< Zurück
News

HiS-BCM-News 06/2016 - Business Continuity Management aktuell

Security Consulting , Business Continuity & Krisenmanagement Newsletter

HiS-BCM-News November 2016

Die Top Themen: Größter DDoS-Angriff mittels IoT-Botnetz, europaweite Krisenübung Cyber Europe 2016, Rückkehr des Influenza-Virus H5N8,  Wie realistisch sind BC-Pläne in Bezug auf das erforderliche Personal?, „Three Lines of Defence“ Modell: Eine kritische Auseinandersetzung, Standards zum Wirtschaftsgrundschutz veröffentlicht, BCI veröffentlicht Supply Chain Resilience Report 2016.

 

Neuigkeiten

Weitreichende DDoS-Angriffe durch das Botnetz Mirai
Im Oktober legte eine schwere DDoS-Attacke (Distributed Denial of Service) auf die von der Firma Dyn verwaltete DNS-Infrastruktur mehrere Internetdienste auf indirektem Wege lahm. Ersten Analysen zufolge wurden hierbei rund 300.000 ungesicherte IoT-Geräte (Internet of Things) mit Hilfe des Botnetzes Mirai ausgenutzt. Mit einem Datenvolumen von 1,2 Terabit pro Sekunde war diese DDoS-Attacke der bisher größte Angriff dieser Art.
http://www.security-insider.de/mirai-botnet-attackiert-dns-anbieter-dyncom-a-555345/ 

Das Botnetz Mirai kam auch bei einer DDoS-Attacke auf das westafrikanische Liberia zum Einsatz. Es wurde versucht, das komplette Land zeitweise offline zu nehmen.
https://krebsonsecurity.com/2016/11/did-the-mirai-botnet-really-take-liberia-offline/ 

--------------------------------------------------------------
Verein „Zero Outage Industry Standard“ beginnt Arbeit an Standards zur Hochverfügbarkeit
Mehrere international tätige Technologieunternehmen haben die Zusammenarbeit an „einem Zero Outage-Branchenstandard zur Sicherung der Qualität und Zuverlässigkeit von IT-Infrastrukturen“ angekündigt. Die Unternehmen gründeten hierfür den Verein „Zero Outage Industry Standard“ mit Sitz in London. Ziel des Vereins ist es, über die Entwicklung von Standards einen Rahmen für sichere, zuverlässige und hochverfügbare IT-Lösungen und Services zu schaffen.
https://www.heise.de/newsticker/meldung/Zero-Outage-Industry-Standard-Zehn-Unternehmen-fuer-Hochverfuegbarkeit-3459342.html 

--------------------------------------------------------------
Cyber Europe 2016: Die bisher größte Cyber-Krisenübung
Im Oktober 2016 fand die von der ENISA organisierte europaweite Krisenübung „Cyber Europe 2016“ statt. An der Übung waren tausende Experten aus allen 28 Mitgliedsstaaten der EU sowie aus der Schweiz und Norwegen beteiligt. Zwei Tage lang übten Vertreter der über 300 teilnehmenden Organisationen – darunter Behörden, Ministerien, EU-Institutionen und IT-Service Provider – die Zusammenarbeit in einem simulierten Krisenszenario. Die Aufgaben umfassten neben Themen wie IT-Forensik und Malware-Analyse auch die Reaktion auf die Infektion mobiler Endgeräte und „Malvertisement“-Kampagnen. Die zahlreichen simulierten Ereignisse auf lokaler, nationaler und europaweiter Ebene erforderten zudem eine Aktivierung von Business-Continuity- und Krisenmanagement-Plänen.
> Zum Artikel: http://www.scmagazineuk.com/biggest-ever-pan-european-cyber-security-exercise-concludes-today/article/548463/ 
> Homepage der CE 2016: https://www.cyber-europe.eu/
> Zum Intro-Video: https://www.youtube.com/watch?v=2wVsB1WCfNg 

