Die Top-Themen: UK: Regierung stellt Maßnahmenplan nach massivem Stromausfall vor | Munich Re: Extremere Wetterereignisse könnten zukünftig zu erhöhten Ausfallrisiken führen | ISO 22301:2019 veröffentlicht | Neue EBA-Guidelines veröffentlicht | Kollateralschäden nach Cyber-Angriff auf Finanzdienstleister FI-TS
Neuigkeiten
Schadensersatzklage wegen Dienstleisterausfall: VW verklagt Prevent
Im August 2016 lösten Produktionsausfälle durch Lieferstopps von Zulieferern bei VW nach eigenen Angaben einen dreistelligen Millionenschaden aus. Als Konsequenz klagt der Autobauer nun neben den zwei direkt beteiligten Unternehmen auch deren Muttergesellschaft Prevent wegen Vertrags- und Rechtsbruch an. Ursachen für den damaligen Ausfall waren rechtliche Auseinandersetzungen zwischen VW und Prevent, ausgelöst durch die Kündigung eines Vertrages. VW konnte infolgedessen auf kein Tochterunternehmen und keine Leistungen von Prevent mehr zugreifen. Dieser Fall zeigt klassische durch Single-Sourcing auftretende Risiken und den notwendigen Bedarf an Notfall- bzw. Exitstrategien.
UK: Regierung stellt Maßnahmenplan nach massivem Stromausfall vor
Störungen automatischer Sicherheitssysteme führten aufgrund minimaler Frequenz- und Spannungsschwankungen sowie Störungen integrierter Sicherungsnetzteile am 9. August vergangenen Jahres zu einem massiven Stromausfall in England, Wales und Teilen Schottlands mit über einer Million betroffener Bürger. Bei einem vergleichsweise kurzen Stromausfall von 45 Minuten dauerte es dennoch mehrere Tage, die Nachwirkungen des Ausfalls zu beheben.
Zur Vermeidung zukünftiger Stromausfälle bzw. einer besseren Bewältigung stellt das Energy Emergencies Executive Committee (E3C) nun den finalen Untersuchungsbericht vor. Von besonderem Interesse ist vor allem die geplante Einbindung der Verbraucher. So will das E3C bis Ende März festlegen, wie kritische Verbraucher identifiziert und bei der Implementierung schützender Maßnahmen unterstützt werden können. Zusätzlich will das E3C die bestehenden Kommunikationsverfahren während eines Ereignisses drastisch weiterentwickeln. Hierzu will das E3C bereits im Februar eine neue Kommunikationsstrategie zwischen Industrie und Behörden vorstellen. Spannend: Das Zusammenspiel von Behörden und Verbrauchern soll szenariospezifisch geübt und getestet werden.
IT-Angriff: Uni Gießen geht wieder online
Am 8. Dezember wurde die Universität Gießen Ziel eines IT-Angriffes. Durch das schnelle Herunterfahren der Server konnten laut Krisenstab der Universität zwar alle wissenschaftlichen Daten und Datenbestände der Verwaltung geschützt werden, für 38.000 Accounts von Studierenden und Mitarbeitern mussten dennoch physisch neue Passwörter ausgehändigt werden. Diese waren als Reaktion auf den IT-Angriff zurückgesetzt worden.
Wissenswertes
Munich Re: Extremere Wetterereignisse könnten zukünftig zu erhöhten Ausfallrisiken führen
Der Rückversicherer Munich Re stellte jüngst seinen Naturkatastrophenbericht vor. Schäden in Höhe von 150 Milliarden US-Dollar seien im abgelaufenen Jahr weltweit auf Naturkatastrophen zurückzuführen. Auch wenn es sich „nur“ um ein durchschnittliches Jahr handelte (2018 waren es 186 Milliarden US-Dollar), prognostiziert der Versicherer auch für die Region Europa zukünftig extremere Ereignisse. Bereits im vergangenen Jahr drohte aufgrund der anhaltenden Hitzewelle die Talsperre Oderteich leerzulaufen. Mehrere Anrainer-Betriebe waren auf den Unterlauf zur Kühlung ihrer Produktion angewiesen. Daraufhin wurde die Wasserabgabe um die Hälfte reduziert, um zumindest einen minimalen Wasserfluss zu ermöglichen.
