Top Themen: BSI-Standard 200-4: Neues Hilfsmittel zur BIA | Omikron stellt das BCM vor neue Herausforderungen | Attacken auf KRITIS-Betreiber werden bis 2025 stark zunehmen | ISO/TS 22317 zur Business Impact Analyse aktualisiert | Erneuter Ausfall bei AWS mit Folgen für Kunden | Das Wissensfrühstück zum Thema ISO-27001-Novellierung
Vorwort
Auch im neuen Jahr erwarten uns im Bereich Business Continuity viele Herausforderungen und Neuerungen. Neben der steigenden Anzahl von Cyberangriffen und den schwer einzuschätzenden Entwicklungen der Corona-Pandemie werden uns auch zunehmend die Folgeschäden von Naturkatastrophen beschäftigen. Das belegen zumindest zahlreiche Studien, die pünktlich zum Jahreswechsel erschienen. Experten/-innen wagen neue Ausblicke auf das kommende Jahr und geben ihre Einschätzungen zu dem wirtschaftlichen Geschehen im Lichte neuer und bekannter Risiken für Unternehmen ab.
Diese tangieren natürlich auch das Thema BCM! Daher sollten diese von allen BCM-Verantwortlichen beobachtet und bei Bedarf in die Ausrichtung und Entwicklung des Managementsystems einbezogen werden.
Natürlich wird uns auch die Corona-Pandemie im neuen Jahr nicht loslassen: Neue Virusvarianten bringen auch neue Herausforderungen mit sich. Das beste Beispiel ist Omikron, welches bereits in den USA und Großbritannien zu massivem Personalmangel führt. Nach zwei Jahren Pandemie sollte jedoch mittlerweile jede:r die Chance gehabt haben, bestehende Notfallpläne und Maßnahmen so zu überarbeiten, dass sie die Konsequenzen eines Personalausfalls so gering wie möglich halten.
Neuigkeiten
BSI-Standard 200-4: Neues Hilfsmittel zur BIA
Im Rahmen des neuen BSI-Standards 200-4, der sich aktuell noch in der Community-Draft-Phase befindet, hat das BSI ein neues Hilfsmittel veröffentlicht. Es handelt sich dabei um einen BIA-Auswertungsbogen, der dank des bereitgestellten Excel-Formats individuell angepasst werden kann. Aktuell befindet sich der Auswertungsbogen allerdings noch in der Testphase. Weitere Unterlagen, die den gesamten BCM-Lebenszyklus unterstützen, wurden bereits im Laufe der letzten Monate veröffentlicht. Bevor die finale Version des 200-4-Standards veröffentlicht wird, soll Anfang des Jahres noch die zweite Version des Community Drafts zur Kommentierung freigegeben werden.
Als Co-Autor des Standards stellt HiSolutions auf der folgenden Seite neue Aspekte des Standards vor und bietet umfangreiche Unterstützungsmöglichkeiten an, die für den Aufbau eines BCM nach BSI 200-4 oder zur Migration eines bestehenden BCM auf den neuen Standard genutzt werden können.
Omikron stellt das BCM vor neue Herausforderungen
Omikron hat die USA fest im Griff: Die neue Virusvariante sorgt seit Dezember für tägliche Rekordzahlen bei Neuinfektionen. Auch ohne staatlich verordneten Lockdown droht vielen Unternehmen und Einrichtungen der Stillstand, da das nötige Personal fehlt, um den Betrieb aufrechtzuerhalten. In unserem Omikron-Sondernewsletter vor Weihnachten haben wir bereits auf die Gefahr von Personalausfällen durch Infektion und Quarantäneregelungen hingewiesen. Besonders besorgniserregend ist dieses Szenario, wenn sich die Arbeit nicht ins Homeoffice verlagern lässt, wie z. B. im Gastronomiegewerbe oder in der bereits stark gebeutelten Luftfahrtbranche. Die US-amerikanischen Fluggesellschaften Delta und United mussten aufgrund erkrankter oder wegen Infizierung isolierter Crewmitglieder über Weihnachten mehr als 1.200 Inlandsflüge streichen. Aber auch europäische Nachbarländer bekommen Omikron bereits in Bereichen der kritischen Infrastruktur zu spüren. Während in Großbritannien das Klinik- und Pflegesystem einen Ausfall von mehr als 11.000 Pflegekräften kompensieren muss, ändert die dänische Bahn aufgrund eines hohen Krankenstands ihre Fahrpläne.
