Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet zurzeit an dem neuen BSI Standard 200-4. Damit steht der Nachfolger des BSI Notfallstandards 100-4 in den Startlöchern. Letzterer stellt seit vielen Jahren ein hilfreiches Regelwerk für den Aufbau und die Dokumentation eines Notfallmanagements bereit und gilt im deutschsprachigen Raum als Best Practice für das Thema.
Community Draft 2.0 im September 2022 veröffentlicht
Bereits im Oktober 2017 hatte das BSI mit der Ablösung der Standards der Reihe 100-x begonnen. Die BSI-Standards sind elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Anforderungen und Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen zu unterschiedlichen Aspekten der Informationssicherheit und der Business Continuity. Aber während die drei Grundschutz-Standards 200-1, 200-2 und 200-3 in sehr kurzen Abständen veröffentlicht wurden, hatte sich das BSI mit der Ablösung des Notfallstandards 100-4 noch einige Jahre Zeit gelassen.
Im Januar 2021 wurde der neue Standard 200-4 Business Continuity Management als Community Draft veröffentlicht und im Rahmen des BSI Grundschutztags vorgestellt. Dabei hatte Manuela Reiss Gelegenheit, an der Erneuerung des Standards als Mitglied des Expertenkreises zum BSI Standard 200-4 mitzuwirken. Im Anschluss an die Kommentierungsphase sollte der Standard nach ursprünglicher Planung Ende 2021 final veröffentlicht werden. Auf Basis des umfangreichen Feedbacks hat sich das BSI allerdings entschieden einen weiteren Community-Draft 2.0 des BSI-Standards 200-4 mit den Änderungen aus den bisherigen Kommentierungen zur Verfügung zu stellen. Geplant war die Veröffentlichung der Version CD 2.0 bereits im Winter 2021/22.
Dass es bis September 2022 bis zur Veröffentlichung des CD 2.0 gedauert hat, lässt Rückschlüsse auf den Umfang der Anpassungen zu. Nach Aussagen des BSI wurde der Standard gegenüber dem CD 1.0 umstrukturiert und damit auch im Umfang deutlich reduziert (der Kapitelaufbau orientiert sich nun am BCM-Prozess und nicht mehr an den Stufen). Ferner wurden einige inhaltliche Änderungen (u.a. im Bereich Outsourcing und BIA) vorgenommen, eine Reihe von Details angepasst sowie das Wording und die einzelnen „BCBegriffe“ geschärft.
Während der Community-Draft-Phase bleibt der bestehende BSI-Standard 100-4 gültig. Und auch wenn nun die finale Veröffentlichung des Standard 200-4 nun noch etwas dauern wird, ist es sinnvoll, die sich abzeichnenden Änderungen im neuen Standard genauer anzusehen. Alle Informationen zum neuen Standard stellt das BSI auf der Seite BSI-Standard 200-4 bereit.
Aus Notfallmanagement wird Business Continuity Management (BCM)
Zunächst einmal sind zwei Punkte augenfällig: Der neue Standard ist mit 230 Seiten (trotz der Verringerung gegenüber der Version CD 1.0) immer noch deutlich umfangreicher (der Standard 100-4 kam „nur“ auf 117 Seiten) und der Titel wurde geändert.
Während der Standard 100-4 noch den Titel Notfallmanagement trug, wurde dieser beim Standard 200-4 in Business Continuity Management (BCM) geändert. Damit möchte das BSI stärker als bisher verdeutlichen, dass es sich nicht um einen Standard für das IT-Notfallmanagement handelt, sondern um einen (unternehmensweiten) BCM Standard. Ziel von Business Continuity Management ist der Aufbau und Betrieb eines leistungsfähigen Notfall- und Krisenmanagements mit dem Ziel der systematischen Vorbereitung auf die Bewältigung von Schadenereignissen bearbeitet. Dadurch soll erreicht werden, dass wichtige respektive zeitkritische Geschäftsprozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.
