Die Top-Themen: BSI erhält eigenes Referat für KRITIS-Prüfungen | BCM-Aspekte im aktuellen Lagebericht des BSI | BaFin veröffentlicht Ergebnisse der VAIT-Prüfungen: Schwerwiegende Feststellungen | Studie: Business Continuity als Schlüsselfaktor für Cloud-Einführungen | Business Continuity Coalition nimmt Lobbyarbeit in den USA auf | Finanzstabilitätsrat veröffentlicht Toolkit für den Umgang mit Cybervorfällen | Deutsche Fassung der ISO 22313:2020 erschienen | MaRisk Konsultation der BaFin mit Ergänzungen zum Notfallmanagement | Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT" (BAIT)
Vorwort
Während in der zweiten Welle der Corona-Pandemie das öffentliche Leben zu großen Teilen erneut zum Erliegen gekommen ist, dürften die meisten Unternehmen anhand der vorgenommenen Optimierungen ihres BCM dieses Mal besser vorbereitet sein. In einigen Bereichen ist das durchaus notwendig, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem jährlichen Lagebericht zur IT-Sicherheit in Deutschland darlegt. In einigen betrachteten Bereichen wurden Verbesserungspotentiale im Business Continuity Management gefunden. Mit zwei neuen Konsultationen zur Anpassung, Erweiterung und Konkretisierung des Notfallmanagements widmet sich auch die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) der Verbesserung dieses Themas. Zudem ist im Oktober die deutsche Version der ISO 22313 erschienen, die bei der Umsetzung, Aufrechterhaltung und Verbesserung des BCMS unterstützt.
Neuigkeiten
BSI erhält eigenes Referat für KRITIS-Prüfungen
Seit August hat das BSI ein neues Referat, das die Betreiber Kritischer Infrastrukturen beim Schutz ihrer kritischen Dienstleistungen und bei der Umsetzung von Gesetzen unterstützt. Unter anderem werden Empfehlungen ausgesprochen, Konzepte zum Schutz Kritischer Infrastrukturen erstellt oder bei der Bewertung von IT-Sicherheitsvorfällen im Bereich KRITIS unterstützt.
https://www.bsi.bund.de/DE/DasBSI/Aufgaben/AbteilungWG/AbteilungWG_node.html#doc12334836bodyText2
BCM-Aspekte im aktuellen Lagebericht des BSI
Das BSI hat seinen diesjährigen Bericht zur Lage der IT-Sicherheit in Deutschland vorgestellt. Auch zum Thema Notfallmanagement hält der Bericht einige interessante Punkte bereit. Im Bereich der medizinischen Versorgung wird vor allem in der Integration und Zusammenführung verschiedener Sicherheitsdisziplinen besonderes Verbesserungspotenzial gesehen. Die Integration von Sicherheitsthemen ermöglicht neben einem effektiveren Schutz auch effizientere Methoden und Verfahren, was letztlich die vorhandenen Ressourcen schont. Laut dem Bericht verfügt die Branche Informationstechnik über ein tief verankertes Verständnis für Informationssicherheit und, damit verknüpft, auch für das BCM. Da die Branche eine zentrale Bedeutung für andere kritische Dienstleister hat und dadurch im Rahmen von Kundenaudits verstärkt geprüft wird, können Sicherheitsmängel früher aufgedeckt und beseitigt werden. Der Bericht enthält auch ein Kapitel zur aktuellen COVID-19-Pandemie, das dem Notfallmanagement eine große Bedeutung attestiert.
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html
BaFin veröffentlicht Ergebnisse der VAIT-Prüfungen: Schwerwiegende Feststellungen
Die BaFin hat im aktuellen Journal (10/2020) Ergebnisse der ersten VAIT-Prüfungen veröffentlicht. Bisher wurden große und kleinere Erstversicherer sowie Pensionskassen und Rückversicherer gegen die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) geprüft. Fazit: „Keines dieser Unternehmen hatte zum jeweiligen Prüfzeitpunkt die VAIT vollständig erfüllt. […] Schwerwiegende Feststellungen hat die BaFin bei den meisten geprüften Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement getroffen.“ Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Insbesondere bei IT-Dienstleistungen, die nicht vom aufsichtsrechtlichen Ausgliederungsbegriff erfasst werden, etwa dem Bezug von Hard- und Software, verzichteten die Versicherer in zahlreichen Fällen auf eine vorhergehende Risikoanalyse und erfüllten damit nicht ihre Pflicht, mögliche Risiken zu erkennen und zu steuern.
https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2020/bj_2010.html
Wissenswertes
Business Continuity Coalition nimmt Lobbyarbeit in den USA auf
Die Business Continuity Coalition (BCC) repräsentiert ein breites Spektrum von großen und kleinen Versicherungsnehmern aus der gesamten amerikanischen Wirtschaft. Die BCC arbeitet mit politischen Entscheidungsträgern und anderen Interessengruppen in den USA zusammen, um ein Versicherungsprogramm zu entwickeln, das Arbeitsplätze schützt, indem es die Geschäftskontinuität sicherstellt. Wirtschaftliche Verluste aufgrund einer Pandemie und anderen Notfällen, die eine weitreichende Einschränkung der Wirtschaft erforderlich machen, sollen dadurch zukünftig besser abgesichert werden.
Studie: BCM einer der Hauptgründe für Cloud-Einführungen
In einer Studie des IT-Unternehmens Aptum Technologies wurden 400 IT-Spezialisten aus den USA, Canada und Großbritannien zu den Gründen für eine Cloud-Einführung befragt. Die Steigerung der Verfügbarkeit von IT-Services war dabei einer der Top 5.
Die Studie thematisiert jedoch nicht, welche Herausforderungen dabei an ein BCM gestellt werden. Besonders große Cloud-Anbieter gelten als vermeintlich ausfallsicher und als geeignete Alternative zu einem internen BCMS. Dass dies nicht der Fall sein muss, zeigt ein aktuelles Beispiel der Microsoft Azure-Cloud (Siehe Schadensbeispiele).
Finanzstabilitätsrat veröffentlicht Toolkit für den Umgang mit Cybervorfällen
Der Finanzstabilitätsrat (FSB) stellt in seinem Bericht „Effective Practices for Cyber Incident Response and Recovery“ ein Toolkit für den Umgang mit Cybervorfällen vor, im Wesentlichen bestehend aus 49 Handlungsempfehlungen, die Unternehmen dabei helfen sollen angemessen auf Cyberangriffe reagieren und ihre Handlungsfähigkeit wiederherstellen zu können. Unter anderem werden hilfreiche Empfehlungen zu den Themen Wiederherstellung (Restoration and Recovery), Koordinierung und Kommunikation vorgestellt.
https://www.fsb.org/wp-content/uploads/P191020-1.pdf
Standards, Richtlinien und Leitfäden
Deutsches Institut für Normung veröffentlicht DIN ISO 22313:2020
Das Deutsche Institut für Normung (DIN) veröffentlichte jüngst die deutsche Version der ISO 22313 „Anleitung zur Verwendung von ISO 22301“. Das Dokument beschreibt Empfehlungen zur Umsetzung der Anforderungen der ISO 22301. Die DIN ISO 22313 ist dabei jedoch nicht einfach nur eine deutsche Übersetzung der nativen ISO 22313. Sie interpretiert bspw. auch die ISO 22313 entsprechend den deutschen rechtlichen und regulatorischen Begebenheiten. Werden etwa mögliche BCM-Strategien beschrieben, bestehen aufgrund der geltenden Arbeitsstättenverordnung im deutschen Rechtsraum deutliche Unterschiede darin, ob „Mobile Arbeit“ oder „Homeoffice“ beschrieben wird.
https://www.beuth.de/de/norm/din-en-iso-22313/316657353
MaRisk-Konsultation der BaFin mit Ergänzungen zum Notfallmanagement
Die BaFin bittet im Rahmen einer Konsultation Stakeholder um Sichtung des Entwurfs zur neuen MaRisk-Novelle. Die aktuelle Konsultation beinhaltet u.a. zahlreiche Anpassungen und Ergänzungen zum BCM. Mit der Umbenennung des Kapitels von Notfallkonzept zu Notfallmanagement sowie der Erweiterung und Konkretisierung wesentlicher Inhalte soll das BCM zukünftig einen noch höheren Stellenwert erhalten.
Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT" (BAIT)
Neben der neuen MaRisk-Konsultation veröffentlicht die BaFin auch eine Konsultation für die bevorstehende Anpassung der BAIT. So wurde etwa dem Thema IT-Notfallmanagement gegenüber der Fassung vom Oktober 2018 ein eigenes Kapitel gewidmet. Unter anderem heißt es dort, „das Institut hat auf Basis des Notfallkonzepts für alle IT-Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, IT-Notfallpläne zu erstellen“ und „die Wirksamkeit der IT-Notfallpläne ist durch mindestens jährliche IT-Notfalltests zu überprüfen“.
Aktuelle BCM-Schadensereignisse
Microsoft: Weltweiter Cloud-Ausfall
Weltweit mussten Nutzer Ende September auf den Wiederanlauf der Azure-Cloud warten. Microsoft machte ein Problem im Azure Active Directory Service für die Störung verantwortlich. Das Beispiel zeigt, dass eine Cloud-Migration nicht nur Vorteile bringen kann. Auch die damit einhergehenden Risiken müssen genauestens betrachtet werden.
Versehentlicher Cyberangriff führt zu Klinikum-Stillstand
Mitte September wurde das Universitätsklinikum Düsseldorf Opfer eines Hackerangriffs mit schweren Folgen. Der Angriff auf die IT führte zu weitreichenden IT-Ausfällen sowie eingeschränkter Kommunikationsmöglichkeiten. Infolgedessen musste das Klinikum von der Notfallversorgung abgemeldet werden. Besonders medial diskutiert wurde dabei der Tod einer Patientin, die aufgrund der abgemeldeten Notfallversorgung in ein weiter entferntes Krankenhaus umgeleitet werden musste und dort verstarb.
Nach aktuellen Erkenntnissen zielte der Angriff eigentlich auf die Universität Düsseldorf ab. Nachdem den Angreifern das falsche Ziel bewusst geworden war und die Polizei die Angreifer über die Gefahr für die Patienten informierte, wurde der Angriff abgebrochen und der Schlüssel zur Datenwiederherstellung ausgehändigt. Dennoch benötigte die Klinik fast einen Monat, um in den Normalbetrieb zurückzukehren und die gewohnte Patientenzahl versorgen zu können.
Nach Brand: Länderübergreifende Verlagerung der Produktion
Nachdem ein Teil der Produktionshallen von Fischer, Hersteller alpiner und nordischer Skisportartikel, in der Ukraine durch einen Brand ausgefallen sind, wurde die Produktion am Standort Österreich kurzfristig ausgeweitet. Durch Sonderschichten konnte der entstandene Produktionsrückstand aufgeholt werden. Als gutes Beispiel einer klassischen BCM-Strategie müssen dabei jedoch auch die damit verbundenen Konsequenzen geprüft und evaluiert werden. So muss etwa bewertet werden, wie lange die Strategie überhaupt angewendet werden kann, bis der ursprüngliche Standort wiederhergestellt oder andere Lösungen umgesetzt worden sind. Das beinhaltet zum Beispiel die Prüfung und Abstimmung mit dem Betriebsrat, wie lange Sonderschichten überhaupt gefahren werden können und welche zusätzlichen finanziellen, organisatorischen und technischen Aufwände mit der Produktionsverlagerung verbunden sind.
Schließung des Frankfurter Messeturms wegen Baustelle
Eine Baustelle im Erdgeschoss des Frankfurter Messeturms führte zu einem temporären Gebäudeausfall. Durch die Baustelle waren Fluchtwege nicht mehr ordnungsgemäß nutzbar, woraufhin die Feuerwehr den Turm schließen ließ. Mehrere hundert Mitarbeiter wurden bis zur Wiedereröffnung des Turms ins Homeoffice verlegt und konnten erst einige Tage später nach Einrichtung eines neuen Fluchtweges in die Büroräume zurückkehren.
DDoS-Angriff auf RKI-Website
Das Robert Koch-Institut steht aufgrund der Pandemie seit Monaten im Fokus der Öffentlichkeit. Ende Oktober wurde es Opfer eines Cyberangriffes. Durch eine DDoS-Attacke wurden die Server mit einer Flut künstlich generierter Anfragen zum Einbrechen gebracht. Die Website war dadurch ca. zwei Stunden nicht erreichbar. Ein weiterer Schaden ist jedoch nicht entstanden.
https://de.reuters.com/article/virus-deutschland-rki-idDEKBN27D1HO
Corona schafft auch für Agenten neue Herausforderungen
Eine etwas andere Schadensmeldung: Wie der Leiter des britischen Inlandsgeheimdienstes MI5 berichtet, sind auch die britischen Agenten von der Corona-Pandemie betroffen. Leere Straßen würden es schwieriger machen Verdächtige zu verfolgen. Infolgedessen würden Verdächtige nun verstärkt im Netz beschattet.
Veröffentlichungen
CR263 KRITIS
Unser Kollege Manuel Atug war beim Chaosradio zu Gast und sprach über das Thema Kritische Infrastrukturen. Unter anderem stellte er die Ziele der AG KRITIS vor und beantwortete die Frage, wie ein IT-Krisenfall aussehen kann.
https://chaosradio.de/cr263-kritis
Safety und Security in Kritischen Infrastrukturen
Bei einem Workshop im Rahmen der Fachtagung Katastrophenvorsorge (DKKV) vom 19. bis 20. Oktober hielt Manuel Atug außerdem einen Vortrag zum Thema Safety und Security im Bereich KRITIS. Es wurden unter anderem die Unterschiede der Begriffe Safety und Security erklärt sowie auf die Verknüpfung von physischen und digitalen Systemen eingegangen.
https://www.dkkv.org/de/netzwerk/workshop-digitale-und-kritische-infrastrukturen
Veranstaltungen
3. IT-Grundschutz-Tag 2020
Nachdem der zweite IT-Grundschutz-Tag des Jahres vom Veranstalter abgesagt wurde, ist der nächste für den 3. Dezember 2020 geplant. Dieser dritte IT-Grundschutz-Tag findet zum Thema "IT-Grundschutz im Zusammenspiel mit anderen Managementsystemen" statt. Auch das Thema Notfallmanagement wird in einem Vortrag abgedeckt („Notfallmanagement - Nach der Krise ist vor der Krise“). Die Anmeldung ist ab sofort möglich.
Die nächsten HiSolutions BCM-News erscheinen Mitte November 2020!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!