Liebe Leserinnen und Leser,

das Sommerloch ist überwunden – in vielen Bereichen der BCM-Welt nehmen die Ereignisse die altbekannte Dynamik auf. Während Bund, Länder und Bundeswehr wieder groß angelegte Ernstfälle üben, meldet sich auch die Regulatorik zurück aus der Sommerpause: mit DORA und dem KRITIS-Dachgesetz kommen in naher Zukunft weitere Anforderungen hinzu, die auch Bestandteile des BCM einschließen.

Der feuchte Sommer sorgte in den vergangenen Monaten auch in Deutschland für Starkregen und kurzzeitige Überschwemmungen, die u. a. die Betreiber von Flughäfen vor Herausforderungen stellten. Ganz ohne Wasser mussten hingegen die Menschen aus Lüneburg auskommen, als die Trinkwasserversorgung für mehrere Stunden unterbrochen war.

Aber auch eine prominente IT-Störung bei Toyota sorgte jüngst für gravierende Probleme, sprich Produktionsausfälle. Der Grund: fehlender Speicherplatz auf den Servern.

War(n) da was? Cell-Broadcast in der Dauerprobe

Das in Deutschland erst jüngst eingeführte Handy-Warnsystem Cell-Broadcast wird bereits viel genutzt. Achtmal kam es in den ersten sechs Monaten zum Einsatz und warnte dabei beispielsweise vor Hochwassergefahr. Das Warnsystem wurde nach der Flutkatastrophe im Ahrtal 2021 nun deutschlandweit eingeführt. Es warnt vor Großbränden, Kriegsbomben, heftigen Gewittern und weiteren Bedrohungen. Zudem werden regelmäßig Probealarme durchgeführt, die an mehr als 50 Millionen Mobiltelefone in Deutschland gesendet werden. Der jüngste Probealarm fand letzte Woche, genauer am 14. September statt – auch Sie wird der laute Warnton wahrscheinlich aufgeschreckt haben.

https://www.stern.de/gesellschaft/regional/hamburg-schleswig-holstein/katastrophenschutz--cell-broadcast-im-norden-mit-bisher-acht-meldungen-33759628.html

Der Berg ruft: Allgäuer AlpenTex-Übung

Eine besonders umfangreiche Krisenübung haben im Juli die Bundeswehr, die Polizei und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) durchgeführt. Das Szenario lautete: Terroranschlag nahe des Allgäus. Unter anderem wurden mit Anschlägen auf die Strom- und Wasserversorgung gedroht und ein Schusswechsel zwischen Polizei und Terroristen mit Schwerverletzten simuliert. Die Übung war Teil der Übungsreihe Terror-Exercise, die in Bayern bereits seit 2017 existiert. Insbesondere die Zusammenarbeit und Kommunikation zwischen der Polizei, der Bundeswehr und den Hilfsorganisationen sollte eingeübt werden. Das BBK hat den gesamten Verlauf beobachtet.

https://www.bbk.bund.de/SharedDocs/Kurzmeldungen/DE/2023/08/om-09-alpentex.html

LÜKEX 2023: Planung im Endspurt

Es bleiben nur wenige Wochen, bis im Rahmen der länder- und ressortübergreifenden Krisenmanagementübung (LÜKEX) die nächste großangelegte Krisenübung stattfindet. Die zweitägige Übung soll am 27. September starten und in diesem Jahr einen Cyberangriff simulieren. Regierung und Verwaltung sollen von dem Szenario betroffen sein – neben dem Bundesinnenministerium sind auch die Bundesländer beteiligt.

https://www.bbk.bund.de/DE/Themen/Krisenmanagement/LUEKEX/LUEKEX-23/luekex-23_node.html

Studie zur Cybersicherheit: Wiederherstellung kostet nach wie vor viel Zeit (und Geld)

Cohesity, eine amerikanische Datensicherheitsfirma und Back-up-Software-Hersteller, hat in einer neuen Studie viele interessante und gleichermaßen beängstigende Zahlen zum Thema IT-Sicherheit in Unternehmen veröffentlicht. Grundsätzlich wurden die Wehrhaftigkeit und die Cyber-Strategien der Unternehmen als nicht zeitgemäß bewertet. 

