Die Top-Themen: Bundesweiter Warntag am 10. September | Deutscher Mittelstand: Geschäftsbetriebe erhalten Priorität | Neue Strategien für das Business Continuity | Die bsi. stellt dritte Version der Richtlinie zum sicheren Arbeiten während der COVID-19-Pandemie vor | BaFin konsultiert zu BCM-Anforderungen für Einrichtungen der betrieblichen Altersversorgung | Jährliche Ausfallzeiten bei der Telekommunikation in der EU erreichen fast eine Milliarde Benutzerstunden | Deutscher Präventionstag findet online statt
Vorwort
Am 10. September fand der erste bundesweite Warntag statt, welcher in der Auswertung durch das Bundesinnenministerium als „fehlgeschlagen“ bewertet wurde. Zahlreiche Menschen wurden durch die Warnmaßnahmen gar nicht oder nur ungenügend erreicht. Zusätzlich zum Warntag findet vom 28. bis 29. September der 25. Deutsche Präventionstag statt. Es werden spannende Themen rund um das Thema Prävention in der digitalen Welt geboten, wie zum Beispiel das Präventionswebinar „Cyberangriffe gegen Unternehmen“.
Neuigkeiten
Bundesweiter Warntag am 10. September
Zur Überprüfung der bundesweiten Warnsysteme fand am 10. September der Warntag statt. In Berlin blieben die Sirenen mit Vorankündigung still. Aber auch an vielen anderen Orten bekam die Bevölkerung nur wenig bis gar nichts von der Probewarnung mit. Grund dafür: An einigen Orten existieren aktuell gar keine Sirenen. Andernorts blieben sie aus bisher unbekannten Gründen still. Auch das Warnsystem, welches die Warn-Apps „NINA“ oder „Katwarn“ beliefert, funktionierte nicht wie geplant. Das Bundesinnenministerium hat den Warntag im Anschluss als „fehlgeschlagen“ bewertet. Zukünftig soll der Warntag an jedem zweiten Donnerstag im September stattfinden.
https://www.heise.de/news/Warntag-warnt-wenig-System-ueberlastet-Sirenen-abgebaut-4890532.html
Deutscher Mittelstand: Geschäftsbetriebe erhalten Priorität
Die Befragungen zum „Zukunftspanel Mittelstand“ des Instituts für Mittelstandsforschung Bonn, welche in der Corona-Hochphase durchgeführt wurden, ergab, dass Business Continuity neben der Liquiditätssicherung derzeit zu den größten Herausforderungen für mittelständische Unternehmen zählt. Als drittgrößte Herausforderung sehen die befragten Vertreter aus Wissenschaft, Wirtschaft und Politik die Flexibilisierung von Geschäftsmodellen. Im Zeitverlauf zeigt die Befragung auch, dass die Herausforderungen durch die Pandemie abnehmen und die Unternehmen sich zunehmend an die neue Normalität anpassen.
Neue Strategien für das Business Continuity
Auch Unternehmen, die einen Notfallplan in der Tasche hatten, waren vom Ausmaß und der Geschwindigkeit der aktuellen Corona-Krise überrascht. Innerhalb kürzester Zeit wurde in vielen Unternehmen der Großteil der Belegschaft in das Home-Office verlegt und stellte so die IT und Führungskräfte vor große Herausforderungen. Um auf Ausnahmesituationen, wie die derzeitige Pandemie, angemessen reagieren zu können, kann es für Unternehmen hilfreich sein, bereits während der Planung der Prozesse das BCM einzubinden und die nötige Flexibilität einzuplanen.
https://www.silicon.de/experten-tipp/neue-strategien-fuer-die-business-continuity
Basel Committee möchte einheitlichen Rahmen zur Resilienz schaffen
Das Basel Committee hat es sich zur Aufgabe gemacht hohe und möglichst einheitliche Standards in der Bankenaufsicht zu erstellen und damit Empfehlungen für nationale Aufsichtsbehörden bereitzustellen. Mit dem Aufbau auf bestehenden Richtlinien und Best-Practices möchte das Komitee einen einheitlichen Rahmen schaffen und bestehende Doppelungen verringern. Die vorgeschlagenen Prinzipien zur Resilienz fokussieren sich auf Governance, operatives Risikomanagement, die Planung und das Testen von Business Continuity Maßnahmen, das Auslagerungsmanagement, Incident Management und Cyber-Security. Noch bis zum 6. November 2020 können Kommentare zu dem Dokument eingereicht werden.
