Die Norm ISO/IEC 27002 ist in einer neuen Version erschienen, wie im Blogbeitrag „Die neue ISO/IEC 27002“ vom 13.04.2022 dargestellt. Neben der Neustrukturierung wurden auch vollständig neue Referenzmaßnahmen (auch „Control“ genannt) eingeführt, die in dieser Blogreihe vorgestellt werden.
Das neue Control „5.30 ICT readiness for business continuity“ hat das Ziel, unternehmensgefährdende IT-Risiken und deren Auswirkungen zu analysieren, zu minimieren und vor ihrem Eintritt effektive Gegenmaßnahmen zu implementieren. Die Abkürzung ICT steht für information and communication technology.
Neue Anforderungen durch vermehrte Cyberangriffe und Naturkatastrophen
Neue arbeitsorganisatorische Methoden, Outsourcing und Optimierung der Geschäftsprozesse haben stetig Einfluss auf die Abläufe in Unternehmen. Neben vielen Effizienzvorteilen in diesen Änderungen und Neuerungen werden jedoch vorhandene Puffer an Zeit und Ressourcen immer weiter reduziert – gleichzeitig nimmt die Abhängigkeit von Dritten stetig zu.
Geschäftsunterbrechungen bei Zulieferern und Dienstleistern wirken sich daher heute schneller und umfangreicher auf den eigenen Geschäftsbetrieb aus. Massive Bedrohungen durch Cyberangriffe oder Naturkatastrophen sind mittlerweile keine Randerscheinungen mehr, sondern betreffen Organisationen jeglicher Art und Größe immer häufiger – auf direkte und indirekte Weise.
Für viele Bereiche sind hierdurch auch neue und umfassende regulatorische Anforderungen an das Business Continuity Management (BCM), das IT-Service-Continuity-Management (ITSCM) und das Informationssicherheitsmanagement (ISM) entstanden; etwa für den Banken- und Versicherungssektor, für Kritische Infrastrukturen, aber auch im öffentlichen Sektor.
Das Control „5.30 ICT readiness for business continuity“ setzt nun die neuen Anforderungen für das ITSCM unter Berücksichtigung der Schnittstellen, Methoden und Anforderungen anderer Managementsystem, wie z. B. dem Business Continuity Management System (BCMS), detaillierter um. Durch die Verwendung der Abkürzung ICT (deutsch: IKT – Informations- und Kommunikationstechnologie) wird die Kommunikationstechnik jetzt ebenfalls bewusst in die Umsetzung einbezogen, wie z. B. auch im IT-Sicherheitskatalog gemäß § 11 Absatz 1a der BNetzA vorgesehen.
Die Anforderungen aus „17 Informationssicherheitsaspekte beim Business Continuity Management“ der vorherigen ISO/IEC 27002:2017 wurden über die beiden nachfolgenden Maßnahmen formuliert:
- 17.1 Aufrechterhalten der Informationssicherheit: Die Aufrechterhaltung der Informationssicherheit sollte in das BCM der Organisation eingebettet sein.
- 17.2 Redundanzen: Die Verfügbarkeit von informationsverarbeitenden Einrichtungen ist sichergestellt.
Die Prüfungserfahrung in Audits nach ISO/IEC 27001 zeigt, dass diese Formulierung einen großen Umsetzungsspielraum bot und damit auch durch Auditoren sehr unterschiedlich ausgelegt wurde. Dementsprechend war die Umsetzung in den Unternehmen ebenfalls sehr unterschiedlich ausgeprägt.
Das Control 5.30 beschreibt neben dem übergreifenden Ziel der Sicherstellung der IKT-Verfügbarkeit auf Basis der Geschäftskontinuitätsziele und den Anforderungen an die IT die nachfolgenden wesentlichen Anforderungen, die durch die Organisation sichergestellt werden sollten:
- angemessene Organisationsstruktur,
- IKT-Fortführungspläne, einschließlich detaillierter Wiederanlauf-/Wiederherstellungspläne,
- Business Impact Analyse (BIA) mit priorisierten Recovery Time Objective (RTO) und Recovery Point Objective (RPO) für alle priorisierten ICT-Services.
