Am 14. Juni 2023 fand in Limburg an der Lahn und online der 3. IT-Grundschutz-Tag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) statt. Die Fachkonferenz stand diesmal unter der Überschrift „Organisatorische Resilienz mit IT-Grundschutz: Von der Informationssicherheit zur Business Continuity“.
Nach der Eröffnung durch Herrn Heun vom Kooperationspartner CARMAO GmbH und Herrn Schildt vom BSI startete der Vortragsreigen mit einer Einführung in das Management der Informationssicherheit „IT-Grundschutz: Fundament und Arbeitswerkzeug für ganzheitliche Informationssicherheit“ durch Herrn Wiemers (BSI). Daraufhin schlug Herr Heun mit seinem Vortrag „Informationssicherheit als Motor organisationaler Resilienz“ die Brücke von der Informationssicherheit zur Business Continuity. Im Anschluss folgte der Höhepunkt des Tages, auf den wir weiter unten noch eingehen wollen: Die „Vorstellung des finalen BSI-Standards 200-4 BCM“ durch Herrn Gilles (BSI).
Nachfolgend stellte Herr Pittner (SECIANUS GmbH & Co. KG) in seinem Vortrag „IT-Grundschutz im Spannungsfeld der organisationalen Resilienz“ dar, wie mit dem Ziel der ganzheitlichen Resilienz weitere Managementsysteme mit dem Informationssicherheitsmanagement (z. B. nach IT-Grundschutz) verknüpft werden sollten, statt die weiteren Managementsysteme im Unternehmen – wie bspw. Qualitäts- oder Datenschutzmanagementsysteme – unabhängig voneinander zu betreiben. Einen weiteren Aspekt fügte Herr Jüptner (Hessen Trade & Invest GmbH) hinzu, welcher Maßnahmen der EU-Kommission und insbesondere die Beratung des Enterprise Europe Network mit Fokus auf kleine und mittlere Unternehmen vorstellte, womit diese resilienter gemacht werden sollen. Im Idealfall ginge ein Unternehmen gestärkt aus einer Krise heraus. Dies gelinge aber nur, wenn u. a. Vorbereitung, Aufmerksamkeit und Kreativität vorliegen würden. In einem weiteren Vortrag lenkte dann Herr Mari (Coach Volker Mari) den Fokus auf die Erfolgsfaktoren zur Stärkung der organisationalen Resilienz und stellte hier insbesondere auf Motivation, Führung, Kundenorientierung und Kommunikation ab.
Vor der Podiumsdiskussion informierte Herr Schildt (BSI) noch über „Aktuelles und Ausblick zum IT-Grundschutz“ und damit über die letzten Entwicklungen und dementsprechend noch anstehende Veröffentlichungen, wie z. B. die für Ende Juli geplante Veröffentlichung der Zuordnungstabelle ISO/IEC 27001:2022 zum IT-Grundschutz. In Bezug auf das für den 3. IT-Grundschutz-Tag titelgebende Thema „Business Continuity“ berichtete er über Ideen zur Erweiterung der Personenzertifizierung um einen „BCM-Praktiker“. Abgeschlossen wurde die Tagung nach der Podiumsdiskussion mit einer Zusammenfassung des Tages durch Herrn Heun.
Der 4. IT-Grundschutz-Tag 2023 wird am 11. Oktober 2023 stattfinden.
Modernisierter BSI-Standard zum Business Continuity Management (BCM)
Wie oben angekündigt, möchten wir an dieser Stelle nun noch einen kurzen Abriss bezüglich der Vorstellung des BSI-Standards 200-4 geben. Der Vorgänger 100-4 wurde bei der grundlegenden Überarbeitung des IT-Grundschutzes noch nicht mitberücksichtigt, obwohl bereits damals Notwendigkeiten für eine Anpassung gesehen wurden. Hier sind vor allem stärkere Synergien mit den anderen Standards der 200er-Reihe, die Anpassung an die sich zum damaligen Zeitpunkt noch in Bearbeitung befindliche ISO 22301:2019 und die Vereinfachung des Einstiegs für die Anwender – insbesondere durch die Einarbeitung der Erfahrungen aus der Praxis – zu nennen. Mit dem ersten Community Draft im Januar 2021 erfolgte zusammen mit der ganzheitlicheren Betrachtung des Themas auch die Umbenennung von „Notfallmanagement“ in „Business Continuity Management“. Mit dem zweiten Community Draft im August 2022 wurde u. a. noch eine neue Struktur in Anlehnung an den BCM-Prozess eingeführt. Bei der nun veröffentlichten finalen Version wurde inhaltlich vor allem die Anpassung der Definition zur „Recovery Time Objective“ (RTO), die Einführung der Reaktionszeit bis zur Ausrufung des Notfalls und die Umbenennung der „Voranalyse“ in „BIA-Vorfilter“ betont.
Bevor wir jetzt aber zu sehr ins Detail gehen: Worum geht es überhaupt?
