Der Cybernotfall entwickelt sich zum BCM

Vorsicht ist besser als Nachsicht. Diese alte Weisheit gilt natürlich auch für Unternehmen und Behörden, wenn sie sich mit einer Notfallsituation auseinandersetzen müssen - und auch für Cybernotfälle.

Auch wenn eine tatsächliche Cyberkrise selten ist: Einen getesteten und erprobten Notfallplan stets griffbereit zu haben ist der beste Schutz in plötzlichen Notlagen. Denn im Ernstfall kommt ein IT-Notfall meist völlig ohne Vorwarnung.

Da ist es beruhigend, einen erfahrenen Partner an der Seite zu wissen, mit dem sich Unternehmen systematisch auf Cyberangriffe, Notfälle und Krisen vorbereiten können. Wenn der Ausnahmefall dann doch eintritt, werden die Auswirkungen eines Vorfalls entsprechend abgemildert, wenn die erforderlichen Notfallmaßnahmen im Unternehmen fest verankert sind.

Ein neuer BSI-Standard für BCM

Hier kommt der neue BSI-Standard 200-4 Business Continuity Management (BCM) ins Spiel. Seit dem 1. IT-Grundschutztag am 19. Jänner 2021 steht er als "Community Draft" zum Download und zur Kommentierung zur Verfügung, und zwar auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Deutschland. Der Schlüsselbegriff ist "zeitkritisch": Bei überlebenswichtigen zeitkritischen Prozessen handelt es sich um solche, die Unternehmen innerhalb kürzester Zeit, oft binnen weniger Stunden bzw. sofort, wiederhergestellt haben werden müssen, um das Fortbestehen einer Organisation zu gewährleisten.

Die Hervorhebung „überlebensnotwendiger“ zeitkritischer Prozesse führte zu zahlreichen Modernisierungen des Standards. Diese manifestieren sich unter anderem im neuen Stufenmodell für das Business Continuity Management System (BCMS) oder der Einführung zusätzlicher Indikatoren, etwa Recovery Time Achievable (RTA, deutsch: erreichbare Wiederanlaufzeit), die der RTO-Kennzahl als Vergleichswert gegenübergestellt wird.

Stufenmodell zur Implementierung

Die Implementierung des BSI-Standards wird durch drei aufeinander aufbauende Stufen erleichtert:

Das Stufenmodell ermöglicht im Krisenmanagement stärkere Fokussierung auf die zeitkritischen Geschäftsprozesse. Die Phase „Reaktiv BCMS“ zielt auf den initialen Aufbau einer Reaktionsstruktur ab: Neben dem Aufbau der Organisationsstruktur werden ebenfalls Aspekte wie „Alarmierung“, „Eskalation“ und „Notfallkommunikation“ priorisiert betrachtet. In dieser Phase wird die Business Impact Analysis (BIA) der Risikoanalyse vorgezogen, die Methodik insgesamt vereinfacht und der Prozessumfang auf das Wesentliche eingeschränkt. Gleichwohl stellt der BSI-Standard 200-4 es den Organisationen frei, die Methoden der Risikoanalyse zu wählen – unter der Voraussetzung, dass sie den Anforderungen des neuen Standards genügen.

Business Continuity Management

Modernisierungen umfassen auch zahlreiche Änderungen in den Begrifﬂichkeiten des Standards: Was früher „Notfallmanagement“ hieß, wird nun zu „Business Continuity Management“. Impliziert dies eine Beschränkung der Anwendbarkeit des BSI-Standards nur auf solche Unternehmen und Prozesse, bei denen „Business“ – also eine „Geschäftstätigkeit“ – im Fokus steht?

Die Nomenklatur mag den typischen Anwender des BSI-Standards anfänglich verwirren, doch es bleibt der Anspruch des Standards, für alle Arten und Größen von Organisationen anwendbar zu sein. Anders, als der normative Standard ISO/IEC 22301, bietet der BSI-Standard 200-4 konkrete Umsetzungshilfe, ist aber mit der ISO-Norm kompatibel (Mapping wird vom BSI erstellt).

Nicht warten, sondern handeln

Für Unternehmen oder Behörden, die ihre Notfall- und Krisenmanagementsysteme aufbauen, ausbauen oder aktualisieren wollen, gilt: Der inzwischen mehr als zehn Jahre alte BSI-Standard 100-4 Notfallmanagement bleibt weiterhin bestehen. Wenigstens solange, bis eine stabile Version des BSI-Standards 200-4 verfügbar und veröffentlicht ist.

Jetzt in einer Wartestellung zu verharren wäre nicht ratsam. Eine sich wandelnde Gefährdungs- und Risikolage, aber auch die Erfahrungen aus der Coronakrise zeigen, dass sich ernsthaftes Krisenmanagement auf neue Situationen einstellen und die Reaktionen für den Fall eines Notfalls oder einer Krise testen und praktisch erproben muss. Hier können Simulationen helfen, die sie auf den Ernstfall vorbereiten. Denn Vorsicht ist besser als Nachsicht.