlinie BCMS (R+AS)............................ 95 5 Aufbau und Befähigung der BAO (R+AS)....................................................... 97 5.1 Aufb au der BAO (R+AS)................................................................................................. 98 5.1.1 Aufbau des Stabs (R+AS)....................................................................................... 99 5.1.2 Aufbau des Kernteams (R+AS)............................................................................... 101 5.1.3 Aufbau der situativen Erweiterung (R+AS)............................................................. 102 5.1.4 Aufbau der Stabsassistenz (R+AS)......................................................................... 103 5.1.5 Aufbau von Bewältigungsteams (R+AS)................................................................ 103 5.1.6 Personelle Besetzung der BAO (R+AS)................................................................... 104 5.2 Detektion, Alarm ierung und Eskalation (R+AS)....................................................... 106 5.2.1 Detektion und Meldung (R+AS)............................................................................. 107 5.2.2 Einstufung der Ereignismeldung und Entscheidung (R+AS)................................... 113 5.2.3 Alarmierung der BAO (R+AS)................................................................................. 115 5.3 Definition von S ofortm aßnahm en (R+AS)................................................................. 116 5.4 Festlegung der Grundsätze zur Stabsarb eit (R)....................................................... 118 5.4.1 Festlegung der Methoden und Regeln für die Stabsarbeit (R)................................ 119 5.4.2 Konstituierung und Auflösung der BAO (R)............................................................ 121 5.5 Definition der Geschäftsord nung des Stabs (AS).................................................... 123 5.5.1 Konstituierung und Auflösung der BAO (AS).......................................................... 124 5.5.2 Festlegung eines Zusammenarbeitsmodells (AS).................................................... 126 5.5.3 Festlegung der Arbeitsbedingungen (AS)............................................................... 127 5.5.4 Protokollierung (AS)............................................................................................... 128 6 Inhalt 5.5.5 Festlegung besonderer Befugnisse (AS)................................................................. 128 5.5.6 Erstellung eines Verhaltenskodexes (AS)............................................................... 129 5.6 Herstellung der Fähigk eit zur Stabsarb eit (R+AS).................................................. 130 5.6.1 Schulung der BAO (R+AS)..................................................................................... 131 5.6.2 Lagebeobachtung und -visualisierung (R+AS)....................................................... 133 5.6.3 Festlegung eines Stabsraums (R+AS).................................................................... 134 5.6.4 Ausstattung des Stabsraums (R+AS)..................................................................... 136 5.6.5 Freigabe durch die Institutionsleitung (R+AS)....................................................... 139 5.7 NuK-Kom m unik ation (R+AS)........................................................................................ 139 5.7.1 Allgemeine Regelungen zur Kommunikation (R+AS)............................................. 139 5.7.2 Interne Kommunikation (R+AS)............................................................................. 140 5.7.3 Externe Kommunikation (R+AS)............................................................................ 141 5.8 Nacharb eiten und De eskalat ion (R+AS).................................................................... 143 5.9 Analy se d er Bew ältigung (R+AS)................................................................................ 145 6 BIA-Vorfilter (R+A)................................................................................................... 147 6.1 Vorb ereitung d es BIA-Vorfilt ers (R+A)...................................................................... 150 6.2 Konkr etisierung d es Begrif fs zeitkritisch (R+A)...................................................... 150 6.3 Durchführung des BIA-Vorfilter (R+A)....................................................................... 151 6.3.1 Vorauswahl von Geschäftsprozessen (R+A).......................................................... 152 6.3.2 Vorauswahl von Organisationseinheiten anhand eines Organigramms (R+A)...... 153 6.3.3 Vorauswahl von Produkten oder Services (R+A)................................................... 155 6.4 Konsolidierung und Vorstellung der Erge bnisse (R+A)......................................... 155 6.5 Sy stem atische Erw eit erung des GP-Um fangs im Rahm en des Aufb au-BCMS (A)....................................................................................................................................... 156 7 Business-Im pact-Analy se (R+AS)....................................................................... 158 7.1 Vorb ereitung d er BIA (R+AS)....................................................................................... 162 7.1.1 Erhebung der Geschäftsprozesse (R+AS)............................................................... 162 7.1.2 Festlegung der BIA-Parameter und betrachteten Zeithorizonte (R+AS)................. 165 7.1.3 Festlegung der Ressourcenkategorien und -cluster (R+AS)................................... 171 7.1.4 Planung der BIA-Erhebung (R+AS)........................................................................ 174 7.1.5 Vorbereitung der BIA-Hilfsmittel (R+AS)............................................................... 175 7.2 Durchführung der BIA (R+AS )...................................................................................... 177 7.2.1 Identifizierung zeitkritischer Geschäftsprozesse (R+AS)........................................ 177 7.2.2 Identifizierung der Prozessabhängigkeiten (AS)..................................................... 184 7.2.3 Identifizierung der Ressourcenabhängigkeiten (R+AS).......................................... 187 7.2.4 Identifizierung vorhandener Single Points of Failure (AS)...................................... 191 7.3 Ausw ertung (R+AS)........................................................................................................ 192 7 Inhalt 8 Soll-Ist-Vergleich (R+AS)........................................................................................ 194 8.1 Identifizierung d er Ressourcenzuständig en (R+AS)................................................ 194 8.2 Durchführung des Soll-Ist-Ve rgleichs (R+AS)........................................................... 196 8.3 Ausw ertung und Freig ab e de r Ergebnisse (R+AS)................................................... 198 9 BCM-Risikoanaly se (AS).......................................................................................... 199 9.1 Ausw ahl einer g eeigneten Risikoanaly se-Method e (AS)....................................... 201 9.2 Vorb ereitung d er Risikoanaly se (AS)......................................................................... 202 9.3 Erstellung einer Gef ährdung sübersicht (AS)............................................................ 203 9.4 Risikoeinschätzung (AS)................................................................................................. 205 9.5 Risikob ew ertung (AS).................................................................................................... 207 9.6 Risikob ehandlung (AS)................................................................................................... 209 10 Business-Continuity -Strategien und -Lösungen (AS)............................... 210 10.1 Identifik ation m öglicher BC-Strategien (AS)............................................................ 212 10.2 Bew ertung von BC-Strate gie n (AS)............................................................................. 214 10.3 Ausw ahl der BC-Strat egien d urch die Institutionsleitung (AS)............................ 220 10.4 Um setzung der BC-Strate gie n und -Lösungen (AS)................................................. 222 11 Geschäftsfortführungsplanung (R+AS)........................................................... 225 11.1 Vorb ereitung d er GFPs (R+AS)..................................................................................... 226 11.1.1 Aufteilung der GFPs................................................................................................ 226 11.1.2 Erstellung einer GFP-Dokumentvorlage.................................................................. 227 11.1.3 Vorausfüllen der GFPs............................................................................................ 229 11.1.4 Planung der GFP-Erstellung.................................................................................... 229 11.2 Erstellung der GFPs (R+AS)........................................................................................... 230 11.2.1 Festlegung übergreifender Maßnahmen (R+AS).................................................... 230 11.2.2 Entwicklung von Notfallmaßnahmen im Reaktiv-BCMS (R)................................... 231 11.2.3 Entwicklung von Notfallmaßnahmen im Standard-BCMS (AS)............................... 239 11.3 Qualitätssicherung und Freig abe der GFPs (R+AS)................................................. 241 12 Wiederanlauf- und Wiederherstellungsplanung (AS).............................. 243 12.1 Vorb ereitung d er WAPs (AS)........................................................................................ 