Weiteren Grund zur Sorge bieten die folgenden Zahlen: 93 % der befragten Unternehmen fühlen sich von Ransomware-Angriffen bedroht, 45 % wurden bereits in den vergangenen sechs Monaten Opfer einer Ransomware-Attacke. Im Falle eines Wiederanlaufs brauchen 95 % der Unternehmen über 24 Stunden, um Daten und Geschäftsprozesse wiederherzustellen, 71 % sogar mehr als vier Tage. Ein etabliertes Business Continuity Management kann dabei helfen, die Wiederanlauf- und Wiederherstellungsprozesse zu optimieren, um im Ernstfall wertvolle Zeit zu sparen. 

https://www.continuitycentral.com/index.php/news/business-continuity-news/8730-research-shows-that-business-continuity-response-measures-are-not-keeping-pace-with-cyber-threats

Betriebliche und organisatorische Belastbarkeit trifft auf BCM: Wie geht das zusammen?

Im Juli erschien ein frei zugängliches Paper, das die Unterschiede zwischen Business Continuity Management, betrieblicher Belastbarkeit und organisatorischer Belastbarkeit herausarbeiten soll. Es werden drei paarweise Beziehungen präsentiert, die die Schnittmengen und Unterscheidungen zwischen jeweils zwei der Themen aufzeigen. Laut der Autoren soll diese Arbeit für die strategische Planung eine bessere Kontinuität und Widerstandsfähigkeit nach einer Betriebsstörung ermöglichen.

https://link.springer.com/article/10.1007/s13753-023-00494-x

DORA verändert die Finanzsicherheit in Europa

Der Finanzsektor wird im Zuge der Digitalisierung zukünftig weitere Vorgaben erfüllen müssen. Die Europäische Kommission hat mit dem Digital Operational Resilience Act (DORA) ein neues Rahmenwerk für Cybersicherheit verabschiedet: Im Fokus stehen überarbeitete Dokumentationsvorgaben und Meldepflichten, ein umfangreiches Management von Risiken und Kommunikation im IT-Bereich sowie die Miteinbindung von Drittanbietern von IT-Services. Auch Penetrationstests, Schwachstellenüberwachung sowie die Sicherstellung und Aufrechterhaltung des Betriebs im Falle einer gravierenden Unterbrechung sind Themen. Derzeit werden noch technische Regulierungs- und Implementierungsstandards (RTS/ITS) erarbeitet und abgestimmt, auch ein öffentlicher Austausch soll durchgeführt werden. Ab 2025 wird DORA europaweit Geltung erhalten, und die ca. 22.000 betroffenen Unternehmen werden von internationalen Behörden auf die Einhaltung der Vorgaben geprüft.

https://www.voeb.de/fachthemen/detail/digital-operational-resilience-act-dora-seit-januar-2023-in-kraft-beginn-der-umsetzung

Entwurf des KRITIS-Dachgesetzes

Das Bundesministerium des Innern und für Heimat (BMI) hat einen Entwurf für das KRITIS-Dachgesetz veröffentlicht, nachdem zuvor eine zur Abstimmung an die Ressorts übersendete Fassung bekannt geworden war.

Neuerdings werden Mindeststandards für physische Resilienzmaßnahmen über mehrere Sektoren hinweg normiert. Auch die Einbindung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) in die Meldepflichten der Betreiber solcher Anlagen zählt zu den Neuerungen. Branchenverbände (u. a. der Verband kommunaler Unternehmen VKU) äußerten bereits Kritik, da viele Fragen nach wie vor ungeklärt bleiben.

https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html

https://www.vku.de/themen/recht/artikel/inoffizieller-entwurf-zum-kritis-dachgesetz-bekannt-geworden/

What’s wrong, Whatsapp?

Der Messenger-Dienst WhatsApp hat Mitte Juli für ca. eine Stunde am Abend nicht funktioniert. Es kam zu vermehrten Störungsmeldungen und entsprechenden Twitter/X-Beiträgen der Nutzer. Mehrere Länder und ebenso die Web-Version von WhatsApp waren von dem Ausfall betroffen. Auch wenn es sich um einen relativ kurzen Ausfall handelte, war dieser Vorfall angesichts der Zahl von rund 2 Milliarden Nutzern keine kleine Angelegenheit. 

https://www.heise.de/news/Stoerung-beim-Messenger-Dienst-Whatsapp-9221549.html

Bis der Arzt kommt? Totalausfall bei Telematik-Infrastruktur

In Berlin fiel für ca. einen halben Tag die TI (Telematik-Infrastruktur) aus – das digitale Netzwerk für das Gesundheitswesen. Darüber werden beispielsweise elektronische Patientenakten und E-Rezepte verschickt. Der Grund für den Ausfall war eine Störung beim IT-Dienstleister Arvato. Die Gematik, die das Netz betreibt, veröffentlichte regelmäßige Mitteilungen zum Zwischenstand der Störung. 

https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/am-wochenende-totalausfall-bei-ti/

Stillstand bei Toyota: Wie fehlender Speicherplatz zum Produktionsausfall führte

In Japan kam es zum Stillstand bei den Produktionslinien des Automobilherstellers Toyota in gleich 14 Montagewerken. Der Grund für den Ausfall war ein Fehler im System für die Verwaltung der Teilebestellung. Vermutungen deuten darauf hin, dass es sich um eine Störung bei der Aktualisierung des Systems handelte, die im Zusammenspiel mit einer fehlenden Kapazitätsplanung in der IT zum Ausfall führte. Bei Toyota kam es innerhalb der letzten zwei Jahre vermehrt zu größeren Stillständen der Produktion. Ob die BCM-Verantwortlichen bei Toyota aus den Vorfällen lernen werden?

https://www.automobil-produktion.de/produktion/technisches-problem-legt-toyota-produktion-lahm-185.html

Landunter beim Flughafen Frankfurt

Aufgrund von heftigem Starkregen musste der Frankfurter Flughafen zwischenzeitlich den gesamten Betrieb unterbrechen. Teilweise fielen bis zu 60 Liter pro Quadratmeter, das Rollfeld wurde komplett überschwemmt. Passagiere konnten teilweise nicht mehr aus den Maschinen aussteigen. Zusätzlich strandeten viele Reisende am Frankfurter Flughafen bzw. warteten vergeblich auf ihre Flüge. Auch am Folgetag gab es noch zahlreiche Verspätungen und gestrichene Flüge. Dass durch ein Unwetter Flüge ausfallen, ist nicht zu verhindern, doch viele Gäste fühlten sich von der Flughafenorganisation im Stich gelassen und übernachteten notgedrungen am Flughafen. Unternehmen und Betreiber Kritischer Infrastrukturen müssen sich angesichts von Klimaveränderungen zunehmend auf Extremwetterereignisse dieser Art einstellen und diese entsprechend in ihrer Notfallplanung berücksichtigen.

https://www.spiegel.de/panorama/frankfurt-flughafen-nach-unwetter-lahmgelegt-rollfeld-unter-wasser-a-960100aa-48d3-496a-8c43-f95075ec4e6b#ref=rss

Licht aus: Blackout im Tunnel der A17

Wenn in einem Tunnel der Strom ausfällt, fährt man lieber nicht mehr hinein. Diese Erfahrung mussten die Autofahrer auf der A17 bei Dresden machen, als dort in einem Tunnel für über zwei Stunden kein Strom floss. Laut einem Sprecher der Autobahngesellschaft gab es einen Defekt, der dazu führte, dass das Tunnelsystem nicht auf einen zweiten Stromkreis umschalten konnte – und daher wurde es dunkel. In der Folge kam es zur Vollsperrung in beiden Richtungen und zu einer großen Umleitungsaktion des Verkehrs durch die Polizei. Stundenlange Staus waren an diesem Punkt bereits nicht mehr abzuwenden. Dieser Vorfall zeigt, dass man sich nicht immer auf die Notsysteme verlassen kann und besser im Vorfeld entsprechende Vorkehrungen zur Verkehrsumleitung parat haben sollte.

https://www.mdr.de/nachrichten/sachsen/dresden/dresden-radebeul/stau-sperrung-autobahn-tunnel-prag-100.html

Durstig geblieben: Trinkwasserversorgung ausgefallen

Die Selbstverständlichkeit von Trinkwasser aus dem Hahn werden einige betroffene Hausbewohner nun sicherlich wieder sehr zu schätzen wissen: Nachdem in mehreren Ortschaften südlich von Lüneburg für fast einen Tag die Trinkwasserversorgung ausfiel, suchte der Versorger lange nach dem Leck in der Leitung. Die Anwohner konnten zwar tagsüber mit Brauchwasser aus mobilen Tanks versorgt werden, dieses musste jedoch zur weiteren Nutzung erst abgekocht werden. Durchs Umschalten auf eine zweite Leitung wurde die Wasserversorgung am Abend wiederhergestellt. 

https://www.ndr.de/nachrichten/niedersachsen/Trinkwasser-in-Lueneburg-Wasserleitung-noch-immer-defekt,trinkwasser460.html

Business Continuity Manager mit TÜV-Rheinland-geprüfter Qualifikation

Nach dem „Learning by doing“-Prinzip wenden die Teilnehmenden unserer Fortbildung im Rahmen von Workshops die Mittel und Methoden des BCM anhand von Fallbeispielen selbst an. Die jeweiligen Kerninhalte des Tages werden in Einzel- oder Gruppenarbeit erprobt.

Die angehenden Business Continuity Manager lernen die BCM-relevanten Standards und ihre Komponenten, BCM-relevante Gesetze und Good Practice Guides kennen. Sie erhalten einen umfassenden Blick auf den BCM-Lebenszyklus inklusive Business-Impact- und Risikoanalyse, Strategie und Maßnahmen, Tests und Übungen, Pflege und Qualitätssicherung und lernen die BCM-Organisation, ihre Rollen und Schnittstellen kennen. Die Teilnehmenden erlangen zudem Grundlagenkenntnisse über die Business-Continuity-relevanten Themenfelder wie IT Service Continuity Management, ISMS und Notfallmanagement.

Termine:
18.-22.09.2023 - remote
13.-17.11.2023 - remote

https://www.hisolutions.com/security-consulting/academy#c4868

Schulung zu Social Engineering

Unsere neue Schulung zu Social Engineering verdeutlicht, wie Hacker mit perfiden Techniken Millionenschäden bewirken – und wie Sie sich davor schützen können. Lernen Sie sich selbst aus der Täterperspektive kennen und erfahren Sie, wie Sie besser und effektiver kommunizieren.

Termin: 05.10.2023 - Berlin

https://www.hisolutions.com/security-consulting/academy#c2082

Kompetenztraining Stabsarbeit

Die Mitglieder eines Krisenstabs sehen sich in Krisenlagen besonderen und zum Teil individuellen Herausforderungen gegenüber, die im Arbeitsalltag selten anzutreffen sind. Unklare Informationslagen, hohes Kommunikationsaufkommen und enormer Entscheidungsdruck sind dabei ebenso typische Gegebenheiten wie das anspruchsvolle Zusammenarbeiten verschiedener Persönlichkeiten in einer besonderen Bewältigungsorganisation. Diese Umstände erfordern neben organisatorischen Maßnahmen des Krisenmanagements auch gesonderte Kompetenzen der Stabsmitglieder. Ebendiese lassen sich schulen, indem die Funktionsträger aus ihrem Alltag herausgezogen und in Krisenlagen versetzt werden. So können sie wertvolle, praxisnahe Erfahrungen sammeln und sich auf den konkreten Ereignisfall vorbereiten.

In der Veranstaltung „Kompetenztraining Stabsarbeit“ kommen die Funktionsträger besonderer Aufbauorganisationen verschiedener Institutionen zusammen, um unabhängig vom eigenen beruflichen Umfeld die persönlichen Fähigkeiten zu verbessern.

Termin: 30.11.2023 - Berlin

https://www.hisolutions.com/security-consulting/academy#c12565

Die nächsten HiSolutions BCM-News erscheinen Mitte November 2023!

Jetzt abonnieren!

Lesen Sie hier alle bisher erschienenen BCM-News.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!