< Zurück
News

HiS-BCM-News April/Mai 2018 - Business Continuity Management aktuell

Security Consulting , Business Continuity & Krisenmanagement Newsletter

Die Top Themen: Gaslöschanlage verursacht Ausfall von Rechenzentrum, 27. Jahresbericht des Institute for Crisis Management, IT-Systemausfall behindert Flugverkehr in Frankfurt a.M., Outsourcing verursacht Existenzkrise bei der TSB Bank, Stromausfall und mehrfach technisches Versagen verursacht bundesweite Störung des Internets, deutschlandweite Störung im Mobilfunknetz von O2.


Neuigkeiten 

DSGVO in Kraft getreten – neue Herausforderungen für das Business Continuity Management
Die europäische Datenschutz-Grundverordnung (DSGVO) ist nach zweijähriger Übergangsfrist seit 25. Mai 2018 verpflichtend umzusetzen. Unternehmen, die Backups zum Schutz der Verfügbarkeit ihrer Daten vorhalten, müssen ihre Backup- und Datenstrategien aufgrund der neuen Anforderungen überprüfen und ggf. anpassen. Der folgende Artikel stellt die wesentlichen Anforderungen für die Datensicherung vor und zeigt Wege auf, wie die Regularien eingehalten werden können.
https://www.it-daily.net/it-management/data-center-server-storage/18530-backup-dsgvo-anforderungen-an-die-datenstrategie/ 

Rückblick zur Business Continuity Awareness Week 2018 
Die diesjährige Awareness Week des Business Continuity Institute (BCI) stand unter dem Thema „working together to improve organisational resilience“ und warf die Frage auf, mit welchen Disziplinen das BCM zusammenarbeiten kann, um die Resilienz von Unternehmen zu steigern. Verschiedene Webinare wurden abgehalten und Einblicke in unterschiedliche Aspekte der Unternehmenssicherheit ermöglicht. Der folgende Artikel fasst Ereignisse und Erkenntnisse übersichtlich zusammen:
https://www.thebci.org/news/bcaw-2018-the-best-one-so-far.html 

Nachwirkungen für den Zulieferer-Rebellen Prevent
Im August 2016 sorgten zwei Zulieferer der Prevent Gruppe mittels eines kurzfristigen Lieferstopps für einen tagelangen Stillstand der Produktionsbänder in sechs Werken des Automobilkonzerns Volkswagen. Aufgrund der Marktstärke der Prevent Gruppe und dem ausgeprägten Abhängigkeitsverhältnis lenkte der VW Konzern seiner Zeit ein und einigte sich auf neue Lieferverträge mit den Töchterunternehmen der Prevent Gruppe. Diese Lieferverträge hat Volkswagen nun einseitig und fristlos gekündigt. Volkswagen begründet die Kündigung damit, dass der Konzern auf „planbare und vertrauensvolle Zusammenarbeit“ angewiesen sei.
http://www.manager-magazin.de/unternehmen/autoindustrie/volkswagen-kuendigt-prevent-der-niedergang-des-zulieferer-rebellen-a-1201361.html 


Wissenswertes 

27. Jahresbericht des Institute for Crisis Management (ICM)
Das ICM hat seinen jährlichen Bericht zu aktuellen Neuigkeiten und Entwicklungen zum Thema Krisenmanagement veröffentlicht. Unter anderem werden die am stärksten betroffenen Branchen sowie die häufigsten Krisenursachen thematisiert. Häufigster Auslöser von Krisen war demnach ein fehlerhaftes Management. Der Bericht stützt sich auf Daten aus dem gesamten Jahr 2017.
https://www.continuitycentral.com/index.php/news/business-continuity-news/2869-institute-for-crisis-management-releases-annual-crisis-report/ 

Tipps zur Planung und Durchführung von Notfalltests und -übungen
Das Business Continuity Institute veröffentlichte im April hilfreiche Empfehlungen, wie Tests und Übungen im Notfall- und Krisenmanagement strukturiert geplant und erfolgreich durchgeführt werden können. Es wird hervorgehoben, welche Planungselemente der Erstellung eines Szenarios vorangestellt werden sollten und wie der Lerneffekt in der Auswertungsphase vergrößert werden kann.
Dem Artikel sind Dokumente zum Download angehangen, die im Rahmen der Übungsplanung grundlegend zur Unterstützung dienen können.
https://www.thebci.org/news/top-tips-for-running-a-business-continuity-exercise.html 


