Das erste Quartal des Jahres zeigte uns wieder einmal eindrucksvoll die volle Bandbreite an Risiken und Bedrohungen auf, die es im BCM zu berücksichtigen gilt. Verheerende Erdbeben wie in der Türkei und Syrien, Sabotageakte im Schienennetz, aber auch die Durchtrennung eines Glasfaserkabels, das die IT-Systeme der Lufthansa zeitweise komplett lahmlegte – all das macht deutlich, dass neben den unzähligen Ransomware-Attacken auch andere reale Bedrohungslagen existieren, die das BCM nach wie vor kennen sollte.

Auch auf hoher Flugebene wird derweil daran gearbeitet, Organisationen widerstandsfähiger zu machen: Während die Automobilbranche ihren TISAX-Standard reformiert, geht die EU in die Offensive und schickt ihren regulatorischen Resilienz-Dreiklang ins Rennen: DORA, NIS2 und RCE.

Roboter, Prozessautomatisierung und BCM: eine akademische Bestandsaufnahme

Die robotergestützte Automatisierung von Prozessen ist aus industriellen Fertigungsprozessen mittlerweile nicht mehr wegzudenken. Roboter interagieren über Schnittstellen mit den Systemen und ersetzen menschliche Tätigkeiten mit dem Ziel, die Effizienz zu steigern, die Kosten zu senken und die Risiken durch die Gewährleistung der Compliance zu mindern. Doch welche Aspekte gilt es im Rahmen des BCM zu berücksichtigen? Eine neue Publikation stellt sich den vielen Fragen der Verzahnung von Automatisierung und BCM und gibt einen Überblick über ein noch sehr junges Forschungsfeld.
 

Zu viel Mut zur Lücke: Anforderungen vs. Tatsachen

Der jährliche Veeam-Bericht zu den Trends des Daten- und Informationsschutzes zeigt leider keine Zahlen der Entspannung:

• 82 % der 4.200 befragten IT-Profis gaben an, eine "Verfügbarkeitslücke" zwischen der geforderten Wiederanlaufzeit und der tatsächlich erreichbaren Wiederanlaufzeit der IT-Abteilung zu haben. 
• 80 % der Unternehmen waren Teil einer oder mehrerer Ransomware-Attacken. Bei 39 % der Betroffenen wurden alle Produktionsdaten verschlüsselt. Nur 55 % der Daten konnten danach wiederhergestellt werden.
• In den Jahren 2020 bis 2022 verursachten Cyberangriffe die folgenschwersten Ausfälle für Unternehmen. 85 % (2021: 76 %) der Unternehmen wurden in den letzten 12 Monaten mindestens einmal angegriffen.
• 52 % der Unternehmen nutzen Container (Kubernetes) und weitere 40 % planen deren Nutzung. Allerdings gibt es in der Integrationsstrategie auch eine Lücke: Es werden nur die zugrundeliegenden Daten geschützt, statt einen ganzheitlichen Ansatz zu wählen, der ebenfalls den Workload der Container schützt. 

Bei 85 % der Firmen wird sich das Budget in den betroffenen Bereichen erhöhen (+8 %), Ob das ausreicht, um sich gegenüber aggressiv agierenden Cyberkriminellen einen Vorsprung zu verschaffen, bleibt abzuwarten.
 

BCI: Status der Notfall- und Krisenkommunikationspläne

Der jährliche Bericht über Notfall- und Krisenkommunikationspläne vom BCI wurde veröffentlicht. Der Bericht soll Unternehmen dabei helfen, ihre Tools, Pläne und Prozesse zu vergleichen. Außerdem soll er "die Debatte anregen und bewährte Verfahren für die Gestaltung und Umsetzung von Krisenmanagementplänen aufzeigen." 

In der Krise wird es meist pragmatisch: kommuniziert wird dann in der Regel über Smartphones und via E-Mail (70,1 %). Nur vergleichsweise selten (33,1 %) kommt ein dezidiertes Notfallkommunikationstool zum Einsatz. 

Mittlerweile setzen 81 % der befragten Unternehmen auf SaaS Lösungen und wiederum 78,2 % sind in der Lage, innerhalb von 30 Minuten ihre Notfallpläne zu aktivieren. Diesen Wert können nur 58,6 % der Organisationen mit on-premise Lösungen halten. Wenn die geplanten Reaktionszeiten nicht erreicht werden, liegt das bei der Hälfte der Befragten an fehlenden Kontaktinformationen der Mitarbeiter – eine Ursache, die sich durch regelmäßige Prüfung der Notfallpläne einfach beheben lässt. Wann haben Sie das letzte Mal notfallrelevante Kontaktdaten auf ihre Aktualität geprüft?
 

Lieferketten: Resilienz heißt nicht Festung, sondern Flexibilität

Das Business Continuity Institute (BCI) hat einen neuen Bericht zur Lieferketten-Resilienz veröffentlicht. Nach wie vor arbeiten viele Firmen mit dem Bild eines statischen Zustands ihrer Lieferkette statt mit einer Kette, die flexibel austauschbare Glieder enthält.

Verglichen mit Vor-Corona Zeiten werden immer noch eine doppelt so hohe Anzahl Störungen der Lieferketten verzeichnet –. Fast die Hälfte (45 %) der befragten Unternehmen musste einen zeitweiligen Ausfall eines Tier-1-Lieferanten verkraften. Selbiges erlebten 24 % der Unternehmen bei einem Tier-2-Lieferanten. Die Hauptursache für die Unterbrechungen waren der Fachkräftemangel bzw. der Personalausfall (46,8 %). Aus BCM-Sicht interessant: Betraf es den Hauptlieferanten, haben 57 % der Befragten Vorkehrungen für die Geschäftsfortführung getroffen. Gleichzeitig ist besorgniserregend, dass im Fall einer Lieferkettenunterbrechung eine fast 50-prozentige Wahrscheinlichkeit besteht, dass ein Lieferant keine mitigierenden Maßnahmen ergriffen hat. Hinzu kommt, dass die Zahl der Befragten, die die Notfallpläne ihrer Lieferanten nicht überprüft oder validiert haben, auf 49,6 Prozent gegenüber 43,4 Prozent im Vorjahresbericht gestiegen ist.
 

DORA: EU-Richtlinie zur Stärkung digitaler operationaler Resilienz tritt in Kraft 

Am 17.01. trat DORA (Digital Operational Resilience Act) in Kraft. DORA hat zum Ziel, die Resilienz speziell im Finanzsektor zu erhöhen. Für die Implementierung haben die Unternehmen und Behörden 24 Monate Zeit bis zum Januar 2025. 

Haufe berichtet ausführlich über die Entwicklungen und die betroffenen Akteure. Im Amtsblatt unter Artikel 2 werden neben dem Riskmanagement auch einige BCM-Maßnahmen gefordert:

• IKT Business Continuity Policy
• IKT Desaster Recovery Plan
• Krisenkommunikationspläne
• Notfalltests
• Vorgaben zu Rechenzentren (Wiederherstellungszeit und -verfahren)
• Vorgaben Auswirkungsanalyse von Geschäftsunterbrechungen 

Alle Pläne müssen jährlich und nach Änderungen getestet werden.
 

CER/RCE-Direktive: EU will die Resilienz Kritischer Infrastrukturen weiter erhöhen

Parallel zum Inkrafttreten der DORA arbeitet die EU daran, Betreiber Kritischer Infrastrukturen in die Pflicht zu nehmen, entsprechende Maßnahmen zur Erhöhung ihrer Resilienz umzusetzen. Die Critical Entities Resilience Directive (CER/RCE) trat ebenfalls Mitte Januar in Kraft und beinhaltet viele Überschneidungen mit der NIS2-Richtlinie, die die Cybersicherheit regulieren soll. Bis 2024 muss die CER/RCE-Direktive in nationales Recht überführt werden, was in Deutschland mit der Verabschiedung des KRITIS-Dachgesetzes angestrebt wird. Ob man als Unternehmen oder Institution von der Richtlinie betroffen ist und was genau umgesetzt werden soll, richtet sich nach Kriterien, die sich hier nachlesen lassen.
 

NIS2-Richtlinie: EU-weite Stärkung der Cybersicherheit 

Last but not least geht auch die viel diskutierte NIS2-Richtlinie an den Start. Sie ist der zentrale Baustein zur Verbesserung der Widerstandsfähigkeit gegen Cyberbedrohungen und nimmt insbesondere Organisationen im Dunstkreis der kritischen Infrastrukturen in den Fokus. Es werden Anforderungen zur Umsetzung von strengeren Informations- und Netzwerksicherheitsmaßnahmen gestellt, um gegen zunehmende professionelle Attacken wie auch gegen Cyberangriffe gewappnet zu sein.
 

TISAX: Neue Labels für Verfügbarkeit

Da die Auswirkungen fehlender Verfügbarkeit auch die Lieferfähigkeit beeinträchtigen können, stellt der Informationssicherheitsstandard der Automobilbranche TISAX seit Januar 2023 neue Anforderungen an die Verfügbarkeit ihrer Zulieferer. Künftig wird es nun zehn statt bisher acht sogenannter Labels geben.

01.02. | Sabotage an DB-Stellwerk führt zu ungewollten Notbremsungen

Nach zwei Vorfällen im letzten Jahr traf es wieder die Deutsche Bahn. Diesmal wurden in einem Stellwerk in Leverkusen einige Notausschalter manipuliert, sodass für kurze Zeit die vier Züge keinen Strom mehr ziehen konnten und stoppen mussten. 
 

07.02. | Pipeline-Bauer Friedrich Vorwerk spürt nach

Der KRITIS Pipeline-Bauer Friedrich Vorwerk kämpft seit Mitte November 2022 mit den Auswirkungen einer Ransomware auf den Servern und einigen Arbeitsrechnern. Obwohl die IT bereits seit Weihnachten wieder läuft, spüren Mitarbeitende, die IT, aber auch die Profitabilität und die Sichtbarkeit des Unternehmens noch heute die Konsequenzen des ausgestandenen Angriffs. Die Firma, die Rohre zu den LNG-Terminals legt, entschied sich gegen eine Lösegeldzahlung.
 

09.02. | Feuerwehrautos

Auf den Newsseiten von Ziegler stehen eigentlich nur Berichte über die Auslieferung von Fahrzeugen an Feuerwachen. Seit dem 10.02. findet sich dort eine Meldung, dass Ziegler Opfer einer Cyberstörung wurde. Als Konsequenz wurden alle Systeme heruntergefahren, sodass keine Auslieferungen und kein E-Mail-Verkehr mehr möglich waren. Zehn Tage später am 20.02. ist der Empfang und Versand von E-Mails teilweise möglich, der erste Kernprozess läuft wieder und die Auslieferung ist an einem Standort wiederaufgenommen worden. “Weitere Netzwerkabschnitte werden sukzessive neu installiert und entsprechend „sicher“ freigegeben.” Seit dem 20.02. gab es keine Meldung mehr, ob eine vollständige Genesung des Unternehmens möglich war. 
 

13.02. | Nachhilfe nötig: Sieben Schulen gehackt und verschlüsselt

Von den Unruhen im deutschen Bildungsapparat haben wir bereits im letzten Newsletter berichtet. Leider ist immer noch keine Entspannung in Sicht: An mindestens sieben Schulen in Karlsruhe wurden nach einem Hackerangriff Lösegeld-Forderungen in Höhe von je 41.000 € gestellt, berichtet unter anderem der Spiegel.
 