https://www.bis.org/press/p200806.htm
HiSolutions unterstüzt „Wir-bleiben-liqui.de“
„Wir-bleiben-liqui.de“ ist ein Projekt, das aus dem WirVsVirus-Hackathon entstanden ist und Nutzern dabei behilflich ist Fördergelder leichter zu beantragen. HiSolutions unterstützt bei der Entwicklung eines Sicherheitskonzepts und stellt perspektivisch sicher, dass ein mit IT-Grundschutz & ISO 27001 konformer Einsatz der Software möglichst einfach umzusetzen ist. Bisher wurde das Angebot von ca. 35.000 Kleinen und Mittleren Unternehmen (KMU) genutzt.
https://www.wir-bleiben-liquide.de/
Wissenswertes
Corona Lessons Learned: Nur 16 % aller Unternehmen sehen sich gut für zukünftige Krisen gewappnet
Das Analyse- und Beratungsunternehmen NelsonHall hat zusammen mit der Schweizer Post eine Studie zu den Lessons Learned aus der Corona-Pandemie veröffentlicht. 96% der Befragten geben darin an, dass die vorhandenen Notfallpläne nicht ausreichend waren. Die Krise hat das Bewusstsein für die Notwendigkeit der betrieblichen Belastbarkeit zwar gesteigert, dennoch sehen sich derzeit nur 16% der befragten Unternehmen auf zukünftige Krisen, die sich mit der aktuellen vergleichen lassen, gut vorbereitet.
Banken- und Versicherungssektor: BCM hat sich bisher als wirksam erwiesen
In einer offenen Umfrage hat BankingHub über 200 Fach- und Führungskräfte aus dem Finanzsektor zu ihren Prozessen und IT-Services während der Pandemie-bedingten Einschränkungen in der ersten Jahreshälfte 2020 befragt. Die Befragten berichteten, dass die Notfallpläne wirksam waren und dank des BCM schnell auf das Remote-Arbeiten umgestellt werden konnte.
https://bankinghub.de/innovation-digital/prozesse-it-covid-19
Active Directory ist kritisch, aber nur selten abgesichert
Aus einer Umfrage von Semperis geht hervor, dass der Verzeichnisdienst Active Directory (AD) zwar bei 97% der befragten Unternehmen zeitkritisch ist, aber oft keine Notfallpläne existieren oder die bestehenden Pläne nicht getestet werden und daher deren Wirksamkeit unklar ist. In einem funktionsfähigen Business Continuity Management System (BCMS) sollten BC-Pläne regelmäßig auf ihre Funktion und Angemessenheit überprüft werden. Auch zeitkritische Systeme, wie zum Beispiel AD, sollten im BCM betrachtet und abgesichert werden. Mit der Verlagerung der Arbeit in das Home-Office bzw. mobile Arbeiten nehmen derzeit auch die Cyber-Attacken auf AD zu. Ein Ausfall kann also nicht ausgeschlossen werden.
https://pages.semperis.com/recovering-ad-from-cyber-disasters/
IT-Resilienz durch das BCM stärken
Es ist kein Geheimnis, dass die Cyber-Angriffe zunehmen und sich Unternehmen gegen diese schützen müssen. Hier kann neben der IT auch das BCM seinen Anteil leisten. Um im Falle eines Angriffs handlungsfähig zu bleiben, reichen redundante IT-Systeme alleine nicht aus. Auch die organisatorischen Prozesse müssen klar definiert und erprobt sein. Das BCM kann bei Cyber-Angriffen dafür sorgen, dass schneller auf Schadensereignisse reagiert werden kann und die Prozesse weiterhin strukturiert und nachvollziehbar ablaufen.
Webasto: positives Fazit zum Krisenmanagement
Anfang des Jahres geriet der Automobilzulieferer Webasto in die Schlagzeilen, als am Standort bei München der erste COVID-19-Fall in Deutschland auftrat. Heute, ein halbes Jahr später, zieht der Firmenchef im Stern ein positives Fazit. Er macht besonders die schnelle Reaktion des Unternehmens für die erfolgreiche Bewältigung der Herausforderung verantwortlich. In Kooperation mit den staatlichen Stellen wurde zwei Tage nach Bekanntwerden des positiven Testergebnisses der Standort geschlossen. Durch die Kommunikation mit den Mitarbeitern und das Testen der betroffenen Mitarbeiter konnte ein weiterer Ausbruch verhindert werden. Die Erfahrung aus dem ersten Fall konnte auf andere Standorte übertragen und so, trotz auftretender Fälle, weitere Schließungen verhindert werden. Dank der schnellen und effektiven Arbeit konnten auch Reputationsschäden verhindert werden. Vermutlich konnte das Unternehmen durch den guten Umgang mit der Herausforderung seine Reputation sogar steigern.