245 12.1.1 Aufteilung der WAPs (AS)....................................................................................... 245 12.1.2 Erstellung einer WAP -Dokumentvorlage (AS)........................................................ 246 12.1.3 Planung der WAP-Erstellung (AS)........................................................................... 247 8 Inhalt 12.2 Erstellung der WAPs (AS).............................................................................................. 248 12.3 Qualitätssicherung und Freig abe der WAPs (AS).................................................... 251 12.4 Wied erherstellungsplanung im Rahm en des BCM (AS)......................................... 251 13 Üben und Testen (R+AS)........................................................................................ 253 13.1 Rahm enb edingung en zum Üben im Reaktiv-BCMS (R).......................................... 257 13.2 Festlegung der Rahm enbe dingungen zum Üben (AS)............................................ 257 13.3 Erstellung einer Jahresübungsplanung (R+AS)....................................................... 265 13.4 Vorb ereitung und Durchführ ung einer Übung (R+AS)........................................... 269 13.5 Planb esprechung (R optional +AS)............................................................................. 270 13.5.1 Vorbereitung einer Planbesprechung..................................................................... 270 13.5.2 Durchführung einer Planbesprechung.................................................................... 271 13.6 Stabsübung (R+AS)........................................................................................................ 272 13.6.1 Vorbereitung einer Stabsübung............................................................................. 272 13.6.2 Durchführung einer Stabsübung............................................................................ 277 13.7 Stabsrahm enübung (AS)............................................................................................... 278 13.7.1 Vorbereitung einer Stabsrahmenübung................................................................. 279 13.7.2 Durchführung einer Stabsrahmenübung................................................................ 281 13.8 Alarm ierungsübung (R+AS).......................................................................................... 281 13.8.1 Vorbereitung einer Alarmierungsübung................................................................. 282 13.8.2 Durchführung einer Alarmierungsübung................................................................ 283 13.9 Funktionstest (R optional +AS)................................................................................... 283 13.9.1 Vorbereitung eines Funktionstests......................................................................... 284 13.9.2 Durchführung eines Funktionstests........................................................................ 285 13.10 Ausw ertung und Nachb ereit ung von Übung en (R+AS)......................................... 286 13.10.1 Zusätzliche Aspekte zur Auswertung und Nachbereitung einer Stabs(rahmen)übung............................................................................................. 287 13.10.2 Zusätzliche Aspekte zur Auswertung einer Alarmierungsübung............................ 288 13.10.3 Ergebnisvorstellung und Festlegung der Folgeschritte........................................... 288 14 Leistungsüberprüfung und Berichterstattung (AS).................................. 289 14.1 Überw achung, Messung, Analy se und Bew ertung (AS)......................................... 289 14.2 Bew ertung und Überw achung von externen Dienstleistungsunternehm en (AS).................................................................................................................................... 294 14.3 Interne und ext erne Über prüfungen (AS)................................................................. 294 14.4 Managem entb ew ertung (AS)...................................................................................... 297 9 Inhalt 15 Aufrechterhaltung und Verbesserung (R+AS)............................................. 301 15.1 Vorb ereitung eines BCM-Maßnahm enplans (R+AS)................................................ 303 15.2 Ableitung von Korre ktur- und Verb esserungsm aßnahm en (R+AS)..................... 305 15.3 Um setzung und Überw achung von Korre ktur- und Verb esserungsm aßnahm en (AS).................................................................................. 305 15.4 Weiter entw icklung des Reak tiv-BCMS (R)................................................................ 306 15.4.1 Berichterstattung und Entscheidungshilfe (R)......................................................... 307 15.4.2 Entscheidung durch die Institutionsleitung (R)....................................................... 308 Anhang A: Anforderungskatalog...................................................................................................... 310 Anhang B: Hinweise zu den Hilfsmitteln........................................................................................... 310 Anhang C: Glossar............................................................................................................................ 310 Literaturverzeichnis.......................................................................................................................... 311 10 Änderungshistorie Der BSI-Standard 200-4 löst den BSI-Standard 100-4 ab. Stand Version Änderungen Januar 2021 CD 1.0 Neukonzeption basierend auf dem BSI-Standard 100-4 als praxisnahe Anleitung zur Umsetzung der ISO-Norm 22301:2019: Anpassung an ISO-Norm 22301:2019 Einführung eines Stufenmodells Ganzheitliche Betrachtung des Business Continuity Manage ment im Fokus der Resilienz Änderung des Begriffs Notfallmanagement in „Business Con tinuity Management (BCM)“ Ergänzung der BCM-Prozessschritte Voranalyse und Soll-Ist- Vergleich Berücksichtigung der Schnittstellen und Synergien des BCM, unter anderem mit ISMS, ITSCM und Krisenmanagement Ausführlichere Beschreibung der Bewältigungsorganisation August 2022 CD 2.0 Umstrukturierung des Standards, sodass sich der Kapitelauf bau fortan 1 zu 1 am BCM-Prozess orientiert Integration des Outsourcings in den BCM-Prozess und Ausla gerung der Outsourcing-BC-Strategien in das Hilfsmittel BC- Strategien Vereinfachung der Voranalyse und Integration verschiedener Ansätze Klarere Trennung der Begriffe, BC, BCM und BCMS. Umbe nennung vieler Rollen von BCM-Rolle zu BC-Rolle. Mai 2023 Version 1.0 Anpassung der Definition zur RTO und Einführung der BAO- Reaktionszeit Umbenennung der Voranalyse in BIA-Vorfilter Allgemeine Fehlerkorrektur und Umformulierung des gesam ten Standards in geschlechtergerechte Sprache Tabelle 1: Änderungshistorie 11 1 Einleitung 1.1 Adressatenkreis Der BSI-Standard 200-4 richtet sich an Business-Continuity-Beauftragte, Krisenstabsmit glieder, Zuständige für Sicherheitsthemen, Sicherheitsfachleute und -beratende, Instituti onsleitungen sowie an alle Interessierten, die mit dem Management von Notfällen und Krisen technischen und nicht-technischen Ursprungs betraut sind. Hinweis Nachfolgend wird der Begriff Institution in diesem Dokument als neutraler Ober begriff für Unternehmen, Behörden und sonstige öffentliche oder private Organi- sationen genutzt. Ein angemessenes Business-Continuity-Management (BCM) ist sowohl bei kleineren und mittleren als auch großen Institutionen sinnvoll. Daher richtet sich dieser Standard an alle Institutionen. Er bietet eine individuell anpassbare, ressourcenschonende und ziel führende Methodik, um ein eigenes BCM aufzubauen und zu betreiben. 1.2 Zielsetzung Behörden und Unternehmen stehen gleichermaßen vor der Herausforderung, immer effizienter und möglichst zu jeder Zeit Leistungen erbringen zu müssen. Dazu tragen ver schiedene Entwicklungen und Trends in der Gesellschaft und der Wirtschaft bei. Z. B. steigen die Anforderungen des globalen Wettbewerbs, der fortschreitenden Digitalisie rung sowie verschiedener Interessengruppen, d. h. von Aufsichtsbehörden, Kunden und Kundinnen usw. Infolgedessen werden Institutionen immer abhängiger von Informati onstechnik (IT), funktionierenden Lieferketten und den Leistungen von Drittanbietenden wie beispielsweise Dienstleistungs-, Zulieferungs- und Versorgungsunternehmen. Die Verfügbarkeit der Geschäftsprozesse oder Fachaufgaben entwickelt sich zu einer Exis tenzfrage für die Institution. Gleichzeitig nehmen Risiken zu, die den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution in hohem Maße beeinträchtigen und sogar zu einem existenzbedrohen den Schaden führen können. Hierunter fallen z. B. Cyber-Angriffe oder extreme Naturer eignisse, gegen die sich Institutionen nicht komplett schützen können. Obwohl Institutionen sich mit Informationssicherheit bzw. Cybersicherheit sowie mit IT- Service Continuity Management (ITSCM) zu schützen versuchen, führten verschiedene Cyber-Angriffe in den vergangenen Jahren immer wieder zu Ausfällen kritischer Ge schäftsprozesse (siehe jährliche Lageberichte des BSI zur IT-Sicherheit in Deutschland). Insbesondere Ransomware-Angriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt. 13 1 Einleitung Zudem sorgt die fortschreitende Effizienzsteigerung von Geschäftsprozessen dafür, dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert werden. Darüber hinaus werden auch in der Logistik und der Produktion benötigte Ressourcen auf ein Mindestmaß redu ziert, um Lagerflächen einzusparen. Infolgedessen verkleinern sich in der Praxis die Zeitfenster, innerhalb derer auf Ausfälle der Geschäftsprozesse angemessen reagiert und unmittelbare Folgewirkungen einge dämmt werden können. Entsprechend steigt die Notwendigkeit, gegen Ausfälle des Ge schäftsbetriebs umfassend vorzusorgen sowie für den Schadensfall angemessene Mög lichkeiten zur Geschäftsfortführung vorzubereiten (engl. Business Continuity oder BC). Mit Hilfe eines angemessenen Business-Continuity-Managements (BCM) können sich Institutionen vor den Auswirkungen solcher Schadensereignisse schützen, die den Ge schäftsbetrieb in nicht akzeptablem bis hin zu existenzbedrohendem Maße beeinträchti gen können. Ziel des BCM ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einer Unterbrechung in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann. Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen. Institu tionen können dabei teilweise auf vorhandene Sicherheitsmaßnahmen weiterer Mana gementsysteme zurückgreifen und diese gegebenenfalls erweitern. Synergien ergeben sich z. B. mit dem Managementsystem für Informationssicherheit (ISMS). Dieser BSI-Standard erleichtert den Einstieg in ein BCM, indem ein Stufenmodell mit Ein stiegsstufen angeboten wird (siehe Kapitel 2.6 BCMS-Stufenmodell). Darüber hinaus bietet dieser BSI-Standard eine Anleitung, um ein vollständiges, zur Norm ISO 22301:2019 konformes BCM einzuführen, aufrechtzuerhalten und zu verbes sern. Erfahrene Anwendende, die gegebenenfalls mit einem bereits existierenden BCM arbeiten, können den Anforderungskatalog nutzen, um sich auf schnelle und effektive Weise nach diesem Standard auszurichten (siehe Anhang A: Anforderungskatalog). BCM ist kein einmaliges Projekt, sondern bedarf eines zielgerichteten Business-Conti- nuity-Management-Systems (BCMS), das sich fortlaufend weiterentwickelt. Ein BCMS muss kontinuierlich verbessert und an die sich stetig verändernden Rahmenbedingungen der Institution angepasst werden (siehe Kapitel 2.2 Grundlagen eines Managementsys tems). So wird ein dauerhafter Prozess geschaffen, um organisatorische Resilienz (Wider standsfähigkeit) aufzubauen. Die organisatorische Resilienz einer Institution ist die Fähigkeit, auf Veränderungen zu reagieren und sich diesen Veränderungen anzupassen. Je „resilienter“ eine Institution ist, umso besser kann sie Risiken und Chancen durch Veränderungen erkennen und flexibel darauf reagieren. Dies gilt sowohl für plötzliche als auch für allmähliche, sowohl für in terne als auch für externe Veränderungen. Organisatorische Resilienz wird nicht durch ein einzelnes Managementsystem aufgebaut, sondern entsteht erst durch das Zusammenspiel verschiedener Management-Disziplinen. Dieser Standard berücksichtigt die Informationssicherheit, das Business Continuity Ma nagement, die Krisenbewältigung und IT-Service Continuity als Eckpfeiler, die gemein sam Resilienz schaffen können (siehe Abbildung 1). 14 1.3 Anwendungsweise Abbildung 1: Resilienz schaffen durch verschiedene Sicherheitsthemen Hinweis Neben den genannten Sicherheitsthemen können auch weitere Disziplinen wie Arbeitssicherheit, Perimeter- und Gebäudeschutz, personelle Sicherheit oder das IT-Berechtigungsmanagement integriert werden, um die Resilienz zu steigern. Gemäß ISO 22316:2017 Security and resilience – Organizational resilience (siehe ) wird die Resilienz einer Institution darüber hinaus auch von Prozessen beein flusst, die keinen direkten Bezug auf die Themen Sicherheit und Business Continuity ha ben, wie Qualitätsmanagement, Supply Chain Management, Finanzen, Personal und Be trugsprävention. 1.3 Anwendungsweise Im vorliegende BSI-Standard 200-4 Business Continuity Management wird beschrieben, mit welchen Methoden BCM in einer Institution generell initiiert, implementiert und ge steuert werden kann. Er bietet konkrete Hilfestellungen, wie ein BCMS Schritt für Schritt eingeführt werden kann. Im Fokus stehen somit einzelne Phasen dieses Prozesses sowie bewährte Best-Practice-Lösungen. Grundsätzlich werden Institutionen durch diesen Standard in die Lage versetzt, alle Arten von Notfällen erfolgreich und auch Krisen zumindest rudimentär zu bewältigen, da die organisatorischen Vorrausetzungen zur Bewältigung für Notfälle und Krisen nahezu identisch sind. 15 1 Einleitung Ein ISMS wird explizit für diesen BSI-Standard nicht vorausgesetzt. Es kann jedoch den Aufbau und den Betrieb eines BCMS nach dem BSI-Standard 200-4 unterstützen. Der BSI-Standard 200-4 setzt die Reihe der BSI-Standards 200-1 Management für Informati onssicherheit (ISMS), 200-2 IT-Grundschutz-Methodik und 200-3 Risikomanagement konsequent fort. Er geht innerhalb der verschiedenen Kapitel auf zahlreiche Synergiepo tenziale ein, insbesondere zwischen den Themen Informationssicherheit und BCM (siehe Kapitel 2.4 Abgrenzung und Synergien). Dieser BSI-Standard setzt folgende Elemente ein, um besondere Aspekte hervorzuheben: Hinweis Hinweisboxen dieser Art heben besonders relevante Informationen hervor. Beispiele Beispiele, mit Ausnahme von in Teilsätzen eingeschobenen Beispielen, werden auf diese Weise hervorgehoben. Sie dienen nur als Veranschaulichung und sind nicht dazu gedacht, unbesehen übernommen zu werden. Synergiepotenzial Synergiepotenzialboxen weisen auf Möglichkeiten zur effektiven, ressourcenscho nenden Zusammenarbeit mit angrenzenden Themen hin. Zusätzlich werden viele auf den Standard abgestimmte Hilfsmittel und Dokumentvorla gen angeboten, die auf der Webseite des BSI heruntergeladen werden können. Die Do kumentvorlagen beinhalten nicht nur Elemente zur Strukturierung, sondern zum großen Teil Textbausteine und Beispiele, die auch losgelöst von den Vorlagen verwendet werden können. Der vorliegende BSI-Standard 200-4 gestattet es, die Umsetzung und Vorgehensweise individuell an die zeitlichen, finanziellen und personellen Möglichkeiten der jeweiligen In stitution anzupassen. Das BCMS kann schrittweise in den drei Stufen aufgebaut werden: 1. Reaktiv-BCMS, 2. Aufbau-BCMS und 3. Standard-BCMS (siehe Kapitel 2.6 BCMS- Stufenmodell). Die Stufe Standard-BCMS ist konform zu den Anforderungen der ISO-Norm 22301:2019 (siehe ). Dementsprechend erreichen Institutionen mit einem vollständig einge führten und betriebenen Standard-BCMS die erforderliche Reife, um zertifizierungsfähig nach ISO 22301 zu sein. Das Kapitel Anhang A: Anforderungskatalog und das Hilfsmittel Dokumentenvergleich ISO 22301 können hierbei hilfreich sein. Auch wenn als Grundlage für das BCMS eine andere Methodik angewendet wird, ist es trotzdem möglich, vom BSI-Standard 200-4 zu profitieren. So bietet dieser Standard auch Lösungsansätze für einzelne Aufgabenstellungen, beispielsweise für die Konzeption 16 1.3 Anwendungsweise bestimmter Methoden, BC-Strategien und Notfallpläne oder für die Durchführung von Revisionen und Zertifizierungen im Bereich des BCM. Je nach Anwendungsbereich bilden bereits einzelne Umsetzungshinweise, Hilfsmittel oder Synergiepotenziale, die mit dem BSI-Standard 200-4 zur Verfügung gestellt werden, hilfreiche Grundlagen für die Arbeit im BCM. Alle Empfehlungen dieses Standards müssen stets im Kontext der jeweiligen In stitution betrachtet und an die jeweiligen Rahmenbedingungen angepasst werden, z. B. an rechtliche, regulatorische und vertragliche Anforderungen. Insbesondere in Tabellen werden Rollen in diesem Standard im Plural verwendet, um die Geschlechtsneutralität zu wahren. Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen. Aufbau des BSI-Standards 200-4 Ab Kapitel 3 werden die Themen in diesem Standard nach derjenigen Handlungsreihen folge beschrieben, in der die einzelnen BCM-Prozessschritte umgesetzt werden, um ein BCMS aufbauen, betreiben und weiterentwickeln zu können. Zu Beginn jedes Kapitels werden in einer Übersicht die Unterkapitel zu den einzelnen Prozessschritten dargestellt. Hier wird ferner erläutert, ob eine chronologische, schrittweise Vorgehensweise empfoh len wird oder ob einzelne Schritte parallelisiert werden können. Grundsätzlich sind die meisten Kapitel für alle Stufen anwendbar. Nur wenige Kapitel unterscheiden sich je nach Stufe oder gelten nur für einzelne Stufen. Daher wird ab Ka pitel 3 hinter der Kapitelüberschrift angegeben, für welche Stufen das Kapitel jeweils gilt. (R) steht für Reaktiv-BCMS, (A) für Aufbau-BCMS und (S) für Standard-BCMS. Viele Kapitel gelten für alle Stufen, was durch (R+AS) ausgedrückt wird. Einige weitere Kapitel gelten nur für das Aufbau- und Standard-BCMS (AS), andere nur für das Reaktiv-BCMS (R). Die Buchstaben AS werden zusammengeschrieben, weil die Vorgehensweisen bei den Stufen Aufbau- und Standard-BCMS in den meisten Fällen identisch sind. Anwen dende, die vorerst z. B. ausschließlich das Reaktiv-BCMS umsetzten möchten, brauchen nur diejenigen Kapitel zu lesen, bei denen hinter der Kapitelüberschrift auch ein R in der Klammer steht. In einigen Fällen gilt zwar das Kapitel für alle Stufen, aber es gibt kleinere Unterschiede innerhalb des Kapitels. Diese Unterschiede sind jeweils durch eine Box mit dem entspre chenden Kürzel markiert. Das folgende Beispiel zeigt einen Textbaustein, der nur für Aufbau- und Standard-BCMS relevant ist: Texte in einer solchen Box gelten nur für das Aufbau- und das Standard- AS BCMS. Für Personen, die über keine Vorerfahrung zum Aufbau eines Managementsystems im Allgemeinen sowie zum BCM im Speziellen verfügen, wurde das Kapitel 2 Was ist Business Continuity Management (BCM) verfasst. Es erläutert die wichtigsten Begriffe und Definitionen zum BCM und die die wichtigsten Schnittstellen zu anderen Manage mentsystemen. Personen und Institutionen mit Vorerfahrung zum BCM sollten mindes tens die Kapitel 2.1 Begriffe, 2.3 (zeitlicher) Ablauf der Bewältigung sowie 2.6 BCMS- 17 1 Einleitung Stufenmodell (Reaktiv-, Aufbau und Standard-BCMS) gelesen haben, um die im BSI- Standard 200-4 genutzten Begriffe und deren Definitionen zu kennen. Institutionsleitungen sind grundsätzlich für das BCM verantwortlich. Sie sollten aufgrund dieser Verantwortung mindestens die Inhalte des Kapitels 3 Initiierung des BCMS durch die Institutionsleitung (R+AS) kennen und beachten. Kapitel 14 Anhang A: Anforderungskatalog verweist auf den normativen Anforderungs katalog. Dieser fasst die Anforderungen zusammen, damit BCM-erfahrene Leser einen schnellen Überblick gewinnen können. Kapitel 15 Anhang B: Hinweise zu den Hilfsmitteln enthält Informationen über weiter führende Hilfsmittel auf der Webseite des BSI. Kontaktmöglichkeiten Kommentare jeglicher Art, unabhängig davon, ob es sich um eine orthografische oder inhaltlich-fachliche Anmerkung handelt, können an [email protected] gerichtet werden. Jeder Kommentar und der damit verbundene Austausch mit den An wendenden ist sehr willkommen. Das BSI informiert über Updates zum BSI-Standard 200-4 über die etablierten Kanäle. 