Top Themen: Community Draft zum BSI-Standard 200-4: Kommentierung noch bis 30.06. möglich | BCI Horizon Scan Report 2021 veröffentlicht | Eine starke Führung und Unternehmenskultur beeinflusst die Resilienz | Basel Komitee veröffentlicht seine Ausrichtung für 2021/2022 | BCI Bericht: Unterbrechungen in den Lieferketten nahmen in 2020 zu | Regionaler Notstand in den USA nach Cyberangriff auf Pipeline | Käseknappheit in den Niederlanden nach Hackerangriff | Halbleitermangel sorgt in der Autoindustrie weiterhin für Probleme
Da der Begriff Resilienz nicht nur im Zuge der Corona-Pandemie immer prominenter wird, möchten wir unsere klassischen BCM-Inhalte in unserem Newsletter zukünftig um dieses Thema erweitern.
Unsere Umwelt und die aus ihr entstehenden Bedrohungen sind in stetigem Wandel und die Komplexität nimmt in nahezu allen Bereichen (nicht nur in der IT) weiter zu. Unternehmen müssen diese Lageänderungen stets bei der Festlegung und Umsetzung eines BCM im Blick behalten. Es können jedoch nicht alle Bedrohungen vorhergesagt und vorbereitet werden; das zeigen nicht zuletzt der Ausbruch der Corona-Pandemie und dessen Folgen. Genau hier setzt die sogenannte Business Resilience an.
Business Resilience beschreibt die Fähigkeit von Organisationen mit Veränderungen umzugehen und sich an diese anzupassen. Die aktuelle Situation zeigt deutlich, wie wichtig Business Resilience ist und wie sie Unternehmen dabei helfen kann, besser durch Krisen zu kommen. In diesem Newsletter befinden sich daher einige Artikel zu diesem bedeutsamen Thema.
Die Fähigkeit zur Resilienz muss allerdings mehr denn je von der Geschäftsführung vorgelebt und über die Führungs- und Funktionsstellen im Unternehmen verankert werden. Eine reine Betrachtung des Standards zur Resilienz von Organisationen (ISO 22316) wird hier nicht ausreichen. Hier ist ein generelles Umdenken notwendig, welches in der Führungsarbeit ansetzt. Auch wenn es bereits zahlreiche Optimierungen zur Resilienz von Organisationen gab, blieb dieser Punkt oftmals eine über ein Fachprojekt nicht lösbare Herausforderung.
Community Draft zum BSI-Standard 200-4: Kommentierung noch bis 30.06. möglich
Die Fertigstellung des neuen BSI-Standards 200-4 befindet sich in den letzten Zügen: Der Community Draft des neuen Standards zum Business Continuity Management kann noch bis zum 30.06. kommentiert werden. Zusätzlich werden aktuell weitere Hilfsmittel erstellt, die bei der Umsetzung des Standards unterstützen.
Als Co-Autoren unterstützen wir Sie gerne schon jetzt mit unserem Wissen aus erster Hand.
BCI Horizon Scan Report 2021 veröffentlicht
Laut des kürzlich veröffentlichten BCI Horizon Scan Reports 2021 ist die COVID-19-Pandemie für Organisationen die bisher größte Herausforderung, die jemals in einem Horizon Scan Report aufgenommen wurde. Dabei wurde mangelnde Vorbereitung als der Hauptfaktor für den erschwerten Umgang mit der aktuellen Situation genannt. Allerdings seien Organisationen sensibler für Risiken geworden: andere Risiken als bisher werden wieder betrachtet. So haben es zum Beispiel politische Risiken das erste Mal seit drei Jahren wieder in die Top 10 des Risikoindexes des BCI geschafft. Der Report geht auch auf die Verbreitung und Vorteile einer ISO 22301-Zertifizierung ein.
