HiSolutions BCM-News September 2025 - Business Continuity Management aktuell
Top-Themen:
Anpassungsmaßnahmen senken Hochwasserschäden | Bundesweiter Warntag | Serious Gaming im BCM | NIS-2-Regierungsentwurf | Bundeskabinett: Eckpunkte für mehr Cybersicherheit | Brandanschlag auf Strommasten legt Teile Berlins lahm | Paypal: Daten-Leak und Ausfall von Sicherheitssystemen
Liebe Leserinnen und Leser,
immer vielfältiger und dynamischer werden die Herausforderungen rund um das Business Continuity Management. Extremwetterereignisse zeigen in verschiedenen Regionen der Welt, wie wichtig wirkungsvolle Vorsorgemaßnahmen sind. Auch in Deutschland rücken Warnsysteme verstärkt ins Bewusstsein: Am 11. September fand der bundesweite Warntag statt und untersuchte die eigene Alarmierungsfähigkeit der Städte, Kommunen und Länder.
Im Bereich der Cybersicherheit nimmt der regulatorische Druck zu: Mit dem Regierungsentwurf zur NIS2-Richtlinie und neuen Eckpunkten des Bundeskabinetts sind Unternehmen gefordert, Prozesse und Schutzmaßnahmen weiterzuentwickeln. Wie dringend das ist, zeigen aktuelle Vorfälle: Sicherheitsvorfälle bei Paypal oder einem Fahrzeughersteller sowie Cyberangriffe auf einen Klinikverbund und IT- und Telekommunikationsdienstleister führen vor Augen, welche Folgen Sicherheitslücken für personenbezogene Daten und IT-Infrastrukturen haben können.
Anpassungsmaßnahmen senken Hochwasserschäden
Eine neue Studie des Potsdam-Instituts für Klimafolgenforschung (PIK) analysiert Hochwasserereignisse in Europa und bestätigt die Wirksamkeit vielfältiger Anpassungsmaßnahmen. So konnten private Vorsorgemaßnahmen, Frühwarnsysteme, Notfallpläne sowie verbesserte Bauvorschriften die wirtschaftlichen Schäden infolge von Überschwemmungen seit 1950 um 63 Prozent und die Anzahl der Todesopfer um 52 Prozent reduzieren. Die Untersuchung basiert auf Daten zu insgesamt 1.729 Überschwemmungen aus den letzten sieben Jahrzehnten.
Trotz des Anstiegs der absoluten Schäden, u. a. infolge von Klimawandel und der Besiedlung zunehmend gefährdeter Gebiete, ist die wirtschaftliche Belastung im Verhältnis zum Bruttoinlandsprodukt heute deutlich niedriger als in den 1950er-Jahren. Allerdings zeigen die Ergebnisse, dass der Fortschritt bei der Anpassung in den vergangenen zwei Jahrzehnten nachgelassen hat. Angesichts zunehmender Extremwetterereignisse und fortschreitender Erwärmung ist es von Bedeutung, die Hochwasservorsorge weiter zu stärken und zugleich die Reduktion der Treibhausgasemissionen voranzutreiben.
Bundesweiter Warntag
Am 11. September 2025 fand der fünfte bundesweite Warntag statt. Bund, Länder und viele Kommunen testeten an diesem Tag ab 11 Uhr erneut gemeinsam ihre Systeme zur Warnung der Bevölkerung vor Krisen und Katastrophen. Über das modulare Warnsystem des BBK wurden Probewarnungen an Fernseher, Radios, Warn-Apps und per Cell Broadcast direkt auf Smartphones gesendet. Viele Kommunen ergänzten dies durch Sirenen oder Lautsprecherwagen. Gegen 11:45 Uhr folgte die Entwarnung. Parallel startete eine bundesweite Online-Umfrage, in der Bürgerinnen und Bürger ihre Erfahrungen mit den verschiedenen Warnkanälen melden können. Feedback und technische Auswertung helfen, die Warninfrastruktur weiter zu optimieren. Informationen dazu erhalten Unternehmen und Privatpersonen auf den Webseiten des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK), darunter auch die Ergebnisse der Umfrage zum bundesweiten Warntag 2024.