https://www.tagesschau.de/inland/naturkatastrophen-munich-re-101.html
Cyber-Versicherungen im BCM: Möglichkeiten und Risiken
Der Handel mit Cyber-Versicherungen steigt weiter rasant an. Einige Versicherer bieten neben der monetären Schadensabsicherung auch präventive Unterstützung bei der Vorbereitung auf ein Ereignis und forensische Unterstützung in der Notfallbewältigung an. Aber Vorsicht: Prozessausfälle und damit einhergehende Reputationsverluste oder Verstöße gegen gesetzliche und regulatorische Anforderungen können nur bedingt durch eine Cyber-Versicherung ausgeglichen werden. Auch die Verantwortung für eine Absicherung der Organisation wird nicht durch den Abschluss einer Cyber-Versicherung abgegeben, diese verbleibt stets bei der Organisation selbst. Daher gilt: Cyber-Versicherungen können eine sinnvolle Ergänzung zur Absicherung der Unternehmenswerte bieten, sind aber keine Alternative zu einem effektiven BCM bzw. umfassenden Sicherheitsmanagementsystem.
Panne im Weihnachtsgeschäft zeigt: Im BCM auch zeitkritische Zeitpunkte und Termine berücksichtigen
Ausgerechnet am 23. Dezember, einem der umsatzstärksten Tage im Jahr, führte die massive Anzahl an Transaktionen per Giro- und Kreditkarten zur Überlastung der Systeme des Zahlungsdienstleisters BS Payone. Die Folge: Kunden waren in vielen Geschäften temporär gezwungen per Bargeld zahlen. Gerade bei umfangreichen Geschenkeinkäufen führte dies zu reichlich Unmut und Unverständnis.
Das Ereignis zeigte aber auch, weshalb im BCM neben der allgemeinen Zeitkritikalität von Prozessen und Ressourcen auch besonders zeitkritische Zeitpunkte und Termine berücksichtigt werden sollten.
Hierzu kann einerseits eine Worst-Case-Betrachtung im Rahmen der Business Impact Analyse erfolgen oder im Rahmen der Notfallplanung temporäre besondere Maßnahmen ergriffen werden. Bei der Worst-Case-Betrachtung erfolgt die Kritikalitätsbewertung der Prozesse anhand des größtmöglichen zu erwartenden Schadens am zeitkritischten Termin. Dieser gilt dann als grundsätzlicher Kritikalitätswert der weiteren Betrachtung. Alternativ können die kritischen Zeiträume und Termine auch gesondert in der Notfallbewältigung betrachtet werden und durch temporäre zusätzliche Schutzmaßnahmen während der besonderen Zeiträume und Termine abgesichert werden.
https://www.tagesschau.de/wirtschaft/kartenzahlung-stoerung-101.html
Neue Studie zur Bedeutung von Anlagenausfällen
Eine im Auftrag des Industrieversicherers FM Global durchgeführte Studie untersucht die Wahrnehmung von Führungskräften in Bezug auf Betriebsausfälle und ihrer Folgen. Als größtes Risiko für Betriebsausfälle wurde der Ausfall von technisch-betrieblichen Anlagen benannt (94 Prozent). Mit 84 Prozent wurden Cyberangriffe auf Steuerungssysteme der Anlagen als zweitgrößtes Risiko gesehen. 75 Prozent der Studienteilnehmer erwarteten dabei, dass es mehrere Monate dauern würde, die entstehenden Schäden zu kompensieren. 14 Prozent sind der Auffassung, dass dies sogar Jahre in Anspruch nehmen kann. Unter den erwarteten Folgen von Betriebsausfällen finden sich im hohen Maße die klassischen BCM-Schadensszenarien wieder. So erwarten 54 Prozent der Studienteilnehmer monetäre Schäden, 50 Prozent die Verletzung geltender Gesetze und regulatorischer Anforderungen sowie 48 Prozent Einbußen der öffentlichen Wahrnehmung.