--------------------------------------------------------------
Hurrikan „Matthew“ zwingt USA zur größten Evakuierung aller Zeiten
Hurrikan „Matthew“ hat im Oktober verheerende Zerstörungen angerichtet. Mit Geschwindigkeiten von bis zu 200 Stundenkilometern war es der schwerste Wirbelsturm der letzten 10 Jahre. Der Gouverneur von Florida erteilte den Evakuierungsbefehl für 1,5 Millionen Menschen. In Georgia wurden rund 1,1 Millionen Menschen dazu aufgerufen, mindestens 160 Kilometer weit ins Inland zu fliehen.
Laut der Weltgesundheitsorganisation WHO sind mehr als 2,1 Millionen Haitianer am schlimmsten von den Folgen des Hurrikans betroffen. Zehntausende sind nun obdachlos.
https://www.welt.de/vermischtes/article158604260/Matthew-zwingt-USA-zur-groessten-Evakuierung-aller-Zeiten.html 

--------------------------------------------------------------
Forschungsprojekt „Starkregen“ gestartet
Der Deutsche Wetterdienst (DWD) und der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) wollen in einem gemeinsamen Projekt die Risikowahrscheinlichkeit und die Folgen von Starkregen erforschen. Bis 2018 soll untersucht werden, in welcher Intensität und an welchen Orten Starkregen besonders häufig auftritt und welche Schäden dadurch verursacht werden.
http://www.gdv.de/2016/09/deutscher-wetterdienst-und-gdv-erforschen-starkregen/ 

--------------------------------------------------------------
Rückkehr des Influenza-Virus H5N8 (Vogelgrippe)
Die 2014 erstmals in Europa aufgetauchte H5N8-Variante des Influenza-Virus breitet sich erneut in Europa aus. Vor allem Polen und Deutschland sind bisher betroffen. Wissenschaftler sind sich noch uneinig darüber, wie hoch das Risiko ist, dass das Virus durch Mutationen auch auf den Menschen übertragbar ist. Bisher hat das Robert-Koch-Institut (RKI) jedoch keine humanen Erkrankungen durch den Virus-Subtyp A(H5N8) beobachtet.
https://www.rki.de/DE/Content/InfAZ/A/AviaereInfluenza/A_H5N8/Influenza_A_H5N8.html 

 

Wissenswertes

Wie realistisch sind BC-Pläne in Bezug auf das erforderliche Personal?
In diesem auf Continuity Central veröffentlichten Artikel setzt sich Robert Clark mit den oft unrealistischen Annahmen zur Verfügbarkeit des Personals als Grundlage für die Erstellung von Notfallplänen auseinander. Insbesondere die in IT-Disaster-Recovery-Plänen beschriebenen Maßnahmen gehen häufig davon aus, dass das komplette Kernteam des IT-Betriebs arbeitsfähig ist. Dabei ist dies schon im Normalbetrieb häufig nicht der Fall, ganz zu schweigen von dem Personalausfall infolge eines großen Schadensereignisses wie z.B. einer Naturkatastrophe. In diesem Artikel werden weitere Beispiele und Szenarien behandelt sowie Hinweise für eine realistischere Planung vorgestellt.
http://www.continuitycentral.com/index.php/news/business-continuity-news/1349-are-your-business-continuity-plans-over-optimistic-when-it-comes-to-employee-availability/ 

--------------------------------------------------------------
BCM ist mehr als nur ein Notfallplan
Die Erstellung eines BC- oder IT-Disaster-Recovery-Plans ist ein wichtiger Bestandteil des BCM, jedoch ist der fertige Plan nicht das eigentliche „Endergebnis“. Es geht vielmehr darum, ein dauerhaftes Managementsystem zu etablieren. Während einige Aspekte davon in Dokumenten zu beschreiben sind, müssen andere in die normale Organisation, in die Prozesse, IT-Systeme und Applikationen integriert werden. Die Umsetzung und kontinuierliche Weiterentwicklung des BCM-Systems erfordert darüber hinaus geschultes Personal mit entsprechenden Fähigkeiten und Kenntnissen. Die Autoren der folgenden Artikel beleuchten dieses Thema aus verschiedenen Blickwinkeln.
> BCM-Framework: http://www.thebci.org/index.php/about/news-room#/blog_posts/stop-using-the-p-word-50855/ 
> IT-DR-Programm: http://www.continuitycentral.com/index.php/news/technology/1447-the-it-dr-program-a-crucial-but-not-well-understood-aspect-of-disaster-recovery/ 

