HiSolutions wünscht allen Leserinnen und Lesern des BCM-Newsletters ein frohes und gesundes neues Jahr! Auch 2023 werden wir kontinuierlich über Themen aus der Business Continuity Welt berichten.

Nicht nur Aufgrund der stetig wachsenden Cyberbedrohungslage wird Continuity und Resilience auch in diesem Jahr weiter an Bedeutung zunehmen. Dies zeigt sich sowohl in neuen Gesetzen, die Betreiber kritischer Infrastrukturen zu mehr Ausfallsicherheit bewegen sollen, als auch in einer Vielzahl von aktuellen Studien. Zudem wird es 2023 für Unternehmen immer größere Hürden geben, um sich gegen Cyberangriffe angemessen zu versichern. Einige Angriffe auf Universitäten und Hochschulen, Fahrradhersteller oder Stadtverwaltungen zeigen aber auch deutlich auf, dass Folgeschäden vor allem durch eine gute Vorbereitung von Notfallmaßnahmen begrenzt werden können – leider auch, dass kein Unternehmen sicher ist.

8. Annual Global Risk and Resilience Trends Report

Bei der Priorisierung von Maßnahmen, um die Resilienz einer Organisation zu erhöhen, kann auch der 8. Global Risk and Resilience Trends Report des DRI helfen. Der Bericht zeigt auf, wie Problemstellungen von Resilienz-Fachleuten aus allen Industrien für 2023 bewertet werden und vergleicht die Antworten mit historischen Werten, Regionen und Industrien.

• Priorisierung der allgemeinen Resilienz Problemstellungen in Europa:
• Cyber-Events (Ransomware, Spoofing /Phishing und Datenraub)
• IT-Disruptionen
• Personalknappheit
• Finanzielle Bedingungen (Inflation)
• Datenmissbrauch

Strategische Veränderungen, die in Europa beachtet werden, sind u. a. (in absteigender Priorität) die Resilienz-Kultur im Unternehmen, Veränderungen in der Sicherheit von Verschlüsselung durch Fortschritte bei Quantencomputern und Kriege.

https://drii.org/crm/presentationlibrary?plsharekey=7e9acabd79f024d

BCI Resilience in Conflict Report 2022

Durch den Angriff auf die Ukraine rückte die Kriegsgefahr wieder näher an die Industriestaaten. Nicht alle Konflikte entwickeln sich zu heißen Kriegen. sondern können auch in anderer Form, wie z. B. Cyberattacken auftreten. Im Gegensatz zum DRI-Report beschäftigt sich der BCI-Report mit den ergriffenen Maßnahmen von Unternehmen, um konfliktbezogene Krisen zu überwinden. Der Bericht bezieht sich auf 221 Antworten von Unternehmen, die in Krisengebieten agieren. Über 30 % dieser Unternehmen haben ihr Geschäftsmodell aufgrund eines Konflikts verändert. Die Unternehmen schützen ihre Mitarbeitenden physisch durch Extraktionsmaßnahmen. Über 40 % nutzt außerdem Cyber-Security-Möglichkeiten zum Mitarbeiterschutz. Weitere Problemstellungen lauten Fachkräftemangel (45,3 %), Fokus auf andere Krisen (z. B. Corona, 36,8 %) und Budgetmangel (29,5 %).

https://www.thebci.org/resource/bci-resilience-in-conflict-report-2022.html

Cyberangriffe werden sich immer schwerer versichern lassen

Mario Greco, CEO der Zurich Versicherung, sagte in der Financial Times, dass herkömmliche Versicherungen die große Gefahr von Cyberangriffen nicht mehr abdecken können. Cyberangriffe seien teurer als Naturkatastrophen, die schon das zweite Jahr in Folge Schäden von über 100 Milliarden Dollar verursacht haben. Er betonte weiterhin, dass es hier nicht nur um Daten, sondern die Sicherheit der Zivilisation an sich gehe.