Der Standard beschreibt dabei aber nicht nur abstrakte Vorgehensweisen. Vielmehr bietet er eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) aufzubauen und zu etablieren. Hierzu liefert er konkrete Hinweise zur Umsetzung der geforderten Maßnahmen und zeigt einen systematischen Weg auf, um bei Notfällen der verschiedensten Art adäquat und effizient reagieren und die wichtigen Geschäftsprozesse schnell wieder aufnehmen zu können. Im Vordergrund steht hierbei die Vermeidung von Notfällen und die Minimierung von Schäden in einem Notfall.
Im Fokus stehen die zeitkritischen Geschäftsprozesse
Ein Geschäftsprozess im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen. Im behördlichen Umfeld wird dafür häufig der Begriff Fachaufgabe verwendet. Als zeitkritisch gelten dabei alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren und unter Umständen existenzgefährdenden Schaden für die Institution führen können. Bei nicht-zeitkritischen Prozessen wird hingegen davon ausgegangen, dass genügend Zeit zur Verfügung steht, um auf Ausfälle angemessen zu reagieren.
Außerdem ist der Standard 200-4 mit der ISO Norm 22301:2019 kompatibel, was ebenfalls mit dem Titel verdeutlicht werden soll. Der ISO-Standard 22301 „Security and resilience – Business continuity management systems – Requirements“ ist der erste internationale Standard zum BCM, der auch eine Zertifizierung ermöglicht. Der internationale Standard erschien erstmalig im Jahr 2012 und ersetzte den Britischen Standard BS 25999. Die ISO Norm wurde 2019 erneut überarbeitet und der BSI-Standard 200-4 ist kompatibel zu dieser überarbeiteten Version. Konkret entsprechen die Anforderungen des Standards 200-4 denen der ISO 22301. Im Gegensatz zur Norm bietet der BSI Standard aber zusätzlich praktische Hinweise und Hilfsmittel zur Umsetzung der Anforderungen.
Ihr Vorteil: Wir unterstützen Sie beim Aufbau und bei der Pflege Ihrer IT-Notfalldokumentation. Hierzu gehören u. a. die Analyse der IT-Betriebsdokumentation in Hinblick auf die Anforderungen des Notfallmanagements Konzeption und der Aufbau der Notfall-Dokumentation beispielsweise in MS SharePoint oder einem WIKI-System. Mehr erfahren …
Neue Definitionen für Störung, Notfall, Krise
Unterbrechungen von Geschäftsprozessen können unterschiedliche Ursachen und Auswirkungen haben. Um Schadensereignisse im Rahmen des BCM entsprechend betrachten bzw. behandeln zu können, ist ein gemeinsames Begriffsverständnis wichtig. Mit dem Standard 200-4 hat das BSI auch die Definitionen für Störung, Notfall und Krise überarbeitet. Insbesondere werden im Gegensatz zum bisherigen Verständnis Störungen, Notfälle und Krisen nicht mehr primär anhand der Auswirkungen differenziert. Vielmehr werden die Auswirkungen stärker in einen zeitlichen Bezug gesetzt:
Eine Störung 2: Abgrenzung Störung, Notfall, Krise ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen. Störungen werden in der Regel innerhalb des Normalbetriebs durch die AAO der Institution behoben. Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagement nagement genannt ) s ( auch IncidentM azurückgegriffen. Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards. Störungen können jedoch zu einem Notfall eskalieren, werden können Ein Notfall . im Sinne dieses Standa wenn sie nicht in einer angemessenen Zeit behoben rds ist eine Unterbrechung des Geschäftsbetriebs, die mindestens einen zeitkritischen Geschäftsprozess betrifft, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit (siehe Kapitel 6.2 Konkretisierung des Begriffs zeitkritisch Im Gegensatz zu Störungen w (R+A) ) wiederhergestellt werden kann. ird zur Bewältigung von Notfällen eine BAO benötigt. Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden. Der Notfall kann auch ausgerufen werden führt , bevor das Schadensereignis zu einer Unterbrechung, um schnell reagieren zu können . Es genügt die Gefahr, dass des Geschäftsbetriebs durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird
- Störung: Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen. Störungen werden in der Regel innerhalb des Normalbetriebs durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben. Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Incident-Managements zurückgegriffen. Störungen können jedoch zu einem Notfall eskalieren.