www.thebci.org/resource/bci-horizon-scan-report-2021.html
Eine starke Führung und Unternehmenskultur beeinflusst die Resilienz
Aon und Pentland Analytics haben einen Report veröffentlicht, in dem Grey Swan Events aus den letzten 40 Jahren betrachtet und analysiert werden. Im Gegensatz zu Black Swan Events, die undenkbar erscheinen, sind Grey Swan Events vorhersehbar und Unternehmen können sich auf solche Ereignisse vorbereiten. Laut dem Report ist die Vorbereitung auf Grey Swan Events wichtig für einen guten Umgang mit Krisen und für eine schnelle Erholung eines Unternehmens. Da eine optimale Vorbereitung auf jedes denkbare Szenario allerdings nicht möglich ist, ist eine starke Führung durch das Management entscheidend für den bestmöglichen Umgang mit Krisen jeglicher Art. Unternehmen mit einer Kultur, die Resilienz als einen fortlaufenden Prozess sieht können Krisen schneller und besser bewältigen, als Unternehmen, die Resilienz als einmalige Aktion sehen, die geübt werden muss, um gewissen Regularien zu entsprechen.
Weiterhin betrachtet der Report den Einfluss von Grey Swan Events auf den Unternehmenswert. Auch hier ist die Führungskultur des Unternehmens wieder entscheidend: wenig Führung und eine unzureichende Resilienzkultur führen zu einem mangelhaften Umgang mit Krisen und haben negativen Einfluss auf den Unternehmenswert.
https://www.aon.com/getmedia/03965282-4d98-49c3-9e4c-97d4fbfb2c3e/Respecting-the-Grey-Swan.aspx
Verbesserung der Business Resilienz durch Kommunikation mit den Mitarbeitern
Eine im Journal of Applied Communication Research veröffentlichte Arbeit befasst sich mit dem Einfluss von Mitarbeiterkommunikation auf die organisatorische Resilienz. Laut der Veröffentlichung ist die Beziehung zwischen Organisation und Mitarbeiter wichtig, um die Resilienz des gesamten Unternehmens zu verbessern. So kann organisatorische Resilienz in einer Krise durch strategische interne Kommunikation aufrechterhalten werden.
https://www.tandfonline.com/doi/abs/10.1080/00909882.2021.1910856?journalCode=rjac20
Basel Komitee veröffentlicht seine Ausrichtung für 2021/2022
Das Basel Komitee für Bankenaufsicht hat sein Programm für die nächsten zwei Jahre veröffentlicht. Der Fokus des Programms liegt dabei auf drei Punkten:
https://www.bis.org/bcbs/bcbs_work.htm
Britische Zentralbank veröffentlicht Richtlinie zur Verbesserung der operativen Resilienz
Die Operational Resilience Policy der Bank of England zielt darauf ab, die operationelle Widerstandsfähigkeit des englischen Finanzmarktes zu verbessern und soll dabei helfen, den britischen Finanzsektor und die britische Wirtschaft vor den Auswirkungen von Betriebsstörungen zu schützen. Die Richtlinie soll zukünftig als Mindeststandard für britische Unternehmen im Finanzmarktsektor gelten. So sollen betroffene Organisationen unter anderem ihre wichtigsten Dienstleistungen dahingehend identifizieren, welche Auswirkungen ein Ausfall nicht nur auf ihre eignen kommerziellen Interessen, sondern auch darüber hinaus hätte.
https://www.bankofengland.co.uk/paper/2021/bank-of-england-policy-on-operational-resilience-of-fmis
BCI Bericht: Unterbrechungen in den Lieferketten nahmen in 2020 zu
Der jährlich erscheinende Bericht des englischen Business Continuity Institutes beschäftigt sich mit dem aktuellen weltweiten Zustand von Lieferketten und wie sie durch die Ereignisse des vergangenen Jahres geprägt wurden. Laut dem diesjährigen Report erreichten die Anzahl der Unterbrechungen in den Supply Chains und die Nutzung von Technologien zum Management und zur Überwachung von Lieferketten den höchsten Stand seit der ersten Veröffentlichung. So gaben mehr als die Hälfte (55,6 Prozent) der befragten Unternehmen an, Technologien zu nutzen, um die Analyse und Berichterstattung über Störungen in der Lieferkette zu unterstützen. Mehr als die Hälfte der Organisationen (57,6 Prozent) erklärten, dass COVID-19 der Grund für Investitionen in neue Technologien und Tools war. Auch die Wahrscheinlichkeit, dass Unternehmen die Business-Continuity-Systeme kritischer Zulieferer hinterfragen ist gestiegen: 2020 gaben mehr als drei Viertel der Unternehmen an, zu überprüfen, ob wichtige Zulieferer über Business-Continuity-Regelungen verfügen. 2019 waren es noch zwei Drittel der Befragten.
Arbeitnehmer haben mit den Folgen der Pandemie zu kämpfen
Das Marktforschungsunternehmen Gartner hat im vierten Quartal 2020 5.000 Mitarbeitende zu ihrem psychischen Wohlbefinden befragt. Ein Drittel der Befragten erklärte aufgrund der Corona-Pandemie unter Depressionen zu leiden. Weiterhin gab nur knapp die Hälfte der Befragten an, dass das Management ihre Bedürfnisse und Probleme verstehen würde. Dieser Umstand ist nicht nur für Führungskräfte bedenklich; ein drohender größerer Personalausfall sollte auch von BC-Verantwortlichen berücksichtigt werden.
Integration von Psychologen in das BCM
Passend zu dem vorherigen Beitrag veröffentlichten Wissenschaftlerinnen/Wissenschaftler aus den USA ein Paper, dass sich damit beschäftigt, wie Psychologen/Psychologinnen in die BC-Planung integriert werden können. Es wird argumentiert, dass Arbeits- und Organisationspsychologen/-Psychologinnen die Mitarbeitenden ermitteln können, die bei Betriebsunterbrechungen am stärksten unter psychischen Belastungen leiden. Sie können folglich spezifisch daran arbeiten, die psychische Belastung der betroffenen Mitarbeiter zu reduzieren. Weiterhin wird gefordert, psychischen Aspekte der Mitarbeitenden stärker in den Fokus der BC-Planung zu rücken. Arbeits- und Organisationspsychologen sollten dabei unterstützen die BC-Pläne auf ihre Effektivität zu bewerten, um sicherzustellen, dass Organisationen in Zukunft besser in der Lage sind auf Betriebsunterbrechungen einzugehen.
Bafin Konsultation: Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)
Die Bafin hat einen Entwurf für das Rundschreiben veröffentlicht, welches die Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) konkretisiert. Der Entwurf orientiert sich stark an den bestehenden IT-Anforderungen für Banken (BAIT) und beinhaltet auch ein etwas umfangreicheres Kapitel zum Notfallmanagement, das unter anderem die Erstellung einer Auswirkungs- und Risikoanalyse fordert.
Aktualisierte Version der ISO 22300 veröffentlicht
Die ISO hat die Veröffentlichung einer aktualisierten Version der ISO 22300 bekannt gegeben. Die ISO 22300:2021 mit dem Titel "Security and resilience - Vocabulary" ersetzt die Vorgänger-Version aus 2018. Die Aktualisierung unterstützt andere ISO-Normen zu Sicherheit und Resilienz - einschließlich der Norm zum Business Continuity Management - indem sie eine Erklärung der darin verwendeten Begriffe und des Vokabulars liefert. Bis jetzt ist die aktualisierte Version nur auf Englisch verfügbar.
https://www.iso.org/standard/77008.html
Lösegeldzahlung in Millionenhöhe nach Hackerangriff auf US-Pipeline
Die größte Pipeline der USA wurde von einem Hackerangriff getroffen. Tagelang konnte das Hauptsystem nach einem Ransomware-Angriff durch die Gruppe Darkside nicht wieder in Betrieb genommen werden. Durch das Ausrufen des Notstands konnte Öl über die Straße an die ca. 50 Millionen betroffenen Verbraucher geliefert werden. Erst eine (nicht offiziell bestätigte) Lösegeld-Zahlung in Millionenhöhe versetzte den Betreiber, Colonial Pipeline, in die Lage die Versorgung wieder sicherzustellen.
https://www.sueddeutsche.de/politik/pipeline-hackerattacke-ransomware-loesegeld-usa-1.5294163
Käseknappheit in den Niederlanden nach Hackerangriff
Ein Ransomware-Angriff auf einen wichtigen Logistiklieferanten in den Niederlanden sorgte für den Ausfall des voll automatisierten Bestellprozesses. Die Umstellung der Mitarbeiter auf Stift und Papier hatte zur Folge, dass Bestellungen nicht in den Lagern ankamen und nicht erfüllt werden konnten. Unter den Folgen des Angriffs litt daraufhin auch die größte niederländische Supermarktkette, die nicht mehr ausreichend mit Waren versorgt wurde. Vermutlich konnten die Angreifer durch das Ausnutzen der Hafnium-Schwachstelle in das System des Logistiklieferanten eindringen.