Standards, Richtlinien und Leitfäden
ISO 22301:2019 veröffentlicht
Am 31.10.2019 war es soweit, die langersehnte Revision der ISO 22301 wurde veröffentlicht und brachte eine deutliche positive Weiterentwicklung mit. Das Wichtigste zuerst: Nach ISO 22301 ausgerichtete Organisationen werden nur wenig Mühe haben, sich an den aktualisierten Anforderungen der ISO 22301 auszurichten. Vielmehr ermöglicht die Revision eine deutliche Verschlankung bestehender BCM-Systeme und eine Reduktion der zwingend zu dokumentierenden Informationen. Insbesondere wurde darauf geachtet, die Anforderungen an das eigentliche Managementsystem (die High Level Structure) an andere ISO-Normen anzugleichen und so eine leichtere Verknüpfung mit anderen Managementsystemen zu ermöglichen. Dieser Schritt wird auch durch eine klarere Trennung zwischen den Anforderungen an das Managementsystem an sich und den Anforderungen an die tatsächlichen BCM-Prozesse erreicht. So wurden die bisher an vielen Stellen bestehenden und teilweise unklaren Redundanzen entfernt und die Anforderungen neu strukturiert. Die neue Struktur liest sich weniger als ein Bündel von Anforderungen, sondern vielmehr als eine Auflistung der Schritte bzw. Meilensteine, die zur Umsetzung der jeweiligen BCM-Prozesse notwendig sind. Dies ermöglicht dem Nutzer eine leichtere prozessuale Umsetzung des BCMS bei gleichzeitig maximaler Freiheit der genutzten Methoden. Die Auditierung der ISO 22301 kann voraussichtlich noch drei Jahre nach der Veröffentlichung der Revision auf Basis der ISO 22301:2012 erfolgen. Danach kann eine Zertifizierung nur nach der aktualisierten Version erfolgen.
https://www.iso.org/news/ref2446.html
Neue EBA-Guidelines veröffentlicht
Die Europäische Bankenaufsicht (EBA) aktualisiert mit der Richtlinie „Guidelines on ICT and security risk management“ ihre Anforderungen an Finanzinstitute unter ihrer Aufsicht. Hierunter fallen auch aktualisierte Anforderungen an das BCM wie z. B. erweiterte Anforderungen an die Notfalldokumentation und Notfallkommunikation sowie das Üben und Testen der entsprechenden Verfahren. Größten Einfluss dürften jedoch mitunter die zukünftigen Anforderungen an die Business Impact Analyse darstellen. So wird gefordert, neben der klassischen Bewertung der Verfügbarkeit auch die Faktoren Vertraulichkeit und Integrität sowie deren Einfluss auf die Geschäftsprozesse zu erheben. Eine engere Verzahnung von BCM und Informationssicherheit ist somit die logische Konsequenz. Die Richtlinie tritt mit Wirkung zum 30.06.2020 in Kraft und wird somit auch von der EBA geprüft.
Aktuelle BCM-Schadensereignisse
Norsk Hydro: Mit offener Kommunikation und klarer Strategie zum Ziel
Einen hundertprozentigen Schutz vor Ransomware gibt es nicht. So traf es im Oktober 2019 auch den international agierenden Aluminiumproduzenten Norsk Hydro. Eine infizierte E-Mail führte zu Einschränkungen diverser Produktionsstätten weltweit, geschätzter Schaden: 71 Millionen US-Dollar.
Dass der Schaden nicht noch höher ausfiel, war womöglich auch auf die Entscheidungen des Krisenstabs zurückzuführen. Nach Lehrbuch legte er zu Beginn des Ereignisses klare Strategien fest und forcierte eine offene interne und externe Kommunikation.
Durch die Formulierung klarer Strategien schuf der Krisenstab ein einheitliches Zielbild, an dem sich alle der über 30.000 Mitarbeiter ausrichten konnten und so an einem Strang zogen. Gleichzeitig entschied sich der Krisenstab für eine der Lage entsprechend richtigen Kommunikationsstrategie: Durch regelmäßige proaktive Informationen der Interessengruppen und Öffentlichkeit per Webcasts und Pressekonferenzen zeigte sich ein professionelles Krisenmanagement, das trotz der kritischen Situation Vertrauen schaffte.
Stromausfall bei Samsung: Der Notfall endet nicht mit Rückkehr des Stroms
Eine teure Minute erlebte der Chip-Hersteller Samsung in seinem Werk in Hwaseong (Korea). Aufgrund eines einminütigen Stromausfalls stoppte die gesamte Fertigung und musste heruntergefahren werden. Der Wiederanlauf und die Neukonfiguration der sensiblen Maschinen sowie die Zerstörung der in der Fertigung befindlichen Produkte kosteten den Chip-Hersteller mehrere Millionen Dollar und benötigte mehrere Tage. Ähnliches erlebten erst kürzlich die Unternehmen Toshiba und Western Digital in einem Werk in der Region Yokkaichi (siehe auch 4. Ausgabe der BCM-News 2019). Auch hier führte eine Unterbrechung der Stromversorgung zu einem unkontrollierten Herunterfahren der Anlagen und Zerstörung von in der Produktion befindlichen Wafer.
In beiden Fällen reagierten die Redundanzsysteme entweder zu langsam oder waren nicht vorhanden. Die Beispiele zeigen, dass bei Stromausfällen gerade auch die nachgelagerten Auswirkungen betrachtet werden müssen. Eine getestete alternative Stromversorgung sowie ein USV-Speicher zum Überbrücken der Wiederanlaufzeit (für Rechenzentren schon lange eine Norm), sollte also auch für hoch technisierte Fertigungstechniken in Betracht gezogen werden. Zusätzlicher Vorteil: Spannungsspitzen, für hoch technisierte Fertigungsschritte mindestens so schädlich wie ein Stromausfall, können vorab aufgefangen werden, bevor sie auf die Fertigung treffen.
https://winfuture.de/news,113268.html
Schleiffunken in Abluftkanal lösten Brand aus
Fehlerketten als Ursache für Schadensereignisse können die Ursachenermittlung deutlich verkomplizieren. So konnte die Brandursache für einen Brand am 22. Oktober 2019 erst im Dezember geklärt werden: Brennbare Ablagerungen in einem Abluftkanal wurden durch die Funkenbildung an einer nahen Schleifmaschine entzündet. Das Beispiel zeigt, wie wichtig die Betrachtung aller Faktoren im Rahmen der Risikobeurteilung ist. In diesem Falle auch Faktoren wie Verschleiß, Produktabfälle und Nebenprodukte.
Stromausfall: Ausgefallene Vakuumpumpe führt zu Explosionsgefahr
Eine weitere Ereigniskette führte am 3. November 2019 zu einer Explosionsgefahr in einer Kakaofabrik in Hamburg. Ein Stromausfall legte eine Vakuumpumpe lahm, welche im Betrieb die Sauerstoffzufuhr zu in der Produktion befindlicher 170 Grad Celsius heißer Kakaomasse verhinderte. So war das heiße Fett in der Masse hoch entzündlich.
https://www.ndr.de/nachrichten/hamburg/Grossalarm-nach-Stromausfall-in-Kakaofabrik,kakao126.html
Krankenhaus von Hackerangriff massiv getroffen
Am 13. Dezember 2019 wurde das Krankenhaus in Fürth Opfer eines IT-Angriffs. Auch wenn medizinische Geräte und Systeme weiterhin funktionierten, nahm das Krankenhaus drei Tage lang keine neuen Patienten auf und verschob unkritische Operationen. Auch wenn die Notaufnahme des Krankenhauses weiterarbeiten konnte, wurde die Einrichtung aus dem Krankenhausbetrieb abgemeldet, sodass die Patientenaufnahme vorerst gestoppt wurde. Der Sprecher des Krankenhauses sprach von immensen Auswirkungen des Hackerangriffs. Reagiert wurde mit der Trennung der IT-Systeme vom Internet. Bereits 2016 war das Krankenhaus Opfer eines IT-Angriffs gewesen, damals allerdings mit glimpflichen Folgen.
IT-Ausfall: 110 für zwei Stunden in NRW nicht erreichbar
Am 27. November 2019 kam es zu einem Ausfallereignis, welches selten im Fokus betrachteter Ausfallszenarien steht: der Ausfall einer Notrufnummer und die Kommunikation der entsprechenden Behörde. So konnten Bürger in 51 Orten in NRW durch eine technische Störung zwei Stunden lang nicht die Nummer 110 nutzen. Auch wenn das System laut Polizei zwar technisch redundant ist, gab es Verzögerungen bei der planmäßigen Umleitung an eine andere Behörde. Informationen über geplante Übungen und Tests der Umschaltung liegen nicht vor.
Kollateralschäden nach Cyber-Angriff auf Finanzdienstleister FI-TS
Kunden des IT-Dienstleisters FI-TS (Finanz Informatik Technologie Service) wurden innerhalb der letzten Monate mehrfach von Ausfällen getroffen. So waren durch einen technischen Defekt am 5. Dezember 2019 bei SEPA-Überweisungen, Lastschriften und Kartentransaktionen massive Störungen für zehntausende Kunden der Sparkassen-Gruppe aufgetreten. Betroffen waren insbesondere Zahlungen von Sparkassenkonten zu Bankinstituten außerhalb der Sparkassen-Finanzgruppe. Die Helaba (Hessische Landesbank) begann am Freitag mit der Buchung fehlender Zahlungen und sicherte ihren Kunden finanziellen Ausgleich für entstandene Schäden zu.
Am 6. Januar wurde FI-TS dann Ziel eines DDoS-Angriffs, wodurch bei der DKB (Deutsche Kreditbank) zunächst das Online-Brokerage ausfiel. Am 7. Januar folgten dann die Website und das Online-Banking.
Obwohl der Angriff letztlich auf die DKB abzielte, waren diverse weitere Partner der FI-TS sowie deren Endkunden durch Kollateralschäden betroffen. Das Ereignis zeigt die Risiken bei der Auslagerung von Services an einen zentralen Dienstleister, die trotz aller Vorteile von Outsourcing stets berücksichtigt werden müssen.
https://www.f-i.de/News/Aktuelles/Technische-Stoerung-im-Zahlungsverkehr-der-Helaba
https://finanz-szene.de/digital-banking/wie-der-angriff-auf-die-dkb-ablief-und-was-die-folgen-sind/
Veranstaltungen
iX-Workshop: Notfallplanung und Notfallübungen im Bereich IT
In einem dreitägigen Workshop wird den Teilnehmern ein Leitfaden für eine professionelle Notfallplanung im Bereich IT geliefert. Sicherheitsbeauftragte, IT-Leiter, IT-Notfall- und Risikomanager lernen die wichtigsten Standards kennen und erfahren, wie man die Anforderungen an kritische IT-Systeme ermittelt und die bestehenden Risiken analysiert und behandelt. Referent ist Benjamin Schneider, Senior Consultant der HiSolutions AG.
