Liebe Leserinnen und Leser,

draußen wird es wieder kälter und dunkler – in der BCM-Welt hingegen geht es nach wie vor heiß her. Während in europäischen und nationalen Arenen an der Resilienz-Regulatorik geschmiedet wird, legt der Ausfall eines IT-Dienstleisters gleich dutzende Kommunen lahm. Derweil veröffentlicht das britische BCI seine Good-Practice-Guidelines in der siebten Auflage, die neue, interessante Ansätze zum BCM liefern können.

Immer wieder zeigen jüngste Schadensereignisse, wie vielfältig und verheerend Produktionsausfälle, IT-Störungen und Dienstleisterprobleme für den Geschäftsbetrieb sein können und unterstreichen regelmäßig die Relevanz von Kontinuitätsstrategien und -lösungen im Umgang mit Notfällen und Krisen.
 

Katastrophenschutz bekommt ein neues Lagezentrum

In Koblenz wird ein neues Lagezentrum für Bevölkerungsschutz gebaut, in dem auch der Katastrophenschutz neu gedacht werden soll. Angesichts multipler Krisen der vergangenen Jahre soll hier eine Rund-um-die-Uhr-Beobachtung stattfinden, um zukünftig schneller und präziser auf Krisenfälle reagieren zu können. Dabei soll der Fokus auch verstärkt auf soziale Medien gelegt werden, um zusätzliche krisenrelevante Informationen zu generieren. Das neue Zentrum soll bereits im zweiten Quartal 2024 betriebsbereit sein.

https://www.zeit.de/news/2023-09/28/innenminister-stellt-lagezentrum-bevoelkerungsschutz-vor

Podcast zu BCM und DORA bei der DZ-Bankengruppe

Johannes Haupt, BC-Manager der DZ Bank, erklärt in einer Folge des Podcasts „durch die Bank“, wie DORA (Digital Operational Resilience Act) sich auf das BCM von Banken auswirken kann. Er hebt dabei die Neuerungen von DORA bezüglich eines BCM hervor, spricht über die Bedeutung der Business-Impact-Analyse (BIA) und über die indirekten Auswirkungen von DORA-Anforderungen auf andere Managementdisziplinen im Dunstkreis des BCM. Weitere Themen sind das Zusammenspiel der jeweiligen Rollen aus BCM und DORA sowie der Stellenwert und die Einordnung von momentanen, bereits bestehenden BCM.

https://www.bv-events.de/podcast/episode/bcm-business-continuity-management-im-kontext-von-dora-digital-operational-resilience-act

KRITIS-Dachgesetz kritisch hinterfragt: Interview mit Holger Berens

Der Vorstandsvorsitzende des Bundesverbandes für den Schutz Kritischer Infrastrukturen e. V. (BSKI) Holger Berens beantwortet in diesem Interview Fragen zum KRITIS-Dachgesetz. Thematisiert wird die Problematik der unterschiedlichen Behörden, die die Umsetzung verschiedener Sicherheitsgesetze beaufsichtigen und kontrollieren sollen. Wenngleich eine stärkere Fokussierung hinsichtlich des BSI im Bezug zum KRITIS-Dachgesetz sinnvoll wäre, wie von Berens vorgeschlagen, sieht das BMI die Zuständigkeit für Themen resultierend aus der europäischen CER-Richtlinie nicht beim BSI.

Auch die Tatsache, dass Polizei und Militär nicht unter das KRITIS-Dachgesetz fallen, wird beleuchtet. Hier wäre eine Lösung auf nationaler Ebene wünschenswert gewesen. Berens Aussage, die zuständigen Stellen wären sich ihrer Verantwortung bewusst, ist zumindest teilweise kritisch zu betrachten. Ein nicht geringer Anteil der unter KRITIS fallenden Einrichtungen baut derzeit noch auf das Prinzip Hoffnung, was – wie verschiedene Vorfälle in den letzten Jahren gezeigt haben – nicht immer funktioniert. Gerade im November wurde beispielsweise die Landespolizei von Mecklenburg-Vorpommern gehackt.