https://www.zeit.de/wissen/2022-01/kritische-infrastruktur-absicherung-omikron-auswirkungen
https://www.hisolutions.com/detail/hisolutions-sonder-bcm-news-dezember-2021-kampfansage-an-omikron
Wissenswertes
Ausblick auf die Bedrohungslandschaft 2022: Cyberangriffe stellen weiterhin die größte Gefahr dar
Zum Jahreswechsel wagen die Cybersecurity-Fachleute des amerikanischen Zertifikatsanbieters DigiCert einen Ausblick auf den digitalen Bedrohungskosmos und die damit einhergehenden Risiken im kommenden Jahr 2022. Die altbekannten Herausforderungen des pandemischen Vorjahres bleiben bestehen: Homeoffice ist fester Bestandteil der neuen Arbeitswelt und birgt weiterhin Cyberrisiken. Auch wird davon ausgegangen, dass Angriffe auf Lieferketten, Ransomware-Attacken und der globale Cyberterrorismus weiter zunehmen und Herausforderungen für das BCM mit sich bringen werden. Die Auswirkungen der Attacken auf SolarWinds, die Colonial-Pipeline und die Wasseraufbereitungsanlage in Oldsmar, Florida bestimmten 2021 die internationalen Schlagzeilen und zeigten abermals auf, wie verwundbar wichtige Bereiche der kritischen Infrastruktur sind. Sowohl öffentliche Einrichtungen als auch Privatunternehmen sollten daher ihre Zero-Trust-Herangehensweisen weiter ausbauen und zeitgleich die Cybersecurity-Awareness ihrer Mitarbeitenden fest in ihrer Organisationskultur verankern. Zudem sollten Notfallpläne vorhanden sein und entsprechend auf die Situationen angepasst werden.
https://www.digicert.com/blog/digicert-2022-security-predictions
Cyber-Resilience-Report des BCI: Zusammenarbeit der einzelnen Sicherheitsdisziplinen nimmt zu
Das BCI hat einen neuen Bericht veröffentlicht, der sich mit dem Thema Cyber-Resilienz auseinandersetzt. In der Veröffentlichung wird aufgezeigt, dass Resilienz zunehmend an Bedeutung gewinnt. Die Pandemie hat der Führungsebene vor Augen geführt, dass Resilienz eine strategische Priorität für Organisationen sein muss. Mit der zunehmenden Anzahl von Angriffen und deren steigender Komplexität nimmt die Cyber-Resilienz hier einen zentralen Punkt ein. Da die Ereignisse immer komplexer und unvorhersehbar werden, rückt die Bedeutung der übergreifenden Zusammenarbeit in den Vordergrund. Der Report hält weitere interessante Punkte bereit und widmet sich in einem eigenen Kapitel dem Thema Cyber Security und BCM. Die für den Report befragten Unternehmen gaben an, dass sich die Zusammenarbeit der beiden Sicherheitsdisziplinen zunehmend erhöht. Auch erklärten über 90 % der Unternehmen, dass sie BC-Pläne haben, um besser auf Cyber-Security-Incidents reagieren zu können.
https://www.thebci.org/resource/bci-cyber-resilience-report-2021.html
Studie zeigt lange Wiederherstellungszeiten nach Ransomware-Attacken
Die Ergebnisse des jüngsten Osirium-Ransomware-Indexes zeigen, dass die Wiederherstellung des ursprünglichen Betriebsniveaus nach Ransomware-Attacken in vielen betroffenen Unternehmen eine Woche oder länger dauert. Von 1.001 befragten britischen IT-Manager/-innen gaben 39 % an, dass es eine Woche dauere, bis sich ihr Unternehmen von einem Angriff erholt habe – 47 % räumten sogar ein, dass es einen Monat oder länger dauern könnte. Rund 55 % der Befragten waren zudem der Meinung, dass trotz hohem Sicherheitsniveau nicht alle Angriffe vermeidbar seien. 77 % haben vor allem Sorge, dass Dritte (z. B. Lieferanten, Dienstleister) das Einfallstor für einen folgenschweren Angriff bilden könnten. Besonders kleine und mittelständische Unternehmen (KMU) sind besorgt über potenzielle Schwachstellen in ihren Lieferketten, die einen Ransomware-Angriff verursachen können (82 %). Von den befragten KMU haben jedoch nur 44 % strikte Anforderungen in puncto Cyberabwehr an ihre Lieferanten, 39 % teils nur unverbindliche Vereinbarungen. 8 % gaben sogar an, gar keine Maßnahmen zu ergreifen bzw. dies auch nicht in Erwägung zu ziehen.