Damit fordert die Norm ISO/IEC 27002:2022 weiterhin nicht explizit ein BCM, allerdings werden Organisation, Methoden und Prozesse eines BCM verwendet, um mindestens ein ITSCM unter Berücksichtigung der Kommunikationstechnik zu planen, zu implementieren und regelmäßig zu testen.
Umsetzungsmöglichkeiten
Die neuen, erhöhten Anforderungen aus dem Control 5.30 fordern Methoden und Prozesse eines BCM auf Basis der Geschäftskontinuitätsziele zur Gewährleistung der IKT-Verfügbarkeit.
Die Umsetzung einer angemessenen Organisationsstruktur, um sich auf eine Unterbrechung der ICT-Services vorzubereiten, sie abzumildern und darauf zu reagieren, benötigt eine übergreifende Abgrenzung einer Störung, eines Notfalls oder einer Krise im Unternehmen. Überschneidungen und Berührungspunkte mit eventuell existierenden anderen Managementsystemen, wie z. B. dem BCMS, dem Krisenmanagement oder dem Risikomanagement, müssen analysiert und abgestimmt werden. Ferner existieren in vielen Unternehmen häufig bereits Prozesse, die sich mit der Prävention, Detektion und Bewältigung von unterschiedlichen Sicherheits- und Schadensereignissen auseinandersetzen. Derartige Prozesse finden sich z. B. im Werkschutz, Brandschutz, Arbeitsschutz, Wachschutz, in der Haustechnik oder im IT-Incident-Management.
In einem ersten Schritt sollte geprüft werden, inwiefern vorhandene Managementsysteme oder Sicherheitsprozesse bereits Aspekte der Bewältigung von solchen Schadensereignissen behandeln, die zu einem Ausfall der ICT-Services führen können. Liegen bereits Definitionen in vorhandenen Systemen oder Prozessen vor, sollte das Unternehmen die Begriffe aufeinander abstimmen oder voneinander abgrenzen.
Zur Umsetzung der IKT-Kontinuitätspläne (auch als Geschäftsfortführungspläne bezeichnet) müssen Reaktions- und Wiederherstellungsverfahren (auch als Wiederanlauf- und Wiederherstellungspläne bezeichnet) detailliert beschrieben, geplant und regelmäßig durch Übungen und Tests auf ihre Wirksamkeit bewertet werden. Speziell für die ICT-Services ist es empfehlenswert, neben den klassischen Ausfallgründen (wie etwa Hardwaredefekte oder höhere Gewalt) auch Ausfälle aufgrund von Cyberangriffen zu berücksichtigen. Durch Cyberangriffe, die primär die Vertraulichkeit oder Integrität von Informationen gefährden, sich aber auch auf die Verfügbarkeit auswirken können (wie z. B. Schadsoftware-Angriffe), werden gesonderte Anforderungen an den Notbetrieb gestellt. Dies kann etwa der Fall sein, wenn ICT-Services heruntergefahren werden müssen, um zu verhindern, dass sich das Schadensereignis ausweitet oder Organisationseinheiten die korrumpierten Daten weiter nutzen.
Die verschiedenen Notfallpläne können sowohl nacheinander als auch parallel erstellt werden. Es ist hilfreich, die Geschäftsfortführungspläne und Wiederanlaufpläne parallel zu erarbeiten, da bestehende Abhängigkeiten so besser aufeinander abgestimmt werden können. Über die Abhängigkeiten und Reihenfolgen der Wiederanlauf- und Wiederherstellungspläne kann sichergestellt werden, dass die jeweiligen Voraussetzungen für den Wiederanlauf jeder IKT-Ressource erfüllt sind. Anhand dessen sollten die Abhängigkeiten der verschiedenen Wiederanlauf- und Wiederherstellungspläne in einer übergeordneten Wiederanlauf- bzw. Wiederherstellungsplanung dokumentiert werden, z. B. innerhalb des Notfallhandbuchs.