18 2 Was ist Business Continuity Management (BCM)? Dieses Kapitel bietet eine Übersicht zu allen zentralen, wichtigen Begriffen, Definitionen und Bestandteilen dieses Standards. Darüber hinaus ermöglicht das Kapitel Institutionen ohne Vorerfahrung einen schnellen Einstieg in das Thema BCM. 2.1 Begriffe Im Fokus des BCM liegen die zeitkritischen Geschäftsprozesse der Institution, die ge gen Ausfälle abgesichert werden sollen. Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen: Ein Geschäftsprozess im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätig keiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten (OEs) ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen. Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger. Hinweis Nachfolgend werden in dem gesamten Standard unter dem Begriff Geschäftspro zess auch Fachaufgaben verstanden. Für die im BCM betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend. Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das BCM nicht notwendig. Als zeitkritisch gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor fest gelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährden den Schaden für die Institution führen kann. So kann z. B. ein Ausfall, der gegen ent sprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen füh ren. Falls andere Geschäftsprozesse, wie beispielsweise Unterstützungsprozesse, oder Ressourcen, wie beispielsweise Personal, IT-Systeme oder Dienstleistungsunternehmen, benötigt werden, um die zeitkritischen Geschäftsprozesse aufrecht zu erhalten, müssen auch diese als zeitkritisch angesehen werden. Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind. Hinweis Im BCM werden ausschließlich die zeitkritischen Geschäftsprozesse berücksichtigt. Ein Prozess ist nur dann nicht zeitkritisch, wenn genügend Zeit zur Verfügung steht, um auf eine Störung oder einen Ausfall dieses Prozesses angemessen zu reagieren. 19 2 Was ist Business Continuity Management (BCM)? Üblicherweise werden Schadensereignisse durch die Allgemeine Aufbauorganisation (AAO) im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt. Die AAO ist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs. Für die AAO sind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt. Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch die AAO und deren Strukturen zu bewälti gen sind. In diesem Fall wird in der Regel eine Besondere Aufbauorganisation (BAO) eingesetzt. Die BAO ist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situa tionen angemessen und schnell reagieren kann. Innerhalb der BAO gelten zeitlich be grenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können. Um zu verdeutlichen, welche Schadensereignisse durch das BCM behandelt werden, werden im Folgenden die Begriffe Störung, Notfall und Krise voneinander abgegrenzt. Abbildung 2: Abgrenzung Störung, Notfall, Krise Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen. Störungen werden in der Regel innerhalb des Normalbetriebs durch die AAO der Institution behoben. Hierzu wird auf vorhandene Prozesse zur Stö rungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen. Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards. Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer an gemessenen Zeit behoben werden können. Ein Notfall im Sinne dieses Standards ist eine Unterbrechung des Geschäftsbetriebs, die mindestens einen zeitkritischen Geschäftsprozess betrifft, der nicht im Normalbetrieb in nerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann (siehe Kapi tel 6.2 Konkretisierung des Begriffs zeitkritisch (R+A)). Im Gegensatz zu Störungen wird 20 2.1 Begriffe zur Bewältigung von Notfällen eine BAO benötigt. Im Gegensatz zur Krise liegen geeig nete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden. Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbre chung des Geschäftsbetriebs führt, um schnell reagieren zu können. Es genügt die Ge fahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird. Hinweis Der Begriff Notfall wird hier im Kontext BCM definiert. In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brand schutzes oder Schutz von Leib und Leben. Wenn im BSI-Standard 200-4 nachfol gend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint. Als Krise im Sinne dieses Standards wird ein Schadensereignis bezeichnet, das sich in er heblicher Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können. Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor. Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht. Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen der BAO bewältigt. Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren. Das BCM trägt dazu bei, Krisen, die den Geschäftsbetrieb der Insti tution beeinträchtigen, mithilfe der BAO operativ zu bewältigen (siehe Glossar, Definiti on Krisenmanagement). Zudem können mithilfe der BAO auch die Folgen solcher Scha densereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb be treffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen. Beispiel Ein Stromausfall in einem Gebäudeteil der Institution, z. B. einer Werkstatt, der mit den vorhandenen Möglichkeiten der AAO beseitigt werden kann und die Arbeitsfä higkeit nicht zu lange beeinträchtigt, wird als Störung eingestuft. Weitet sich der Stromausfall hingegen aus, weil er einen großen Gebäudebereich umfasst, so können weite Bereiche der Institution nicht mehr einsatzfähig und we sentliche Arbeiten nicht mehr durchführbar sein. Falls dabei zeitkritische Geschäfts prozesse der Institution unterbrochen werden und der Wiederanlauf des Geschäfts betriebs nicht automatisch in der erforderlichen Zeit möglich ist, liegt ein Notfall vor. 21 2 Was ist Business Continuity Management (BCM)? Wirkt ein Stromausfall sich überregional aus, weil z. B. Überlandleitungen zerstört wurden und die Ausweichstandorte ebenfalls betroffen sind, liegt eine Krise vor. Die vorhandenen Notfallmaßnahmen sind nicht mehr ausreichend und die BAO muss ad hoc über geeignete Maßnahmen entscheiden, z. B. kann ein Notstromag gregat für 3 Tage eingesetzt werden. Hinweis Viele weitere Definitionen der gängigen BCM-Literatur differenzieren die Begriffe Störung, Notfall, Krise primär anhand der Auswirkungen. Im Rahmen dieses Stan dards werden die Auswirkungen stärker in einen zeitlichen Bezug gesetzt, um bei einem Schadensereignis schnell einen Notfall von einer Störung oder einer Krise un terscheiden zu können. Die Fragestellung, ob ein Geschäftsprozess zeitkritisch ist, berücksichtigt beide Aspekte und wird im BCM in detaillierteren Analysen beantwor tet. Im Schadensereignis muss somit nur noch festgestellt werden, ob ein zeitkritischer Geschäftsprozess betroffen ist und ob Notfallpläne vorliegen bzw. adaptiert werden können oder nicht. Wenn Notfallpläne vorliegen und anwendbar sind, handelt es sich um einen Notfall, der im Rahmen der BAO mit Hilfe der Notfallpläne behandelt werden sollte. Wenn keine Notfallpläne vorhanden sind oder die bestehenden Notfallpläne nur bedingt angewendet werden können, handelt es sich um eine Krise, die im Rahmen der BAO situativ behandelt werden muss. Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken. In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichts behörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr. Krisen, wie z. B. Großschadenslagen oder Ereignisse im Spannungs- und Verteidigungsfall, werden in diesem Standard explizit nicht beschrieben. Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eige nen Betroffenheit aufgefasst und nicht näher erläutert. In diesem Standard wird der Begriff Katastrophe nicht definiert, weil es hierzu bereits Legaldefinitionen der Länder (z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin (siehe [BRLN]) oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden- Württemberg (siehe [BW2])) und des Bundes gibt (z. B. Definition gemäß BBK-Glossar (siehe [BBK1])). BCM behandelt die Auswirkung von Schadensereignissen auf die eigene Institution. Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Ka tastrophe unterschieden. 22 2.2 Grundlagen eines Managementsystems (BCMS) Weitere wesentliche Begriffe, die zusätzlich relevant zum Verständnis dieses Standards sind, werden innerhalb des Glossars definiert (siehe Anhang B: Hinweise zu den Hilfsmit teln). 2.2 Grundlagen eines Managementsystems (BCMS) Ein Managementsystem umfasst alle Regelungen, die dazu dienen, eine Institution so zu steuern und zu lenken, dass die jeweiligen Ziele des Managementsystems erreicht wer den (siehe [BSI1]). Bei einem Managementsystem für Informationssicherheit liegt das Ziel in der Verbesserung der Informationssicherheit. Bei einem Managementsystem für Busi ness Continuity ist das Ziel, die zeitkritischen Geschäftsprozesse gegen Ausfälle abzusi chern. Für jedes Managementsystem gilt es, die gesteckten Ziele effektiv und effizient zu erreichen und die sich stetig verändernden Rahmenbedingungen und Anforderungen der Institution zu berücksichtigen. Ein Business Continuity Management System (BCMS) kann sicherstellen, dass die Reife des BCM und somit der Resilienz gegen Geschäftsun terbrechungen kontinuierlich und systematisch gesteigert wird. Anders als ein Projekt, das ein einmaliges Vorhaben mit konkretem Ziel darstellt und zeit lich terminiert ist, bedient sich ein Managementsystem verschiedener, aufeinander abge stimmter Elemente, um systematisch und fortlaufend die Ziele einer Institution zu errei chen. Ein BCMS besteht aus den nachfolgenden Elementen (siehe Abbildung 3): Abbildung 3: BCMS-Bestandteile Die BCM-Organisation umfasst alle Rollen im BCM, die in der Notfallvorsorge sowie in der Notfallbewältigung Aufgaben und Zuständigkeiten innehaben. Grundsätzlich agieren die Rollen auf den drei nachfolgenden Ebenen innerhalb der BCM-Organisation: Strategische Ebene (Diese legt die allgemeinen, langfristig wirkenden Rahmenbe dingungen, den Geltungsbereich und die Ziele fest und trägt die Verantwortung.) 