- Notfälle: Als Notfälle werden Unterbrechungen des Geschäftsbetriebs definiert, die mindestens einen zeitkritischen Geschäftsprozess betreffen, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine Besondere Aufbauorganisation (BAO) benötigt. Im Gegensatz zur Krise liegen bei Notfällen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden. Notfälle können auch eintreten, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt. Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird.
- Krise: Als Krise wird ein Schadensereignis bezeichnet, das sich in massiver Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können. Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor, vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden.
Die Kernaspekte des BCM bestehen darin, eine entsprechende Organisation aufzubauen und die zur Bewältigung der Szenarien erforderlichen Notfallpläne zu erstellen. Im Schadensereignis muss dann „nur noch“ festgestellt werden, ob ein zeitkritischer Geschäftsprozess betroffen ist und ob Notfallpläne vorliegen oder adaptiert werden können oder nicht. Wenn Notfallpläne vorliegen und anwendbar sind, handelt es sich um einen Notfall, der im Rahmen der Besonderen Aufbauorganisation mithilfe der Notfallpläne behandelt werden kann. Sind keine Notfallpläne vorhanden sind oder die bestehenden Pläne können nur bedingt angewendet werden, handelt es sich um eine Krise, die situativ behandelt werden muss.
Stufenmodell für die BCM-Einführung
Bereits mit dem Grundschutzstandard 200-2 hat das BSI ein Stufenmodell eingeführt. Dieses sieht drei Stufen bei der Umsetzung des IT-Grundschutzes vor:
- Die Basis-Absicherung liefert einen Einstieg für den Aufbau eines Managements für die Informationssicherheit (ISMS).
- Die Kern-Absicherung ist eine Vorgehensweise zum Einstieg in ein ISMS, bei der zunächst nur ein kleiner Teil eines größeren Informationsverbundes betrachtet wird.
- Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Diese Absicherung ist kompatibel zur ISO 27001-Zertifizierung.
Ein vergleichbares Stufenmodell für das BCM führt das BSI nun mit dem Standard 200-4 ein. Dieses unterscheidet die Stufen Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS. Ziel ist es, Unternehmen und Behörden jeglicher Art, Branche, Größe mit entsprechenden unterschiedlichen zeitlichen, finanziellen und personellen Möglichkeiten Wege zur Umsetzung des Standards aufzuzeigen.
Reaktiv-BCMS
Das Reaktiv-BCMS stellt eine stark vereinfachte Einstiegsstufe dar und ist besonders für Unternehmen und Behörden geeignet, die sich möglichst schnell in die Lage versetzen möchten, angemessen auf Notfälle reagieren zu können. Im ersten Schritt werden deshalb nur ausgewählte zeitkritische Geschäftsprozesse und Ressourcen eingeschränkt abgesichert. Hierbei wird so weit wie möglich auf vorhandene Sicherheits- und Vorsorgemaßnahmen zurückgegriffen. Weitere BCM-Maßnahmen, für die zunächst der Geschäftsbetrieb eingehender analysiert werden müsste, werden dabei bewusst zeitlich zurückgestellt.
Aufbau-BCMS
Die Vorgehensweise beim Aufbau-BCMS unterscheidet sich vom Standard-BCMS dahin gehend, dass zwar zunächst nur ausgewählte zeitkritische Geschäftsprozesse und Ressourcen näher analysiert und innerhalb des BCM abgesichert werden, die Absicherung aber so umfangreich wie möglich erfolgt. Damit ist das Aufbau-BCMS vorwiegend für Unternehmen und Behörden geeignet, die ein BCMS über mehrere Zyklen schrittweise und risikoorientiert aufbauen möchten oder über geringe Vorerfahrung verfügen. Gegenüber dem Reaktiv-BCMS besteht der Vorteil, dass die identifizierten zeitkritischen Geschäftsprozesse wesentlich effektiver abgesichert werden.
Standard-BCMS
Das Standard-BCMS entspricht einem vollständigen und angemessenen BCMS. Bei dieser Stufe werden alle Geschäftsprozesse, die sich im Geltungsbereich des BCMS befinden, analysiert und die zeitkritischen Prozesse angemessen abgesichert.
