HiSolutions BCM-News Juli 2023 - Business Continuity Management aktuell
Top-Themen: LÜKEX 2023: Die Mutter aller Krisenübungen ist in Planung | Da ist das Ding: Das BSI stellt den finalen Standard 200-4 vor | Risiko trifft Sicherheit: Die ISO 22342:2023 zeigt, wie Leitlinien und Sicherheitspläne ins Risikomanagement integriert werden können | Vermöbelt: Cyberangriff auf Möbelspezialist Häfele | Schmerzhaft: US-Krankenhaus schließt erstmals wegen eines Ransomware-Angriffs
Liebe Leserinnen und Leser,
Ransomware und Co. kennen keine Sommerferien: Cyberangriffe bestimmen nach wie vor die Schlagzeilen und sorgen bei den unterschiedlichsten Unternehmen für Betriebsunterbrechungen – von Möbelketten über Hosting-Anbieter bis hin zum Krankenhaus blieb keiner verschont. Aber auch abseits des Cyberspace sorgten klassische Stromausfälle, technische Störungen oder ganz banale Dinge wie ein falscher Tastendruck eines Mitarbeiters für folgenreiche Unterbrechungen des Betriebsablaufs. Passend dazu gibt es Bewegung an der regulatorischen Front. Das BSI hat den Standard 200-4 offiziell vorgestellt und die ISO kündigte den 22342:2023 an, der sehr vielseitig anwendbar sein soll. Zeitgleich plant das BBK für September die Durchführung seiner großen, übergreifenden Krisenübung.
LÜKEX 2023: Bund und Länder üben den Cyberangriffsfall
Nach zweimaligem Verschieben soll nun im September dieses Jahres wieder eine groß angelegte Krisenübung mit Cyberszenario von Bundeswehr, Bundesbehörden und Kommunen durchgeführt werden. Unter der Federführung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) finden diese länder- und ressortübergreifenden Planspiele bereits zum neunten Mal statt. Ohne dabei den Regelbetrieb zu beeinträchtigen, sollen insgesamt mehr als 50 Behörden und mehr als eintausend Mitarbeitende an der Übung teilnehmen.
Auswertung: Warntag 2022 sehr erfolgreich!
Apropos BBK: Die Auswertung des bundesweiten Warntages 2022 liegt nun vor. Über 90 % der Bevölkerung wurden mit der Warnung erreicht, was als großer Erfolg gewertet wird. Die Teilnehmerzahl an der Befragung mit 833.000 Personen war hoch und das BBK erreichte viel positives Feedback seitens der Befragten. Durchaus interessant: Es gab keinen großen Unterschied zwischen der Warnung im städtischen gegenüber dem ländlichen Bereich zu vermelden. Aber: Individuelle Einstellungen der Mobiltelefone wie beispielsweise die Aktivierung des Standortes bleiben weiterhin ausschlaggebend für die Erreichbarkeit. Der nächste bundesweite Warntag ist für Donnerstag, den 14. September 2023 geplant.
Aktueller Informationsstand zur Weiterentwicklung des BSI-Standards 200-4
Es ist soweit: Nachdem Anwenderinnen und Anwender in zwei Community-Draft-Phasen entsprechendes Feedback zum Entwurf geben konnten, wurde im Juni der finale BSI-Standard 200-4 im Rahmen des 3. IT-Grundschutz-Tages nun offiziell vorgestellt. Der modernisierte 200-4 knüpft an den 100-4 zum Notfallmanagement an und soll einen Beitrag zu ganzheitlicher Resilienz von Organisationen und Unternehmen leisten. Die Expertinnen und Experten von HiSolutions waren maßgeblich an der Ausgestaltung des Standards und der vom BSI bereitgestellten Hilfsmittel beteiligt. Letztere können auf den Seiten des BSI heruntergeladen und frei verwendet werden.
ISO 22342:2023 enthält Leitlinien und Sicherheitspläne und integriert diese ins Risikomanagement
Auch die ISO wirft einen neuen Standard in den Ring: Die ISO 22342:2023 „Security and resilience – Protective security – Guidelines for the development of a security plan for an organization“ ist ein knapp gehaltener Standard für die Entwicklung und Instandhaltung von Sicherheitsplänen. Er ist auf alle Arten von Unternehmen anwendbar, unabhängig von deren Größe und Unternehmensform.