23 2 Was ist Business Continuity Management (BCM)? Taktische Ebene (Diese definiert mittelfristig wirkende Vorgaben, Aktivitäten und Methoden anhand der Rahmenbedingungen und Ziele und überwacht die Umset zung.) Operative Ebene (Diese beinhaltet konkrete kurzfristige Handlungen, um die ge steckten Ziele zu erreichen. Sie berücksichtigt hierbei die definierten Vorgaben und Methoden und setzt die Vorgaben um.) Hinweis In anderen Standards, z. B. zur öffentlichen Gefahrenabwehr, haben diese Begriffe eine andere Bedeutung. Daher sollten die Begriffe taktisch und operativ stets im je weiligen Kontext betrachtet werden. Die BCM-Methoden sind die Werkzeuge, die benötigt werden, um das BCM umzuset zen. Hierzu gehören die Business-Impact-Analyse, die BCM-Risikoanalyse sowie Metho den, um Business-Continuity-Strategien (BC-Strategien), Lösungen und Notfallpläne zu entwickeln. Der BCM-Prozess dient dazu, das BCMS aufzubauen, zu betreiben und kontinuierlich weiterzuentwickeln. Gegenüber einigen anderen Managementsystemen weist ein BCMS die Besonderheit auf, dass es neben dem BCM-Prozess den (zeitlichen) Ablauf der Bewäl tigung gibt, der ebenfalls prozessual beschrieben werden kann. Die Aktivitäten der Be wältigung sind ereignisbezogen und ruhen im Normalbetrieb, bis ein Schadensereignis mit Notfall- oder Krisenpotenzial eintritt. Der BCM-Prozess regelt auch den Ablauf der Bewältigung und bereitet diese vor. Umgekehrt fließen Erkenntnisse aus der Bewälti gung in die Weiterentwicklung und Verbesserung des BCM-Prozesses ein. Der Ablauf der Bewältigung wird im nachfolgenden Kapitel konkreter erläutert (siehe Kapitel 2.3 (zeitlicher) Ablauf der Bewältigung). Der BCM-Prozess folgt einem PDCA-Zyklus. In die sem Schema werden die Aufgaben und Aktivitäten nachvollziehbar geplant (PLAN), durchgeführt (DO), überwacht (CHECK) sowie laufend verbessert (ACT). 24 2.3 (zeitlicher) Ablauf der Bewältigung Abbildung 4: PDCA-Zyklus eines Managementsystems Die Phasen PLAN, DO, CHECK, ACT werden jeweils zu einem PDCA-Zyklus zusammen gefasst, der sich kontinuierlich wiederholt (siehe Abbildung 4). Der Reifegrad des Mana gementsystems steigert sich mit jedem weiteren PDCA-Zyklus. Wie der BCM-Prozess an hand eines PDCA-Zyklus aufgebaut ist, hängt von der gewählten BCMS-Stufe ab. Dies wird in Kapitel 2.6.2 Übersicht über den BCMS-Prozess beschrieben. Auf Basis der Ziele muss die Leitungsebene die erforderlichen finanziellen, personellen und zeitlichen BCM-Ressourcen zur Verfügung stellen. Diese werden innerhalb der Initi ierung des BCMS festgelegt (siehe Kapitel 3 Initiierung des BCMS durch die Institutions leitung (R+AS)). Die BCM-Dokumentation beinhaltet sowohl Dokumente, die das BCMS selbst be schreiben als auch das Notfallhandbuch, das in der Notfallbewältigung eingesetzt wird. Die Besonderheiten der BCM-Dokumentation werden in Kapitel 4.4 Dokumentation nä her erläutert. Schnittstellen zu anderen Managementsystemen stellen sicher, dass die Methoden und Prozesse der unterschiedlichen Managementsysteme aufeinander abgestimmt sind. Das BCM ist anhand der Schnittstellen in die institutionsübergreifende Gesamtsicherheitsstra tegie eingebunden. Zudem erzeugen Schnittstellen Synergieeffekte, um finanzielle, per sonelle und zeitliche Ressourcen zu sparen. Die wichtigsten Schnittstellen werden in Ka pitel 2.4 Abgrenzung und Synergien vorgestellt. 2.3 (zeitlicher) Ablauf der Bewältigung Ein individuell angepasstes BCMS ermöglicht Institutionen, Schadensereignisse schnell und effektiv zu bewältigen. 25 2 Was ist Business Continuity Management (BCM)? Abbildung 5: Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM Ohne BCM ist die Situation durch große Unsicherheit gekennzeichnet. Nachdem das Schadensereignis festgestellt und Sofortmaßnahmen eingeleitet wurden, müssen zu nächst die Zuständigkeiten geklärt und alle notwendigen Informationen zusammenge tragen werden. Unter Umständen müssen geeignete Kommunikationskanäle erst aufge baut werden. Es muss geklärt werden, welche Prozesse als erstes wieder starten müssen, um die Existenz der Institution zu sichern. Falls dies nicht leicht zu ermitteln ist, besteht die Gefahr, dass zeitlich unkritischere Prozesse zuerst gestartet werden. Werden infolge dessen zeitkritische Prozesse zu spät gestartet, kann dies schnell die Existenz der gesam ten Institution gefährden. Ohne BCM wird auch deutlich mehr Zeit gebraucht, um ge eignete Maßnahmen abzustimmen und auf das Schadensereignis zu reagieren. Der Ge schäftsbetrieb kann nur in kleinen Schritten anhand ad hoc entschiedener, alternativer Verfahren wiederaufgebaut werden. Aufgrund des längeren Ausfalls von Geschäftspro zessen nehmen Arbeitsrückstände zu, z. B. um manuelle Arbeiten im IT-System nachzu pflegen. Zusätzliche Nacharbeiten werden erforderlich. Infolgedessen beginnt die Wie derherstellung ohne BCM später, da es mehr Zeit in Anspruch nimmt, das Ausmaß des Ereignisses zu erkennen und angemessen darauf zu reagieren. Zudem fehlt eine überge ordnete Koordination aller Aktivitäten, d. h. es gibt z. B. keine Pläne und kein Entschei dungsgremium. Mit BCM kann ein Schadensereignis anhand festgelegter Kriterien schnell an kompeten te Entscheidungsinstanzen gemeldet und als Notfall oder Krise identifiziert werden. Auf Grundlage der bereits vorhandenen Notfallpläne kann der Geschäftsbetrieb zeitnah wie deranlaufen und im Rahmen eines definierten Notbetriebs fortgeführt werden. Die Exis tenz der Institution ist gesichert. Zudem kann zur Bewältigung auf eine BAO zurückge griffen werden. Diese ist speziell dafür etabliert und trainiert, Notfälle und Krisen zu ma nagen. Abbildung 6 verdeutlicht schematisch einen typischen Ablauf der Bewältigung eines Schadensereignisses mithilfe des BCM. Die Zeitabschnitte sind zwecks besserer Lesbar keit gestrafft dargestellt. Die wichtigsten Ereignisse und Aktivitäten der Notfallbewälti gung werden nachfolgend kurz vorgestellt und in späteren Kapiteln dieses Standards näher erläutert. 26 2.3 (zeitlicher) Ablauf der Bewältigung Hinweis Aufgrund der unterschiedlichen Auswirkungen von Schadensereignissen können die Ereignisse und Aktivitäten in der Bewältigung gemäß Abbildung 6 nur schematisch wiedergegeben werden. In der Praxis laufen Ereignisse und Aktivitäten nicht immer linear ab, sondern sie überschneiden sich oder laufen parallel zueinander. Insbeson dere die Schritte Sofortmaßnahmen und Alarmierung sind situationsspezifisch und können zeitlich auch in umgekehrter Reihenfolge ausgeführt werden. Abbildung 6: Ablauf der Bewältigung mit BCM Der Eintritt eines Schadensereignisses ist definiert als der Zeitpunkt, zu dem ein Schadensereignis tatsächlich passiert. Da Schadensereignisse in einigen Fällen zunächst unbemerkt bleiben, ist der Eintritt nicht immer zweifelsfrei zeitlich bestimmbar. In der Praxis kann der Eintritt des Schadensereignisses daher auch mit dem Zeitpunkt gleichge setzt werden, zu dem das Schadensereignis erstmalig wahrgenommen wird. Sofortmaßnahmen dienen dazu, Leib und Leben zu schützen sowie weitere Schäden in Folge des Schadensereignisses zu verhindern oder zumindest einzudämmen. So können z. B. Ausweichstandorte sofort bezogen werden. Je nach Situation können Sofortmaß nahmen bereits eingeleitet werden, bevor das Ereignis zu einem Notfall eskaliert wird, um weiteren Schaden abzuwenden. Im Einzelfall können zu Sofortmaßnahmen auch Maßnahmen gezählt werden, die keinen zeitlichen Aufschub dulden und sich daher der strukturierten Bewältigung durch die BAO entziehen, z. B. eine vorgeschriebene Sofort meldung eines Schadensereignisses an einen Regulator. Die Alarmierung und Eskalation regelt, wie ein Schadensereignis an zuvor definierte Meldestellen gemeldet werden soll. Der Standard beschreibt hierzu eine Möglichkeit, wie Meldestellen das Ereignis initial bewerten und an eine zentrale Entscheidungsinstanz 27 2 Was ist Business Continuity Management (BCM)? melden, falls das Ereignis als potenzieller Notfall eingestuft wurde. Wird das Schadenser eignis durch die Entscheidungsinstanz als Notfall bestätigt, muss diese sicherstellen, dass die BAO alarmiert wird. Die Konstituierung der BAO beinhaltet alle Aktivitäten, die die BAO in die Lage verset zen, ihre Arbeit aufzunehmen. So bezieht die BAO z. B. einen Stabsraum und alle not wendigen Arbeitsmittel werden zum sofortigen Einsatz vorbereitet. Im Stab wird final darüber entschieden, ob der Notfall als solches bestätigt oder das Ereignis deeskaliert wird. Nach Bestätigung des Notfalls erfolgt der Start der Bewältigung durch die BAO. Zu dem wird der Notfall in der Institution durch die BAO ausgerufen und die BAO nimmt ihre Arbeit auf. Zunächst stellt die BAO die Lage fest und erste Maßnahmen wer den festgelegt. Die verabschieden Maßnahmen müssen operativ umgesetzt und an schließend nachverfolgt werden, z. B. ob sie wirksam sind. Nach Ausrufen des Notfalls weist der Stab situationsbezogen die betroffenen Organisationseinheiten an, den Ge schäftsbetrieb wiederanlaufen zu lassen, indem dieser in einen stabilen Notbetrieb zu überführt wird. Der Wiederanlauf beschreibt alle Maßnahmen, um strukturiert in einen vorab geregel ten Notbetrieb wechseln zu können. So kann es notwendig sein, alternative Ressourcen bereitzustellen (z. B. Ausweich-IT-Systeme, Notfallarbeitsplätze