Top Themen: BSI-Standard 200-4 / IT-Grundschutztag: Vorträge sind online verfügbar | Umfrage: Fokus auf Reputationsrisiken wird steigen | „Blackout Arbeitsmappe für Bürgermeister*innen und Gemeinden“ veröffentlicht | BCI Emergency Communications Report 2021 | Dritte Version der ISO 22300 veröffentlicht | Brand bei Cloud Dienstleister | Katastrophenfall nach Brand in Kraftwerk ausgerufen | Corporate-Security und BCMS bei Arvato Systems | Business-Continuity-Management weitergedacht
Vorwort
Während sich in Deutschland weiterhin viele Mitarbeiter im Home Office befinden und auf Impftermine warten, sind in anderen Ländern Unternehmen aktiv und versuchen die Impfungen ihrer Mitarbeiter zu beschleunigen. Aber nicht alle ungeimpften Mitarbeiter können im Home Office bleiben und müssen teilweise sogar ins Ausland reisen, um ihren Tätigkeiten nachzugehen. Dafür hat das RKI ein Handbuch veröffentlicht, welches besonders in der aktuellen Situation hilfreich sein kann.
Währenddessen sorgte der Brand bei einem der größten Cloud-Anbietern in Europa für Aufregung. Bei OVH wurde ein Rechenzentrum zerstört und viele bekannte Internetseiten weltweit blieben offline. Wie die Reaktionen im Netz zeigen, waren viele Nutzer nicht vorbereitet und haben anscheinend keine wirksamen BackUp Lösungen parat. Der aktuelle Fall zeigt deutlich, dass Cloud-Nutzer nur eingeschränkte bis gar keine Möglichkeit haben, Einfluss auf den Wiederanlauf zu nehmen. Deshalb ist es absolut notwendig vor Erstellung einer cloud-basierten Internetpräsenz (und auch aller anderen cloud-basierten Applikationen) sich selbst über die eigenen Anforderungen bzgl. Desaster Recovery klar zu werden und diese architektonisch auch zu verankern. Bei allen großen Cloud Providern lassen sich Applikation geo-redundant oder zumindest in unterschiedlichen Availability Zones betreiben, um einen Brandfall (schadlos) zu überstehen. Natürlich entstehen dadurch auch höhere Kosten, die man bereit sein muss zu tragen. Daher sollte immer auch über alternative Absicherungsmöglichkeiten nachgedacht werden, die auch unabhängig von dem Cloud-Anbieter bestehen. Es finden sich aber durchaus auch Möglichkeiten, zur Absicherungen von lokalen Risiken, dezidierte Cloud-Services zu verwenden. Zudem sollten die entsprechenden Disaster Recovery Pläne nicht nur vorhanden, sondern auch regelmäßig getestet werden, um, wie jetzt, im Notfall wirksam zu sein.
Im vergangenen Newsletter haben wir ausführlich über den ersten IT-Grundschutztag berichtet. Für alle, die nicht die Chance hatte live dabei zu sein oder sich die Vorträge noch einmal ansehen möchten, stehen jetzt die Aufzeichnungen der Veranstaltung online zur Verfügung.
Neuigkeiten
BSI-Standard 200-4 / IT-Grundschutztag: Vorträge sind online verfügbar
Am 19.01.2021 fand der erste IT-Grundschutz-Tag 2021 statt. Zu der Veranstaltung, die rein digital durchgeführt wurde, gab es über 3.000 Anmeldungen.