Das Ziel sollte immer der Aufbau eines Standard-BCMS sein. Nur damit kann sichergestellt werden, dass alle zeitkritischen Geschäftsprozesse identifiziert und angemessen gegen existenzbedrohende Schadensereignisse geschützt werden. Die Stufe Standard-BCMS ist außerdem konform zu den Anforderungen des ISO-Standards 22301:2019. Dementsprechend erreichen Unternehmen und Behörden mit einem vollständig eingeführten und betriebenen Standard-BCMS die erforderliche Reife, um zertifizierungsfähig nach ISO 22301 zu sein.
Berücksichtigung von Synergien
Eine weitere Neuerung des Standard 200-4 ist die Berücksichtigung von Synergien. Denn nicht nur zwischen ISMS und BCMS bestehen wechselseitige Abhängigkeiten. Vielmehr kann das BCM nicht als isoliertes, unabhängiges Managementsystem behandelt, sondern als Teil eines integrierten Managements betrachtet werden. Im Standard 200-4 werden derartige Schnittstellen und Synergien nun explizit betrachtet. Konkret enthält der Standard in allen Kapiteln Hinweise zu Synergien, die aufzeigen, welche konkreten Möglichkeiten bestehen, um die Arbeit mit den angrenzenden Managementsystemen und Themen zu erleichtern oder abzustimmen.
Zur Erreichung von Synergieeffekten müssen in allen Stufen, die für das BCMS relevanten Schnittstellen ermittelt und dokumentiert werden. Für jede Schnittstelle sollte dann festgelegt werden, welche gegenseitigen Informationen oder Leistungen ausgetauscht und welche der angewendeten Methoden und Verfahren aufeinander abgestimmt werden müssen oder können.
Hilfsmittel – Vorlagen und Beispiele auch für den Standard 200-4
Bereits für den BSI Standard 100-4 hatte das BSI mit dem Umsetzungsrahmenwerk für das Notfallmanagement eine Vorlagensammlung zur Erleichterung der Umsetzung des Standards zur Verfügung gestellt. Informationen dazu finden Sie im Beitrag Mehr als eine Vorlagensammlung – UMRA, das Umsetzungsrahmenwerk für das Notfallmanagement.
Ergänzend stellt das BSI auch für den Standard 200-4 eine Reihe von Vorlagen und Beispielen zur Verfügung. Die unter dem Begriff Hilfsmittel zusammengefassten Dokumentvorlagen mit Beispieltexten, Tabellen, Präsentationsvorlagen und Abbildungen bauen zum Teil auf den aus UMRA bekannten Vorlagen auf und führen diese fort. Inhaltlich finden sich hier Hilfsmittel u. a. zu folgenden Themen
- BCM-Organisation
- Business-Impact-Analyse
- BC-Strategien
- Notfallvorsorgekonzept
- Notfallhandbuch
- Geschäftsfortführungspläne
- Wiederherstellungspläne und Wiederanlaufpläne
- Übungskonzept
- BCM-Maßnahmenplanung
- Outsourcing und Lieferketten
Alle Hilfsmittel sind auf der Website BSI-Standard 200-4: Hilfsmittel zu finden und können dort kostenlos heruntergeladen werden. Sie bilden die Anforderungen des Standard-BCMS ab, können aber auch für die anderen Stufen adaptiert werden. Und auch losgelöst vom BSI Standard 200-4 können die Vorlagen und Beispiele hilfreich sein.
Da der zweite Community Draft inhaltlich geändert wurde, werden auch die Hilfsmittel vom BSI, vor allem die Dokumentvorlagen, angepasst. Um jedoch die Veröffentlichung des Standards nicht unnötig hinauszuzögern, werden diese angepassten Dokumente sukzessive veröffentlicht.
Gut zu wissen: Alle Beispiele müssen geprüft, bewertet und angepasst werden. Der zeitliche Aufwand hierfür wird häufig unterschätzt. Wir verfügen über jahrelange Erfahrungen und branchenspezifische Kenntnisse und stellen Ihnen angepasste Entwürfe für die erforderlichen Notfalldokumente zeit- und damit kostensparend für Ihr Unternehmen zur Verfügung. Mehr erfahren …
Manuela Reiss dokuit®