Top Themen: BSI-Standard 200-4: Neue Hilfsmittel | 252 neue Unternehmen als KRITIS-Betreiber eingestuft | Crisis Management Report 2021 veröffentlicht | Bitkom-Studie: 9 von 10 Unternehmen von Cyberangriffen betroffen | BaFin-Rundschreiben zu BAIT, MaRisk und ZAIT | Deutsche Version der ISO 22300:2021 veröffentlicht | Cyberangriff legt Haftpflichtkasse lahm | Stromausfall trifft Erdölaffinerie: bis zu sechs Tage Wiederanlaufzeit
Vorwort
Während viele Unternehmen in den letzten Wochen in der Sommerpause waren, stand die BCM-Welt alles andere als still: Auch in den Sommermonaten wurden zahlreiche Unternehmen von Schadensereignissen getroffen. So zum Beispiel die Erdölraffinerie, die aufgrund eines Stromausfalls kurzzeitig ihren gesamten Betrieb niederlegen musste.
Eben solche Unternehmen, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen haben, müssen gemäß der Kritisverordnung (BSI-KritisV) spezielle Vorgaben einhalten, um die Eintrittswahrscheinlichkeit eines Betriebsausfalls zu minimieren. In der kürzlich aktualisierten BSI-KritisV wurden nun weitere Unternehmen als Kritisbetreiber eingestuft. Diese müssen mit dem Inkrafttreten der neuen Verordnung die Kontinuität ihrer Prozesse sicherstellen. Dazu eignet sich der Betrieb eines Notfallmanagements. Orientierung und Unterstützung zum Aufbau und Betrieb bietet das BSI mit dem neuen BSI-Standard 200-4 und zahlreichen Hilfsmitteln. Unternehmen, die ihr BCM nach dem 200-4-Standard ausrichten möchten, können dafür auf nun neue veröffentlichte Dokumentvorlagen zurückgreifen.
Neuigkeiten
BSI-Standard 200-4: Neue Hilfsmittel
Anfang September hat das BSI den aktuellen Stand zur Weiterentwicklung des Standards 200-4 veröffentlicht. Es wurden neue Hilfsmittel, wie zum Beispiel eine „Präsentationsvorlage für die Business-Impact-Analyse“ oder „Strategievorschläge für BC-Strategien“ veröffentlicht. Zudem ist ein weiterer Community Draft geplant. Mit der Version 2.0 sollen „Verbesserungen im Detail und zu ausgewählten Fragestellungen“ eingearbeitet werden. Grundlegende Änderungen an den wesentlichen Definitionen, der Vorgehensweise und dem Stufenmodell soll es dabei aber nicht geben.
Als Co-Autoren unterstützen wir Sie gerne mit unserem Wissen aus erster Hand.
252 neue Unternehmen als KRITIS-Betreiber eingestuft
Die „Zweite Verordnung zur Änderung der BSI-Kritisverordnung“ stellt das Ergebnis der Evaluierung der BSI-Kritisverordnung vor. Die Liste der als KRITIS-Betreiber eingestuften Unternehmen ist um 252 Einträge erweitert worden. Weiterhin werden Definitionen konkretisiert und in mehreren Sektoren die Schwellenwerte für die Einstufung als KRITIS herabgesetzt. Insbesondere in den beiden Sektoren Stromerzeugung und Transport und Verkehr sind zahlreiche Unternehmen hinzugekommen, die zukünftig als KRITIS-Betreiber eingestuft werden. Weitere Informationen zu der neuen Verordnung, die ab 2022 in Kraft tritt, hat unser Kollege, Manuel Atug, in seinem Artikel für heise zusammengefasst.