Cyberversicherungen sind schon seit einiger Zeit ein treibender Faktor für Informationssicherheit in Unternehmen – aber die Aussage des fünftgrößten Versicherers der Welt verdeutlicht erneut, das BCM unabdingbar ist, um den Angriffen präventiv entgegenzustehen.

https://www.finews.ch/news/versicherungen/55047-mario-greco-cyber-angriffe-sind-bald-unversicherbar

Das nächste Jahr aus der Perspektive von Security-Experten

Im Artikel von CSO Online nennen sechs Branchenvertreter ihre Prognosen für das nächste Jahr. Im Kontext mit dem Russland-Krieg wird Wiperware genannt, die auf die Zerstörung von Daten abzielt und nicht “nur” auf deren Verschlüsselung. Aus BCM-Sicht bedeutet dies, mehr Fokus auf die Wiederherstellung zu legen. Zwei von sechs Vertretern erwähnten außerdem Zero Trust Netzwerke oder auch Zero Trust Network Access Konzepte (ZTNA) als lohnenswerte Methodik. Zudem muss die Software-Supply-Chain abgesichert werden, denn “allein von 2020 auf 2021 nahmen [Attacken auf die Supply-Chain] um 300 % zu.”

Das Aufkommen dieser neuen Themen bedeutet leider immer noch keine Entwarnung bei den alten Bekannten Ransomware, Phishing und Social Engineering. Diese Art Attacken nehmen ebenfalls zu und werden immer individueller. Behörden und Unternehmen müssen hier aus Sicht der Experten dringend Maßnahmen ergreifen.

https://www.csoonline.com/de/a/was-security-anbieter-2023-erwarten,3674361

Die Global Resilience Federation veröffentlicht neues Framework

Im Business Resilience Council (BRC) der Global Resilience Federation (GRF) haben sich Industriefachleute zusammengefunden, um ein Framework zu entwickeln, mit dem auch in Krisenzeiten nicht nur Daten, sondern auch Services wiederhergestellt werden können. Das Framework orientiert sich an bestehenden Standards wie der ISO und dem NIST. Die drei speziellen Punkte des Frameworks sind:

• Planung, wie in der Krise geschäftskritische Dienste bereitgestellt werden können
• Erstellung unveränderlicher Back-ups von Daten, Systemen, Anwendungen, Netzwerken und Konfigurationen.
• Aufbau von Unternehmenskulturen aufbauen, die widerstandsfähige Dienstleistungen ermöglichen

https://www.grf.org/orf

CER: Neue BCM-Direktive

Die neue CER-Richtlinie der EU soll die Ausfallsicherheit und damit die Resilienz kritischer Infrastrukturen erhöhen und muss von den Mitgliedstaaten bis 2024 in nationales Recht überführt werden. Die benannten “wesentlichen” Einrichtungen ähneln den KRITIS-Sektoren, schließen aber auch Zentralregierungen in den Geltungsrahmen ein. Die Aufsichtsbehörde in Deutschland wird wahrscheinlich das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Das Ziel der EU, die Cybersicherheit in der gesamten Union zu erhöhen, wird über BCM hinaus auch von der NIS-2-Richtlinie ergänzt. 

https://www.openkritis.de/it-sicherheitsgesetz/eu-rce-direktive-kritis.html

Notfall- und Krisenmanagement im neuen KRITIS-Gesetz

Durch das neue KRITIS-Gesetz wird die physische Sicherheit zur Cybersicherheit hinzugenommen. So gliedert sich das Gesetz besser in die europäische Richtlinie zu Resilienz kritischer Einrichtungen (CER) ein. Als dritter von fünf Regelungsinhalten wird das “Schutzniveau verbindlich erhöhen” gelistet, was als Mindestanforderung für Betreiber Kritischer Infrastrukturen nun die Einrichtung eines betrieblichen Risiko- und Krisenmanagements geltend macht.

https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/nachrichten/2022/eckpunkte-kritis.pdf?__blob=publicationFile&v=1

ISO 22361:2022 Krisenmanagement in der Führungsebene

Am 2. November wurde der neue Krisenmanagement-Standard der ISO veröffentlicht. Ziel der ISO 22361:2022 ist, dass Top-Management in Unternehmen bei der Planung, Etablierung, Verbesserung und Prüfung eines Krisenmanagements zu unterstützen. Dazu werden Themen wie der Kontext, Grundkonzepte, Prinzipien und Herausforderungen von Krisen definiert. Außerdem werden Wege zur Vorbereitung auf Krisen festgelegt etwa wie Krisenmanagementfähigkeiten in Unternehmen zu entwickeln oder Krisenstäbe zu bilden sind. Sollte eine Krise eintreten, werden hier auch typische Entscheidungsproblematiken angesprochen und Richtlinien zur Kommunikation während der Krise dargestellt.

https://www.iso.org/standard/50267.html

Update: Continental Hack

Beim Schreiben der letzten Ausgabe des Newsletters konnten wir live den Ablauf des Tickers zur Veröffentlichung von 40 TB Daten von Continental mitverfolgen. Nun veröffentlicht Heise, dass das Einfallstor für die Hacker der heruntergeladene Browser eines Mitarbeiters war, über den dann die Credentials in die Hände der Angreifer gelangten. Continental gibt auf der Informationsseite zum Hack bekannt, dass keine Systeme beeinträchtigt wurden.

https://www.heise.de/news/Continental-IT-Einbruch-erfolgte-ueber-heruntergeladenen-Browser-von-Mitarbeiter-7394151.html

Prüfungsphase abgesagt: Uni Duisburg-Essen gehackt

Die Universität Duisburg-Essen (DUE) mit 41.000 Studierenden wurde am Wochenende des 26. November Opfer eines Ransomware-Angriffs. Da die gesamte IT-Infrastruktur heruntergefahren und vom Internet getrennt werden musste, waren alle Microsoft Office Anwendungen, die Mensen, interne Verwaltungssysteme sowie der E-Mail- und Telefonverkehr betroffen. Die DUE hat während der Krise über eine provisorische Website laufend Updates (über Pressemeldungen, Interviews, Anleitungen zu Passwortresets und Videobotschaften) gepostet und die wichtigsten Informationen über PDF und Telefonhotlines veröffentlicht. Bei der Wiederherstellung der Dienste bremsten zwar Fristen, um alle Nutzer abzuholen, doch nach einem guten Monat waren alle Systeme wiederhergestellt. Mittlerweile befindet sich die Uni auf dem Weg in den Normalbetrieb.

https://www.uni-due.org/category/udeoffline/

Die nächste Uni wurde gehackt: HAW Hamburg 

Die Hamburger Hochschule mit 16.900 Studierenden bemerkte am 29.12.2022, dass sie gehackt wurde. Alle Kommunikationssysteme wurden vom Netz genommen und über zehn Tagen bestand kein E-Mail oder Telefonverkehr. Der Mathematik Professor Weitz informierte über ein YouTube-Video, dass er nicht per Mail erreichbar sei. Services wie die zentrale Studienberatung haben Konten bei privaten E-Mail-Anbietern wie gmx oder posteo eingerichtet und einige Dekane und Dekaninnen haben ihre Handynummer veröffentlicht. Bei der HAW wird die Bewältigung durch einen Krisenstab koordiniert. 

https://www.zeit.de/news/2023-01/04/hackerangriff-haw-kommunikationsinfrastruktur-stillgelegt

https://www.youtube.com/watch?v=BsvRnkM_NOk

https://www.haw-hamburg.de/cyberangriff/

Insolvenz bei Fahrradhersteller Prophete

Prophete stellt seit über 100 Jahren Fahrräder her und hat währenddessen einen Verbund aus vielen Marken wie Kalkhoff und Focus aufgebaut und aufgekauft. Die Insolvenz wurde zwischen den Jahren veröffentlicht, doch die Gründe waren noch nicht bekannt. Im Tochterunternehmen Cycle Union wurde schon im Jahresabschluss ein mehrwöchiger Produktionsstopp gelistet. Doch erst am 10.1. nennt der Insolvenzverwalter die Ursache: ein Cyberangriff. Ein weiterer Faktor, der die Insolvenz begünstigte, war die gestörte Lieferkette, durch die trotz voller Lager fehlende Einzelteile die Fertigstellung der Fahrräder verhinderten.

https://www.faz.net/aktuell/wirtschaft/unternehmen/verkehr-radbranche-im-wind-18592765.html

Potsdamer Stadtverwaltung

Die letzte Offline-Zeit nach einem Hack ist bei der Potsdamer Stadtverwaltung erst drei Jahre her (die Wiederherstellungszeit lag bei einem Jahr), Nun sind die Server nach einer Brute-Force-Attacke erneut nicht erreichbar. Bei allen Anliegen wird um Geduld gebeten, da keine E-Mail-Services zur Verfügung stehen und auch Leistungen wie neue Identifikationsdokumente oder Ummeldungen nicht erbracht werden können. Die mit der Stadtverwaltung verbundene Wohnungsgesellschaft Pro Potsdam, das Klinikum Ernst von Bergmann und das Stadtwerk Potsdam haben ebenfalls keine Internetverbindung mehr. Der Rathaussprecher erkannte: “Es gibt eine digitale Bedrohungslage”. Das Jugendamt kann Hinweise auf Kindeswohlgefährdungen nicht mehr per E-Mail, sondern nur noch per Telefon oder Fax empfangen. 