Im Fokus stand die Vorstellung des neuen BSI-Standard 200-4 Business Continuity Management. Die Präsentationen der Remote-Veranstaltung stehen nun unter dem folgenden Link zum Download bereit:
https://www.bsi.bund.de/SharedDocs/Termine/DE/2021/1_IT_Grundschutztag_2021.html
Die Aufzeichnungen der Remote-Veranstaltung können Sie unter folgendem Link ansehen:
https://www.youtube.com/playlist?list=PLEnTDCi_wQ6LeliJGpULuAdCvy3eFdKQK
Im Rahmen der Veröffentlichung des neuen BSI-Standard 200-4 stellt HiSolutions auf der folgenden Seite neue Aspekte des Standards vor und bietet Unterstützungsmöglichkeiten zum Aufbau eines BCM nach BSI 200-4 oder zur Migration eines bestehenden BCM auf den neuen Standard.
https://www.hisolutions.com/bsi-standard-200-4
Wissenswertes
Allianz Risk Barometer 2021
Das AllianzRisikoBarometer 2021 zeigt die aktuellen Top-Geschäftsrisiken: "59% der Befragten nennen die Pandemie als Hauptursache für Betriebsunterbrechungen im Jahr 2021, gefolgt von Cyber-Vorfällen sowie Naturkatastrophen und Feuer/Explosion." Der Ausbruch einer Pandemie steigt von Platz 17 auf Platz 2. Unternehmen wollen zudem ihre Lieferketten risikoärmer gestalten und das Business Continuity Management verbessern, um zukünftig besser auf extreme Ereignisse reagieren zu können.
https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2021.html
Fast zwei Monate nach Veröffentlichung des AllianzRisikoBarometers wurde einer der größten Cybervorfälle der jüngsten Vergangenheit bekannt:
Seit dem das Microsoft Threat Intelligence Center (MSTIC) über eine akute Angriffswelle auf Microsoft Exchange Server informiert hat, haben IT-Organisationen weltweit alle Hände voll zu tun, die ausgenutzten Schwachstellen zu schließen, auf eine mögliche Kompromittierung zu prüfen und ggf. Aufräumarbeiten durchzuführen. Bei der Drohende zweite Angriffswelle auf MS Exchange via HAFNIUM/ProxyLogon werden es betroffene Unternehmen zudem zunehmend mit Ransomwareangriffen zu tun bekommen. Aufgrund der hohen Zahl der Angriffe stellt HiSolutions einen kostenfreien Leitfaden zur Selbsthilfe bereit, der stetig aktualisiert wird und unterstützt mit zahlreichen Mitarbeitern betroffene Unternehmen: https://research.hisolutions.com/2021/03/hafnium-selbsthilfe-microsoft-exchange/
Umfrage: Fokus auf Reputationsrisiken wird steigen
Bei der Umfrage des Risikomanagement- und Beratungsunternehmens Willis Towers Watson wurden 200 Risk Manager zu Risiken befragt, die mit Reputationsverlusten einhergehen. Fast 80% der Befragten denken, dass in den nächsten fünf Jahren der Fokus auf Reputationsrisiken steigen wird. Reputationsverluste können entsprechend der Umfrage nicht nur die Kundenbeziehungen negativ beeinflussen, sondern auch die Attraktivität des Unternehmens gegenüber potentiellen Arbeitnehmern senken. In Zukunft wird ein verstärkter Bedarf nach Methoden und Tools gesehen, die dabei unterstützen, Reputationsrisiken zu verstehen und zu reduzieren.
https://www.willistowerswatson.com/en-GB/Insights/2021/01/global-reputational-risk-management-survey
„Blackout Arbeitsmappe für Bürgermeister*innen und Gemeinden“ veröffentlicht
Das Dokument aus Österreich soll Bürgermeister*innen von Gemeinden dabei helfen, sich auf großflächige Stromausfälle vorzubereiten und stellt mögliche Lösungsansätze vor, wie im Notfall reagiert werden kann. Die Arbeitsmappe ist in die folgenden Themengebiete unterteilt: Eigenvorsorge durch die Bevölkerung, Kommunikation während eines Blackouts, Trinkwasserversorgung & Abwasserentsorgung, Gesundheitsnotversorgung, Krisenmanagement, Lebensmittelnotversorgung. Aufgrund der Tragweite möglicher Ausfälle arbeitet auch HiSolutions an Hilfestellungen für Unternehmen und Kommunen zur Stärkung der kommunalen Resilienz gegenüber ungeplanten Unterbrechungen. Im Rahmen des Forschungsprojektes ReKom-S wurde hierfür ein Entwurf für ein Kommunales Kontinuitätsmanagement entwickelt, um die Daseinsvorsorge zu verbessern. Die Ergebnisse werden im Rahmen des Abschlussberichtes veröffentlicht.