https://www.heise.de/news/l-f-Mit-Ransomware-in-die-Kaesekrise-6016858.html
Logistikunternehmen im Ziel von Hackern
Das Sicherheitsunternehmen ESET hat herausgefunden, dass bei einem Hackerangriff, der Lazarus-Gruppe auf ein südafrikanisches Logistikunternehmen eine Backdoor eingesetzt wurde. Da Logistikunternehmen weltweit Daten mit ihren Kunden und Partnern austauschen, ist nicht ausgeschlossen, dass auch andere Unternehmen der Branche von dem Angriff betroffen sein könnten. Es wird vermutet, dass die die Lazarus-Gruppe Logistikunternehmen gezielt angreift. Das sollte nicht nur IT-Sicherheitsexperten interessieren, sondern auch alle Supply-Chain- und BCM-Verantwortliche aufhorchen lassen: Der Ausfall eines Logistikdienstleisters kann schnell zu flächendeckenden Problemen führen und sich auf alle Teile der Lieferkette auswirken.
https://www.zdnet.de/88394254/hackerangriffe-auf-logistikunternehmen/
Halbleitermangel sorgt in der Autoindustrie weiterhin für Probleme
Während der weltweite Mangel an Halbleitern bei Daimler dafür sorgt, dass Mitarbeiter in Kurzarbeit geschickt werden, entwickeln andere Hersteller kreative Alternativen. Bei Peugeot werden im auslaufenden Modell 308 analoge Geschwindigkeitsmesser eingebaut. Die digitalen Armaturenbretter sind aktuell den beliebteren Modellen wie dem SUV 3008 vorbehalten. Der Bauteilmangel sorgt bei Peugeot allerdings auch dafür, dass das Werk im französischen Rennes stillsteht und verlangt Flexibilität von den Mitarbeitern. Laut einem Bericht in der FAZ sollen die Mitarbeiter jeden Morgen bei einer zentralen Telefonnummer anrufen, um zu erfahren, ob sie zur Arbeit kommen sollen oder nicht.
https://www.tagesschau.de/wirtschaft/unternehmen/chipmangel-autobauer-daimler-stellantis-101.html
Lieferkettenprobleme verschärfen sich nach Blockierung des Suezkanals
Die sechstägige Blockade des Suezkanals durch ein havariertes Containerschiff im März hat weitere Auswirkungen auf die ohnehin schon angespannten Lieferketten. Schon vor der Blockade hatte die Containerschifffahrt Mühe die steigende Nachfrage zu decken. Durch die Pandemie ist der Bedarf nach Konsumprodukten, der mehrheitlich aus Asien bedient wird stark gestiegen. Das Ergebnis waren rekordverdächtige Frachtraten auf den Ost-West-Handelsrouten. Durch die Blockade sind die Zeitpläne in den Frachthäfen durcheinandergekommen und weitere Kapazitätsengpässen entstanden. Analysten erwarten, dass die Verschärfung des Ungleichgewichts zwischen Angebot und Nachfrage bei Containerslots und Equipment Auswirkungen auf das gesamte zweite Quartal 2021 haben wird und weiterhin mit Lieferengpässen gerechnet werden muss.
https://lot.dhl.com/global-supply-chain-woes-deepen-after-suez-canal-blockage/
Unternehmen im produzierenden Gewerbe leiden unter Cyberangriffen
Eine Online-Umfrage des Marktforschungsinstitut Vanson Bourne fand heraus, dass mehr als 60% der produzierenden Unternehmen bereits Erfahrungen mit Cybervorfällen gemacht haben. 75% der Vorfälle führten dabei zu Systemausfällen, von denen 43%mehr als vier Tage andauerten. Bei der Umfrage wurden 500 IT- und OT-Fachleuten in den USA, Deutschland und Japan befragt. Gerade im Zuge der Entwicklungen im Bereich Industrie 4.0 wird oft der Sicherheitsaspekt außen vorgelassen und Unternehmen machen sich angreifbar. Natürlich können nicht alle Schwachstellen ausgeschlossen werden. Dafür sollten aber entsprechende Pläne und Workarounds vorhanden sein, um bei einem Ausfall angemessen reagieren zu können und zumindest die zeitkritischen Geschäftsprozesse am Laufen halten zu können.
https://www.it-business.de/cyberangriffe-legen-produktion-fuer-mehrere-tage-lahm-a-1012954/
Angriffe mit Ransomware auf europäische Industrieunternehmen
Durch das Ausnutzen einer VPN-Schwachstelle ist es Angreifern gelungen, mindestens eine erfolgreiche Attacke auf europäische Industrieunternehmen durchzuführen. Durch den Angriff wurden die Prozesse des betroffenen Unternehmens unterbrochen, die Produktion kam zeitweise zum Stillstand. Laut dem IT-Sicherheitsunternehmen Kaspersky könnten auch andere Industrieunternehmen von der Schwachstelle betroffen sein und Opfer von ähnlichen Angriffen werden.
https://duo.com/decipher/attackers-target-european-industrial-firms-with-cring-ransomware
Vom Säbelzahntiger zum Hackerangriff - Schon unsere Vorfahren wussten: Gutes BCM ist kein Zufall
In der IT Security Ausgabe vom Mai 2021 erschien ein Artikel unseres HiScout Kollegen Daniel Linder. Der Artikel erklärt kurz und knapp, wie ein gutes BCM aufgebaut werden sollte und bedient sich dabei dem Leben unserer Vorfahren als Metapher.
https://www.yumpu.com/de/document/view/65559855/it-security-mai-2021
IT-Sicherheit: Notfallplanung und Notfallübungen
In diesem dreitägigen Seminar erarbeiten Sie kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine professionelle IT-Notfallplanung inklusive der zur Überprüfung notwendigen IT-Notfallübungen. Das Training richtet sich an IT-Notfallmanager, IT-Service Continuity Manager, IT-Leiter, IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfall- und Krisenmanager), Risikomanager und Auditoren.
07.-09.06.2021 - Heise iX, Remote
https://www.hisolutions.com/security-consulting/academy#c2081
Business Continuity Manager mit TÜV Rheinland geprüfter Qualifikation
Nach dem Prinzip „Learning by doing“ wenden die Teilnehmer im Rahmen von Workshops die Mittel und Methoden des BCM anhand von Fallbeispielen selbst an. Die jeweiligen Kerninhalte des Tages werden in Einzel- oder Gruppenarbeit erprobt. Die angehenden Business Continuity Manager lernen die BCM-relevanten Standards und dessen Komponenten, BCM-relevante Gesetze und Good Practice Guides kennen. Sie erhalten einen umfassenden Blick auf den BCM-Lebenszyklus inklusive Business Impact & Risikoanalyse, Strategie & Maßnahmen, Tests & Übungen, Pflege & Qualitätssicherung. Gleichzeitig lernen die Teilnehmer die BCM-Organisation, ihre Rollen und Schnittstellen kennen. Die Teilnehmer erlangen darüber hinaus Grundlagenkenntnisse über die Business Continuity-relevanten Themenfelder wie IT-Service Continuity Management, ISMS und Notfallmanagement.
13.-17.09.2021 - Cyber Akademie, Frankfurt am Main
https://www.hisolutions.com/security-consulting/academy#c4872
Vorfall-Experte des CSN (Cyber-Sicherheitsnetzwerk)
Die Teilnehmer werden bei diesem dreitägigen Training befähigt, im Falle von IT-Sicherheitsvorfällen schnell und effektiv reagieren und als Schnittstelle zu den Vorfall-Experten des Cyber Sicherheitsnetzwerks beim Bundesamt für Sicherheit in der Informationstechnik agieren zu können. Das Training vermittelt dazu unter anderem die folgenden Kenntnisse und Fertigkeiten:
Nach Abschluss der Aufbauschulung können die Teilnehmer die Prüfung zur Personenzertifizierung bei dem Cyber-Sicherheitsnetzwerk durchführen und eine Zertifizierung Vorfall-Experte zu erlangen.
Das Training richtet sich an IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfallmanager), Auditoren und Unternehmen und Einzelexperten, die mit einem Zertifikat den Status als Dienstleister des CSN oder IT-Sicherheitsdienstleister anstreben.
https://www.hisolutions.com/detail/vorfall-experte-des-csn-cyber-sicherheitsnetzwerk
Die nächsten HiSolutions BCM-News erscheinen Mitte Juli 2021!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!