Wissenswertes
Crisis Management Report 2021 veröffentlicht
Das Business Continuity Institute hat seinen Crisis Management Report 2021 veröffentlicht, der unter anderem die Bedeutung von Zentralisierung für erfolgreiches Krisenmanagement beleuchtet. Starke Führung, fortschrittliche Technologien und die strategische Einbindung des BCM in die Krisenbewältigung werden dabei als Erfolgsfaktoren identifiziert.
https://www.thebci.org/resource/bci-crisis-management-report-2021.html
DORA geht in die nächste Runde
Der Digital Operational Resilience Act (DORA) betrifft insbesondere Unternehmen der Bereiche Finanzen, Banken und Fintechs. Das von der Europäischen Union ins Leben gerufene Rahmenwerk zielt darauf ab, ein einheitliches und wirksames Risikomanagement und Operationelle Resilienz im „digital banking“ zu schaffen. Betroffene Unternehmen haben die nächsten Monate Zeit, sich an der Debatte zu beteiligen, bevor DORA durch nationale Gesetzgebungen verpflichtend wird.
https://www.managementwire.com/proposed-digital-operational-resilience-act-regulation/
Flutkatastrophe: Neue Anforderungen an Risikovorsorge
Im Bestreben, Unternehmen bei der Minimierung von hochwasserbedingten Schäden zu helfen, hat Allianz Risk Consulting eine Checkliste entwickelt, die vor, während und nach einem Hochwasserereignis abgearbeitet werden sollte. Unter anderem wird Betrieben, die sich in einem Hochwasser-Risikogebiet befinden, empfohlen, einen Hochwassernotfallplan zu erstellen und diesen mit regelmäßigen Übungen zu überprüfen.
Bitkom Studie: 9 von 10 Unternehmen von Cyberangriffen betroffen
Immer regelmäßiger wird auch in den Medien von Cyberangriffen berichtet. Der Digitalverband Bitkom hat im August eine Studie veröffentlicht, die den Trend bestätigt: 9 von 10 Unternehmen waren in den Jahren 2020 und 2021 von Cyberangriffen betroffen. Damit sollte mittlerweile jedem Unternehmen klar sein, dass die Vorbereitung auf den Ernstfall durch die Definition wirksamer Maßnahmen unabdingbar ist. Durch regelmäßige Übungen und Tests kann die Resilienz zudem weiter erhöht werden.
BCM Trends Report veröffentlicht
Der Trend geht zu BCM: So könnte die Zusammenfassung der 12. Edition des BCM Trends Reports klingen, der nun veröffentlicht wurde. Eine Zunahme an Einstellungen, bessere Integration in das Risikomanagement und steigende Ausgaben für das BCM zeigen deutlich, dass das BCM für Unternehmen eine zunehmend wichtigere Rolle spielt.
https://castellanbc.com/research-report/bc-management-trends-report/
Anzahl von DDOS Attacken nehmen weiter zu
Ein von Link11 veröffentlichter Report wirft Licht auf die Entwicklung von DDoS-Attacken zu Pandemiezeiten. Bei der Zunahme von Cyberattacken aller Art stellen DDoS-Attacken keine Ausnahme dar. So gab es einen erhebliche Anstieg in der Häufigkeit und Bandbreite der Attacken. Zudem scheinen die Attacken immer öfter mit Erpressung und Lösegeldforderungen zusammenzuhängen. Besonders betroffen waren vor allem Organisationen, die pandemiebedingt ohnehin einer hohen Belastung ausgesetzt waren.
Report zu Sicherheitsvorfällen in der Telekommunikationsbranche
Die Europäische Agentur für Cybersicherheit (ENISA) hat sich mit der Betriebssicherheit der Europäischen Telekommunikationsbetreiber auseinandergesetzt. Zwar stieg die Anzahl der gemeldeten Vorfälle gegenüber den Vorjahren, dafür konnten die Auswirkungen pro Vorfall gesenkt werden. Wie auch in den Vorjahren dominieren Systemfehler und fehlerhafte Updates die Liste der Ursachen.
https://www.enisa.europa.eu/publications/telecom-annual-incident-reporting-2020
Standards, Richtlinien und Leitfäden
BaFin-Rundschreiben zu BAIT, MaRisk und ZAIT
Die BaFin hat Novellierungen der MaRisk und der BAIT vorgestellt. Während für die BAIT keine wesentlichen Änderungen vorgenommen wurden, sind die Änderungen der MaRisk bezüglich Auslagerungen und Sicherheitsrisiken für betroffene Institute interessant. Die Übergangsfrist zur Anwendung der Konkretisierungen gilt bis Ende des Jahres. Neu hinzu kommen die „Zahlungsdiensteaufsichtlichen Anforderungen an die IT“, kurz ZAIT, die sich von den MaRisk in der Berücksichtigung der individuellen Besonderheiten von Zahlungs- und E-Geld-Instituten abheben. Die Einhaltung der ZAIT wird künftig durch die BaFin überprüft.
https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2021/bj_2108.html
Deutsche Version der ISO 22300:2021 veröffentlicht
Der ISO-Standard „Sicherheit und Resilienz – Begriffe“ sammelt alle Begriffe und Definitionen für die Sicherheit und Resilienz. Die deutsche Version ist beim Beuth-Verlag verfügbar.
Aktuelle BCM-Schadensereignisse
Weitere Herausforderungen für die Containerschifffahrt
Dass die Suez-Havarie noch nicht die Krönung der Lieferkettenengpässe des Jahres war, zeigen die jüngsten Ereignisse in chinesischen Häfen. Nachdem Anfang August der weltgrößte Containerhafen in Ningbo, China, aufgrund eines Corona-Vorfalls geschlossen wurde und das auch fast zwei Wochen lange blieb, stockt nun auch in anderen Containerhäfen der Umschlag der Waren.
Bereits im Juli hatte ein Corona-Ausbruch im chinesischen Hafen Yantien für Unterbrechungen gesorgt. Eine Umfrage unter 166 deutschen Unternehmen ergab, dass die coronabedingte Schließung des Hafens eine noch gravierendere Auswirkung auf die Lieferketten hat als angenommen. Die ohnehin angespannte Lage der weltweiten Lieferketten könnte sich dadurch weiter verschärfen und wird vermutlich bald auch noch stärker in Deutschland zu spüren sein.
Cyberangriff legt Haftpflichtkasse lahm
Erneut ereigneten sich in den letzten Wochen unzählige erfolgreiche Cyberangriffe mittels Ransomware. Unter den Opfern war auch die Haftpflichtkasse, die nicht nur mit lahm gelegten IT-Systemen, sondern auch mit Erpressungsforderungen und gestohlenen Daten zu kämpfen hatte. Mitte Juli hatte ein Angriff die Geschäftsprozesse zum Stillstand gebracht. Etwa eine Woche später konnten die Systeme wieder hochgefahren und der relevante Betrieb wieder aufgenommen werden. Mittlerweile steht die Versicherung wieder mit ihrem vollen Service zur Verfügung. Der genaue Verlauf der Geschehnisse inklusive der Pressemitteilungen kann auf der Homepage der Haftpflichtkasse eingesehen werden.
https://www.haftpflichtkasse.de/presse/Newsroom/Pressemitteilungen/2021/Cyber-Angriff
Erneut flächendeckender Internetausfall
Dass das Internet aus zahlreichen Komponenten besteht, die man nur bemerkt, wenn sie nicht funktionieren, zeigte sich auch dieses Quartal wieder. Nach der vergangenen Störung des CDN-Betreibers Fastly kam es nun zu erheblichen Unterbrechungen durch die fehlerhafte Konfiguration des Edge-DNS-Dienstes von Akamai. Zahlreiche populäre Webseiten wie Amazon (inklusive der AWS-Dienste), Airbnb und tagesschau.de waren über eine Stunde lang nicht erreichbar.
https://t3n.de/news/internet-down-ausfall-zentrale-webdienste-server-websites-plattformen-1393520/
Vorsicht ist besser als das Nachsehen haben
Der Angriff auf die Systeme der Verwaltung im Landkreis Anhalt-Bitterfeld veranlasste die Administratoren der Gemeinde Bernburg dazu, die eigenen Sicherheitsvorkehrungen zu überprüfen. Nur drei Woche nach einer Verschärfung der Einstellung der Anti-Viren-Software wurden sie von einem Alarm über einen Einbruch in die Systeme überrascht. Um mögliche Schäden zu verhindern, wurden alle Server abgeschaltet. Nun stellte sich heraus, dass es sich um einen Fehlalarm handelte, der durch die nun zu sensibel konfigurierte Anti-Viren-Software ausgelöst wurde. Das LKA lobt die Aktion trotzdem: Vorsichtig zu sein sei schließlich besser als das Nachsehen haben.
Sperrung der Weser nach Unfall auf dem Wasser
Es kommen Erinnerungen an die verkeilte Evergiven im Suezkanal hoch: Anfang August kollidierten zwei Frachtschiffe auf der Weser in Niedersachsen. Eines der Schiffe sank, und der Fluss musste für die Schifffahrt gesperrt werden. Unternehmen, die auf den Flusstransport angewiesen sind, mussten sich auf erhebliche Verzögerungen einstellen. Nach acht Tagen Sperrung konnte die Weser schließlich wieder für den Verkehr freigegeben werden.
Stromausfall trifft Erdölraffinerie: bis zu sechs Tage Wiederanlaufzeit
Nach einem vollständigen Stromausfall im Landesnetz musste die PCK-Erdölaffinerie in Schwedt (Uckermark) auf Notbetrieb umschalten. Aufgrund der Dauer des Stromausfalls kam es zu einem Komplettausfall in der Raffinerie. Im Notbetrieb mussten Gase verbrannt werden, die für eine starke Rauchbildung gesorgt hatten. Laut der Sprecherin des Betreibers bestand für die Bevölkerung keine Gefahr durch den Rauch. Der Wiederanlauf wurde eingeleitet, könnte allerdings bis zu sechs Tage in Anspruch nehmen.
Veröffentlichungen
Drahtseilakt durch steigende regulatorische Sicherheitsanforderungen
Unsere HiSolutions-Kollegen sprechen im folgenden Artikel des BankPraktikers der FCH Gruppe AG über die neuen Anforderungen aus den Novellen von BAIT, MaRisk und DORA bezüglich der Umsetzbarkeit in Finanzinstituten.
Veranstaltungen
Impulstag des IBCRM
Am Mittwoch, dem 13.10.21, findet der virtuelle Impulstag des IBCRM e.V. (Institut für Business Continuity & Resilience Management) statt. Auch HiSolutions nimmt mit einem Vortrag zum Thema Cloud und Resilienz an der Veranstaltung teil. Die Anmeldung ist über die Seite des Veranstalters möglich. Die Teilnahme ist kostenlos.
https://www.ibcrm.de/virtueller-impulstag-2021/
IT-Sicherheit: Notfallplanung und Notfallübungen
In diesem dreitägigen Seminar erarbeiten Sie kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine professionelle IT-Notfallplanung inklusive der zur Überprüfung notwendigen IT-Notfallübungen. Das Training richtet sich an IT-Notfallmanager, IT-Service Continuity Manager, IT-Leiter, IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfall- und Krisenmanager), Risikomanager und Auditoren.
08.-10.11.2021 – Heise iX, Remote
https://www.heise-events.de/workshops/notfallplanung
Krisensicher mit IT-Risikomanagement und -Notfallplanung
Im Seminar werden Best Practice Lösungen vorgestellt, um mit überschaubarem Aufwand ein Lagebild zu erstellen und ein grundlegendes Notfall- und Krisenmanagement aufzubauen. Die Teilnehmenden erhalten nach einem virtuellen Kick-Off an zwei Halbtagsseminaren einen vertieften Einblick in die Methoden, die dabei unterstützen, kritische Geschäftsprozesse und IT-Services zu identifizieren. Ferner werden die Grundlagen und Tools des Notfall- und Krisenmanagements erörtert und anhand eines mehrfach erprobten Krisenmanagementplans konkretisiert. Den Plan erhalten alle Teilnehmenden als Template und werden so in die Lage versetzt, die Grundlagen für eine wirkungsvolle Reaktion auf Notfälle und Krisen in ihren Institutionen zu legen.
20.-21.04.2022 – Cyber Akademie, Berlin
https://www.cyber-akademie.de/event/krisensicher-mit-it-risikomanagement-und-notfallplanung/
Die nächsten HiSolutions BCM-News erscheinen Mitte Novemvber 2021!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!