Blick über den Tellerrand: Kritische Infrastrukturen in Australien
Auch in Australien sind Kritische Infrastrukturen und die Frage, wie diese besser geschützt werden können ein Thema. Neben allgemeinen Vorgaben an Kritische Infrastrukturen wird derzeit im Rahmen einer Konsultation diskutiert, ob und wie der Staat die Notfallbewältigung von Institutionen durch eingreifende Weisungen unterstützen kann, wenn diese hierzu nicht selbst in der Lage sind. Nicht nur Unternehmen, die nicht in der Lage sind einen Notfall alleine zu bewältigen, sollen von dieser Unterstützung profitieren. Institutionen können auch selbst auf die Behörden zugehen und Unterstützung oder Anweisungen einholen, um Unklarheiten und mögliches Fehlverhalten zu vermeiden. Insbesondere bei Maßnahmen im Zuge von Cyber-Angriffen soll so sichergestellt werden, dass ausschließlich legale Maßnahmen durchgeführt werden (bspw. keine Hackbacks) oder in der Verantwortung durch die Behörden erfolgen.
Notfallplanung in Krankenhäusern soll sich mit Wasserausfall beschäftigen
Ein Zusammenschluss aus dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie Akteuren des Gesundheitswesens und der Siedlungswasserwirtschaft erarbeitet zurzeit eine technische und organisatorische Lösungsstrategie für das Risikomanagement von Einrichtungen des Gesundheitswesens. Da Wasser für die Funktionsfähigkeit eines Krankenhauses und Versorgung von Patienten essenziell ist, soll innerhalb des dreijährigen Forschungsprojekts mit dem Namen „NOWATER“ ein praxisnaher Leitfaden erarbeiten werden, der die Wasserversorgung von Krankenhäusern und anderen Kritischen Infrastrukturen im Gesundheitswesen sicherstellt.
https://www.bbk.bund.de/SharedDocs/Kurzmeldungen/BBK/DE/2020/08/KRITIS_BMBF_Projekt_NOWATER.html
Standards, Richtlinien und Leitfäden
BSI veröffentlicht Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG v1.1
Am 28. August hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) ein Dokument zur Orientierung veröffentlicht, wie die gesetzlichen Anforderungen gemäß § 8a Absatz 3 BSIG erfüllt werden können. Das BSI fordert von Betreibern Kritischer Infrastrukturen einen Nachweis darüber, dass ihre Prozesse sowie informationstechnische Systeme oder Komponenten, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastruktur verantwortlich sind, gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit abgesichert werden. Das Dokument soll KRITIS-Betreibern und prüfenden Stellen eine Orientierung geben, was in § 8a Absatz 3 BSIG unter „auf geeignete Weise“ in Bezug auf eine Prüfung zu verstehen ist und wie die gesetzlichen Anforderungen aus § 8a Absatz 3 BSIG erfüllt werden können. Die Anforderungen an die Beteiligten und deren Aufgaben sowie Zuständigkeiten werden beschrieben. Zudem werden Rahmenbedingungen an einen geeigneten Nachweis geliefert und der Ablauf der Einreichung beschrieben.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/Orientierungshilfe_8a_3_v11.html
Die bsi. stellt dritte Version der Richtlinie zum sicheren Arbeiten während der COVID-19-Pandemie vor
Die dritte Auflage der Guideline „Safe working during the COVID-19 pandemic“ beschreibt, wie Unternehmen ihre Arbeitsstätten Corona-sicher gestalten können. Die Neuerungen befassen sich unter anderem mit dem Testen, Ermitteln von Kontaktpersonen, Quarantäne-Maßnahmen sowie psychischen Faktoren.
https://www.bsigroup.com/en-GB/topics/novel-coronavirus-covid-19/covid-19-guidelines/
BaFin konsultiert zu BCM-Anforderungen für Einrichtungen der betrieblichen Altersversorgung
Die Bafin konsultiert derzeit zum Rundschreiben „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Einrichtungen der betrieblichen Altersversorgung (MaGo für EbAV).“ Ein Bestandteil der Konsultation umfasst dabei auch das Thema Notfallmanagement. Dies umfasst insbesondere den Stellenwert des BCMS sowie dessen Anforderungen an entsprechende Institutionen. Unter anderem heißt es, dass die Geschäftsleitung für das operative Notfallmanagement verantwortlich ist und die Notfallplanung von der gesamten Geschäftsleitung beschlossen werden muss.