Regelmäßige Übungen und Tests mit Lieferanten und Dienstleistern – insbesondere zu simulierten Ransomware-Attacken – können dabei helfen, entsprechende Schwachstellen aufzudecken. Sie bieten außerdem einen geschützten Rahmen, in dem die Abläufe des Wiederanlaufs und der Wiederherstellung geübt und im Anschluss verbessert werden können, um im Ernstfall möglichst wenig Zeit bei der Rückkehr in den normalen Betriebsablauf zu verlieren.
https://www.osirium.com/documents/osirium-ransomware-index
Irische Zentralbank veröffentlicht Leitfaden zu operationeller Resilienz
In Zusammenarbeit mit einer Vielzahl von Akteuren entstand unter der Federführung der irischen Zentralbank ein branchenübergreifender Leitfaden zu operationeller Resilienz („Cross Industry Guidance on Operational Resilience“). Ziel des Leitfadens ist es, der Industrie zu vermitteln, wie sie sich auf eine betriebliche Störung, die die Erbringung kritischer Unternehmensdienstleistungen beeinträchtigt, vorbereiten, darauf reagieren, sich erholen und daraus lernen kann. Das 30-seitige Dokument greift verschiedene Themenfelder auf (u. a. Governance, Business Continuity Management und Krisenkommunikation) und vereint sie unter dem Oberbegriff eines Operational Resilience Framework. Der Leitfaden richtet sich in erster Linie an regulierte Finanzdienstleister und formuliert die Erwartungshaltung der irischen Zentralbank an ebendiese.
Attacken auf KRITIS-Betreiber werden bis 2025 stark zunehmen
Betreiber von kritischen Infrastrukturen geraten zunehmend ins Visier von Cyberkriminellen. Dieser Trend wird sich laut dem Marktforschungsunternehmen Gartner in den kommenden Jahren verfestigen. Das Ausmaß solcher Attacken zeigte sich beispielsweise beim Cyberangriff auf ein Wasserwerk in Florida, bei dem Hacker versuchten, das Trinkwasser zu vergiften. Charakteristisch für viele KRITIS-Anlagen ist die zunehmende Verflechtung von IT und Komponenten mit elektronischen und mechanischen Bauteilen (OT). Ein böswilliger Angriff auf diese Infrastrukturen kann daher folgenreiche Auswirkungen haben, die über die Grenzen des Betriebs hinausgehen und mitunter die Versorgung der Bevölkerung (z. B. mit Wasser, Strom) gefährden können. Vor diesem Hintergrund fordert auch das BSI ein BCM im KRITIS-Umfeld, das die kritische Dienstleistung angemessen absichert und im Falle eines Ausfalls den Wiederanlauf schnellstmöglich sicherstellt.
Studie: Viele Unternehmen schätzen ihre Fähigkeiten zum Management von Sicherheitsvorfällen als ungenügend ein
Eine Studie mit dem Titel „Failing to Plan is Planning to Fail“ befragte rund 470 Führungskräfte der Bereiche Risk, Security und Business Continuity, wie sie ihre Fähigkeiten im Umgang mit Incidents einschätzen. Nur 30 % gaben an, dass ihre Sicherheitsmanagementsysteme für die Zukunft gewappnet sind. Jedoch glaubt weniger als die Hälfte der Befragten, dass sich die Komplexität der Risiken und Bedrohungen in den nächsten zwei Jahren erhöhen wird – trotz der gestiegenen Häufigkeit der kritischen Vorfälle weltweit. Dieser Punkt deckt sich nicht mit den anderen Studien und Befragungen und könnte für die Optimisten/-innen unter den Befragten zu einem bösen Erwachen führen.