--------------------------------------------------------------
Der Unterschied zwischen Incident Management und Crisis Management
Die klare Definition der wesentlichen Begriffe ist eine Grundvoraussetzung für das Etablieren eines funktionsfähigen BCM-Systems, insbesondere die Unterscheidung zwischen Störungen und Notfällen / Krisen. Der Autor dieses bereits im Juli erschienenen Blogbeitrags stellt die wichtigsten Unterschiede zwischen Incident Management und Crisis Management in einer Übersicht dar.
https://www.ebrp.net/incident-management-vs-crisis-management/ 

--------------------------------------------------------------
Risikomanagement: Ist die Wahrscheinlichkeit von Unsicherheit berechenbar?
Der Begriff Risiko kann definiert werden als die – sowohl positive oder auch negative – Auswirkung von Unsicherheit auf Ziele. Insbesondere bei der Risikoanalyse sind die Komplexität und die Anzahl der unbekannten Faktoren oft so groß, dass die Eintrittswahrscheinlichkeit eines Risikos kaum genau vorhergesagt werden kann. Der Autor des folgenden Artikels beschreibt, wie es mit den modernen Ansätzen eines integrierten BCM-Prozesses auf strategischer, taktischer und operativer Ebene möglich ist, die Probleme der „traditionellen“ Risikoanalyse-Methoden zu vermeiden.
http://www.continuitycentral.com/index.php/news/erm-news/1374-can-you-really-calculate-the-probability-of-uncertainty/ 

--------------------------------------------------------------
Kritische Auseinandersetzung mit dem „Three Lines of Defence“ Modell
Viele Finanzinstitute berücksichtigen die Prinzipien des „Three Lines of Defence“ Modells in irgendeiner Form in ihrem Risikomanagement – insbesondere nachdem der Baseler Ausschuss für Bankenaufsicht sie als einen wichtigen Teil der „Principles for the Sound Management of Operational Risk“ (BCBS 195) definiert hat. In der Praxis ergeben sich jedoch einige Kritikpunkte, die in diesem auf Risk.net veröffentlichten Artikel zusammengefasst werden.
http://www.risk.net/operational-risk-and-regulation/opinion/2468194/the-three-lines-of-defence-a-health-warning/ 

 

Standards, Berichte, Richtlinien und Leitfäden

Standards zum Wirtschaftsgrundschutz veröffentlicht
In Ergänzung zum bewährten IT-Grundschutz ist mit dem Wirtschaftsgrundschutz ein ganzheitliches Modell entstanden, das neben informationstechnischen Maßnahmen auch physische, personelle, prozessuale und organisatorische Aspekte der Sicherheit adressiert. Wesentliche Themen wie etwa das Notfall- und Krisenmanagement oder die Reisesicherheit werden in den kostenlos zur Verfügung stehenden Standards, Bausteinen und Maßnahmen des Wirtschaftsgrundschutzes adressiert.
> Alle bisher veröffentlichten Dokumente: https://www.wirtschaftsschutz.info/DE/Aktuelles/Initiative_WiS/Wirtschaftsgrundschutz/wisgs_node.html 

--------------------------------------------------------------
BSI stellt neuen IT-Risikomanagement-Standard als Community Draft zur Verfügung
Der neue BSI-Standard 200-3 zur Risikoanalyse auf der Basis von IT-Grundschutz wurde im Oktober als Entwurf veröffentlicht. Er beschreibt eine Methodik zur vereinfachten Analyse und Bewertung von Risiken für die Informationsverarbeitung.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-Grundschutz-Modernisierung/BSI_Standard_200-3.pdf?__blob 