https://www.bbk.bund.de/SharedDocs/Pressemitteilungen/DE/2025/09/pm-04-ankuendigung-buwata2025.html
https://www.bbk.bund.de/DE/Warnung-Vorsorge/Bundesweiter-Warntag/bundesweiter-warntag_node.html
Serious Gaming im BCM
Die Masterarbeit unseres Kollegen Lucas Boltz räumt mit eintönigen Sicherheitstrainings auf: Sie zeigt, wie Gamification Schulungen im Business Continuity Management auf ein neues Level hebt. Der Einsatz von spielerischen Elementen sorgt für mehr Motivation der Teilnehmenden und eine interaktive Auseinandersetzung mit den Trainingsinhalten. Besonders wirkungsvoll sind Trainings, bei denen Teilnehmende in realistischen Szenarien gemeinsam Herausforderungen meistern sollen. Ein Beispiel für solche Trainings sind Escape Rooms, in denen fiktive Krisensituationen bewältigt werden sollen. Hierbei lernen die Teilnehmenden nicht nur die Theorie, sondern gewinnen an praktischer Handlungskompetenz. Teamgeist und Problemlösungsfähigkeiten werden gesteigert.
Das Fazit der Masterarbeit fällt eindeutig aus: Gamification ist ein effektives Instrument, um Sicherheitsschulungen im Unternehmen neu zu denken. Wichtig ist jedoch, dass gamifizierte Trainings auf die jeweilige Zielgruppe abgestimmt sind, um so den Lernerfolg sicherzustellen und Krisenübungen erlebbar zu machen. Um einen nachhaltigen Nutzen sicherzustellen, sollte Gamification in einen ganzheitlichen BCM-Ansatz integriert werden, der regelmäßige Wiederholungen vorsieht und von Führungskräften aktiv unterstützt wird. So werden Sicherheitsschulungen praxisnaher, interaktiver und relevanter für alle Beteiligten.
https://research.hisolutions.com/2025/09/serious-gaming-im-business-continuity-management/
NIS-2-Regierungsentwurf
Am 25.07.2025 wurde der Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) veröffentlicht. Damit kommt die Anpassung des deutschen IT-Sicherheitsrechts an die EU-NIS-2-Richtlinie einen weiteren Schritt voran. Ziel bleibt es, europaweit harmonisierte Mindeststandards für Cybersicherheit zu schaffen und deren Einhaltung verbindlich vorzuschreiben – mit Auswirkungen auf über 30.000 Unternehmen in Deutschland. Bis zum Inkrafttreten Ende 2025 stehen noch die Beratungen in Bundestag und Bundesrat an. Auch das geplante KRITIS-Dachgesetz wird die Anforderungen an kritische Infrastrukturen weiter verschärfen. Unternehmen sollten rechtzeitig ihre Prozesse und Strukturen überprüfen und sich mit geltenden Standards wie ISO 27001, den KRITIS-Regelungen und dem NIS-2 Implementing Act vertraut machen.
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
Bundeskabinett: Eckpunkte für mehr Cybersicherheit
Die Bundesregierung hat wichtige Eckpunkte zur Stärkung der Cybersicherheit in Deutschland beschlossen. Hintergrund ist die zunehmende Bedrohungslage durch gezielte professionelle Cyberangriffe auf Deutschland als wichtige Drehscheibe der NATO und EU. Folgende Eckpunkte wurden formuliert:
- Cyberabwehrbefugnisse stärken: Sicherheitsbehörden des Bundes sollen in der Lage sein, Cyberangriffe zu verhindern, abzumildern oder zu stoppen. Ein Gesetzesentwurf soll bis Ende 2025 vorgelegt werden.
- Übung durchführen: Das Bundesinnenministerium, Bundesverteidigungsministerium und weitere Ministerien bereiten innerhalb eines Jahres eine Übung vor, um das Zusammenspiel der Kommunikationssysteme im Krisenfall zu testen.
- „Cyberdome” einrichten: Eine neue Verteidigungsstruktur im Netz soll geschaffen werden, um Schäden für Wirtschaft, Gesellschaft, Wissenschaft und Staat zu vermeiden bzw. zu reduzieren. Das Bundesinnenministerium wird ein Realisierungskonzept dafür erarbeiten.