https://www.onsolve.com/landing/forrester-web-experience/
DRI: The 7th Annual Global Risk and Resilience Trends Report
Das renommierte Disaster Recovery Institute bietet in der siebten Ausgabe seines jährlich erscheinenden Global Risk and Resilience Report einen konsolidierten Ausblick auf aufkommende Trends rund um das Thema Risiko und Resilienz im unternehmerischen Umfeld. Auch wenn die Pandemie nach wie vor ein beherrschender Faktor ist, rücken die Bedrohungen durch Cyberattacken in der Wahrnehmung der Befragten im Vergleich zum Vorjahr weiter nach vorn. Besonders Beschäftigte des Finanzsektors stuften die Gefahr durch Ransomware-Angriffe und co. als besonders hoch ein. Im Ranking ebenfalls aufgerückt sind Naturkatastrophen, deren Häufigkeit und Wucht angesichts des voranschreitenden Klimawandels weiter zunehmen wird.
https://drii.org/crm/presentationlibrary?plsharekey=346cbc8d7c96e8c
Noch mehr britische Führungskräfte stufen Cyberbedrohungen als hohes Risiko ein
Die jüngste Studie im Auftrag der britischen Regierung fand heraus, dass der Anteil führender Entscheidungstragender der britischen Wirtschaft, die die Risiken aus Cyber-Angriffen als hoch oder sehr hoch einstufen, in diesem Jahr weiter gestiegen ist. Grundsätzlich sehen sie sich zu diesem komplexen Themenfeld gut informiert, jedoch könne noch mehr getan werden. Um fundierte Entscheidungen zum Aufbau von Cyber-Resilienz treffen zu können, wünschen sich 34 % der Befragten gezieltere Schulungs- und Awareness-Maßnahmen.
Sechs Schlüsselfaktoren, die derzeit für Anspannung entlang globaler Lieferketten sorgen
Die US-amerikanische Industrieversicherung FM Global hat kürzlich sechs Treiber der derzeitigen Lieferkettenkrise zusammengefasst. Neben den vielschichtigen Auswirkungen der COVID-19-Pandemie rücken Cyberrisiken auch immer weiter in den Supply-Chain-Kosmos (siehe Attacke auf die Colonial-Pipeline im Mai 2021). Auch werden sich die Probleme der globalen Logistik im ersten Halbjahr nicht auflösen: der Container-Rückstau an wichtigen Häfen weltweit und der Mangel an LKW-Fahrern sorgen weiterhin für Verzögerungen entlang der Lieferketten. Hinzu kommen Naturkatastrophen wie verheerende Hochwasser, die wichtige Verkehrsrouten zerstören und Produktionsstätten lahmlegen. In einem groß angelegten Index hat FM Global Risikodaten weltweit ausgewertet und in einem anschaulichen Web-Tool zur Verfügung gestellt:
https://www.fmglobal.com/research-and-resources/tools-and-resources/resilienceindex
Standards, Richtlinien und Leitfäden
ISO/TS 22317 zur Business Impact Analyse aktualisiert
Das Dokument beschreibt, wie Organisationen eine Business-Impact-Analyse implementieren und durchführen können. Mit der aktualisierten Version wird die Fassung von 2015 ersetzt. Das Dokument wurde aktualisiert, um es an die ISO 22301:2019 anzupassen. Zudem wurde die Struktur des Dokuments modifiziert, um die Beschreibung des Prozesses der Business-Impact-Analyse zu verbessern. Der Fokus wurde auf den BIA-Prozess und weniger auf das Business-Continuity-Programm als solches gelegt. Auch wurden der Anhang über die Methoden der BIA-Informationssammlung erweitert und ein neuer Anhang mit Beispielen für die Durchführung einer BIA aufgenommen. Derzeit ist die aktualisierte ISO nur auf Englisch verfügbar.
https://www.iso.org/standard/79000.html
ISO/TS 22318 “Guidelines for supply chain continuity management” aktualisiert
Auch die ISO/TS 22318, welche sich mit der Kontinuität von Lieferketten befasst, hat eine Aktualisierung erhalten. Damit wird auch sie an die ISO 22301:2019 angeglichen und löst ihren Vorgänger von 2015 ab. Neben der Anpassung des Titels wurden auch die vor- und nachgelagerten Beziehungen innerhalb der Lieferkette verdeutlicht, neue Diagramme erstellt und der Anhang überarbeitet.
https://www.iso.org/standard/79001.html
ISO veröffentlicht Norm zur Nutzung sozialer Medien in Notfällen
Vorfälle bei Unternehmen, wie zum Beispiel ein Ransomware-Angriff oder eine Räumung aufgrund einer Bombendrohung, werden nicht nur in den klassischen Medien betrachtet, sondern sind meistens auch innerhalb kürzester Zeit auf den sozialen Plattformen im Internet zu finden. Eine gute Krisenkommunikation muss daher auch diese Plattformen einschließen und eine entsprechende Kommunikationsstrategie parat haben. Passend dazu wurde die ISO 22329:2021 „Security and resilience — Emergency management — Guidelines for the use of social media in emergencies“ veröffentlicht. Sie bietet auch eine Leitlinie, die für jede Organisation nützlich sein kann, die soziale Medien für die Krisenkommunikation nutzt. Das Dokument enthält einen Leitfaden für den Einsatz sozialer Medien im Notfallmanagement. Es gibt zudem Hinweise darauf, wie Organisationen die sozialen Medien vor, während und nach einem Vorfall nutzen und mit ihnen interagieren können, und wie sie die Arbeit der Krisenkommunikation unterstützen können.
Aktuelle BCM-Schadensereignisse
Omikron-Ausbruch in Tianjin: VW muss Werk vorübergehend schließen
Infolge eines lokalen Ausbruchs müssen sich die Einwohner/-innen der Industriestadt Tianjin im Norden Chinas derzeit Massentests unterziehen. Positive Testergebnisse von Mitarbeitenden eines Komponentenwerks, das VW im Joint Venture mit seinem chinesischen Partner FAW betreibt, führten zu einer angeordneten Schließung und somit zu einem vorübergehenden Betriebsstillstand am besagten Werk. VW musste bereits seit Ausbruch des Virus vor gut zwei Jahren immer wieder die Produktion an seinen zahlreichen Standorten in der Volksrepublik aufgrund des lokalen Infektionsgeschehens aussetzen.
Erneuter Ausfall bei AWS mit Folgen für Kunden
Kurz vor den Weihnachtsfeiertagen sorgte ein mehrstündiger Ausfall bei dem Cloud-Anbieter Amazon Web Services (AWS) in den USA für deutlich spürbare Auswirkungen. Mehrere namhafte Firmen, u. a. Disney+, Netflix, Coinbase und GitHub klagten über Probleme bei der Bereitstellung ihrer Dienste. Nach Angaben von Amazon ist die Störung auf einen Stromausfall in einem seiner Data Center in Virginia zurückzuführen. Somit war die Verfügbarkeitszone US-EAST-1 der US-Ostküste betroffen.
Das Bedenkliche hierbei: Amazon selbst meldete eigene Probleme mit Monitoring-Tools, was die Analyse und Behebung des Problems zusätzlich erschwert habe. Dieser Ausfall war bereits der zweite binnen weniger Wochen in dieser Cloud-Region und zeigt zum wiederholten Mal die Tücken, die mit der Nutzung von Cloud-Diensten einhergehen. Hinzu kommt das Oligopol, denn der Markt für Cloud-Lösungen wird von einigen wenigen Playern beherrscht. So können bereits kleine Ausfälle zu immensen Konsequenzen und Verfügbarkeitsproblemen führen, deren kaskadierende Effekte in der Gänze noch nicht abzusehen sind.
https://t3n.de/news/netflix-disney-mehr-aws-ausfall-1435394/
Nachwehen des Aufschwungs: Rohstoffknappheit und ein Appell an die Politik
Dass sich das produzierende Gewerbe im Jahr 2021 vom Corona-bedingten Totalstillstand im Jahr 2020 erholen konnte, ist zunächst eine erfreuliche Nachricht. Der plötzlich gestiegenen Nachfrage im Laufe des Jahres 2021 konnten aber viele Unternehmen aufgrund knapper Rohstoffe nicht nachkommen. Der Versorgungsengpass ließ im dritten Quartal 2021 die Preise am Rohstoffmarkt in die Höhe schnellen: Industriemetalle wie Lithium oder Magnesium sind nun um ein Vielfaches teurer. Angesichts der Tatsache, dass ein Großteil der Rohstoffe aus dem Ausland bezogen wird, fordern Verbände nun klare Regelungen von der Politik: Künstliche Verknappung und eine intransparente Preispolitik sollten seitens zuständiger Behörden wie der EU-Kommission und der Welthandelsorganisation (WTO) unterbunden werden.
Von der Rohstoff- zur Geflügelknappheit: Australien steht ein Engpass bevor
Auch die personalintensive Lebensmittelindustrie bekommt erste Auswirkungen der Omikron-Welle zu spüren. Der Ausfall von Werksarbeitenden bringt eng getaktete Lieferketten der oft verderblichen Ware aus dem Rhythmus und sorgt für einen kontinuierlichen Preisanstieg für Fleisch- und Molkereiprodukte. So musste beispielsweise Australiens größter Hersteller für Geflügelfleisch, Ingham, bereits jetzt signifikante Produktionseinbrüche aufgrund von Personalknappheit hinnehmen.
England: Über 300 Geschäfte der Kette Spar von Cyber-Attacke betroffen
Der Betreiber der Kassen- und IT-Systeme der Verbrauchermarktkette Spar wurde Opfer eines Ransomware-Angriffs. Aufgrund ausgefallener Kassensysteme mussten in der Folge mehr als 300 Filialen im Norden Englands schließen. Der Vorfall erinnert an das Ereignis im Juli, als Supermärkte in Schweden gezwungen waren, ihre Läden zu schließen. Auch hier war der IT-Betreiber von einem Ransomware-Angriff betroffen, der die Zahlung unmöglich machte. Beide Schadensereignisse verdeutlichen erneut die Abhängigkeit von IT-Systemen und deren Betreibern. In solchen Fällen sind abgestimmte Notfallkonzepte mit den Dienstleistern sowie funktionsfähige BC-Pläne unabdingbar und können ernste Auswirkungen oftmals verhindern.
https://www.bbc.com/news/uk-england-lancashire-59554433
Veranstaltungen
Das Wissensfrühstück zum Thema ISO-27001-Novellierung
Bei unserem Remote-Wissensfrühstück erhalten Sie einen Überblick über die anstehenden Änderungen und deren Bewertung, Anwendungsgebiete der ISO 27001 und das Zusammenspiel mit anderen Bereichen des Business Continuity Managements sowie mit dem Risiko- und IT-Sicherheitsmanagement.
Vier praxisorientierte Impulsvorträge unserer versierten HiSolutions-Kollegen geben Ihnen einen Einblick in aktuelle Herausforderungen des Informationssicherheitsmanagements und praktikable Lösungsansätze, um sich auf die neuen Gegebenheiten einzustellen.
Folgende Themen werden in den Vorträgen behandelt:
- ISO 27001:2022 - Neue Themen, neuer Aufbau
- Informationssicherheit in der Cloud
- Interne Audits nach der ISO 27001
- ICT Readiness for Business Continuity
07.02.2022, 10:00 - 13:30 - Remote
Die Veranstaltung ist kostenfrei.
https://www.hisolutions.com/knowhow
Krisensicher mit IT-Risikomanagement und -Notfallplanung
Im Seminar werden Best-Practice-Lösungen vorgestellt, um mit überschaubarem Aufwand ein Lagebild zu erstellen und ein grundlegendes Notfall- und Krisenmanagement aufzubauen. Die Teilnehmenden erhalten nach einem virtuellen Kick-off an zwei Halbtagsseminaren einen vertieften Einblick in die Methoden, die dabei unterstützen, kritische Geschäftsprozesse und IT-Services zu identifizieren. Ferner werden die Grundlagen und Tools des Notfall- und Krisenmanagements erörtert und anhand eines mehrfach erprobten Krisenmanagementplans konkretisiert. Den Plan erhalten alle Teilnehmenden als Template und werden so in die Lage versetzt, die Grundlagen für eine wirkungsvolle Reaktion auf Notfälle und Krisen in ihren Institutionen zu legen.
20.-21.04.2022 – Cyber Akademie, Berlin
https://www.cyber-akademie.de/event/krisensicher-mit-it-risikomanagement-und-notfallplanung/
Die nächsten HiSolutions BCM-News erscheinen Mitte März 2022!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!