Zur Vorbereitung auf das kommende Gesetz rät Berens, bereits jetzt mit der Implementierung eines ISMS anzufangen. Bestehende Standards und regulatorische Vorgaben decken die in der CER-Richtlinie geforderten Resilienzmaßnahmen jedoch nur zum Teil ab, sodass ein ernst zu nehmender Umsetzungsaufwand bei insbesondere neu betroffenen Unternehmen zu erwarten ist. Hier sind Experten gefragt, die in den Unternehmen individuell Hilfestellung leisten können. Unternehmen und Organisationen sollten sich also zusätzlich zu Berens Rat der schnellen Einführung eines ISMS schon jetzt um die entsprechenden internen und externen Kapazitäten bemühen.

https://www.protector.de/kritis-dachgesetz-wie-koennen-sich-unternehmen-darauf-vorbereiten

Das Business Continuity Institute (BCI) veröffentlicht Good-Practice-Guidelines 7.0 zum BCM

Die Good-Practice-Guidelines (GPG) bilden einen BCM-Leitfaden, der Hinweise zur Implementierung und Methodik eines BCM bietet und auf gesammelter Praxiserfahrung beruht. Der Herausgeber, das britische Business Continuity Institute, stellte vor kurzem die neue Version der GPG vor, die seit dem 1. November verfügbar ist. 

Die nunmehr siebte Auflage soll sich besser an die ständig im Wandel befindliche Unternehmenslandschaft anpassen. Diese Neuerung erscheint unter BCM-Gesichtspunkten durchaus sinnvoll.

Unterteilt ist die neue Version in sechs sogenannte Professional Practices (PP), welche im Management- und im technischen Bereich angesiedelt sind. Die PP beziehen sich beispielsweise auf Themen wie die Einführung eines Business Continuity Management Systems, die Unternehmenskultur in Bezug auf BCM sowie die Business-Impact-Analyse (BIA) und die Risikoanalyse. Viele Änderungen, die in der neuen Version zu finden sind, sind im Kern darauf ausgelegt, dass ein BCM dynamisch ist und mehrere ineinandergreifende Prozesse abbildet. So wird beispielsweise bei der Rückkehr zum „Business as usual“ (BAU) darauf hingewiesen, dass sich Prozesse nach einem Vorfall geändert haben können und es den zuvor als „Business as usual“ bezeichneten Prozess in seiner alten Form nicht mehr geben kann. Man kann also von einer Vorfall-bedingten Evolution der Prozesslandschaft sprechen. 

Eine vollständigere Interpretation der Neuerungen findet sich auf den Seiten des BCI: https://www.thebci.org/news/good-practice-guidelines-gpg-edition-7-0-announced.html

Das Frankfurter Fax-Revival: Uni-Klinikum nach Cyberangriff im Notbetrieb

Nach Verdacht auf einen Hackerangriff im Universitätsklinikum in Frankfurt ist vorsorglich die Internetverbindung getrennt und ein Krisenstab einberufen worden. Diese Vorkehrungen klingen nach gut geregelten Vorsichtsmaßnahmen, und es ist erfreulich, dass diese auch entsprechend umgesetzt wurden. Der Schaden wird derweil von einem dreistelligen Personenteam analysiert. Dabei verdichten sich die Hinweise, dass ein kompletter Neuaufbau der IT-Infrastruktur unumgänglich sein wird. Glücklicherweise ist schon jetzt klar, dass keine Daten im Zuge des Cyberangriffs gestohlen oder verschlüsselt wurden und die Patientenversorgung zu keinem Zeitpunkt gefährdet war. 

Wesentlich gravierender sind die Auswirkungen in der Administration und Verwaltung. Besonders im Rechnungswesen wirken die Workarounds teilweise aus der Zeit gefallen: Per Fax gehen Rechnungen ein und auch papierhafte Überweisungsträger kommen wieder zum Einsatz. Auch wenn es skurril oder archaisch klingen mag – solange es funktioniert, warum nicht?

https://www.faz.net/aktuell/rhein-main/frankfurt/uniklinik-frankfurt-erholung-nach-hacker-angriff-wird-wochen-dauern-19229859.html

Luxusurlaub geplatzt: MGM Resorts werden Opfer von Cyberangriff

Der Hotel- und Casinobetreiber MGM Resorts, der weltweit und insbesondere in Las Vegas für seine Luxushotels wie beispielsweise das Bellagio oder Mandalay Bay bekannt ist, wurde Anfang September Opfer einer Ransomware Attacke. Die Ausfälle in den Betriebsabläufen reichten von nicht erreichbaren Webseiten bis hin zu Gästen, deren Zimmer von den Sicherheitsangestellten mittels „altmodischem“ Schlüssel aufgeschlossen werden mussten. In der Folge des Angriffs dauerte es ganze zehn Tage, bis der Normalbetrieb wiederhergestellt werden konnte. Eine auffällig lange Ausfallzeit, die dem Hotelgiganten unangenehm viel mediale Aufmerksamkeit für den Vorfall eingebracht hat. An der Stelle aber auch ein Lob: Man muss den MGM Resorts zugutehalten, dass sie trotz hoher Verluste das Lösegeld nicht gezahlt und somit nicht zur Finanzierung der organisierten Kriminalität beigetragen haben.