http://www.zivilschutz.steiermark.at/images/blackout/Blackoutleitfaden_f%C3%BCr_Gemeinden_StZSV.pdf
Halbleiter-Knappheit: Bundesregierung bittet Taiwan um Priorisierung
Im vergangenen Newsletter haben wir über die Halbleiterknappheit berichtet. Wegen der Tragweite auf die deutsche Wirtschaft, schaltet sich jetzt die Politik ein. Das Drängen der deutschen Wirtschaftspolitik ist wohl mitverantwortlich dafür, dass die vier großen Produzenten des Landes im Gespräch mit Taiwans Wirtschaftsministerin Wang Mei-hua versprachen, ihre Produktion weiter optimieren zu wollen. So soll langfristig die Produktion gesteigert und die wachsenden Bedarfe gedeckt werden können.
https://www.zeit.de/mobilitaet/2021-01/autoindustrie-taiwan-chipmangel-halbleiter-lieferengpaesse
Deutsche Familienunternehmen vermehrt von Stromausfällen betroffen
Laut Aussage des Präsidenten des Verbands „Die Familienunternehmer“ nimmt die Anzahl der Familienunternehmen zu, die von Netzschwankungen betroffen sind und sich über eine konstante Stromversorgung Sorgen machen. In einer Mitgliederumfrage des Verbandes gaben 47 Prozent der Unternehmen an, in den vergangenen vier Jahren Netzschwankungen registriert zu haben. In der letzten Umfrage vor acht Jahren lag die Zahl bei 34 Prozent. Weiter wird berichtet, dass in mehr als 10 Prozent der neuen Fälle die Störungen länger als drei Minuten dauerten und 19 Prozent der betroffenen Betriebe einen relevanten Schaden erlitten.
https://zeitung.faz.net/faz/wirtschaft/2021-02-01/9225b7b0d6808fa8ef0760e59ca1dbd5/?GEPC=s9
BCI Emergency Communications Report 2021
Die BCI hat in Zusammenarbeit mit dem Software-as-a-Service (SaaS)-Anbieter F24 die sechste Ausgabe des BCI Emergency Communications Report veröffentlicht. Die jährlich erscheinende Publikation gibt einen Einblick in die Notfallkommunikation von Organisationen, die Herausforderungen, mit denen sich betroffene Unternehmen konfrontiert sehen und wie Technologien die Kommunikationsprozesse unterstützen können. Unter anderem gaben laut des Berichts im Jahr 2020 57,5 Prozent der befragten Organisationen an, virtuelle Krisenräume zu nutzen. Zudem sind Unternehmen aufgrund der Corona-Pandemie verstärkt daran interessiert, in Tools für Notfallkommunikationslösungen zu investieren. Die Umfrage zeigt jedoch, dass die Kosten für eine Implementierung von Notfallkommunikationslösungen weiterhin das größte Hindernis darstellen, insbesondere bei kleinen Unternehmen.
https://www.thebci.org/resource/bci-emergency-communications-report-2021.html
Umfrage: Erhöhung der Resilienz von Lieferketten
Eine Umfrage des Research- und Beratungsunternehmen Gartner Inc. ergab unter anderem, dass 87 Prozent der Befragten in den nächsten zwei Jahren Investitionen in die Resilienz der Lieferketten planen. Da die Kosten jedoch weiterhin eine Priorität darstellen, stehen Verantwortliche vor der Herausforderung, ein neues Gleichgewicht zwischen Resilienz, Kosteneffizienz und der Erfüllung steigender Kundenanforderungen zu finden. In der Umfrage wurden von September bis November 2020 mehr als 1.300 Supply-Chain-Fachleuten befragt.
Gartner Umfrage: Unternehmen werden Mitarbeiter ermutigen, sich impfen zu lassen
Im Dezember 2020 und Januar 2021 führte Gartner Inc. zudem eine Umfrage unter 236 Personal-, Immobilien-, Rechts-, Compliance- und Datenschutz¬verantwortlichen durch. 71 Prozent der befragten Unternehmen gaben dabei an, ihre Mitarbeiter ermutigen, jedoch nicht verpflichten zu wollen, sich vor der Rückkehr an den Arbeitsplatz impfen zu lassen. In Deutschland wird die Finanzierung der Impfungen von Bund, Ländern und Krankenkassen übernommen. In anderen Ländern, zum Beispiel Indien, übernehmen Arbeitgeber die Kosten für die Impfung ihrer Mitarbeiter.
Neues In-Control-Handbuch vom RKI
Auch wenn aktuell versucht wird, viele Tätigkeiten aus dem Home Office zu leisten, gibt es Aufgaben, die vor Ort, im Zweifel sogar im Ausland, durchgeführt werden müssen. Dafür kann das neue Control-Handbuch des RKI „In Control? - A practical guide for experts working in health emergencies in international settings“ unterstützen. Das Handbuch liefert Hilfestellungen, wie auf Gesundheitsnotfälle im Ausland reagiert werden kann und enthält Ratschläge für Mitarbeiter zur Vorbereitung von Auslandseinsätzen und Verhalten vor Ort.
https://www.incontrol-handbook.org/#Welcome
Standards, Richtlinien und Leitfäden
ISO Standard zum Risikomanagement von Klimarisiken
Die ISO 14091:2021 („Adaptation to climate change — Guidelines on vulnerability, impacts and risk assessment“) enthält Richtlinien für die Bewertung von Risiken im Zusammenhang mit den möglichen Auswirkungen des Klimawandels. In der Publikation wird beschrieben, wie Risiken identifiziert werden können und eine fundierte Risikobewertung im Zusammenhang mit dem Klimawandel entwickelt und umgesetzt werden kann. Die neue ISO kann bei der Bewertung von gegenwärtigen als auch zukünftigen Risiken des Klimawandels unterstützen.
https://www.iso.org/standard/68508.html
Themensammlung des Beuth Verlags zum Thema Resilienz
Ebenso wie z. B. das Deutsche Institut für Normung (DIN) stellt nun auch der Beuth-Verlag bis auf weiteres verschiedene Normen kostenlos zur Verfügung, um Unternehmen im Umgang mit der Corona-Pandemie zu unterstützen. Darunter etwa die DIN EN ISO 22301 oder die ISO 22316.
https://www.beuth.de/de/themenseiten/resilienz-in-unternehmen
Dritte Version der ISO 22300 veröffentlicht
Die ISO hat die neueste Version der ISO 22300 veröffentlicht. Die Veröffentlichung mit dem Titel "Security and resilience - Vocabulary" ersetzt die vorherige Ausgabe von 2018, ist aktuell allerdings nur auf Englisch verfügbar. Auf 53 Seiten definiert das Dokument 344 Begriffe.
https://www.iso.org/standard/77008.html
Aktuelle BCM-Schadensereignisse
Brand bei Cloud-Dienstleister
Bei einem der größten Cloud-Anbieter Europas OVH hat ein Feuer ein Rechenzentrum in Straßburg zerstört und vermutlich ein weiteres schwer beschädigt. Viele Dienste sind wegen des Schadens gar nicht oder nur eingeschränkt nutzbar. Den betroffenen Kunden wurde von OVH empfohlen, den "Disaster Recovery Plan" zu aktivieren. Reaktionen im Netz zeigten allerdings, dass viele offenbar keine entsprechenden Pläne haben. OVH bietet Redundanzen an, die kosten jedoch zusätzlich. Unternehmen, die die Ausgaben für eine Redundanz nicht auf sich nehmen wollten und auch keine lokalen Sicherungen haben, stehen jetzt vor einem Verlust ihrer Daten – und damit vermutlich vor erheblichen finanziellen Verlusten oder sogar dem Existenzverlust. In ihren Geschäftsbedingungen schließt OVH, wie auch viele andere Cloud-Dienstleister, aus, dass sie für Datenverluste, die von Ereignissen wie Feuer verursacht wurden verantwortlich gemacht werden können.
Ausfall der Leitstelle für Notruf 112
Ein technischer Defekt in der Steuerungseinheit der unterbrechungsfreien Stromversorgung (USV) im Stromunterverteiler sorgte für einen Totalausfall der Integrierten Leitstelle (ILS) Coburg. Der Notruf der Feuerwehr war nicht mehr erreichbar. Über die Aktivierung des Notfallplans wurde die Polizei informiert und die Bevölkerung über Rundfunkdurchsagen aufgefordert, für Notfälle den Polizeinotruf zu verwenden. Der Notruf der Feuerwehr konnte innerhalb weniger Stunden über eine andere Leitstelle umgeleitet werden.
https://www.brk.de/aktuell/presse/meldung/ils-coburg-betrieb-vollstaendig-wiederaufgenommen/
Verkehrspiloten machen Ausfallzeiten für Flugfehler verantwortlich
Durch die Corona-Pandemie blieben viele Flugzeuge am Boden und bis heute ist der Flugverkehr nicht wieder zur Normalität zurückgekehrt; mehrere Piloten geben an, aufgrund der langen Flugpausen anfälliger für Fehler beim Fliegen zu sein. Laut des Berichts von CNN seien mehr Trainings und Übungsstunden als gewöhnlich erforderlich. Auch andere Berufsgruppen mit komplexen Aufgaben könnten von zusätzlichen Trainings profitieren, wenn sie für eine längere Zeit ihre Arbeit nicht ausführen konnten. Auf alle Fälle sollte die Möglichkeit individuell geprüft und in Abstimmung mit den Mitarbeitenden entschieden werden.
https://edition.cnn.com/travel/article/pilot-mistakes-pandemic-downtime/index.html
Katastrophenfall nach Brand in Kraftwerk ausgerufen
In Nürnberg wurde für zwei Tage der Katastrophenfall ausgerufen, nachdem durch einen Brand in einem Kraftwerk die Versorgung mit Fernwärme beeinträchtigt war. Von den Auswirkungen auf Heizungen und die Warmwasserversorgung waren ca. 15.000 Menschen sowie große Betriebe, Schulen und eine Klinik betroffen. Die Stadt und Energieversorger richteten Krisenstäbe ein und baten die betroffenen Anwohner, sparsam zu heizen. Über ein eingerichtetes Bürgertelefon konnten sich Betroffene über den aktuellen Stand der Lage informieren. Durch den Einsatz von mobilen Heizstationen konnte eine Notversorgung gewährleistet werden. Zwei Tage nach dem Brand wurde der Katastrophenfall aufgehoben und eine Wärmeversorgung für alle Betroffenen sichergestellt.
Briefbomben im Umlauf
Ende Februar wurden Briefbomben an Unternehmen verschickt. Eine Briefbombe in einer Lidl-Zentrale führte zu drei Verletzten, eine weitere verletzte in den Wild-Werken in Eppelheim eine Person. In einem Paketverteilzentrum konnte eine Briefbombe vor der Weiterversendung entdeckt und entschärft werden. Das Landeskriminalamt Baden-Württemberg hat ein Informationsblatt veröffentlicht, um verdächtige Postsendungen besser bewerten zu können.
Deutschlandweite Störung bei Vodafone
Ende Februar hatte der Internetanbieter mit Störungen in ganz Deutschland zu kämpfen.
Besonders für Mitarbeiter im Home Office könnte das zu Problemen geführt haben. Für solche Fälle ist es ratsam, dass der Arbeitgeber eine Rückfalllösung bereithält. So könnten von einem Ausfall betroffene Mitarbeiter beispielsweise mit zusätzlichem mobilen Datenvolumen ausgestattet werden, um sich einen mobilen Hot-Spot über das Diensthandy einzurichten und so arbeitsfähig zu bleiben.
Corona-Ausbruch bei Miele behindert Produktion in mehreren Werken
Nach einem Corona-Ausbruch in einem Werk des Haushaltsgeräteherstellers Miele mussten sich 206 Mitarbeiter in Quarantäne begeben. Infolgedessen war das betroffene Werk, in dem Motoren hergestellt werden, nicht mehr lieferfähig; in drei weitere Werken musste daraufhin die Produktion heruntergefahren werden. Da von den anderen Werken keine Kunststoffkomponenten mehr geliefert werden konnten, war ein weiteres Werk gezwungen, die Produktion zu drosseln. So hatte der Corona-Ausbruch in einem Werk Einfluss auf große Teile der gesamten Wertschöpfungskette und könnte zudem zu erhöhten Wartezeiten bei den Endabnehmern führen.
Hackerangriff auf Trinkwasser in Florida
Die Trinkwasserversorgung der Stadt Oldsmar in Florida wurde Opfer eines Hackerangriffs. Die Angreifer versuchten, die Natriumhydroxid-Zufuhr zu vervielfachen. Normalerweise wird Natriumhydroxid in geringen Dosen verwendet, um die Freisetzung von giftigem Blei in Bleirohren zu verhindern. In höheren Dosen wird es jedoch als Ätzmittel für die Abflussreinigung verwendet und kann Gewebe zersetzen. Durch das schnelle Eingreifen eines Mitarbeiters, der live Zeuge des Angriffs wurde, konnten weitere Schäden verhindert werden.
https://www.heise.de/news/Hackerangriff-auf-das-Trinkwasser-5049266.html
Veröffentlichungen
Neuer BSI-Standard zum Business Continuity Management
Für heise online hat unser HiSolutions-Kollege Marcel Lehmann einen Artikel zur Modernisierung des BSI-Standard 100-4 verfasst. In dem Artikel wird unter anderem das neue Stufenmodell erläutert.
https://www.heise.de/news/Neuer-BSI-Standard-zum-Business-Continuity-Management-5030647.html
Umsetzung des § 8a BSIG in der Praxis
Das Dokument „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ fordert unter anderem die Einrichtung eines BCM. In dem Artikel wird auf die Hintergründe des § 8a BSIG eingegangen und sich mit dem aktuellen Umsetzungsstatus bei Unternehmen auseinandergesetzt. Der Artikel wurde von unserem Kollegen Daniel Jedecke verfasst.
https://research.hisolutions.com/2021/01/umsetzung-des-%c2%a78a-bsig-in-der-praxis/
Corporate-Security und BCMS bei Arvato Systems
Mit einem Anwenderbericht zur Zusammenarbeit der Arvato Systems und HiSolutions gibt der Artikel einen Einblick in die Corporate-Security von Arvato und beleuchtet beispielhaft die Umsetzung eines Business-Continuity-Management-(BCM)-Projekts in einer hochdynamischen Umgebung.
Business-Continuity-Management weitergedacht
Unser HiSolutions Kollegen Marcel Lehmann und Jann-Christoph Sowa haben für die kes einen Artikel verfasst. Der Artikel fasst zusammen, welche Änderungen und Neuerungen der BSI-Standard 200-4 enthält und warum es sinnvoll ist, zeitnah zu migrieren.
https://www.kes.info/aktuelles/kes/business-continuity-management-weitergedacht/
Veranstaltungen
KRITIS Zusätzliche Prüfverfahrenskompetenz nach § 8a
Die zweitägige Schulung bereitet auf zukünftige Prüfungen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach bestandener Abschlussprüfung erhalten die Teilnehmer die Zusatzqualifikation „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“, mit der sie Prüfungen nach § 8a BSIG durchführen können.
Die Schulung findet vom 21. bis zum 22.04.2021 remote statt.
https://www.hisolutions.com/security-consulting/academy#c1968
Die nächsten HiSolutions BCM-News erscheinen Mitte Mai 2021!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!