--------------------------------------------------------------
BCI veröffentlicht Supply Chain Resilience Report 2016
Das Business Continuity Institute (BCI) hat den jährlich erscheinenden Supply Chain Resilience Report veröffentlicht. Der Bericht zeigt, dass die Gesamtanzahl an Betriebsunterbrechungen zwar leicht gesunken ist, das Ausmaß der Vorfälle für die betroffenen Organisationen jedoch gestiegen ist. Eine der größten Herausforderungen bleibt es, die einzelnen Beziehungen und Abhängigkeiten in der Supply Chain im Detail zu verstehen.
> Weiterlesen: http://www.thebci.org/index.php/about/news-room#/news/counting-the-cost-of-supply-chain-disruption-195454/ 
> Zum PDF: http://www.bcifiles.com/BCI_SupplyChainResilienceReport_2016.pdf 

--------------------------------------------------------------
Jahresbericht zu Störungen der elektronischen Kommunikation in Europa erschienen
Die ENISA sammelt und veröffentlicht jährlich einen Bericht über die Ursachen von Störungen und Ausfällen von Organisationen, die im Sektor elektronische Kommunikation tätig sind. Der aktuelle Bericht stellt die 2015 aufgetretenen Vorfälle insgesamt und die Analyseergebnisse schwerer Störungen im Detail dar.
https://www.enisa.europa.eu/publications/annual-incident-reports-2015/ 

 

Aktuelle BCM-Schadensereignisse

Tesco-Bank stoppt Onlinebanking nach Hacker-Angriff
Die britische Tesco-Bank wurde am Wochenende vom 5.-6. November 2016 Opfer des größten Cyberangriffs, der jemals auf eine britische Bank bekannt wurde. Nachdem die Kriminellen rund 2,5 Mio. Pfund von 9.000 Kunden ohne Autorisierung abgebucht hatten, entschied sich die Bank dazu, vorübergehend alle Online-Transaktionen zu stoppen.
https://www.theguardian.com/money/2016/nov/12/tesco-bank-fraud-cyber-attack-card-readers-security/ 

Security-Experten warnen davor, dass nicht nur die Tesco-Bank im Visier von Kriminellen ist:
http://www.welivesecurity.com/deutsch/2016/11/10/im-visier-von-retefe/ 

--------------------------------------------------------------
Explosion im BASF-Werk in Ludwigshafen
Bei dem Unglück am 17. Oktober sind drei Menschen ums Leben gekommen, als bei Arbeiten an einer Rohrleitung am größten BASF-Standort ein Großfeuer ausbrach. Mehrere Anlagen sind auch vier Wochen nach dem Unfall noch nicht wieder in Betrieb.
http://www.rnz.de/nachrichten/metropolregion_artikel,-BASF-Reparatur-der-Explosionsschaeden-wird-Monate-dauern-_arid,234679.html 

--------------------------------------------------------------
Erneut schwere Erdbeben in Italien
Nach dem Beben im August 2016 ereignete sich in Mittelitalien am 30. Oktober erneut ein schweres Erdbeben. Mit einer Magnitude von 6,6 auf der Richterskala war es das stärkste Beben seit 1980. Allein in diesem Jahrhaben die Erdbeben etwa 200.000 Gebäude zerstört. Damit wurden mehr als 22.000 Menschen obdachlos. Glück im Unglück: Ein geologischer Zufall rettete im Oktober den meisten betroffenen Menschen das Leben.
http://www.spiegel.de/wissenschaft/natur/erdbeben-in-italien-geologischer-zufall-rettete-tausende-a-1118557.html 