Termin: 5.-7. Februar 2020 in Frankfurt am Main
https://www.heise.de/ix/meldung/Notfallplanung-Vorbereitung-auf-den-Security-Ernstfall-4615352.html
DefensiveCon v02
An zwei Tagen kommen Interessierte zusammen, die sich im Fokus der Cyber-Sicherheitspolitik mit aktiver Cyberabwehr, defensiver Cybersicherheit und der Resilienz von kritischen Infrastrukturen (KRITIS), sowie dem Umgang mit den dabei eingesetzten Technologien und deren Auswirkungen auf unsere Gesellschaft, Politik und Gesetze befassen wollen. Auch im Rahmen des BCM bietet die Konferenz mehrere Schwerpunktthemen:
- Resilienz, Ausfallsicherheit und schnelle Wiederanlaufmöglichkeiten
- Cyberhilfe: wer kann helfen und wie kann geholfen werden?
- KRITIS – Kritische Infrastrukturen und ihre Operational Technology (OT)-Anlagen
- IT-Sicherheitsgesetz v2.0
Termin: 7.-8. Februar 2020 in Berlin
Cyber Akademie: IT-Risikomanagement – Identifikation, Bewertung und Bewältigung von Risiken
Referent Björn Schmelter, Senior Manager der HiSolutions AG, vermittelt das notwendige Rüstzeug zur Beherrschung des IT-Risikomanagement-Prozesses. Ausgehend von begrifflichen und methodischen Grundlagen werden die unterschiedlichen Anforderungen der Gesetze und Normen verglichen und Ansätze zu einer einheitlichen Umsetzung herausgestellt.
Zu den einzelnen Bausteinen eines Risikomanagements (wie Identifikation, Bewertung, etc.) werden Ansätze und Hilfsmittel sowohl in theoretischen als auch in praktischen Übungen erarbeitet.
Die Umsetzung des Risikomanagements in unterschiedlichen Teilbereichen der Informationssicherheit wie Betrieb, Notfallmanagement und Protokollierung schließt das Seminar ab.
Termin: 18. Februar 2020 in Berlin
https://www.cyber-akademie.de/detail.jsp?v_id=4298
IT-Notfallplanung – Vorausschauende Vorbereitung auf den IT-Notfall
Was ist im Notfall zu tun? – Best Practices zur Erstellung von IT-Notfallvorsorgekonzepten und -plänen. Referent Benjamin Schneider, Senior Consultant der HiSolutions AG, vermittelt in der zweitätigen Fortbildung die Kerninhalte eine IT-Notfallmanagements. Der Schwerpunkt liegt dabei einerseits auf dem Grundaufbau eines IT-Notfallmanagements sowie der Vorbereitung reaktiver Maßnahmen und deren Überprüfung.
Termin: 19.-20. Februar 2020 in Berlin
https://www.cyber-akademie.de/detail.jsp?v_id=4299
Fachkonferenz des IBCRM e.V.: Die Macht des Black Swan – unwahrscheinliche Ereignisse mit weitreichenden Folgen auf die unternehmerische Resilienz
Der Finanzmathematiker und Forscher zu Zufallsereignissen, Nassim Taleb, vertritt die These, dass Ereignisse, von deren Existenz wir im Vorfeld nichts wissen, viel bedeutungsvoller sind als solche, deren mögliches Eintreten uns bekannt ist. Fakt ist, dass ein Unternehmen Strategien benötigt, um auch auf völlig unerwartete Ereignisse erfolgreich reagieren zu können, sodass diese dem Unternehmen nicht nachhaltig schaden. Die 3. Fachkonferenz des IBCRM bietet eine Plattform, um dem Einfluss des “Black Swan” auf die organisatorische Resilienz in spannenden Fachvorträgen, interaktiven Workshops, Podiumsdiskussionen und Live-Votings auf die Spur zu kommen.
Termin: 4.-5. März 2020 in Frankfurt am Main
https://www.ibcrm.de/3-fachkonferenz-anmelden/
Die nächsten HiSolutions BCM-News erscheinen Mitte März 2020!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!