Standards, Richtlinien und Leitfäden 

Neue Herausforderungen bei Outsourcing-Verträgen
Im Oktober 2017 veröffentlichte die BaFin die 5. Novelle der MaRisk. Die aktualisierten Regelungen enthalten im Wesentlichen Konkretisierungen und erweiterte Anforderungen. So ist insbesondere die Thematik Auslagerungsmanagement betroffen. Im Rahmen dessen wurden u. a. die Anforderungen an die Steuerung von Auslagerungsrisiken, die Gestaltung von Auslagerungsverträgen sowie die Vorbereitung auf Beendigungsszenarien mittels Exit Strategien berücksichtigt.
https://www.computerwoche.de/a/neue-herausforderungen-bei-outsourcing-vertraegen,3544687/ 
Die 5. Novelle der MaRisk kann unter folgendem Link heruntergeladen werden: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html 

Inkrafttreten der VAIT voraussichtlich im Q3 2018
Als Pendant zur BAIT veröffentlicht die BaFin voraussichtlich im dritten Quartal 2018 die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT), welche bereits seit März 2018 zur Konsultation stehen. Mittels der VAIT werden die „Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) mit Bezug auf die IT konkretisiert.
Im Rahmen dessen ist zu erwarten, dass Versicherungsunternehmen künftig weitere bzw. konkretere Anforderungen an das IT-Notfallmanagement inklusive Test- und Wiederherstellungsverfahren berücksichtigen müssen.
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1804_VAIT.html 


Aktuelle BCM-Schadensereignisse 

Ausfall eines IT-Systems behindert Flugverkehr in Frankfurt
Der Ausfall eines internen IT-Systems des Flughafenbetreibers Fraport führte am 16. Mai 2018 zu erheblichen Ausfällen, welche sich auf mehrere Airlines und deren Kunden auswirkten. Der manuelle Workaround am Flughafen konnte zwar den „Totalausfall“ als Worst-Case verhindern, Verspätungen und zahlreiche Flugausfälle konnten jedoch nicht vermieden werden.
http://www.fr.de/rhein-main/flughafen-frankfurt/flughafen-frankfurt-computer-panne-behindert-flugbetrieb-a-1507123/ 

Kurios: Brandschutzeinrichtung beeinträchtigt internationalen Börsenhandel 
Wie unberechenbar und individuell ein Ausfall kritischer Geschäftsprozesse verursacht werden kann beweist ein Ereignis vom 18. April 2018 in Schweden. Dort hatte der Ton der Düsen der Gaslöschanlage in einem Rechenzentrum zahlreiche Festplatten beschädigt. Zu den betroffenen Kunden des RZ-Betreibers Digiplex gehörten u. a. die Börsenplattform Nasdaq Nordic sowie zwei skandinavische Banken. Der Börsenhandel in Skandinavien war daraufhin stundenlang beeinträchtigt. In ganz Schweden standen zudem keine Ersatz-Server zur Verfügung.
https://www.heise.de/newsticker/meldung/Loeschanlagen-Ton-zerstoert-Festplatten-in-schwedischem-Rechenzentrum-4029730.html 
So kurios der Vorfall klingt, war er nicht der erste seiner Art. 2016 führte ein Test der Gaslöschanlage in einem Rechenzentrum einer rumänischen Niederlassung der ING-Bank ebenfalls zu einem Serverausfall, der eine Störung mehrerer kritischer Geschäftsprozesse zur Folge hatte. Ursache war ein lauter Knall der Gaspatronen, welcher eine Druckwelle verursachte, die den Ausfall mehrerer Festplatten herbeiführte.
https://www.heise.de/newsticker/meldung/ING-Bank-Serverausfall-durch-Probealarm-3318342.html 

Murphy’s Law: Stromausfall, mehrfach technisches Versagen und landesweite Störung des Internets
Ein Stromausfall führte am 16. April 2018 zum Ausfall eines Frankfurter Rechenzentrums des Betreibers Interxion. Nachdem der reguläre Stromkreislauf versagte, sprangen auch die Dieselgeneratoren nicht an. Die Batterien, welche für diese Fälle vorgesehenen sind, versagten ebenfalls den Dienst. Der dadurch verursachte Ausfall des Rechenzentrums betraf u. a. den Betreiber des weltgrößten Internetknotens De-Cix. Die Folge war eine deutschlandweite Beeinträchtigung des Internetverkehrs.
http://www.faz.net/aktuell/rhein-main/frankfurter-rechenzentrum-schockiert-und-betroffen-von-stromausfall-15537500.html 
Etwa eine Woche nach dem Ausfall konnte die Kausalitätskette ergründet werden. Die Ursache war eine Verkettung ungünstiger Umstände bezüglich eines mehrfachen technischen Versagens.
http://www.faz.net/aktuell/wirtschaft/diginomics/fehlerkette-bei-interxion-grund-fuer-de-cix-panne-15545001.html 