BCI Veröffentlichung: Überlegungen zur Zukunft des BCM und Resilience
Das Business Continuity Institute (BCI) hat einen neuen Report veröffentlicht, indem es anhand einer Studie Überlegungen anstellt, auf was BCM-Systeme zukünftig achten sollten. Der Report beschäftigt sich unter anderem mit Inhalten wie der verbesserten Position des BCM, die durch die COVID-19 Krise erreicht wurde oder einer besseren Rollendefinition, um weniger Konflikte zu gewährleisten.
Aktuelle BCM-Schadensereignisse
Unternehmen in Nordamerika beklagen weiterhin Probleme in ihren Lieferketten
Auch sechs Monate nach dem Start der Pandemie haben gemäß einer Umfrage der bsi. noch über die Hälfte der befragten Unternehmen in Nordamerika Probleme ihre Lieferketten aufrechtzuerhalten. Circa 30% der Befragten gaben an, dass langfristige Veränderungen der Lieferketten vorgenommen werden sollen. Dazu gehören unter anderem die Materialbeschaffung und der Transport. Hier könnten sich auch Vertreter des BCM von Produktionsunternehmen an den Anpassungen beteiligen, um Prozesse besser abzusichern und flexibler auf Schadensereignisse reagieren zu können.
Cyber-Angriff bei Garmin: Kunden kritisieren die Informationspolitik
Ein Cyber-Angriff legte Ende Juli weite Teile der IT des Technologiekonzerns Garmin lahm. In der Folge konnten Kunden nicht mehr mit den Unternehmen kommunizieren oder auf dessen Dienste zugreifen. In den sozialen Medien beschwerten sich die betroffenen Nutzer über die Kommunikations-politik des Unternehmens. Dieses Schadensbeispiel zeigt deutlich, wie wichtig eine gute Kommunikationspolitik sein kann, um bei einem Schadensfall weitere Reputationsschäden zu verringern.
Stromausfall im Krankenhaus – keine Notstromaggregate
Im Gemeinschaftskrankenhaus in Herdecke (NRW) kam es zu einem Stromausfall. Da keine Ersatzstromversorgung existierte, wurde das THW zur Hilfe gerufen. Die Bevölkerung des betroffenen Stadtteils wurde vorsorglich mit der Warn-App „NINA“ über die Lage informiert.
https://www.presseportal.de/blaulicht/pm/69790/4656706
Jährliche Ausfallzeiten bei der Telekommunikation in der EU erreichen fast eine Milliarde Benutzerstunden
Die ENISA (European Union Agency for Cybersecurity) hat ihren jährlichen Report zu Ausfällen in der Telekommunikationstechnik veröffentlicht: Daraus geht hervor, dass im letzten Jahr 153 schwere Sicherheitsvorfälle in der EU gemeldet wurden, welche insgesamt zu einem Ausfall von ca. einer Milliarde Benutzerstunden führte. Knapp die Hälfte der Vorfälle lassen sich auf Ausfälle des Systems zurückführen, ein Viertel der Ausfälle wurde durch menschliches Fehlverhalten verursacht. Jeder fünfte Ausfall hing mit einem Stromausfall zusammen. Auch hier sind BCM-Verantwortliche gefragt, sich auf entsprechende Ausfälle vorzubereiten und Workarounds parat zu haben.
https://www.enisa.europa.eu/publications/annual-report-telecom-security-incidents-2019
Umweltrisiken: Wasserversorgung ohne Vorwarnung abgestellt
In Mecklenburg-Vorpommern wurde Mitte August das Wasser für mehrere Stunden abgestellt, da die Speicher drohten leerzulaufen. Um die Versorgung von Kritischer Infrastruktur, wie z.B. einem Krankenhaus, zu gewährleisten, wurde für andere Parteien die Wasserversorgung kurzzeitig gestoppt. Aufgrund der Trockenheit im Sommer und dem erhöhten Wasserverbrauch, der auf zusätzliche Urlauber und Einheimische zurückzuführen ist, die anders als in den Vorjahren zu Hause geblieben sind, war die Infrastruktur nicht in der Lage genügend Wasser zu liefern. Besonders für Unternehmen, bei denen Wasser für die Produktion essenziell ist, könnte solch ein Fall schnell zu schwerwiegenden Problemen führen. In der BCM-Risikoanalyse sind daher auch solche Umweltrisiken zu berücksichtigen, um den Einfluss von unvorhergesehenen Ausfällen möglichst gering zu halten.