etc.), Prozesse und Tätig keiten auf einen möglicherweise reduzierten Notbetrieb umzustellen oder die Mitarbei tenden in die definierten alternativen Prozesse einzuweisen. Das BCM gibt Fristen vor, innerhalb derer der Wiederanlauf erfolgt sein muss (Wiederanlaufzeit). Die Geschäftsfortführung beschreibt, wie die Geschäftsprozesse in einem Notbetrieb mithilfe alternativer Ressourcen oder alternativer Prozessschritte durchgeführt werden können. Innerhalb dieser Phase können beispielsweise Ersatzsysteme genutzt oder Tätig keiten innerhalb von Geschäftsprozessen zurückgestellt, modifiziert oder anders priori siert werden. Die Wiederherstellung hat einen Zustand zum Ziel, in dem der Normalbetrieb wieder möglich ist. Ausgefallene Ressourcen können z. B. neu beschafft, Ersatzteile eingesetzt oder Komponenten neu installiert und konfiguriert werden. Die Wiederherstellung um fasst alle Tätigkeiten ausgehend vom Beginn der Bewältigung bis hin zur Deeskalation des Ereignisses. Sie verläuft häufig parallel zum Wiederanlauf und zum Notbetrieb. Typi scherweise erfolgt die Wiederherstellung ausgefallener Ressourcen durch die ressourcen zuständigen Organisationseinheiten. Sie sind üblicherweise nicht Teil der BAO, sondern arbeiten parallel zu deren Maßnahmen. Jedoch sollten die Maßnahmen zur Wiederher stellung mit den Maßnahmen zum Wiederanlauf und zum Notbetrieb zwischen den be teiligten Zuständigen abgestimmt werden, um unter anderem die notwendige Dauer des Notbetriebs ableiten zu können. Die Notfall- und Krisenkommunikation (NuK-Kommunikation) dient dazu, Infor- mationen während der Bewältigung zu sammeln, zu verifizieren sowie adressatenge recht nach innen und außen zu verteilen. Ferner werden im Rahmen der NuK-Kom- munikation vorab definierte Regeln zum Umgang mit Medien, Presse und gegebenen 28 2.3 (zeitlicher) Ablauf der Bewältigung falls (Aufsichts-)Behörden angewendet und es wird überprüft, ob diese eingehalten wer den. Die Deeskalation des Schadensereignisses markiert den Übergang von der Bewälti gung zurück in den Normalbetrieb und kann durch die BAO ausgerufen werden, sobald sich abzeichnet, dass die Ursache des Schadensereignisses beseitigt wurde, der Schaden eingedämmt werden konnte und sich nicht weiter ausbreitet sowie eine Bewältigung des Schadensereignisses durch eine BAO nicht länger erforderlich ist. In der Praxis sind zwischen der Deeskalation des Schadensereignisses und dem Erreichen des Normalbetriebs häufig weitere Aktivitäten und Nacharbeiten erforderlich. Unter Nacharbeiten ist alles zu verstehen, was aufgrund des Notbetriebs nicht erledigt werden konnte, aber zur Aufgabenerfüllung nachgeholt werden muss. Dies umfasst z. B. nicht bearbeitete (zeitunkritische) Aufgaben, Rückstand an Anfragen, Digitalisieren manuell erfasster Informationen, fehlende Berichte zu durchgeführten Aufgaben, Rückbau von Ersatzanlagen und -systemen, Rückspielen von Daten in andere Systeme oder Datenbanken, Überprüfung und Wiederherstellung der Datenaktualität und Datenkonsistenz in IT- Anwendungen, z. B. Status von Batchläufen und Schnittstellen zu anderen Syste men, sowie Schwenk von Ausweich- zu wiederhergestellten Hauptsystemen. Üblicherweise fallen Nacharbeiten an, die sich aus dem Notbetrieb ergeben. Die erfor derlichen Nacharbeiten sind nicht unbedingt Teil der Bewältigung. Dies gilt, solange die regulären Prozesse zur Störungsbeseitigung greifen. Hinweis Die Praxis zeigt, dass die Zeit der Nacharbeiten weiterhin eine arbeitsintensive Zeit für die Institution ist. In Abbildung 6 ist dies durch eine „Wölbung“ dargestellt, da die Institution mehr Zeit oder Ressourcen investieren muss, um diesen Rückstand aufholen zu können. Das schrittweise Auflösen der BAO erfolgt während der Nacharbeiten, sobald die In stitution entscheidet, dass die BAO nicht mehr benötigt wird. Es kann sinnvoll sein, dass die BAO die Nacharbeiten noch eine Weile begleitet, z. B. wenn es dabei wieder zu ei nem Notfall kommen könnte. 29 2 Was ist Business Continuity Management (BCM)? Wenn die BAO aufgelöst wird, werden die verschiedenen Rollen innerhalb der BAO situ ationsbezogen aus der BAO zurück in die AAO entlassen. Zudem muss gegebenenfalls der Stabsraum zurückgebaut sowie dessen Ausstattung aktualisiert werden. Spätestens sobald alle Arbeitsrückstände aufgearbeitet wurden und die ausgefallenen Ressourcen wiederhergestellt werden konnten, ist der Normalbetrieb wieder möglich. Die anschließende Analyse der Bewältigung trägt wesentlich dazu bei, das BCMS wei terzuentwickeln und die Bewältigung zukünftiger Schadensereignisse zu verbessern. An hand der gewonnenen Erfahrungen und den real angewendeten Maßnahmen und Plä nen lassen sich Korrekturbedarfe und Verbesserungsmöglichkeiten im BCMS optimal identifizieren und innerhalb des kontinuierlichen Verbesserungsprozesses behandeln. Damit eine Notfallbewältigung wie dargestellt ablaufen kann, werden im Rahmen des BCMS Vorsorge- und Notfallmaßnahmen sowie Business-Continuity-Lösungen (BC-Lö- sungen) vorgeplant. Unter Vorsorgemaßnahmen fallen alle Maßnahmen, die präventiv erarbeitet und um gesetzt werden, um die Eintrittshäufigkeit eines Ressourcenausfalls zu reduzieren. Beispiel In Bezug auf die Ressourcenkategorien Gebäude und Infrastruktur könnten mehrere Vorsorgemaßnahmen umgesetzt werden, um die Ausfallwahrscheinlichkeit eines Gebäudes zu senken. So können Mitarbeitende beispielsweise dahingehend sensibi lisiert werden, stets auf Brandlasten wie Verpackungsmaterialien zu achten und die se umgehend zu entfernen. Zusätzliche Vorsorgemaßnahmen könnten darin beste hen, das Gebäude durch weitere Brandschutzvorkehrungen wie Brandschotte oder Feuerschutztüren gegen Feuer abzusichern. Unter BC-Lösungen fallen alle Maßnahmen, die im Vorfeld erarbeitet und umgesetzt werden, um eine Geschäftsfortführung im Notfall zu ermöglichen. Beispiel „Ausweichstandort bereitstellen“ stellt eine typische BC-Lösung dar. Der Ausweich standort wird zwar bereitgestellt, aber erst im Falle eines Gebäudeausfalls von den zeitkritischen Organisationseinheiten bezogen. Auch können zusätzliche Laptops und Zugangstoken bevorratet werden. Diese ermöglichen den Mitarbeitenden im Notfall ortsungebunden weiterarbeiten zu können. Unter Notfallmaßnahmen fallen alle Maßnahmen, die im Vorfeld erarbeitet jedoch erst im Schadensfall umgesetzt werden, um den Schaden zu begrenzen und Geschäftspro zesse fortzuführen. Dazu gehören alle Maßnahmen zum Wiederanlauf und zur Ge schäftsfortführung sowie alle Sofortmaßnahmen. 30 2.4 Abgrenzung und Synergien Beispiel Die Notfallmaßnahme „Ausweichstandort beziehen“ erläutert, wie eine Organisati onseinheit während eines Gebäudeausfalls an einen Ausweichstandort wechselt, welche priorisierten Tätigkeiten sie dort auf welche Weise mit den dort vorhandenen Mitteln durchführt und wie die Organisationseinheit wieder an den primären Stand ort zurückkehrt. Notfallmaßnahmen konkretisieren, wie zuvor erarbeitete BC- Lösungen im Notfall umgesetzt werden sollen. Weitere Informationen zur Bewältigung können dem Hilfsmittel Weiterführende Aspekte zur Bewältigung entnommen werden. 2.4 Abgrenzung und Synergien Wie bereits in Kapitel 1.2 Zielsetzung dargestellt, tragen eine Reihe von Themen und Managementsystemen dazu bei, eine organisatorische Resilienz aufzubauen. In diesem Sinne ist es auch nicht zielführend, ein BCMS als Insellösung zu betrachten, sondern es bedarf einer Gesamtsicherheitsstrategie, in der alle wesentlichen Themen zur organisato rischen Resilienz zusammen betrachtet werden. Ein BCMS sollte im Rahmen einer sol chen Gesamtsicherheitsstrategie in der Institution etabliert werden. Zusammen mit den nachfolgend aufgeführten Managementsystemen und Sicherheitsthemen trägt das BCM maßgeblich dazu bei, die Institution resilient gegenüber den unterschiedlichsten Arten von Risiken, Ausfall- und Schadensszenarien zu machen. Die größten thematischen Überschneidungspunkte besitzt das BCM zu den Manage mentsystemen und Disziplinen ISMS, ITSCM, Krisenmanagement und Outsourcing. Diese Managementsysteme werden für den Aufbau und Betrieb eines BCMS jedoch nicht vo rausgesetzt. Die nachfolgenden Kapitel erläutern die wesentlichen Gemeinsamkeiten und Unter schiede zwischen den aufgeführten Managementsystemen. Diese Informationen werden in den weiteren Kapiteln dieses Standards um Synergieboxen ergänzt (siehe hierzu auch Kapitel 1.3 Anwendungsweise). Synergieboxen zeigen auf, welche konkreten Möglich keiten bestehen, um die Arbeit mit den angrenzenden Managementsystemen und Dis ziplinen zu erleichtern oder abzustimmen. 2.4.1 BCM und Informationssicherheit BCM und Informationssicherheit gehören in Institutionen zu den wichtigsten Säulen ei ner ganzheitlichen Sicherheitsstrategie. BCM dient dazu, den Geschäftsbetrieb aufrecht zuerhalten und den Fortbestand der Institution zu sichern. Dabei profitiert BCM von den Sicherheitsmaßnahmen und den Erkenntnissen der Vorfallbehandlung aus der Informati onssicherheit, welche die Verfügbarkeit der Ressourcen im Normalbetrieb sicherstellen. Durch eine zielgerichtete und möglichst frühzeitige Zusammenarbeit, z. B. bereits wäh rend die Managementsysteme initiiert werden, können Synergieeffekte genutzt und fi 31 2 Was ist Business Continuity Management (BCM)? nanzielle, personelle und zeitliche Ressourcen eingespart werden. Die wichtigsten Syner gieeffekte aus Sicht des BCM werden im Nachfolgenden beschrieben. Strukturanalyse, Feststellung des Schutzbedarfs nach IT-Grundschutz und Business-Impact-Analyse Im BCM bilden innerhalb der Business-Impact-Analyse die untersuchten Geschäftspro zesse und ihre für einen Notbetrieb benötigten Ressourcen die Grundlage für das weite re Vorgehen im Managementsystem. Falls die Geschäftsprozesse nicht schon aus einem Geschäftsprozessmanagement bekannt sind, können die Ergebnisse aus der Strukturana lyse nach IT-Grundschutz als gemeinsame Datenbasis verwendet werden. In den Analysen zum Schutzbedarf (siehe [BSI2]) und zum Business Impact werden oft mals dieselben Kontaktpersonen und ähnliche Bewertungsmethoden herangezogen. Einheitliche Stammdaten und aufeinander abgestimmte Methoden steigern die Akzep tanz in der Institution, reduzieren die Aufwände und vermeiden Missverständnisse bei den Kontaktpersonen. Unter Umständen kann eine gemeinsame Datenerhebung sinnvoll sein. In diesem Fall ist es wichtig zu beachten, dass nur die Daten der Bereiche, die von beiden Managementsystemen untersucht werden, auch gemeinsam erhoben werden. Risikoanalyse und -behandlung Im Hinblick auf die möglichen Ursachen eines Ausfalls des Geschäftsbetriebs oder einzel ner Ressourcen können die Informationssicherheit und das BCM auf die gleichen Ge fährdungen und Methoden zur Risikobewertung zurückgreifen. Beim BCM steht jedoch die Identifizierung von Gefährdungen im Vordergrund, da die potenzielle Schadenshöhe schon in der Business-Impact-Analyse bewertet wird. Eine gemeinsame Übersicht der re levanten Risiken in Form eines integrierten Risikobehandlungsplans erlaubt es, finanziel le, personelle und zeitliche Ressourcen einzusparen und einen umfassenden Blick auf die notwendigen Sicherheits- und BC-Lösungen zu erhalten. Maßnahmen Alle Maßnahmen, die die Verfügbarkeit verbessern, sind sowohl für das BCM als auch für die Informationssicherheit relevant. Sind z. B. Ressourcen bereits in einem der beiden Managementsysteme redundant ausgelegt und wird deren Verfügbarkeit regelmäßig ge testet, dann profitiert das jeweils andere Managementsystem davon. Neben dem Schutz der IT umfasst die Informationssicherheit auch den Schutz von Infor mationen aller Art, z. B. auch von solchen auf Papier oder in den Köpfen. Für Informati onen spielen neben der Verfügbarkeit die Schutzziele Vertraulichkeit und Integrität eine große Rolle. Allgemein könnte angenommen werden, dass nur Sicherheitsmaßnahmen, die die Verfügbarkeit betreffen, für das BCM relevant sind. Doch auch Sicherheitsmaß nahmen, die die Integrität und Vertraulichkeit der Informationen sicherstellen, können den Ausfall von Geschäftsprozessen verhindern oder zumindest in der Eintrittshäufigkeit reduzieren. So kann z. B. der Verlust der Integrität von essenziellen IT-Systemen in letzter Konsequenz für die betroffenen Geschäftsprozesse gleichbedeutend damit sein, dass die IT-Systeme nicht zur Verfügung stehen. 32 2.4 Abgrenzung und Synergien Informationsfluss Beide Managementsysteme informieren regelmäßig die internen Interessengruppen über Tätigkeiten, Maßnahmen und Risiken (Informationsfluss). Oftmals erfolgt diese Kommu nikation an die gleichen Rollen innerhalb der Institution durch die jeweilige Beauftrag ten-Funktion. Eine gemeinsame Berichterstattung hat insbesondere in der Risikobewer tung und Risikobehandlung viele Vorteile. Zum einen können Zusammenhänge zwischen BCM und ISMS aufgezeigt werden, was Entscheidungen auf Grundlage einer besseren Informationsbasis ermöglicht. Zum anderen werden doppelte Berichte vermieden und somit Ressourcen eingespart, auch auf Leitungsebene. Im Sinne einer Gesamtsicherheits strategie können zudem die Interessengruppen für beide Themengebiete übergreifend geschult werden. Notfallbewältigung Auch innerhalb der Notfallbewältigung ist ein Zusammenspiel von BCM und ISMS von Vorteil. Zwar ist im BCM die Ursache eines Ausfalls vernachlässigbar, um einen Ge schäftsfortführungsplan zu aktivieren und so einen Notbetrieb sicherzustellen. Dennoch ergeben sich Überschneidungen, da in vielen Fällen sowohl die Business Continuity als auch die Schutzziele der Informationssicherheit betroffen sind. Wenn z. B. Teile der IT durch einen Cyberangriff kompromittiert werden und ausfallen, dann sorgt die Ge schäftsfortführungsplanung des BCMS für einen Notbetrieb, der den Ausfall zeitkriti scher Ressourcen überbrückt und so die Überlebensfähigkeit der Institution steigert. Zeitgleich bereinigt das ISMS zusammen mit dem ITSCM die IT und stellt diese wieder für einen Normalbetrieb zur Verfügung. Somit sorgen das BCMS und das ISMS zusammen mit dem ITSCM für organisatorische Resilienz. Ausweichverfahren im BCMS mit dem primären Ziel der Verfügbarkeit sollten grundsätz lich auch darauf achten, Vertraulichkeit und Integrität zu wahren. Das Risiko, dass diese Schutzziele verletzt werden, wird daher auch in den BC-Strategien untersucht und die Schutzziele werden gegebenenfalls gegeneinander abgewogen. Hier unterstützen die Erkenntnisse des ISMS, insbesondere die identifizierten Schutzbedarfe für Vertraulichkeit und Integrität, das BCM darin, geeignete Ausweichverfahren für die Notfallbewältigung zu definieren. Unterschiede zwischen dem BCM und der Informationssicherheit Die oben beschriebenen Überschneidungen hinsichtlich der Datenbasis und der verwen deten Methoden stehen den unterschiedlichen Zielsetzungen der Managementsysteme gegenüber. Während ein ISMS den Normalbetrieb hinsichtlich aller drei Schutzziele absi chert, reduzieren die BC-Maßnahmen vor allem das Ausmaß eines eingetretenen Scha densereignisses. Insbesondere sollten die Schutzziele gemäß ISMS (u. a. Verfügbarkeit und Integrität im Normalbetrieb) und betriebliche Kontinuitätsanforderungen an Informationen und die IT gemäß BCMS (Verfügbarkeit und ausreichende Integrität im Notfall) vonei nander abgegrenzt werden. Die Verfügbarkeit im Normalbetrieb muss z. B. nicht zwangsläufig der Verfügbarkeit im Notbetrieb entsprechen: 33 2 Was ist Business Continuity Management (BCM)? Durch ein ISMS soll die Verfügbarkeit von Informationen so weit abgesichert wer den, dass diese den Geschäftsanforderungen im Normalbetrieb entspricht. Stö rungsbedingte Ausfallzeiten im Normalbetrieb sollen minimiert werden. Die Anfor derungen an die Verfügbarkeit werden beispielsweise innerhalb von Service oder Operational Level Agreements (SLA oder OLA) in durchschnittlichen Jahresverfüg barkeiten in Prozentwerten angegeben. Durch ein BCMS soll die Kontinuität des Geschäftsbetriebs sichergestellt werden. Im Fokus stehen die zeitkritischen Geschäftsprozesse und Ressourcen der Institution. Die umzusetzenden BC-Lösungen dienen dazu, längere Ausfallzeiten des Geschäfts betriebs zu verhindern. Die Anforderungen im BCM werden beispielsweise in Form von Wiederanlaufzeiten, maximalen Ausfallzeiten im Notfall und einem zugesicher ten Mindestniveau innerhalb von SLAs bzw. OLAs angegeben. D. h., dass auch im Schadensfall diese Anforderungen garantiert sein müssen. Beispiel Ein Prozess zur Kundschaftsbetreuung nutzt eine Anwendung, um die Kundschafts beziehungen zu verwalten (Customer Relationship Management, CRM). Diese An wendung erlaubt es, schnell und effizient auf Kontaktdaten zurückzugreifen und Informationen zu vorangegangen Geschäftsaktivitäten abzurufen. Aufgrund der Bedeutung der Informationen für den Geschäftsprozess erhält die Anwendung in nerhalb der Schutzbedarfsanalyse des ISMS eine hohe Verfügbarkeit. Gemeinsam mit der IT-Abteilung wird eine Verfügbarkeit von 99,9 %, bezogen auf das Ge schäftsjahr, festgelegt. Innerhalb der Business-Impact-Analyse im BCM wird die CRM-Anwendung anders bewertet. Sie erhält, bezogen auf existenzbedrohende Auswirkungen auf das Unternehmen, keine Kontinuitätsanforderung, da sie für einen Notbetrieb nicht zwingend erforderlich ist. Die Informationen können auch durch die Kontaktbetreuenden als Gedankenprotokoll hergeleitet werden. Zudem befinden sich die Kontaktdaten auch in anderen Medien, wie z. B. elektronischen Adressbüchern. Ein Prozess zur Auftragsvergabe in einem Produktionsunternehmen nutzt eine An wendung, um die Ressourcen zu planen (Enterprise Resource Planning, ERP). Diese Anwendung erlaubt es, schnell und effizient auf Unternehmensstammdaten zurück zugreifen und den Lagerbestand in Echtzeit abzurufen. Innerhalb der Schutzbedarfs analyse des ISMS wird deshalb eine hohe Verfügbarkeit festgestellt und gemeinsam mit der IT-Abteilung eine Verfügbarkeit von 99,9 %, bezogen auf das Geschäftsjahr, für den Normalbetrieb festgelegt. Innerhalb der Business-Impact-Analyse erfolgt ebenfalls eine Bewertung der ERP-Anwendung. Hier wird festgestellt, dass der Ge schäftsprozess maximal 6 Stunden ausfallen darf, bevor unzumutbare Auswirkungen eintreten. Um dies zu erreichen, ist es notwendig, dass die ERP-Anwendung inner halb von 4 Stunden wieder zur Verfügung steht, damit noch zwei Stunden Puffer für Alarmierungund fachliche Inbetriebnahme nach Wiederanlauf verbleiben. Die im ISMS geforderten 99,9 % Verfügbarkeit entsprechen 8,76 Stunden maximale Aus falldauer pro Jahr in Summe für alle Ausfälle. Dabei wird, statistisch gesehen, nicht 34 2.4 Abgrenzung und Synergien davon ausgegangen, dass die gesamte tolerierbare Ausfalldauer durch ein einzelnes Ereignis überschritten wird. Gemäß BCMS könnte jedoch bereits ein zeitkritischer Geschäftsprozess, der binnen 6 Stunden wiederanlaufen muss, als schlimmster an zunehmender Fall zu nicht tolerierbaren Auswirkungen für die Institution führen. Somit weicht die geforderte Wiederanlaufzeit von der bisher zugesicherten Verfüg barkeit von 99.9 % ab und verschärft die Anforderungen an die Verfügbarkeit der Anwendung in der Art, dass diese nach 4 Stunden wiederanlaufen muss. 2.4.2 BCM und ITSCM In den meisten Institutionen ist der überwiegende Teil der zeitkritischen Geschäftspro zesse unmittelbar davon abhängig, dass die eingesetzte Informations- und Kommunika tionstechnik wie vorgesehen funktioniert. Die Aufgabe des IT-Service Continuity Mana gements (ITSCM) besteht darin, Risiken für den Ausfall des IT-Betriebs frühzeitig zu er kennen und effektive Gegenmaßnahmen zu etablieren. So sollen zeitkritische IT-Services und deren zugrundliegenden IT-Systeme und IT-Ressourcen auch in einem IT-Notfall auf rechterhalten werden oder rasch wiederanlaufen können. Analog zum BCM nutzt das ITSCM dazu einen eigenen Management-Zyklus (PDCA – siehe auch ISO 27031 (siehe ). Dieser Standard setzt kein ITSCM voraus und beschreibt daher Aufgaben, die gegebe nenfalls schon im ITSCM durchgeführt werden. Zu diesen Aufgaben gehören alle Aspek te, um die Ressource IT abzusichern. Auf Basis der Anforderungen des BCM plant, im plementiert und überprüft das ITSCM verschiedene präventive und reaktive IT-Notfall- maßnahmen, die baulicher, technischer, organisatorischer und personeller Natur sein können. Das ITSCM unterstützt das BCM, indem es sicherstellt, dass die benötigten IT- Ressourcen die Wiederanlaufanforderungen einhalten. Darüber hinaus sorgt das ITSCM mittels Datensicherungskonzepten dafür, dass der Datenverlust in einem Notfall auf ein akzeptables Minimum reduziert wird. Nicht jede größere IT-Störung (Major Incident) und nicht jeder größere IT-Notfall müssen automatisch als Notfall im Kontext des BCM gewertet werden. Da jedoch aus einem Ma jor Incident gemäß ITSCM leicht eine nicht tolerierbare Geschäftsunterbrechung entste hen kann, ist es von enormer Bedeutung, dass die Prozesse zur Detektion und Behand lung des Major Incidents nahtlos in die Alarmierung und Eskalation des Notfalls sowie die Notfallbewältigung übergehen (siehe Hilfsmittel Weiterführende Aspekte zur Bewäl tigung). Hierzu bedarf es entsprechender Schnittstellen zwischen dem ITSCM und dem BCM. Beispiel In einer vollständig redundant aufgebauten IT-Umgebung fällt ein redundantes Ser vercluster in Folge eines Hardwaredefektes aus. Aufgrund von Failover-Lösungen läuft der Betrieb ohne Unterbrechung über das verbleibende Servercluster weiter. Es handelt sich hierbei zwar aufgrund des Ausfalls der Redundanz um einen IT-Notfall, jedoch nicht unbedingt um einen Notfall im Sinne des BCM, da kein zeitkritischer 35 2 Was ist Business Continuity Management (BCM)? Geschäftsprozess unterbrochen ist. Die BAO sowie der oder die BC-Beauftragte werden über den Vorfall informiert und beobachten diesen weiter. Der Vorfall wird als IT-Notfall im Rahmen der Möglichkeiten des ITSCMs behoben. Ein aktiver Eingriff der BAO des BCMS ist nicht erforderlich. Zahlreiche mögliche Ausfälle erfordern eine enge Zusammenarbeit zwischen dem BCM und dem ITSCM. Um sich optimal darauf vorbereiten zu können, sollten daher die für das BCM und das ITSCM entwickelten Verfahren und Strukturen aufeinander abge stimmt sein. Dies betrifft z. B. Rollen der BAO des BCM, sodass keine separaten Stabsstrukturen zwischen BCM und ITSCM entstehen, Alarmierungs- und Eskalationsverfahren, Informationsflüsse im (IT-)Notfall und in der Krise, Aufgabenmanagement im (IT-)Notfall und in der Krise, (IT-)Notfallpläne, Vermeidung separater (IT-)Notfall- und Krisenkommunikationsverfahren von BCM und ITSCM, Schulungen, Trainings, (IT-)Notfall- und Krisenübungen sowie technische Infrastrukturen für die (IT-)Notfall- und Krisenbewältigung. Hinweis Wie ein ITSCM unter Berücksichtigung der BCM-Anforderungen anhand eines Plan- Do-Check-Act-Zyklus aufgebaut, betrieben und weiterentwickelt werden kann, wird unter anderem in der ISO-Norm 27031 erläutert (siehe ). 2.4.3 BCM und Krisenmanagement Anhand dieses Standards können die organisatorischen Voraussetzungen geschaffen werden, um Notfälle angemessen zu bewältigen. Ein Kernelement bildet darin der Auf bau einer Besonderen Aufbauorganisation (BAO). Diese ist grundsätzlich geeignet, auch Krisen innerhalb einer Institution zu bewältigen, und stellt damit eine wesentliche Schnittstelle zu einem Krisenmanagement (KM) dar. Spezifische Anforderungen zum Aufbau eines Krisenmanagements können unter anderem den aufgeführten Standards und Normen zum Krisenmanagement in Kapitel 2.5 Überblick über Normen und Stan dards entnommen werden. Gemäß der Definition einer Krise im Sinne des BCM geht die Krise über den Notfall hin aus. Bei der Krise handelt es sich um eine außergewöhnliche Situation, für die keine BC- Planung möglich ist oder für die eine vorhandene BC-Planung nicht mehr ausreicht, um das Schadensereignis angemessen zu bewältigen. Im Krisenfall liegt daher der Fokus auf der Fähigkeit der BAO, die Lage schnell bewerten sowie Maßnahmen situativ entschei 36 2.4 Abgrenzung und Synergien den und umsetzen zu können. Die vorhandenen Notfallpläne werden in einer Krise so weit eingesetzt, wie diese geeignet sind, die Auswirkungen der Krise zu minimieren. Auf die spezifischen Unterschiede zwischen der Notfall- und der Krisenbewältigung so wie auf die Besonderheiten des IT-Krisenmanagements geht das Hilfsmittel Weiterfüh rende Aspekte zur Bewältigung näher ein. Dieses Hilfsmittel beschreibt auch die spezifi schen Unterschiede zwischen einem Notfallstab und einem Krisenstab, falls z. B. in einer größeren bzw. international angesiedelten Institution mehrere Stäbe etabliert werden. Zahlreiche mögliche Krisenszenarien erfordern eine enge Zusammenarbeit zwischen dem BCM und dem Krisenmanagement. Um sich optimal auf Krisenszenarien vorbereiten zu können, sollten daher die für das BCM und das Krisenmanagement entwickelten Verfah ren und Strukturen aufeinander abgestimmt sein. Dies betrifft z. B. Rollen der BAO des BCM und des Krisenmanagements, Alarmierungs- und Eskalationsverfahren, Informationsflüsse im Notfall und in der Krise, Aufgabenmanagement im Notfall und in der Krise, Notfallpläne und Krisenmanagementpläne, Aspekte der Notfall- und Krisenkommunikation, Schulungen, Trainings, Notfall- und Krisenübungen sowie technische Infrastrukturen für die Notfall- und Krisenbewältigung. Die Kriterien, um einen Notfall von einer Krise abzugrenzen, sollten möglichst konkret für die Institution festgelegt werden. Andernfalls müssen die Kriterien bei Eintritt eines Notfalls oder einer Krise diskutiert werden, was wertvolle Zeit in Anspruch nimmt. 2.4.4 BCM und Outsourcing sowie Lieferketten Outsourcing und der Bezug von externen Gütern in Lieferketten ist heutzutage in vielen Institutionen gängige Praxis. Im Rahmen des Outsourcings werden Geschäftsprozesse einer Institution vollständig oder teilweise durch externe Dienstleistungsunternehmen er bracht und somit nicht mehr ausschließlich durch die Institution selbst. Hierzu können zuliefernde und dienstleistende Institutionen selbst wieder auf Zuliefernde und Dienstleistungsunternehmen zurückgreifen. Dadurch entsteht eine Lieferkette (engl. supply chain). Hinweis Grundversorger wie Strom-, Wasser- oder Gasanbieter werden im Kontext dieses Standards nicht als zuliefernde Institutionen einer Lieferkette verstanden, da die üb lichen BC-Strategien zur Absicherung einer Lieferkette auf diese oftmals nicht ange wendet werden können. Sie werden in diesem Standard als benötigte Ressource in nerhalb der Business-Impact-Analyse und Risikoanalyse betrachtet. Geeignete BC- Strategien berücksichtigen den Ausfall eines Grundversorgers als Standortausfall. 37 2 Was ist Business Continuity Management (BCM)? Um sicherzustellen, dass mögliche Ausfallrisiken des Geschäftsbetriebes vermieden oder reduziert werden können, ist es erforderlich, BCM-Anforderungen an das Dienstleis tungsunternehmen zu stellen. Dazu ist es notwendig, das Thema Outsourcing von zeit kritischen Dienstleistungen auch im BCMS zu verankern und Schnittstellen zu zeitkriti schen Dienstleistungsunternehmen zu etablieren. Sowohl das Outsourcing als auch Lieferketten gehen für die Institution mit der Heraus forderung einher, die externe Leistungserbringung steuern und kontrollieren zu müssen. In der Regel kann jedoch nur das Dienstleistungsunternehmen sicherstellen, dass der un terbrechungsfreie Geschäftsbetrieb seiner Leistung gewährleistet wird. Die beziehende Institution hat darauf keine oder nur begrenzte Einflussmöglichkeiten. Sofern zeitkritische Geschäftsprozesse von externen Dienstleistungsunternehmen er bracht oder unterstützt werden, liegt es daher nicht mehr allein im Einflussbereich der güter- oder leistungsbeziehenden Institution, angemessen auf Notfälle zu reagieren und diese zu bewältigen. Notfälle auf Seiten von Dienstleistungsunternehmen wirken sich meistens unmittelbar auf den Geschäftsbetrieb der leistungsbeziehenden Institution aus und daher ist es wichtig, die zeitkritische Dienstleistung angemessen abzusichern. Fol gende Sicherungsmaßnahmen sind möglich: die relevanten Ressourcen und Geschäftsprozesse von Dienstleistungsunternehmen in die eigene Notfallbewältigung mit einbinden und beide aufeinander abstimmen auf geeignete andere Dienstleistungsunternehmen zurückgreifen die Fähigkeit gewährleisten, die Dienstleistung umgehend wieder in der eigenen In stitution zu erbringen Die BC-Strategien für einen Ausfall eines Dienstleistungsunternehmenswerden für zeit kritische Dienstleistungsunternehmen im Rahmen des Prozessschritts 10 Business- Continuity-Strategien und -Lösungen (AS) ausgewählt. Hier ist es essenziell, dass das an gestrebte Leistungsniveau des oder der Dienstleistenden in einem Notfall dem Anspruch der leistungsbeziehenden Institution gerecht wird. Da hier viele Aspekte wichtig sind, werden ausführliche Hilfestellungen zu den einzelnen BC-Strategien im Bereich Outsour cing im Hilfsmittel BC-Strategievorschläge gegeben. 2.5 Überblick über Normen und Standards BCM wird in verschiedenen Normen sowie nationalen und internationalen Standards be handelt. Die Abbildung 7 gibt einen kurzen Überblick über die wichtigsten Normen und Standards in diesem Umfeld, ohne den Anspruch auf Vollständigkeit zu erheben. Nach folgend wird eine Auswahl der für diesen Standard relevanten Normen und Standards kurz vorgestellt. 38 2.5 Überblick über Normen und Standards Abbildung 7: Übersicht über BCM-Standards sowie korrespondierende Sicherheitsthemen ISO 22301:2019 (abgekürzt ISO 22301) Die ISO-Norm 22301 „Security and resilience – Business continuity management systems – Requirements“ (siehe ) ist der erste internationale Standard zum BCM, der auch eine Zertifiz

standard_200_4.pdf

Document Details

Tags

Related

Full Transcript

Upgrade to continue