Die Potsdamer arbeiten mit Hochdruck an einer Ausweichlösung für die Dienste, die innerhalb einer Woche online sein soll, um gerade bei zeitkritischen Anliegen Verfahren wie den Sozialverfahren den Bürgern wieder zur Verfügung zu stehen. 

https://www.heise.de/news/Verdacht-auf-Cyberangriff-Potsdamer-Verwaltung-ist-schon-wieder-offline-7444608.html

https://www.rbb24.de/panorama/beitrag/2023/01/cyberangriff-potsdam-verwaltung-krisenstab-internet-offline.html

Schulung inkl. Prüfung zum Business Continuity Manager

Nach dem Prinzip „Learning by doing“ wenden die Teilnehmer dieser HiSolutions-Schulung im Rahmen von Workshops die Mittel und Methoden des BCM anhand von Fallbeispielen selbst an. Die jeweiligen Kerninhalte des Tages werden in Einzel- oder Gruppenarbeit erprobt.

Die angehenden Business Continuity Manager lernen die relevanten Standards und deren Komponenten, relevante Gesetze und Good Practice Guides kennen. Sie erhalten einen umfassenden Blick auf den BCM-Lebenszyklus inklusive Business-Impact- und Risikoanalyse, Strategie und Maßnahmen, Tests und Übungen, Pflege und Qualitätssicherung. Gleichzeitig lernen die Teilnehmer die BCM-Organisation, ihre Rollen und Schnittstellen kennen. Dazu werden Grundlagenkenntnisse über relevante Themenfelder wie IT-Service-Continuity-Management, ISMS und Notfallmanagement vermittelt. 

13.-16.03.2023 - HiSolutions, Remote

https://www.hisolutions.com/security-consulting/academy#c4868

Vorfall-Experte des CSN (Cyber-Sicherheitsnetzwerk)

In der dreitägigen Aufbauschulung zum Vorfall-Experten werden die Teilnehmer befähigt, im Fall von IT-Sicherheitsvorfällen schnell und effektiv reagieren und als Schnittstelle zu den Vorfall-Experten des Cyber-Sicherheitsnetzwerks beim Bundesamt für Sicherheit in der Informationstechnik agieren zu können. 

Nach erfolgreichem Abschluss der Aufbauschulung haben die Teilnehmer die Möglichkeit, durch eine Prüfung beim Cyber-Sicherheitsnetzwerk des BSI das Zertifikat „Vorfall-Experte“ zu erlangen. Nach anschließender Registrierung wird der Vorfall-Experte auf den Webseiten des CSN geführt.

Das Training richtet sich an IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfallmanager), Auditoren und Unternehmen und Einzelexperten, die mit einem Zertifikat den Status als Dienstleister des CSN oder IT-Sicherheitsdienstleister anstreben.

20.-22.06.2023 - HiSolutions, Remote
26.-28.09.2023 - HiSolutions, Remote

https://www.hisolutions.com/security-consulting/academy#c5601

BCM - Notfallplanung und Notfallübungen

In diesem Seminar erarbeiten Sie kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine professionelle Notfallplanung inklusive der zur Überprüfung notwendigen Notfallübungen.
Inhalte des Seminars:

• Überblick über die wichtigsten BCM-Standards
• Grundsätze zum Aufbau eines BCM
• Business Impact Analyse: Ermittlung von zeitkritischen Geschäftsprozessen
• Aufbau einer Notfalldokumentation
• Etablieren einer reaktiven Notfallorganisation inklusive Alarmierungs- und Eskalationsverfahren
• Planung, Durchführung und Auswertung von Notfallübungen und Notfalltests

13. - 15.02.2023 – Heise iX, Remote
17. - 19.04.2023 – Heise iX, Remote
26. - 28.06.2023 – Heise iX, Remote

https://www.heise-events.de/workshops/notfallplanung

Die nächsten HiSolutions BCM-News erscheinen Mitte März 2023!

Jetzt abonnieren!

Lesen Sie hier alle bisher erschienenen BCM-News.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!