An dieser Stelle findet zudem die Priorisierung der durchzuführenden Maßnahmen für den Wiederanlauf statt. Diese ist üblicherweise an der logischen Abhängigkeit von Ressourcen ausgerichtet. Um jedoch sicher zu sein, dass die kritischen ICT-Services angemessen abgesichert wurden, müssen die umgesetzten Maßnahmen, die organisatorischen Strukturen und die erstellten Pläne kontinuierlich überprüft werden. Die Bewältigung von Notfällen erfordert von den Beteiligten Höchstleistungen sowie eine schnelle und angemessene Reaktion, um Schäden so weit wie möglich abzuwenden. Unvollständige oder nicht funktionierende Pläne können verheerende Folgen haben und wertvolle Zeit kosten. Regelmäßige Übungen und Tests helfen, Verbesserungsbedarfe zu identifizieren und die Reaktions- und Handlungsfähigkeit der Mitarbeitenden zu erhöhen.
Zur Umsetzung der letzten wesentlichen neuen Anforderung müssen für alle priorisierten ICT-Services im Rahmen einer BIA definierte Wiederanlaufparameter ermittelt werden.
Zunächst wird in der BIA untersucht, welche ICT-Services zeitkritisch sind und ab wann deren Ausfälle nicht tolerierbare Auswirkungen haben. Dies bestimmt, ob und ab wann für diese ICT-Services ein Notbetrieb zur Verfügung stehen sollte. Zusätzlich werden für zeitkritische ICT-Services die Abhängigkeiten, die Ressourcen für den Notbetrieb sowie die Wiederanlaufzeiten ermittelt. In der BIA werden die Kenngrößen (Wiederanlaufparameter) für RTO (deutsch: geforderte Wiederanlaufzeit, WAZ) und RPO (deutsch: maximal zulässiger Datenverlust) erhoben, die für die weitere Notfallplanung benötigt werden.
Die RTO umfasst den Zeitraum vom Zeitpunkt des Ausfalls der Ressource bis zum Zeitpunkt der geforderten Inbetriebnahme der Notfalllösung, z. B. durch Schwenk auf eine Ausweich- oder Ersatzressource oder durch Zurücksetzen eines IT-Systems auf den letzten gesicherten Zustand. Der RPO legt fest, wie alt verfügbare Daten maximal sein dürfen, um im Notbetrieb sinnvoll damit arbeiten zu können. Diese Kenngröße dient auch dazu, die minimal notwendigen Datensicherungszyklen daraus abzuleiten.
Die Vorgehensweise zur BIA sollte in einer schriftlichen Anweisung dokumentiert sein, um nachvollziehbare Ergebnisse mit einer angemessenen Qualität zu erhalten.
Fazit
Die neuen Anforderungen des Controls „5.30 ICT readiness for business continuity“ beinhalten eine detaillierte und methodische Vorgehensweise zur Sicherstellung der IKT-Verfügbarkeit. Durch große Überschneidungspunkte und Verwendung von Methoden und Prozessen eines BCMS, kann eine gemeinsame Nutzung mit anderen Managementsystemen auch eine große Chance zur Nutzung von Synergieeffekten zur Einsparung von finanziellen, personellen und zeitlichen Ressourcen gesehen werden. Die innerhalb der BIA untersuchten Geschäftsprozesse und ihre für einen Notbetrieb benötigten Ressourcen (IKT-Services) sind die Grundlage für das gemeinsame weitere Vorgehen.
Die neuen Definitionen und Anforderungen des Controls 5.30 bieten die Möglichkeit, ein prozessorientiertes ITSCM zur Sicherstellung der IKT-Verfügbarkeit auf Basis der Geschäftskontinuitätsziele zu optimieren oder einzuführen. Der stufenweise Aufbau oder auch die Integration in ein modernes BCMS nach ISO 22301 und/oder dem BSI Standard 200-4 kann so effektiv gestaltet werden.