https://www.darkreading.com/attacks-breaches/mgm-resorts-cyberattack-hobbles-las-vegas-strip-operations

https://www.darkreading.com/endpoint/mgm-restores-casino-operations-10-days-after-cyberattack

https://www.darkreading.com/attacks-breaches/too-rich-to-ransomware-mgm-brushes-off-100m-in-losses-

Die (Soll-)Bruchstelle: Ein (!) Dienstleister für 70 Kommunen

Im Märkischen Kreis sind bis zu 70 Kommunen von einem Cyberangriff auf den Dienstleister Südwestfalen IT betroffen. Unter den Kommunen sind auch die beiden größten Städte der Region Iserlohn und Lüdenscheid. Zu den Folgen zählten Websites und Homepages, die offline waren, abgebrochene E-Mail-Kommunikation der Behörden und Einschränkungen in der Terminvereinbarung.

Bei so einer erstaunlich hohen Anzahl von betroffenen Kommunen beim Ausfall nur eines einzigen Dienstleisters werden im Nachgang sicher einige Fragen zum Thema Dienstleisterabhängigkeiten und sogenannten Single Points of Failures zu klären sein.

https://www.golem.de/news/suedwestfalen-it-cyberangriff-legt-it-dienste-vieler-deutscher-kommunen-lahm-2310-178937.amp.html

https://www.come-on.de/kreis-mk/stoerung-maerkischer-kreis-homepgae-offline-mk-halver-luedenscheid-92644703.html

DDoS-Angriffe führen zu Ausfällen an kanadischen Flughäfen

Der Angriff selbst zielte auf die kanadische Grenzbehörde Canada Border Services Agency (CBSA) ab – die Auswirkungen waren jedoch an vielen Flughäfen Kanadas zu spüren. Erstaunlicherweise führten die DDoS-Angriffe in diesem Fall zum Ausfall von Vor-Ort-Systemen an einigen Flughäfen wie beispielsweise elektronische Türen. Außerdem gab es an Flughäfen in ganz Kanada einstündige Verzögerungen im Check-in Bereich. Aus Telegram-Gruppenchats geht hervor, dass eine russlandfreundliche Gruppierung hinter der Tat steckt.

https://www.heise.de/news/Nach-DDoS-Attacke-Grenzterminals-an-kanadischen-Flughaefen-ausgefallen-9312866.html

Weltweiter Produktionsstopp bei VW

Nachdem eine IT-Störung zunächst der Auslöser für einen Ausfall der Produktion in sieben VW-Werken in Deutschland war, breitete sich das Problem am Nachmittag weltweit aus. An keinem Standort konnte mehr produziert werden, und das nicht nur bei VW selbst, sondern auch bei Audi. Am nächsten Morgen war das Problem zwar größtenteils behoben und der Normalbetrieb konnte wiederhergestellt werden – einen echten Schock dürften die massiven Ausfälle für VW und Audi aber dennoch bedeutet haben. Denn eine IT-Störung, die zu weltweiten Produktionsstopps führt, sollte einem Unternehmen mit der Größe und Erfahrung von VW zu denken geben.

https://www.golem.de/news/produktionsstopp-in-sieben-werken-netzwerkstoerung-legt-volkswagen-lahm-2309-178037.html

Auch in Fernost hieß es wieder Stillstand: Produktionsausfall in Toyota-Werken

Die Serie von Betriebsausfällen bei Toyota reißt nicht ab. Es ist erst drei Monate her, dass alle 14 Werke des Automobilherstellers in Japan stillstanden (wie bereits in der letzten Ausgabe des Newsletters berichtet). Damals war ein Systemfehler im Verwaltungssystem die Ursache für den Ausfall. Diesmal ist offenbar eine Explosion bei einem Zulieferer für Motorenteile der Auslöser für den neuerlichen Produktionsstopp. Sicherlich hat Toyota gerade eine Pechsträhne, aber es ist schon ungewöhnlich, dass ein weltweit agierender Konzern dieser Größe und Bekanntheit binnen kurzer Zeit wiederholt mit Krisenschlagzeilen auf sich aufmerksam macht.

https://www.tagesschau.de/wirtschaft/unternehmen/toyota-produktionsstopp-100.html

Die Exekutive ohne Elektrizität: BKA in Wiesbaden wegen Stromausfall offline

Ein großflächiger Stromausfall hat nicht nur die Anwohner in Teilen Wiesbadens getroffen, sondern wurde zu einem noch viel größeren Problem für das Bundeskriminalamt (BKA). Nach den nächtlichen Versorgungsstörungen konnten die Haushalte bereits am frühen Morgen wieder mit Elektrizität versorgt werden, aber im Laufe des Tages fielen zwei Rechenzentren des BKA aus. Mitverantwortlich dafür war auch die nicht funktionierende Notstromversorgung vor Ort. Als Folge wurden die Ermittlungsarbeiten einen ganzen Tag lang erheblich eingeschränkt. Die Verantwortung für den Stromausfall trägt nicht das BKA allein, sondern auch der Wiesbadener Energieversorger ESWE.