15.02. | Bedrohungsfaktor Baggerfahrer? Der große Lufthansa-Ausfall im Rückblick

Eine „Baggerattacke“ hat den Luftraum von Deutschland Mitte Februar ordentlich durcheinandergewirbelt. Natürlich war es kein orchestrierter Angriff, sondern eine geplante, genehmigte und abgezäunte Baustelle der Deutschen Bahn, die einen globalen Ausfall der Lufthansa-IT auslöste. Der Vorfall hat sehr anschaulich gezeigt, warum Resilienz ganzheitlich gedacht werden muss. Und dass man sich vielleicht weniger auf den Bagger als Bedrohung, sondern mehr auf die Planung und Freigabe von Baustellen in der Berichterstattung der Medien fokussieren sollte. 
 

23.02. | Leider schon wieder ein Stadtwerk

Die Stadtwerke in Rodgau beliefern 7.000 Wasserzähler, klären das Wasser von 85.000 Menschen, stellen Busse und Energie und holen Abfall ab. Sie haben auch eine moderne Website und eine App, können aber nach einem Cyberangriff seit dem 23.02. leider nur noch drei Telefonnummern, ihre Website und ihre Social-Media-Kanäle für die Kommunikation mit der Außenwelt nutzen. Als weitere Folgen blieben der Sperrmüll und die gelben Säcke stehen und bis zum 03.03. waren die Onlinefunktionen (z. B. Mängelmelder) nicht verfügbar. 
 

24.02. | Jetzt haben wir den Salat – außer bei Dole

Dole, der Tropical Gold Produzent aus North Carolina, informierte am 10. Februar seine zehn größten Kunden, dass Dole Opfer einer Cyberattacke wurde und deshalb die Produktion für X Tage heruntergefahren werden müssten. Nach zwei Wochen wurde eine recht magere Pressemitteilung herausgegeben die bestätigte, dass die Produktion von einem Ransomware-Angriff beeinflusst wurde. Außerdem wurde mit staatlichen Akteuren und externen Experten zusammengearbeitet. Die Endkunden hatten über einige Tage in den Geschäften ihres Vertrauens teils leere Salatregale. 
 

IT-Sicherheit: BCM Notfallplanung und Notfallübungen

In diesem Seminar erarbeiten Sie kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine professionelle IT-Notfallplanung inklusive der zur Überprüfung notwendigen IT-Notfallübungen:

• Überblick über die wichtigsten IT-Notfallmanagement-Standards
• Ermittlung der Anforderungen an kritische IT-Systeme
• Systematische Identifikation, Analyse, Bewertung und Behandlung von IT-Risiken
• Aufbau IT-Notfalldokumentation, Wiederanlaufplanung
• Etablieren einer reaktiven IT-Notfallorganisation, inklusive Alarmierungs- und Eskalationsverfahren
• Planung, Durchführung und Auswertung von IT-Notfallübungen und IT-Notfalltests

Das Training richtet sich an IT-Notfallmanager, IT-Service Continuity Manager, IT-Leiter, IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfall- und Krisenmanager), Risikomanager und Auditoren.

Termin: 17.-19.04.2023 – Heise iX, Remote
 

KRITIS Zusätzliche Prüfverfahrenskompetenz nach § 8a (3)

Die zweitägige Schulung bereitet auf zukünftige Prüfungen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach bestandener Abschlussprüfung erhalten die Teilnehmer die Zusatzqualifikation „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“, mit der Sie Prüfungen nach § 8a BSIG durchführen können.

Den Betreibern, deren Dienstleistern und weiteren interessierten Teilnehmern vermittelt diese Schulung einen Kritis-Überblick und versetzt diese in die Lage, eine zielorientierte Vorbereitung auf Prüfungen nach § 8a BSIG vorzunehmen.

Die Teilnahme an der Schulung steht allen Interessierten offen. Die Schulung ist insbesondere an Prüfer, wie interne Revisoren, Auditoren, Wirtschaftsprüfer mit IT-Prüfungserfahrung sowie an Mitarbeiter der prüfenden Stelle und Mitarbeiter von Betreibern Kritischer Infrastrukturen gerichtet.

Termin: 22./23.03.2023 - isits AG, Remote

Die nächsten HiSolutions BCM-News erscheinen Mitte Mai 2023!

Jetzt abonnieren!

Lesen Sie hier alle bisher erschienenen BCM-News.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!