Wichtig ist, erst einmal den Anwendungsfall und die Abgrenzung zu den anderen Standards zu verstehen: Ziel ist die angemessene Fortführung des Geschäftsbetriebes selbst bei massiven Schadensereignissen. Sofern ein Vorfall/eine betriebliche Unterbrechung also noch innerhalb des normalen Geschäftsbetriebes zu beheben ist, wird von einer Störung gesprochen. Diese ist von einem Business Continuity Management System (BCMS) nicht umfasst. Das BCMS greift erst, wenn mindestens ein Geschäftsprozess in nicht tolerabler Weise unterbrochen wird und nicht im Normalbetrieb angemessen wiederhergestellt werden kann. Es werden zusätzliche Ressourcen, z. B. in Form eines Krisenstabes, benötigt. Diese zeitlich begrenzten Sonderstrukturen können spezielle Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege aufweisen, die von denen des täglichen Normalbetriebes abweichen und werden als Besondere Aufbauorganisation (BAO) bezeichnet. Sollten bei der Behandlung des Vorfalles vorliegende Notfallpläne genutzt werden können, wird von einem Notfall gesprochen. Eine Krise liegt vor, wenn Notfallpläne – aus welchen Gründen auch immer – nicht anwendbar sind. Das Ziel des BCMS ist der schnellstmögliche Anlauf eines Notbetriebes mit paralleler Wiederherstellung des normalen Geschäftsbetriebes. Durch die Schaffung von Strukturen und Vorgehensmustern, die allen Beteiligten bekannt sind, wird die Behebung des Notfalles/der Krise wesentlich vereinfacht und beschleunigt.
Diese wichtige Abgrenzung vorausgeschickt, bietet der neue Standard als vereinfachter Einstieg in das Thema BCMS das sog. Stufenmodell. Basierend auf einem Vorgehen nach dem PDCA-Zyklus werden für den ersten Durchlauf vereinfachte Methoden zur Verfügung gestellt, welche zusätzlich nur auf einem nach Risikogesichtspunkten ausgewählten Subset der Unternehmensprozesse angewendet werden. Dadurch ergibt sich ein sog. „Reaktiv-BCMS“. Diese Vereinfachungen dienen dazu, mit möglichst geringem Aufwand bereits in der Lage zu sein, auf einen Vorfall zukünftig besser zu reagieren. Dies aber in dem Bewusstsein, dass noch sehr viele Lücken und Verbesserungspotentiale im BCMS bestehen. Dementsprechend sieht der Standard vor, bereits mit dem nächsten PDCA-Zyklus die vollständige Methodik anzuwenden. Dies führt zu einem sog. „Aufbau-BCMS“, welches wiederum in den nachfolgenden Zyklen nach und nach um weitere (zeit-)kritische Unternehmensprozesse erweitert wird. Es entwickelt sich damit Schritt für Schritt weiter, bis hin zum „Standard-BCMS“.
Unternehmen, die bereits den Vorgängerstandard 100-4 (teilweise) umgesetzt haben, müssen nicht von vorne anfangen. Sowohl die wesentlichen Prozessschritte als auch Dokumente aus dem Vorgängerstandard finden sich im neuen Standard 200-4 wieder. Sie sind mitunter etwas anders strukturiert und bedürfen lediglich einer Anpassung. Um den Wechsel hier zusätzlich zu unterstützen, wurde die Veröffentlichung von entsprechenden Hilfsmitteln bis Ende des Jahres angekündigt.
Über die Vorgehensweise in Bezug auf die Wechselwirkung mit dem Baustein „DER. 4 Notfallmanagement“ aus dem IT-Grundschutz wurde noch nicht abschließend entschieden. Es werden mit den beiden Standards verschiedene Adressatenkreise angesprochen, weshalb ein einfacher Verweis auf BSI-Standard 200-4 nicht nur Vorteile bringen würde. Das Ergebnis soll aber gemäß Angabe mit der nächsten Revision des IT-Grundschutzes veröffentlicht werden.
Fazit
Insgesamt bot der 3. IT-Grundschutz-Tag also nicht nur die Veröffentlichung des lange diskutierten neuen BSI-Standard 200-4 „Business Continuity Management“, sondern auch eine vielschichtige Betrachtung des Themas organisatorische Resilienz insgesamt. Vor dem Hintergrund der Erfahrungen aus der Pandemie sowie mit geopolitischen Spannungen und Konflikten ist das Thema Resilienz längst auch in der Politik angekommen. So spricht die EU-Kommission von einer „triple-transition“ und meint damit Digitalisierung, Nachhaltigkeit und eben Resilienz. Es ist also nicht abwegig, zu erwarten, dass sich hier – je nach Größe und Ausrichtung – mittelfristig Anforderungen für immer mehr Unternehmen ergeben werden. Ganz unabhängig davon empfiehlt es sich für jedes Unternehmen, sich zumindest grundlegende Gedanken zum Vorgehen bei einem Notfall oder einer Krise gemacht zu haben.