Möglicherweise hätten entsprechende Funktions- und Wiederanlauftests der Notstromversorgung die Mängel in „Friedenszeiten“ identifizieren und einen reibungslosen Wiederanlauf der Rechenzentren im Ernstfall gewährleisten können.

https://www.hessenschau.de/panorama/stromausfall-in-wiesbaden-wichtige-bka-ermittlungen-stundenlang-lahmgelegt-v2,bka-ohne-strom-100.html

Stand nicht auf der Zutatenliste: Austritt von Ammoniak führt zu Großeinsatz bei Nestlé in Frankfurt a. M.

Auf dem Firmengelände von Nestlé musste kürzlich die Feuerwehr mit spezieller Ausrüstung anrücken, um für den Austritt von Ammoniak in einem Serverraum gewappnet zu sein. Der Austritt kam offenbar aus Teilen des Kühlsystems für die Technik der Server. Die Ursache hierfür war zunächst unbekannt und auch zu den Auswirkungen auf den Betrieb des Nahrungsmittelkonzerns herrschte Schweigen. Es ist jedoch zu vermuten, dass es zu Einschränkungen der Servernutzung und der betroffenen Räumlichkeiten in Frankfurt a. M. kam.

https://www.fr.de/frankfurt/nestle-frankfurt-gefahrstoff-ammoniak-serverraum-ausgetreten-grosseinsatz-feuerwehr-92532795.html

Kompetenztraining Stabsarbeit: 25.01.2024 – Berlin

Die Mitglieder eines Krisenstabs sehen sich in Krisenlagen besonderen und zum Teil individuellen Herausforderungen gegenüber, die im Arbeitsalltag selten anzutreffen sind. Unklare Informationslagen, hohes Kommunikationsaufkommen und enormer Entscheidungs-druck sind dabei ebenso typische Gegebenheiten wie das anspruchsvolle Zusammenarbeiten verschiedener Persönlichkeiten in einer besonderen Bewältigungsorganisation. Diese Umstände erfordern neben organisatorischen Maßnahmen des Krisenmanagements auch gesonderte Kompetenzen der Stabsmitglieder. Ebendiese lassen sich schulen, indem die Funktionsträger aus ihrem Alltag herausgezogen und in simulierte Krisenlagen versetzt werden. So können sie wertvolle, praxisnahe Erfahrungen sammeln und sich auf den konkreten Ereignisfall vorbereiten.

In der Veranstaltung „Kompetenztraining Stabsarbeit“ kommen die Funktionsträger besonderer Aufbauorganisationen verschiedener Institutionen zusammen, um unabhängig vom eigenen beruflichen Umfeld die persönlichen Fähigkeiten zu verbessern.

https://www.hisolutions.com/security-consulting/academy#c12565

KI – Chancen und Risiken für die Sicherheit bewerten: 27.02.2024 – remote

Der Wunsch, sich von künstlicher Intelligenz bei der Arbeit unterstützen zu lassen, ist groß. Aber was bedeutet das aus Sicherheitssicht? Um entscheiden zu können, ob und wie der Einsatz reglementiert werden kann und sollte, muss man die Chancen und Risiken für die Informationssicherheit kennen. In dieser Schulung werden wir uns zuerst die wichtigsten Grundlagen zu aktuellen KI-Verfahren wie maschinelles Lernen (ML) und große Sprachmodelle (LLM) anschauen. Darauf basierend gehen wir dann auf die aktuellen Sicherheitsauswirkungen beim Einsatz dieser Verfahren in der Praxis ein. Die Themenauswahl orientiert sich an den häufigsten Fragestellungen, die Informationssicherheitsbeauftragte (ISB) an uns herantragen.

https://www.hisolutions.com/security-consulting/academy#c12585

Die nächsten HiSolutions BCM-News erscheinen Mitte Januar 2024!

Jetzt abonnieren!

Lesen Sie hier alle bisher erschienenen BCM-News.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!