Mit diesen Maßnahmen will die Bundesregierung auf die gestiegene Bedrohungslage reagieren und die Cybersicherheit in Deutschland nachhaltig erhöhen.
https://www.bundesregierung.de/breg-de/aktuelles/kabinett-cybersicherheit-2381614
Brandanschlag auf Strommasten legt Teile Berlins lahm
In der Nacht auf Mittwoch, den 10. September wurden in Treptow-Köpenick zwei Hochspannungsmasten in Brand gesetzt. Die Folge: Zehntausende Haushalte und Unternehmen waren ohne Strom. Besonders betroffen waren auch Schulen, Kitas und zwei Pflegeheime. Dort mussten Patienten, die auf Beatmung angewiesen sind, vorsorglich in Krankenhäuser verlegt werden.
Am Donnerstagmorgen waren noch immer rund 13.700 Anschlüsse ohne Versorgung, viele Haushalte hatten zusätzlich kein warmes Wasser. Die Polizei prüft derzeit ein mutmaßliches Bekennerschreiben aus der linksradikalen Szene, das den Angriff als Aktion gegen den Technologiepark Adlershof darstellt. Ob es authentisch ist, bleibt offen. Die Ausfallzeit betrug insgesamt 60 Stunden. Der Stromausfall war damit der bisher längste in Berlin seit Kriegsende.
Wir verweisen an dieser Stelle auf die unten verlinkte Checkliste des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe für die persönliche Notfallvorsorge.
https://www.tagesschau.de/inland/regional/berlin/brandanschlag-berlin-stromausfall-100.html
Paypal: Daten-Leak und Ausfall von Sicherheitssystemen
Paypal stand gleich doppelt im Rampenlicht. Es kursierten Berichte über einen angeblich massiven Paypal-Datenabfluss, bei dem 15,8 Millionen Zugangsdaten inklusive Klartextpasswörter in Untergrundforen angeboten werden. Es wird jedoch davon ausgegangen, dass diese Daten nicht aus einem Hack bei Paypal selbst stammen, sondern aus älteren Datenlecks und durch Schadsoftware auf privaten Rechnern zusammengetragen wurden.
Ende August kam es zudem zu einem weiteren Zwischenfall: Nach dem Ausfall zentraler Sicherheitssysteme stoppten Institute wie Sparkassen, DZ Bank und Bayerische Landesbank PayPal-Transaktionen in zweistelliger Milliardenhöhe, um Kunden zu schützen. Besonders betroffen waren Händler, die dadurch legitime Zahlungen verspätet erhielten. PayPal konnte die Ursache nach eigenen Angaben schnell identifizieren und beheben, der Zahlungsverkehr läuft inzwischen wieder normal, bleibt aber unter Beobachtung der Banken.
Es wird allen PayPal-Nutzern empfohlen, ihre Konten auf unberechtigte Abbuchungen zu prüfen, Passwörter regelmäßig zu ändern, Mehr-Faktor-Authentifizierung zu aktivieren. Der Vorfall unterstreicht, wie wichtig abgestimmte Krisen- und Notfallprozesse zwischen Banken und Zahlungsdienstleistern sind, um Schäden zu begrenzen und die Stabilität des Zahlungsverkehrs zu sichern.
https://www.heise.de/news/Vermeintliche-Paypal-Zugangsdaten-Quelle-nicht-Paypal-10547579.html
https://www.tagesschau.de/wirtschaft/unternehmen/paypal-panne-sicherheitsluecke-100.html
Auto per Webportal geknackt: Forscher findet gravierende Lücken beim Fahrzeughersteller
Ein Sicherheitsforscher hat weitreichende Schwachstellen im Händlerportal eines großen Automobilherstellers entdeckt. Über die unsichere API konnte sich Eaton Zveare im Auftrag des Softwareunternehmens Harness ein zentrales Administratorkonto verschaffen und damit auf sensible Kundendaten und Finanzinformationen von mehr als 1.000 US-Autohändlern zugreifen.
Zveare gelang es, Fahrzeuge aus der Ferne zu orten, zu entriegeln und sogar zu starten. Sogar die Eigentumsübertragung im System war möglich, ebenso wie gezielte Abfragen nach Halter- und Fahrzeugdaten allein anhand des Namens oder der Fahrgestellnummer. Die Schwachstelle hätte so jedem Angreifer realen Zugriff auf fremde Autos und persönliche Daten verschaffen können.
Der Hersteller reagierte nach dem Hinweis des Forschers im Februar 2025 schnell und schloss die Lücke binnen einer Woche. Bislang gibt es keine Hinweise, dass die Schwachstellen vor der Entdeckung missbraucht wurden. Der Fall macht dennoch deutlich, wie entscheidend Sicherheit bei der Entwicklung von Online-Plattformen im Automobilbereich ist – insbesondere, wenn darüber der Zugriff auf Fahrzeuge und hochsensible Kundendaten gesteuert wird.
Irak: Extreme Hitze sorgt für landesweiten Stromausfall
Im Irak ist es zu einem flächendeckenden Stromausfall gekommen, nachdem die Temperaturen örtlich auf bis zu 50 Grad Celsius gestiegen sind. Nach Angaben des Energieministeriums führte der Anstieg des Stromverbrauchs in Verbindung mit der Abschaltung zweier Hochspannungsleitungen zum vollständigen Zusammenbruch des Stromnetzes. Inzwischen konnte die Versorgung wiederhergestellt werden.
Die Belastung des Netzes war unter anderem durch Millionen Pilger erhöht, die in dieser Woche zu religiösen Stätten in die zentralen Provinzen reisen. Immer häufiger führen extreme Wetterlagen im Sommer zu Ausfällen – vor allem im Zentrum und Süden des Landes. Laut dem Wetterdienst werden Hitzewellen durch den fortschreitenden Klimawandel intensiver und häufiger, was die Infrastruktur zunehmend unter Druck setzt und für Proteste sorgt. Viele irakische Haushalte sind daher auf private Generatoren angewiesen.
https://www.zeit.de/gesellschaft/zeitgeschehen/2025-08/irak-stromausfall-hitze-ausloeser
Cyberangriff auf Colt Technology Services: Kundendaten im Darknet
Seit Mitte August ist der internationale IT- und Telekommunikationsdienstleister Colt Technology Services von einem Cyberangriff betroffen. Nach Angaben des Unternehmens sind weiterhin zentrale Supportsysteme und Dienste wie das Kundenportal und die Voice-API-Plattform gestört. Die Ransomware-Gruppe Warlock soll für den Angriff verantwortlich sein und angeblich über eine Sicherheitslücke in Microsoft Sharepoint eingedrungen sein. Zwar betont Colt, dass die Kundeninfrastruktur nicht kompromittiert wurde, dennoch gelangten sensible Kundendaten in die Hände der Angreifer und werden inzwischen im Darknet für 200.000 US-Dollar angeboten.
Colt reagierte nach eigenen Angaben rasch, zog einige Systeme aus dem Netz und informierte Behörden sowie Sicherheitspartner. Das Ausmaß des Datenabflusses ist noch unklar. Offenbar handelt es sich um Finanzdaten, Verträge und technische Informationen. Der Vorfall unterstreicht erneut die Bedeutung schneller Patch-Management-Prozesse und strikter Zugangskontrollen, um IT-Dienstleister und deren Kunden vor folgenschweren Angriffen zu schützen.
Cyberangriff auf die Ameos-Gruppe: Daten von Patienten und Mitarbeitern betroffen
Anfang Juli wurde der Klinikverbund Ameos Ziel eines Cyberangriffs. Wie das Unternehmen inzwischen mitteilt, konnten die Angreifer teilweise personenbezogene Daten von Mitarbeitern und Patienten erbeuten. Um genaue Informationen zu erhalten, können Betroffene jetzt Auskunft anfordern. Dafür muss jedoch eine Kopie des Personalausweises hochgeladen werden, was aufgrund des bereits erfolgten Datenabflusses kritisch gesehen werden kann.
Bislang ist unklar, welche Daten und aus welchem Zeitraum im Einzelnen betroffen sind. Die Ameos-Gruppe betont, dass jede Anfrage individuell geprüft werde und es möglich sei, dass einzelne Personen gar nicht betroffen sind. Die Ermittlungen laufen weiterhin gemeinsam mit Behörden und externen Experten.
Während die Patientenversorgung laut Ameos selbst nie gefährdet war, kam es durch eine gestörte Einsatz-App zu Beeinträchtigungen bei Rettungsdiensten. In Einzelfällen mussten andere Krankenhäuser bis zu 40 Prozent mehr Notfälle aufnehmen. Der zwischen Deutschland, der Schweiz und Österreich aktive Klinikverbund zeigt mit diesem Vorfall erneut, wie stark sensible Gesundheitsdaten und die Patientenversorgung inzwischen von der Cybersicherheit abhängen.
Blog-Beitrag: Viele Vorgaben, wenig Wirkung? So verhindern Sie IT-Projektstau bei Sicherheitsanforderungen.
Sicherheitsanforderungen aus Normen, Standards und Gesetzen wie ISO 27001, IT-Grundschutz, DORA oder NIS-2 sollen Organisationen sicherer und widerstandsfähiger machen. In der Realität beobachten wir jedoch oft etwas anderes: IT-Projekte geraten ins Stocken, Sicherheitsinitiativen verlieren an Momentum und das Vertrauen zwischen Informationssicherheit und IT schwindet.
In unserem aktuellen Erfahrungsbericht zeigen unsere Experten Selim Derkorn und Philipp Lottis typische Ursachen für den Umsetzungsstau – und was ISBs und IT gemeinsam dagegen tun können.
https://www.hisolutions.com/detail/blog-it-projektstau-sicherheitsanforderungen-umsetzen
Schulung zum BSI-BCM-Praktiker
In einer vernetzten Welt sind Institutionen – von Behörden bis zu Unternehmen jeder Größe – zunehmend komplexen Risiken ausgesetzt. Betriebsunterbrechungen, Notfälle und unerwartete Krisen können schwerwiegende Auswirkungen haben. Deshalb ist ein robustes Business Continuity Management (BCM) unerlässlich.
Unsere Schulung zum BCM-Praktiker vermittelt fundierte Kenntnisse und praktische Kompetenzen, um BCM-Strategien zu entwickeln, zu implementieren und effektiv zu steuern – und so die Resilienz Ihrer Institution zu stärken.
Der inhaltliche Aufbau der viertägigen Schulung orientiert sich am Curriculum des BSI und wird von unseren erfahrenen BCM-Experten mit vielen Best Practices angereichert.
Die Schulung schließt mit einer Prüfung ab, die den individuellen Lernfortschritt überprüft. Mit Bestehen erhalten Teilnehmende ein BSI-Zertifikat zum BCM-Praktiker.
22.-25.09.2025 – HiAcademy, remote
https://www.hisolutions.com/security-consulting/academy#c13049
Build your BCM: Das 360°-Spiel von HiSolutions
Herzlich willkommen beim regionalen Wasserversorger, der Nolmarer Aqua! Sie haben gerade den Posten des BCM-Managers übernommen. Ihr Auftrag ist so einfach wie anspruchsvoll: Bauen Sie ein Business Continuity Managementsystem auf. Das Problem: Ihre Ressourcen sind begrenzt. Schaffen Sie es, mit den verfügbaren Mitteln ein wirksames BCMS aufzubauen und hält dieses der Realität stand?
Unser interaktiver Workshop ist eine spannende Alternative zu klassischen Lehrgängen. Der Fokus liegt auf der praktischen Erarbeitung der BCM-Aspekte und deren Umsetzung – alles verpackt in einen spielerischen Ansatz. Innerhalb kurzer Zeit erhalten Sie ein klares Verständnis für die Funktionsweise eines BCMS, seine Abhängigkeiten und Schnittstellen.
Egal ob als Projekt-Kick-off der etwas anderen Art oder als Impuls, um das Thema BCM in Ihrer Organisation spielerisch zu vermitteln: Dieses Spiel richtet sich an alle, die sich praxisnah mit BCM beschäftigen möchten – ohne Umwege über trockene Theorie.
02.10.2025 - HiAcademy, Berlin
https://www.hisolutions.com/security-consulting/academy#c13959
Die nächsten HiSolutions BCM-News erscheinen Mitte November 2025!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!