--------------------------------------------------------------
Flugausfälle durch Krankmeldungen bei TUIfly und Streik bei Eurowings / Germanwings
Nachdem sich zahlreiche Mitarbeiter des Cockpit- und Kabinenpersonals bei TUIfly kurzfristig krankgemeldet hatten, kam es zu zahlreichen Flugausfällen und -änderungen. Auch der Flugplan des Partners Air Berlin war betroffen: Tausende Passagiere mussten auf ihre Verbindungen warten oder konnten ihre Reisen erst gar nicht antreten.
http://www.tagesschau.de/wirtschaft/tuifly-flugausfaelle-105.html 

Auch bei Eurowings / Germanwings und Lufthansa kam es zu Streiks bzw. Streikandrohungen. Bei Lufthansa wäre es bereits der vierzehnte Ausstand im laufenden Tarifkonflikt.
> Eurowings: http://www.tagesschau.de/wirtschaft/eurowings-streiks-107.html
> Lufthansa: http://www.handelsblatt.com/unternehmen/handel-konsumgueter/streik-ankuendigung-funkstille-zwischen-lufthansa-und-piloten/14845280.html 

 

Veranstaltungen

ESG: IT-Risiko- und IT-Notfallmanagement-Seminare
Auch 2017 finden wieder drei Seminare zu den Themen IT-Risikomanagement, IT-Notfallplanung und IT-Notfallübungen statt, welche Interessierten einen umfassenden und konsistenten Gesamtüberblick bieten. Jedes Seminar kann auch einzeln gebucht werden.
Termine:
• 06. – 09. Februar 2017, Berlin
• 19. – 22. Juni 2017, Frankfurt am Main
• 27. – 30. November 2017, München/Fürstenfeldbruck
https://www.cybertraining.esg.de/seminar/it-risikomanagement/
https://www.cybertraining.esg.de/seminar/it-notfallplanung/
https://www.cybertraining.esg.de/seminar/it-notfall-und-krisenubungen/ 

--------------------------------------------------------------
Lehrgang zum zertifizierten Business Continuity Manager
Die Teilnehmer werden befähigt, in ihrem Unternehmen ein BCMS nach ISO 22301:2012 einzuführen und zu betreiben. Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle PersCert TÜV vom TÜV Rheinland erhalten die Teilnehmer das Zertifikat „Zertifizierter Business Continuity Manager mit TÜV Rheinland geprüfter Qualifikation”.
Termine:
• 24. – 28. April 2017, Frankfurt am Main
• 17. – 21. Juli 2017, München/Fürstenfeldbruck
• 13. – 17. November 2017, Berlin
> Weiterlesen: https://www.cybertraining.esg.de/seminar/zertifizierter-business-continuity-manager/
> Zur Broschüre: https://www.cybertraining.esg.de/wp-content/uploads/2016/03/ESG-Cyber-Training-Center-Seminar_Zertifizierter-Business-Continuity-Manager.pdf 

--------------------------------------------------------------
Lehrgang zum zertifizierten IT-Notfallmanager
Die Teilnehmer werden befähigt, ein BSI-Grundschutz-konformes IT-Notfallmanagement nach ISO 27031 einzuführen und zu betreiben. Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle PersCert TÜV vom TÜV Rheinland erhalten die Teilnehmer das Zertifikat „Zertifizierter IT-Notfallmanager mit TÜV Rheinland geprüfter Qualifikation”.
Termine:
• 14. – 17. März 2017, Frankfurt am Main
• 24. – 27. Juli 2017, München/Fürstenfeldbruck
• 17. – 20. Oktober 2017, Berlin
> Weiterlesen: https://www.cybertraining.esg.de/seminar/zertifizierter-it-notfallmanager/
> Zur Broschüre: https://www.cybertraining.esg.de/wp-content/uploads/2016/03/ESG-Cyber-Training-Center-Seminar_Zertifizierter-IT-Notfallmanager.pdf 


Die nächsten HiS-BCM-News erhalten Sie Mitte Januar 2017.

Feedback ist herzlich willkommen!
 

Jetzt teilen: