Top Themen: Hilfsmittel für BSI-Standard 200-4 veröffentlicht | Kaseya: Ransomware-Angriff betrifft auch deutsche Unternehmen | Fokus auf Prozesse und Menschen stärkt die Resilienz von Unternehmen | Bericht der Allianz kann Inspiration für die nächste BCM-Risikoanalyse liefern | Wie sich Resilienz in die Anwendung bringen lässt: Konzept von Fraunhofer | WTW Studie: Risikomanagement wird immer wichtiger | Ransomware-Attacke auf Fleischkonzern sorgt für Produktionsausfälle | Auswirkungen des Hackerangriffs auf Pipeline hat auch American Airlines zu spüren bekommen: Anpassung von Flugplänen | Corona-Ausbruch bei Hafenmitarbeitern beeinflusst weltweiten Containertransport
Vorwort
Auch wenn es wenig überraschend kommt: Auch im Juni ereigneten sich wieder zahlreiche Schadensereignisse, für die Hackerangriffe mittels Ransomware verantwortlich gemacht werden können. Hinter den Attacken verbirgt sich mittlerweile eine ganze Industrie, die solche Unternehmungen organisiert, plant und durchführt. Der Begriff „Supply Chain Attack“ erhält damit eine ganz neue Dimension: Die Angreifer können nämlich auf eine Reihe von Dienstleistern zurückgreifen, Arbeitsteilung und Spezialisierung betreiben. Mit zunehmender Professionalisierung steigt für Unternehmen die Herausforderung, sich gegen solche Angriffe zu schützen. Die Bewältigung dieser vernetzten Angriffe lässt etablierte Systeme an ihre Grenzen stoßen. Ein Umdenken in eine ganzheitliche Resilienz ist gefordert, die mittels eines unternehmensseitigen Business Continuity Managements einen wesentlichen Baustein zur Steigerung geliefert bekommt. Denn: Wer sich durch die Etablierung eines BCM vorbereitet und die Reaktion auf Notfälle, Katastrophen und Ausfälle probt, hat im Ernstfall die Möglichkeit schnell, gezielt und wirksam zu reagieren, um Schaden zu minimieren und den Geschäftsbetrieb aufrechtzuerhalten oder erheblich schneller wieder anlaufen zu lassen.
Neuigkeiten
Hilfsmittel für BSI-Standard 200-4 veröffentlicht
Nach dem Relaunch der Website des Bundesamts für Sicherheit in der Informationstechnik zu Beginn des Jahres wurden nun auch Hilfsmittel zum BSI-Standard 200-4 veröffentlicht, die für die Erstellung eines BCMS verwendet werden können. Darunter befinden sich unter anderem Vorlagen zur BCM-Leitlinie, zum Notfallhandbuch oder einem Übungskonzept.
Kaseya: Ransomware-Angriff betrifft auch deutsche Unternehmen
Der Ransomware-Angriff auf den US-amerikanischen IT-Dienstleister Kaseya, der wenige Stunden vor Beginn des Feiertagswochenendes am 4. Juli erfolgte, betrifft bereits hunderte von Unternehmen. Auch in Europa sind die Folgen durch die Supply Chain Attacke zu spüren: In Schweden musste eine Supermarktkette fast alle ihrer 800 Filialen schließen. Bis zur vollen Funktionsfähigkeit der ausgefallenen Kassensysteme konnten Kunden auch nach Wiedereröffnung im Großteil der Filialen zunächst nur per App bezahlen. Auch beim BSI meldete sich bereits ein betroffener IT-Dienstleister, dessen Kunden von dem Angriff betroffen seien.
Wissenswertes
Fokus auf Prozesse und Menschen stärkt die Resilienz von Unternehmen
Die British Standards Institution (bsi.) hat ihren jährlichen Organizational Resilience Report veröffentlicht, in dem sie verschiedene Faktoren identifiziert, welche die Resilienz von Unternehmen stärken. Laut dem Bericht haben die Ereignisse des letzten Jahres Führungskräfte dazu bewegt, einen gesamtheitlicheren Ansatz anzunehmen, wenn es um die Resilienz ihrer Unternehmen geht. Während die agile Führung weiterhin ein entscheidender Faktor bleibt, haben Menschen und Prozesse im Hinblick auf die Stärkung der Resilienz den größten Zuwachs an Bedeutung erfahren. Die Priorisierung von Gesundheit, Sicherheit und das Wohlbefinden der Mitarbeiter, aber auch der Kunden und weiterer Stakeholder haben einen positiven Einfluss auf die Wiederherstellung der organisatorischen Resilienz: Führungskräfte, die das im Auge behielten, vorausschauend und entschlossen handelten und schnell reagierten, konnten in der kritischen Zeit für eine schnelle Erholung und Rückkehr in den Normalbetrieb sorgen.
Bericht der Allianz kann Inspiration für die nächste BCM-Risikoanalyse liefern
In einem kürzlich veröffentlichten Report wirft die Allianz Global Corporate & Specialty (AGCS) Licht auf die Risikotrends des Sektors Financial Services. 47 % der Befragten sahen „Cyber Incidents“ als das größte Risiko für die Finanzindustrie während „Pandemic Outbreak“ und „Business Interruption“ mit 40 % und 31 % auf Platz zwei und drei landeten. Den größten monetären Schaden verbuchten Unternehmen durch „Error, Violation, Breach or Crime“ der IT-Systeme. Die Zunahme der Abhängigkeit von Technologie und IT-Systemen durch die Pandemie verstärkt auch die damit einhergehenden Risiken. Der Report zeigt interessante aktuelle Entwicklungen des Risikomanagements auf und wagt einen Blick in die Zukunft. Im Rahmen des Allianz Risk Barometers wurden 2.769 Experten aus 92 Ländern befragt.
https://www.agcs.allianz.com/news-and-insights/reports/financial-services-risk-trends.html
Wie sich Resilienz in die Anwendung bringen lässt: Konzept von Fraunhofer
Forschende des Fraunhofer Instituts haben ein Konzept zur „Resilienz von Organisationen, Infrastrukturen und anderen komplexen Systemen“ vorgestellt. Sie reagieren damit auf die zunehmend angespannte Lage der Unternehmen und Lieferketten angesichts der Covid-19 Pandemie, des Klimawandels und anderer aktueller Herausforderungen. Im Projekt KResCO identifizieren die Forschenden „Souveränität und Resilienz in zentralen, strategisch wichtigen Technologiebereichen“ als wichtigen Indikator für die Fähigkeit von Unternehmen auf Krisen zu reagieren und sich auf die Zukunft vorzubereiten. Durch proaktives und agiles Handeln von Unternehmen wird demnach nicht nur die Resilienz, sondern auch die Wettbewerbsfähigkeit gesteigert. Auch HiSolutions verfügt über umfassende Erfahrung in der Unterstützung von Unternehmen beim Aufbau und der kontinuierlichen Verbesserung ihrer Resilienz.
Umfrage: Mitarbeiter tragen maßgeblich zur Resilienz bei
Eine Kette kann nicht stärker als ihr schwächstes Glied sein. Dieser Grundsatz gilt auch für die Wertschöpfungskette eines Unternehmens. Dass das schwächste Glied auch die Mitarbeiter sein können und es daher besonders wichtig ist, diese in die Resilienz-Überlegungen einzubeziehen, zeigt die Studie „Potenzialanalyse Resilienz“ von Sopra Steria. Effektives Management, „New Work“ und stets top qualifizierte Fachkräfte machen Unternehmen und Verwaltungen demnach besonders widerstandsfähig. Resilienz wird als Schlüsselfaktor für den Unternehmenserfolg in Ausnahmesituationen identifiziert. Auch wenn ein Großteil der befragten Organisationen gut oder sehr gut durch die pandemiebedingte Krise kommt und erwarten, gestärkt daraus hervorzugehen, wachsen die Bedenken bezüglich der Cybersecurity: Jede zweite Organisation möchte mehr Widerstandsfähigkeit im Gebiet IT-Sicherheit erreichen.
https://www.soprasteria.de/newsroom/publikationen/studien/free/potenzialanalyse-resilienz
Studie zur wirksamen Risikofrüherkennung
Unternehmen, vor allem solche, die haftungsbeschränkt sind, müssen durch die Novelle des StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) verstärkt Risikomanagement und damit auch Risiko- und Krisenfrüherkennung betreiben. Dass diese Früherkennung nicht nur im Fall Wirecard nicht funktioniert hat, sondern oftmals systemischer Natur ist, stellt das Kompetenzportal RiskNET in einer aktuellen Studie fest. Neben den Defiziten existierender Strukturen werden vor allem Ansätze zur Optimierung der Wirksamkeit von Risikomanagementsystemen am Beispiel einer Standortbestimmung aufgezeigt.
WTW Studie: Risikomanagement wird immer wichtiger
Etwa 75 % der 140 von Willis Tower Watson befragten Versicherungs- und Risikomanager gaben kürzlich an, dass der Stellenwert des Risikomanagements gestiegen ist. Im Fokus der Risikomanager stehen an erster Stelle Supply-Chain-Risiken, Platz zwei belegten Klimarisiken. Hervorgehoben wurde beim dreitägigen Digital Risk Summit insbesondere die Dringlichkeit, sich proaktiv auf Krisen vorzubereiten und Krisenpläne zu erstellen, zu überprüfen und zu üben.
https://www.willistowerswatson.com/de-DE/Insights/2020/06/highlights-digital-risk-summit-2020-tag-1
Gartner Poll: Nicht funktionierende IT-Sicherheitsmaßnahmen als Risiko Nummer 1
Auch die Firma Gartner hat kürzlich eine Umfrage unter 165 leitenden Angestellten vorgestellt: Unter dem Titel „Emerging Risks Monitor Report“ wird deutlich, dass Unternehmen ihre Risikoexposition pandemiebedingt als stark verändert beschreiben. So landeten nicht funktionierende IT-Sicherheitsmaßnahmen auf Platz eins der Bedrohungsrangliste, gefolgt von den Herausforderungen der sich ändernden Arbeitswelt und dem erschwerten Management der Belegschaft in Telearbeit.
Studie zu Third Party Failures veröffentlicht
Über die Hälfte der befragten Organisationen haben seit dem Start der Covid-19-Pandemie einen Vorfall im Zusammenhang mit einem Dienstleister (einer Third Party) erlebt. Dabei wurden 27 % der Organisationen, die zuvor nicht ausreichend in das Risikomanagement externer Dienst¬leistungs-erbringer investiert hatten, Opfer eines solchen Vorfalls. Von den Organisationen, die Dritte in ihrem Risikomanagement berücksichtigen, waren nur 2 % betroffen. Die Studie „Third Party Risk Management Survey 2021“ von Deloitte beleuchtet die Bedeutung der ganzheitlichen Betrachtung von Risiken, aber auch von Chancen im Kontext außergewöhnlicher Zeiten.
Auslagerung an Cloud-Anbieter: BaFin will ESMA-Leitlinien anwenden
Die BaFin will die ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter vom 10. Mai anwenden. Die Leitlinien sollen eine Hilfestellung geben, Risiken durch Cloud-Auslagerungen zu ermitteln, zu managen und zu überwachen. Dies soll auch für Dienstleister gelten, die selbst keine Cloud-Anbieter sind, aber in erheblichem Maße auf einen Cloud-Anbieter zurückgreifen.
Die Richtlinien umfassen unter anderem:
- die Risikoanalyse der Auslagerung und Due Diligence und
- das Sicherstellen von Verfahren und internen Prinzipien für Governance-, Kontroll- und Dokumentationsanforderungen.
Gleichzeitig sollen die Leitlinien dazu beitragen, dass die zuständigen Behörden bei der Überwachung der Auslagerung an Cloud-Anbieter einen einheitlichen Ansatz verfolgen. In diesem Zusammenhang ergänzen die ESMA-Leitlinien die bestehenden Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu Auslagerungsverträgen und der Europäischen Versicherungsaufsichtsbehörde (EIOPA) zur Auslagerung an Cloud-Anbieter.
BaFin übernimmt EIOPA-Anforderungen in die anstehende VAIT-Novelle
Die BaFin hat angekündigt die Leitlinien der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung EIOPA zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie in ihrer Aufsichtspraxis anzuwenden. Hierzu sollen die Aspekte der EIOPA-Leitlinien, die bisher in Deutschland noch nicht vollständig umgesetzt sind, bei der anstehenden Novelle der VAIT berücksichtigt werden.
Standards, Richtlinien und Leitfäden
ISO/TS 22332 veröffentlicht
Im Mai wurde die ISO 22332 Security and resilience – Business continuity management systems – Guidelines for developing business continuity plans and procedures veröffentlicht. Die ISO zielt darauf ab, Organisationen bei der Entwicklung effektiver Business-Continuity-Pläne und -Verfahren zu unterstützen. Die ISO/TS 22332 soll konsistent mit den Anforderungen der ISO 22301 und dem Leitfaden zur Verwendung eines BCM (ISO 22313) sein. Sie liefert unter anderem konkretere Hinweise und Hilfsmittel, wie Dienstleister im Notfall eingebunden werden können und beschreibt BCM-Aspekte, die im Rahmen des IT-Changemanagements berücksichtigt werden sollten.
https://www.iso.org/standard/50069.html
Neuer ISO-Standard zum Umgang mit psychosozialen Risiken im Arbeitsumfeld erschienen
Basierend auf der ISO 45001 liefert die ISO 45003:2021 einen Leitfaden zur Steuerung psychosozialer Risiken innerhalb eines Managementsystems für Sicherheit und Gesundheit bei der Arbeit. Die neue ISO soll Organisationen befähigen, arbeitsbedingte Verletzungen und Erkrankungen ihrer Mitarbeiter und anderer Stakeholder zu verhindern und das Wohlbefinden bei der Arbeit zu fördern. Psychosoziale Gefährdungen können andere Gefährdungen beeinflussen und von ihnen beeinflusst werden. Psychosoziale Risiken können zudem einen Einfluss auf die wirtschaftliche Leistung eines Unternehmens haben. Ein effektiver Umgang mit diesen kann zu Vorteilen wie einem verbesserten Engagement der Mitarbeiter, erhöhter Produktivität, gesteigerter Innovation und organisatorischer Nachhaltigkeit führen.
https://www.iso.org/standard/64283.html
Aktuelle BCM-Schadensereignisse
Landkreis Anhalt-Bitterfeld von Hackerangriff stillgelegt
Der Landkreis Anhalt-Bitterfeld rief nach einem Hackerangriff am 06.07. den Katastrophenfall aus.
Derzeit können den Bürgern keine Dienstleistungen, wie zum Beispiel KFZ-Zulassungen, angeboten werden. Die Kriminellen haben Daten verschlüsselt und gestohlen. Nach MDR-Informationen fordern die Täter Lösegeld.
Ransomware-Attacke auf Fleischkonzern sorgt für Produktionsausfälle
Der weltweit größte Fleischproduzent JBS musste nach einer Ransomware-Attacke zwischenzeitlich seine gesamte US-amerikanische Produktion einstellen. Davon betroffen waren auch Schlachtungen, so zum Beispiel im größten Schlachthaus Chicagos, das die Tiere zurück an die Bauern schickte. Da JBS offensichtlich vorgesorgt hatte, konnte die Produktion an allen Standorten innerhalb weniger Tage wieder aufgenommen werden. Umfangreiche Business-Continuity-Prozesse, Backups und Investitionen in die IT-Infrastruktur machten dies möglich. Trotzdem entschieden sich die Verantwortlichen dazu, ein Lösegeld in Höhe von 11 Millionen US-Dollar zu bezahlen, um sich gegen die Veröffentlichung von Daten und einen erneuten Angriff abzusichern. Ob sich diese Strategie bewährt, bleibt abzuwarten.
Auswirkungen des Hackerangriffs auf US-Pipeline hat auch American Airlines zu spüren bekommen: Anpassung von Flugplänen
Anfangs löste die drohende Knappheit von Treibstoff an der US-Ostküste eher kuriose Reaktionen wie das Bunkern von Benzin in Plastiktüten und Badewannen aus. Da der Ransomware-geplagte Pipeline-Betreiber Colonial Pipeline Co. den Betrieb jedoch erst acht Tage nach dem Cyber-Angriff wieder aufnehmen konnte, spürten zunehmend auch Unternehmen die Auswirkungen der Verknappung: So musste die Fluggesellschaft American Airlines ihre Flugpläne anpassen und im Süden der USA wurden noch neun Tage nach dem Vorfall 10.600 Tankstellen nicht mit Benzin versorgt. Dieser Vorfall zeigt deutlich, wie externe Faktoren einen unerwartet hohen Einfluss auf die Fortführung des Geschäftsbetriebs haben können und im BCM ausreichend berücksichtigt werden sollten.
Hackerangriff auf TU Berlin: Auswirkungen werden noch lange zu spüren sein
Auch Wochen nach einem schweren Ransomware-Angriff hat die Technische Universität Berlin damit zu kämpfen, ihren Normalbetrieb wieder aufzunehmen. Nach dem Angriff im Mai wurden alle Systeme in der Windows-Umgebung abgeschaltet. Der Fokus bei der Wiederherstellung liegt auf den zeitkritischen Diensten, wie zum Beispiel der Studienverwaltung. Auch HiSolutions unterstützte als IT-Krisendienstleister bei der Krisenbewältigung vor Ort. Zurzeit können Studierende nicht auf ihre Daten zugreifen, ihr Studium abschließen oder sich für Studiengänge anmelden. Auch Gehälter konnten nicht wie gewohnt ausgezahlt werden und die Überweisungen mussten auf Basis des Vormonats manuell vorgenommen werden.
Zahlreiche Kunden von Ausfall bei Cloud-Dienstleister Fastly betroffen
Fastly ist ein Cloud-Dienstleister, der Content Delivery Network Services anbietet. Der Inhalt, den der Nutzer letztendlich von der Website oder dem Streaming-Anbieter erhält, wird auf den Servern von Fastly gespeichert. Eine Störung bei Fastly verursachte am 08. Juni verschiedenste Probleme bei dessen Kunden. Wer keine Alternative bereitgehalten hatte und nicht umschwenken konnte, war nicht mehr erreichbar. So ging es zum Beispiel Behörden oder internationalen Medien, deren Webseiten nicht mehr erreichbar waren. So berichtete die Newsseite The Verge zwischenzeitlich über Google Docs, da auch die eigene Seite betroffen und damit unerreichbar war.
https://www.heise.de/news/Das-Internet-ist-kaputt-zahlreiche-Webseiten-down-6065217.html
Corona-Ausbruch bei Hafenmitarbeitern beeinflusst weltweiten Containertransport
Ein aktueller Fall aus China verdeutlicht, dass die Corona-Krise internationale Transportrouten und die davon abhängigen Unternehmen weiterhin in Atem hält. Im drittgrößten Containerhafen der Welt, in Yantian, China wurde ein Großteil des Betriebes für eine Woche eingestellt, da die Belegschaft nach mehreren positiv getesteten Mitarbeitern in Quarantäne geschickt werden musste. Als Resultat haben sich Frachtraten vervielfacht und Schiffe müssen mit einer Wartezeit von bis zu 16 Tagen rechnen, um im Yantian anlegen zu können. Die ohnehin schon angespannte Situation des Welthandels wird dadurch noch mehr unter Spannung gesetzt.
Veröffentlichungen
Kritische Infrastrukturen und der neue BSI-Standard 200-4
Durch die zunehmende Digitalisierung Kritischer Infrastrukturen werden diese auch anfälliger für Cyber-Angriffe. Der Bund hat umfassende Anforderungen und Maßnahmen entwickelt, um Kritische Infrastrukturen zu schützen. Darunter fällt auch die Aufrechterhaltung der Kritischen Dienstleistungen. In ihrem Artikel gehen die HiSolutions-Kollegen Nina Lausen und Kevin Nandzik auf das BCM in der KRITIS-Umgebung ein und stellen eine Verbindung zum neuen BSI-Standard 200-4 her. Der Artikel kann in der Printausgabe der Wasserkraft & Energie (Ausgabe 02/21) nachgelesen werden.
https://www.vms-detmold.de/informationen-vorschau-archiv-we/inhaltsuebersicht
Vom Grundschutz zum BCM
In der Juni-Ausgabe der <kes> wurde ein Artikel der HiScout-Kollegin Nicole Mittendorf veröffentlicht. Der Artikel beschäftigt sich mit den Synergien von Grundschutz und Notfallmanagement. Durch die Nutzung der Synergien kann der Aufwand für die Einführung und Pflege eines BCM reduziert und die Qualität beider Managementsysteme verbessert werden.
https://www.hiscout.com/wp-content/uploads/vom-grundschutz-zum-bcm.pdf
Bitkom Akademie: Der neue BSI-Standard 200-4 Notfallmanagement
Der Vortrag unseres HiSolutions-Kollegen Marcel Lehmann über den BSI-Standard 200-4 Notfallmanagement wurde von Bitkom auf YouTube veröffentlicht. In dem einstündigen Vortrag werden die Neuerungen zum BCM im Detail vorgestellt und ein Ausblick auf diejenigen Hilfsmittel gegeben, die in den kommenden Wochen noch vom BSI veröffentlicht werden.
https://www.youtube.com/watch?v=_Yh5nnAjO_w
Veranstaltungen
Krisensicher mit IT-Risikomanagement und -Notfallplanung
Im Seminar werden Best Practice Lösungen vorgestellt, um mit überschaubarem Aufwand ein Lagebild zu erstellen und ein grundlegendes Notfall- und Krisenmanagement aufzubauen. Die Teilnehmenden erhalten nach einem virtuellen Kick-Off an zwei Halbtagsseminaren einen vertieften Einblick in die Methoden, die dabei unterstützen, kritische Geschäftsprozesse und IT-Services zu identifizieren. Ferner werden die Grundlagen und Tools des Notfall- und Krisenmanagements erörtert und anhand eines mehrfach erprobten Krisenmanagementplans konkretisiert. Den Plan erhalten alle Teilnehmenden als Template und werden so in die Lage versetzt, die Grundlagen für eine wirkungsvolle Reaktion auf Notfälle und Krisen in ihren Institutionen zu legen.
30.07.-06.08.2021 – Cyber Akademie, Berlin/Remote
20.-29.10.2021 – Cyber Akademie, Frankfurt am Main/Remote
https://www.cyber-akademie.de/event/krisensicher-mit-it-risikomanagement-und-notfallplanung/
IT-Sicherheit: Notfallplanung und Notfallübungen
In diesem dreitägigen Seminar erarbeiten Sie kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine professionelle IT-Notfallplanung inklusive der zur Überprüfung notwendigen IT-Notfallübungen. Das Training richtet sich an IT-Notfallmanager, IT-Service Continuity Manager, IT-Leiter, IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfall- und Krisenmanager), Risikomanager und Auditoren.
30.08.-01.09.2021 – Heise iX, Remote
08.-10.11.2021 – Heise iX, Remote
https://www.heise-events.de/workshops/notfallplanung
Zertifizierter Business Continuity Manager (mit TÜV Rheinland geprüfter Qualifikation)
In der fünftägigen Schulung lernen die angehenden Business Continuity Manager die BCM-relevanten Standards und dessen Komponenten, BCM-relevante Gesetze und Good Practice Guides kennen. Sie erhalten einen umfassenden Blick auf den BCM-Lifecycle, inklusive Business Impact und Risikoanalyse, Strategie & Maßnahmen, Tests und Übungen, Pflege und Qualitätssicherung. Gleichzeitig lernen die Teilnehmer die BCM-Organisation, ihre Rollen und Schnittstellen (Aufbau BCM und Ziel, Fähigkeiten und Aufgaben des BC-Managers & BC-Beauftragter, relevanter Schnittstellen) kennen. Die Teilnehmer erlangen darüber hinaus Grundlagenkenntnisse über die Business Continuity-relevanten Themenfelder wie IT-Service Continuity Management, ISMS und Notfallmanagement.
Die Schulung findet vom 13. bis 17. September statt.
Die nächsten HiSolutions BCM-News erscheinen Mitte September 2021!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!