Cloud-Abhängigkeiten: Office 365 zeitweise in Europa nicht mehr verfügbar
Am 6. April 2018 wurde erneut aufgezeigt, dass die Abhängigkeit von Cloud-Diensten Risiken mit sich bringt. Wegen Authentifizierungsproblemen war es zahlreichen Benutzern in ganz Europa zeitweise nicht möglich, sich bei den Office-365-Diensten anzumelden. Office-365 vereint viele Office-Anwendungen für die Anwendung im Büroalltag. Neben den eigentlichen Arbeitsprozessen wurde insbesondere auch die interne und externe Kommunikation in zahlreichen Unternehmen beeinträchtigt.
https://www.all-about-security.de/security-artikel/plattformsicherheit/single/office-365-zeitweise-in-europa-nicht-mehr-verfuegbar/ 

Outsourcing: Migration des Kernbankensystems verursacht Existenzkrise bei der TSB Bank
Die Migration des Kernbanken-Systems der TSB auf das Kernbanken-System der Sabadell Banking Group führte am 20. April 2018 zu weitreichenden Ausfällen und Fehlfunktionen des E-Bankings. 1,9 Millionen Kunden der TSB konnten über sechs Tage nicht auf ihre Konten zugreifen. Zudem konnte zeitweise die Vertraulichkeit von Kundendaten nicht gewahrt bleiben.
https://www.inside-it.ch/articles/50940/
Die TSB war 2015 von der spanische Sabadell Bank übernommen worden, hatte ihr Kernbank-System allerdings weiter von der Lloyds Banking Group betreiben lassen. Der Fall zeigt auf, wie die Beendigung einer Auslagerung trotz langer Planung in einen weitreichenden Notfall münden kann.
https://www.reuters.com/article/us-britain-tsb/tsb-bank-customers-say-online-services-still-not-fixed-idUSKBN1HW15C/ 

Deutschlandweite Störung im Mobilfunknetz von O2
Am 16. Mai 2018 kam es zu deutschlandweiten Ausfällen des O2-Netzes. Auslöser war ein Software-Fehler, der erst nach fast 12 Stunden behoben werden konnte. Auch die Kunden der Provider Aldi Talk, Blau und Fonic waren von den Ausfällen betroffen. 
https://www.heise.de/newsticker/meldung/Telefonica-Deutschland-Deutschlandweite-Stoerung-im-Mobilfunknetz-von-O2-4049778.html
O2 selbst baute via Twitter eine geeignete Kommunikation zu den betroffenen Kunden auf. Mehrere Anbieter, welche das O2-Netz nutzen, sind diesem Beispiel jedoch nicht gefolgt. Weiterführende Informationen können dem folgenden Artikel entnommen werden:
https://www.focus.de/digital/kunden-stundenlang-ohne-netz-mega-netzausfall-bei-o2-so-lief-der-blackout-das-sagt-der-mobilfunkanbieter_id_8937233.html 


Veranstaltungen 

Reminder: ESG-Seminar: IT-Notfallplanung – IT-Ausfälle effektiv managen 
Vom 25. – 26. Juni 2018 findet das nächste Seminar zum Thema IT-Notfallplanung in München/Fürstenfeldbruck statt, welche Interessierten einen umfassenden und konsistenten Gesamtüberblick bieten.
https://www.cybertraining.esg.de/seminar/it-notfallplanung/?ref=IS-NAM-0118 

Schulung Prüfverfahrens-Kompetenz für § 8a BSIG
Teilnehmer der Schulung erhalten einen Überblick über die KRITIS-Thematik und werden in die Lage versetzt, Prüfungen nach § 8a BSIG zielorientiert vorzubereiten. Nach bestandener Abschlussprüfung erhalten die Teilnehmer die Zusatzqualifikation „Spezielle Prüfverfahrens-Kompetenz für § 8a BSIG“.
Nächste Termine:
• 11. – 12. September 2018, Berlin
• 06. – 07. November 2018, Bonn

Cyber Akademie Schulung: KRITIS kompakt – was das BSI von KRITIS-Betreibern fordert
Diese Schulung vermittelt KRITIS-Betreibern relevante Informationen bezüglich einer effektiven Vorgehensweise zur Sicherung ihrer Kritischen Infrastrukturen gemäß § 8a BSIG sowie Grundlagen des Prüfungsschemas mit dem die Kritischen Infrastrukturen geprüft werden können. Im Zuge dessen werden insbesondere die Pflichten der Betreiber thematisiert, die sich aus dem IT-Sicherheitsgesetz und der BSI-Kritisverordnung ergeben.
Nächste Termine:
• 20. September 2018, Bonn
• 13. November 2018, Berlin
https://www.cyber-akademie.de/detail.jsp?v_id=2857 


Lesen Sie hier alle bisher erschienenen BCM-News: https://www.hisolutions.com/his-bcm-news/ 
Die nächsten HiS-BCM-News erhalten Sie Mitte Juli 2018. 

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: