Ein zentrales Anliegen jedes Unternehmen müsste im Normalfall die Aufrechterhaltung der Geschäftstätigkeit sein. Um dieses Anliegen zu realisieren, sollten Verantwortlichkeiten und Verfahren etabliert sein. Genau dieses Ziel verfolgt das sogenannte Business Continuity Management (BCM).
Risken gilt es zu identifizieren und zu minimieren.
Das BCM soll möglichst das Eintreten widriger Umstände im Zusammenhang mit (wichtigen) Geschäftsprozessen möglichst verhindern. Entstandene Schäden soll das BCM minimieren und so schnell wie möglich wieder den betrieblichen Normalzustand erreichen. Bei den Geschäftsprozessen kann es beispielsweise um Entwicklungs-, Produktions- und Dienstleistungsprozesse, Transport und Logistik gehen – aber auch um die Informationsverarbeitung, die die genannten Prozesse unterstützt oder gar wesentlich bestimmt.
Notfall Meldekette
Nun gilt zu klären, was widrige Umstände sind:
Prinzipiell kann jedes Unternehmen selbst festlegen, welche Situation sie als widrig einstuft.
Jedoch führen wir von mabs4.0 gerne grundlegende Situationen auf, welche die meisten Unternehmen, als widrig einstufen:
Wenn z.B. der Strom für einen längeren Zeitraum ausfällt, dadurch IT-Dienste nicht mehr zur Verfügung stehen, die Klimatisierung des Server-Raums nicht mehr gewährleistet ist, kann man von einem Notfall sprechen. Abhängig von der Länge des Stromausfalls und deren Folgen, könnte man sogar von einer Krise oder einer Katastrophe sprechen.
Auch ein Brand, der die gleichen Folgen hätte, hätte die gleichen Auswirkungen und könnte somit gleich klassifiziert werden.
Oft nicht beachtet aber ein widriger Umstand könnte der Funktionsverlust wichtiger Sicherheitsvorkehrungen in der Infrastruktur sein. Sodass die Zutrittskontrollen nicht mehr erwartungsgemäß funktionieren.
Auch ein IT-Angriff, welcher den Abfluss von streng vertraulichen Daten zur Folge hätte, könnte zu einer Krise führen.
Notfallteam
Ein Punkt, welcher uns in der derzeitigen Situation bekannt wurde, mit welchem jedoch nicht gerechnet wurde, ist der erhebliche Personalausfall im Rahmen einer Pandemie. Wir bemerken nun, dass die Sicherheit einiger Unternehmen und die Arbeitsfähigkeit des ISMS in der Pandemie-Situation erheblich beeinträchtigt wurde. Das BCM ist ein sehr breit angelegtes Thema. Es gibt dazu spezielle Standards, z. B. die ISO 22301.
Die Eskalationsstufen im Business Continuity Management
Eskalationsstufen im Notfallmanagement
Folgende Themen sollten Inhalte des BCM sein
- Notfallhandbuch
- Business Impact Analysen
- Wiederherstellungs-/Wiederanlaufpläne
- Erprobungspläne
- IT-Notfallhandbuch
Im Notfallhandbuch sollten generelle Definition der zu erwartenden Risikostufen beschrieben sein. Desweiteren müssen dort Notfallkontakte hinterlegt sein. Es muss ein Meldeweg definiert werden. Rollen und Verantwortlichkeiten sollten geregelt werden. Auch ist es sinnvoll sich im Vorfall Gedanken zu machen, welche Applikationen in einem Notfall als Erstes wieder hochgefahren werden und wie.
Um im Falle eines Notfalls vorbereitet zu sein, ist es ratsam einen Notfall und die damit verbundenen Maßnahmen regelmäßig zu erproben, sodass jeder involvierte Mitarbeiter ein Bewusstsein bekommt, was in einer Notsituation gemacht werden muss. Insbesondere in einer praktischen Übung können Schwachstellen der Pläne und Prozesse erkannt und anschließend verbessert werden.
*Dieser Artikel soll nur einen kurzen Überblick eines BCM geben und kann keinesfalls vollständig sein.
Quellen:
*https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1004.pdf?__blob=publicationFile&v=2