Vermöbelt: Cyberangriff auf Häfele – es gibt keinen hundertprozentigen Schutz
Es war vier Uhr morgens in Deutschland, als der Angriff der Hacker in Australien und Neuseeland entdeckt wurde. Alle eingeschalteten Rechner der weltweit agierenden Möbelkette waren betroffen. Das Unternehmen war jedoch vorbereitet und konnte anhand des eigens erarbeiteten Cyber-Incident-Handbuchs geeignete Notfallmaßnahmen ergreifen. Alle Rechner wurden vom Netz genommen, Belegschaft, Kunden und Lieferanten informiert und ein Krisenstab einberufen. Man entschloss sich dazu, nicht auf die Lösegeldforderungen einzugehen und den Schaden aus eigenen Kräften zu beheben. In der Folge kam es zu Unterbrechungen der Lieferketten und zu Kommunikationsproblemen.
Das Zitat des Artikels – Es gibt keinen hundertprozentigen Schutz – spricht für enorme Bedeutung eines BCM-Konzepts in der heutigen Unternehmenslandschaft. Gerade weil sich niemand zu einhundert Prozent vor einem Vorfall schützen kann, sollte man für den K-Fall vorbereitet sein. Im Nachgang des Vorfalls wurde das Sicherheitskonzept von Häfele stark überarbeitet: So wurden beispielsweise die Rolle des CISO sowie ein ISMS eingeführt und die IT-Architektur überarbeitet. Eine weitere Erkenntnis: die Relevanz einer proaktiven Kommunikation in einer Krise.
https://www.csoonline.com/de/a/es-gibt-keinen-hundertprozentigen-schutz,3680907
Falsche Taste gedrückt: Microsoft-Mitarbeiter löscht versehentlich ganze Datenbank
Fehler können jedem passieren – so auch den großen Playern wie Microsoft und Co. In diesem konkreten Fall wurde durch einen falschen Tastendruck eines Mitarbeiters eine gesamte Datenbank gelöscht. Ein banaler Fehler, der jedoch große Auswirkungen hatte. Trotz schneller Kenntnis des Vorfalls dauerte die Wiederherstellung fast elf Stunden. Grund dafür war unter anderem, dass es für solche Fälle kein automatisches Back-up gab. Dieser Fall ist ein Paradebeispiel dafür, dass im BCM nicht immer böswillige Akteure oder physische Katastrophen der Grund für eine Betriebsunterbrechung sind. Manchmal ist es einfach nur die menschliche Komponente, die dazu führt, dass Fehler passieren. Weil das unvermeidbar ist, sollten solche und ähnliche Schadensszenarien mit folgenreichen Auswirkungen im Rahmen einer BCM-Risikoanalyse näher betrachtet werden.
Tower ohne Power: Stromausfall im BER-Kontrollturm beeinträchtigt Flugverkehr
Normalerweise ist Redundanz kein Fremdwort an Flughäfen. Allerdings helfen auch keine doppelt und dreifach ausgelegten Systeme, wenn sie schlichtweg nicht anspringen. Im jüngsten Fall am Berliner Flughafen versagten die Notstromaggregate des Flugverkehrskontrollturms. Dies führte zu Einschränkungen im Flugbetrieb, der für einige Stunden andauerte. Zwischenzeitlich musste stattdessen auf die Nutzung von Batterien zurückgegriffen werden.
Systemausfall bei Hosting-Anbieter: Black Cat Networks von Ransomware getroffen
Ein weiterer Fall von Ransomware führte zu Ausfällen, diesmal traf es den Hosting-Anbieter Black Cat Networks. Zusätzlich zur Verschlüsselung der Systeme war auch der E-Mail-Verkehr innerhalb des Unternehmens nicht mehr möglich. Zudem konnte ein Abfluss von Daten nicht ausgeschlossen werden. Um die Wiederherstellung der Systeme kümmerte sich nach Angaben von Black Cat ein externes Unternehmen, welches auf diese Art von Vorfällen spezialisiert war. Ob die Zusammenarbeit im Rahmen eines Notfallplans so vorgesehen war oder nicht, ist nicht bekannt.
https://www.csoonline.com/de/a/black-cat-networks-von-ransomware-getroffen,3680913
Die Stunde der Anwälte
Lang anhaltende Folgen eines Cyberangriffs legten für drei Wochen einen großen IT-Dienstleister im Gesundheitswesen lahm. Kunden der Bitmarck konnten ihrer Arbeit nicht mehr nachgehen oder nur eingeschränkt arbeiten. Ein großflächiger Ausfall, der so lange anhielt und so viele Kunden betraf und dann auch noch im Gesundheitswesen, darf nicht passieren und zeigt einmal mehr die Relevanz von BCM.
https://background.tagesspiegel.de/gesundheit/stunde-der-anwaelte
„Technische Störung“ legt Seiten der Rheinische Post Mediengruppe lahm
Gleich mehrere Seiten der Rheinischen Post Mediengruppe waren offline, als sich eine technische Störung beim hauseigenen IT-Dienstleister ereignete. Mittlerweile ist klar, dass es sich um einen Cyberangriff handelt. Aufgrund der technischen Einschränkungen wurden lediglich so genannte „Not-Ausgaben“ veröffentlicht. Um diese zu konzipieren, können Business Impact Analysen helfen. Sie identifiziert zeitkritische Geschäftsprozesse und unterstützt den Aufbau eines stabilen Notbetriebs.