Ausfall Zoom
Die Corona-Pandemie hat viele Prozesse verändert und Video-Dienste in den meisten Unternehmen unverzichtbar gemacht. Ende August sorgte der Video-Dienst Zoom mit einem stundenlangen Ausfall für Aufregung. Viele Kunden konnten keine Videokonferenzen starten oder sich in Meetings einwählen. Zoom entschuldigte sich und machte Anpassungen im Cloud-Dienst für die Störungen verantwortlich. Hier sollten sich BCM-Verantwortliche die Frage stellen, inwieweit ein Videodienst schon zur kritischen Ressource gehören könnte und welche Alternativen bei einem Ausfall bestehen.
Veröffentlichungen
KRITIS Grundlagendokument
Im Rahmen der allgemeinen Resilienz ist die Kontinuität der Kritischen Infrastrukturen (KRITIS) durch die Einrichtung eines BCMS zu sichern. Das Grundlagendokument liefert einen Überblick der gesetzlichen Anforderungen und Prüfungsgrundlagen im Rahmen von KRITIS mit Fokus auf das BCM.
Das Dokument ist beim IBCRM e.V. erschienen und wurde von der Autorin Stefanie Fekonja und den HiSolutions-Kollegen Marius Wiersch und Marcel Lehmann verfasst.
https://www.ibcrm.de/kritis-grundlagendokument/
Umsetzung des § 8a BSIG in der Praxis
Der Artikel von unseren Kollegen Latifa El Morabet Amghar und Daniel Jedecke beschäftigt sich mit den typischen Fehlern bei der Umsetzung von Sicherheitsanforderungen im KRITIS-Umfeld und zeigt passende Maßnahmen des BSI IT-Grundschutzes auf, um diese Fehler zu vermeiden. Auch das BCM spielt eine wichtige Rolle bei KRITIS. Hier werden jedoch oft die erstellten Notfallmaßnahmen nicht regelmäßig geprüft und nur auf dem Papier definiert. Auditoren achten daher zunehmend genauer auf den Bereich des BCM.
Zusätzlich hat Daniel Jedecke gemeinsam mit Manuel Atug einen weiteren Artikel zu dem Thema veröffentlicht. Darin befassen sie sich mit der Umsetzung von KRITIS nach § 8a für Kleine und Mittlere Unternehmen (KMU). Diese haben teilweise mit der Umsetzung der KRITIS-Anforderungen und der Einführung eines Information Security Management Systems (ISMS) zu kämpfen. In dem Artikel zeigen die Autoren einen Fahrplan auf, wie KMU den Anforderungen gerecht werden können.
https://www.kes.info/aktuelles/kes/inhalt/
KRITIS Podcast Ursachen für Schwachstellen im Finanzsektor
Unser Kollege Manuel Atug spricht mit Frank Stiegler (Rechtsanwalt mit Schwerpunkt IT- und Datenschutzrecht) über die Schwachstellen im Finanzsektor.
https://www.stiegler-legal.com/blog/blog-podcast_folge_32
Veranstaltungen
KRITIS Zusätzliche Prüfverfahrenskompetenz nach § 8a (3)
Die zweitägige Schulung bereitet auf zukünftige Prüfungen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach bestandener Abschlussprüfung erhalten die Teilnehmer die Zusatzqualifikation „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“, mit der Sie Prüfungen nach § 8a BSIG durchführen können.
Termine:
30.09.-01.10.2020 - Heise iX, Remote
08.-09.10.2020 - HiSolutions AG, Remote (*Bonn)
29.-30.10.2020 - isits, Remote (*Bochum)
IT-Sicherheit: Notfallplanung und Notfallübungen
In diesem Seminar erarbeiten Sie kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine professionelle IT-Notfallplanung inklusive der zur Überprüfung notwendigen IT-Notfallübungen.
Termin: 09.-11.11.2020
Deutscher Präventionstag findet Online statt
Der 25. Deutsche Präventionstag findet vom 28.09.-29.09 als Online-Konferenz statt. Für die Teilnahme kann sich online angemeldet werden. Das Programm gliedert sich in vier unterschiedliche Formate. Unter anderem werden Interviews, Talks, Musik, Filme und Online-Seminare gezeigt. Zusätzlich gibt es ein informelles Begegnungsangebot zum Netzwerken und Austauschen, welches unter dem Namen „DPT-Open House“ am Abend des 28. Septembers stattfindet.
https://www.praeventionstag.de/nano.cms/dpt-25-kongressprogramm
Die nächsten HiSolutions BCM-News erscheinen Mitte November 2020!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!