Schmerzhaft: US-Krankenhaus schließt erstmals wegen eines Ransomware-Angriffs
Auch Krankenhäuser werden von Ransomware Angriffen nicht verschont. Dies verdeutlicht ein Fall im US-Bundesstaat Illinois, wo ein Krankenhaus Opfer einer solchen Attacke wurde. Der Angriff ereignete sich bereits 2021 und legte die Computersysteme des Krankenhauses monatelang lahm. Dies hatte zur Folge, dass entsprechend lange keine Gelder von Versicherungen und staatlichen Einrichtungen gefordert werden konnten. Die Langzeitschäden dieses Vorfalls gepaart mit Personalmangel und den Folgen der COVID-19-Pandemie waren für das Krankenhaus nicht mehr tragbar. Nun musste es schließen.
Dass Ransomware-Angriffe jede Art von Unternehmen treffen können, ist schon seit 2021 keine Neuigkeit mehr. Gerade im Bereich der Kritischen Infrastruktur, sollten dementsprechende Maßnahmen existieren, damit sich so ein Fall nicht ereignet. Insbesondere die Länge des Ausfalls von mehreren Monaten hatte schließlich fatale Folgen und zeugt von keinem wirklich gelebten BCM. Es bleibt zu hoffen, dass aus diesem Fall die richtigen Schlüsse gezogen werden und andere Gesundheitseinrichtungen in Zukunft ihr BCM nicht nur als regulatorische Anforderungen verstehen, sondern als sinnvolle präventive Maßnahme für den Fall der Fälle.
Medizinischer Dienst Niedersachsen nach Cyberangriff weiter offline
Auch hierzulande bleiben Organisationen im Gesundheitsumfeld nicht verschont. Ein Hackerangriff legte diesmal die Systeme des Medizinischen Dienst Niedersachsen (MDN) lahm. Seine Dienste waren insgesamt 14 Tage nicht erreichbar – eine schmerzhaft lange Ausfallzeit.
Cyber-Angriff: IT der Deutsche Leasing zwischenzeitlich offline
Aufgrund eines Cyber-Angriffs und im Rahmen des entsprechenden Notfallplans schaltete der Leasingverband vieler Sparkassen seine IT-Systeme präventiv ab. Man könne zwar noch Leasingverträge auf dem Papier abschließen, diese könnten dann aber nicht in die IT-Systeme übertragen werden. Auch die E-Mail-Systeme fielen aus. Wann die Dienste der Deutsche Leasing wieder verfügbar sind, war zunächst unklar.
https://www.heise.de/news/Cyber-Angriff-IT-der-Deutsche-Leasing-seit-Samstag-offline-9164777.html
Fall für die Werkstatt: Einschränkungen bei ATU
Grund für die Einschränkungen war auch diesmal ein Cyberangriff. Die Website war zwischenzeitlich offline und die telefonische Erreichbarkeit waren zeitweise nicht mehr gegeben. Das schrittweise Wiederhochfahren des Onlineangebots spricht jedoch dafür, dass man bei ATU nicht völlig unvorbereitet auf ein solches Szenario war.
https://www.cio.de/a/einschraenkungen-bei-werkstattkette-atu,3712096
Business Continuity Manager mit TÜV Rheinland geprüfter Qualifikation
Nach dem Prinzip „Learning by doing“ wenden die Teilnehmer im Rahmen von Workshops die Mittel und Methoden des BCM anhand von Fallbeispielen selbst an. Die jeweiligen Kerninhalte des Tages werden in Einzel- oder Gruppenarbeit erprobt.
Die angehenden Business Continuity Manager lernen die BCM-relevanten Standards und dessen Komponenten, BCM-relevante Gesetze und Good Practice Guides kennen. Sie erhalten einen umfassenden Blick auf den BCM-Lebenszyklus inklusive Business Impact und Risikoanalyse, Strategie und Maßnahmen, Tests und Übungen, Pflege und Qualitätssicherung. Gleichzeitig lernen die Teilnehmer die BCM-Organisation, ihre Rollen und Schnittstellen kennen. Die Teilnehmer erlangen darüber hinaus Grundlagenkenntnisse über die Business-Continuity-relevanten Themenfelder wie IT Service Continuity Management, ISMS und Notfallmanagement.
Termine:
18.-22.09.2023 - HiSolutions, remote
13.-17.11.2023 - HiSolutions, remote
https://www.hisolutions.com/security-consulting/academy#c4868
Die nächsten HiSolutions BCM-News erscheinen Mitte September 2023!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!