Im Notfall schnell wieder voll handlungsfähig sein dank Business Continuity Management

Mithilfe von Notfallplänen und Vorsorgekonzepten Schadensfälle überstehen

Angesichts steigender Herausforderungen und zahlreicher Bedrohungen müssen Unternehmen heutzutage besonders gut auf potenziell eintretende Notfälle vorbereitet sein, um langfristig fortbestehen zu können. Mit fortschreitender Digitalisierung wird reibungslos laufende Informationstechnik immer relevanter. Dadurch wandeln sich die möglichen Gefahren für Unternehmen: Neben Stromausfällen, Streiks oder anderen Personalausfällen, Lieferengpässen oder extremen Naturereignissen, muss mittlerweile auch existenzbedrohenden Schäden durch gezielte Cyberangriffe besondere Aufmerksamkeit geschenkt werden.

Laut BSI ist die Bedrohung im Cyber-Raum so hoch wie nie. Während die Zahl der Schadprogramme stetig steigt, wächst auch die Anzahl der bekannten Schwachstellen. In Sachsen-Anhalt musste 2022 der erste digitale Katastrophenfall ausgerufen werden, nachdem ein Cyberangriff auf die dortige Landkreisverwaltung erfolgte: 207 Tage lang waren bürgernahe Dienstleistungen nicht oder nur sehr eingeschränkt verfügbar.

Durch Business Continuity Management auf Notfälle vorbereitet sein

Das Ziel von Business Continuity Management (BCM) ist es, sicherzustellen, dass der Geschäftsbetrieb bei Auftreten eines Notfalls möglichst störungsfrei oder als Notbetrieb auf einem definierten Mindestniveau weitergeführt werden kann. Im Optimalfall lassen sich dadurch eine Betriebsunterbrechung und deren Auswirkungen auf Reputation, Kunden und Geschäftspartner auf ein Minimum reduzieren. Dabei werden Sicherheitsmaßnahmen rund um alle Ressourcen wie Personal, Maschinen, Daten, IT-Infrastruktur und Gebäude betrachtet. So können umfassende Notfallpläne und -szenarien erstellt und eingetretene Schäden schnell und Ressourcen-optimiert behoben werden.

Der zeitliche Ablauf eines Notfallbewältigungsplans gliedert sich in folgende Schritte:

  1. Eintritt eines Notfalls
  2. Sofortmaßnahmen
  3. Ausrufen des Notfalls
  4. Konstituierung der BAO (Besondere Aufbauorganisation)
  5. Wiederanlauf in den Notbetrieb durch Krisenstab
  6. Wiederherstellung des Normalbetriebs durch Notfallbewältigungsteam
  7. Nacharbeiten
  8. Analyse der Notfallbewältigung

Die einzelnen Schritte der Notfallbewältigung sollen nachfolgend anhand eines Beispielszenarios verdeutlicht und jeweils nochmal genauer erläutert werden.

Ein Cyberangriff auf ein Produktionsunternehmen als Beispiel

(1) Notfall

Ein mittelständisches Unternehmen, das sich auf die automatisierte Serienfertigung von technischen Kunststoffteilen spezialisiert hat, wird Opfer eines Cyberangriffs. Das Netzwerksegment des Maschinenparks in der Produktionsstraße wird gehackt und die Daten auf dem System, von dem die Maschinen gesteuert werden, mit Ransomware verschlüsselt. Die Kommunikation der einzelnen Maschinen, die über das Internet of Things (IoT) läuft, sowie der Zugriff auf die Steuerung des Maschinenparks sind dadurch gestört. Dies führt zum Ausfall aller Fertigungsprozesse, was die komplette Produktion lahmlegt.

(2) Sofortmaßnahmen

Unmittelbar nach Feststellen des Cyberangriffs werden die festgelegten Sofortmaßnahmen von den dafür verantwortlichen Personen durchgeführt. Dabei wird zuerst der komplette Maschinenpark heruntergefahren und das Netzwerk isoliert, um eine Ausbreitung der Ransomware in weitere Systeme zu verhindern. Ein in den Notfallkontakten hinterlegter IT-Forensiker wird herbeigerufen, der das Ausmaß des Schadens und die betroffenen Systeme identifiziert: Da der Angriff frühzeitig bemerkt wurde und die Sofortmaßnahmen schnell erfolgten, konnte der Schaden weitestgehend auf das Netzwerksegment des Maschinenparks eingegrenzt werden. Somit ist neben der Produktion keines der restlichen Netzwerksegmente des Unternehmens betroffen.

(3) Ausrufen des Notfalls

Beim Ausrufen des Notfalls wird das gesamte Unternehmen alarmiert. Da die Kommunikationssysteme des Unternehmens nicht verschlüsselt wurden, können auch betroffene Geschäfts- und Vertragspartner von zu erwartenden Verzögerungen unterrichtet werden.

(4) Konstituierung der Notfall-Aufbauorganisation

Eine für dieses Szenario festgelegte „Besondere Aufbauorganisation (kurz BAO)“, welche aus Krisenstab und Notfallbewältigungsteam besteht, wird zusammengerufen. Beide Gruppen wurden speziell für den Fall eines Cyberangriffs zusammengestellt: Der Krisenstab tritt sofort in Aktion und führt alle nötigen Schritte aus, um den Notbetrieb einzuleiten. Etwas versetzt agiert dann das Notfallbewältigungsteam, dessen Aufgabe darin besteht, die Wiederherstellung des Normalbetriebs zu erwirken.

(5) Wiederanlauf in den Notbetrieb

Um vertragliche und finanzielle Schäden möglichst gering zu halten, muss die Fertigung schnellstmöglich wieder in Gang gesetzt werden. Ein Zurücksetzen des Steuerungssystems der Produktionsstraße auf den Zeitpunkt der letzten Sicherung ist nicht möglich, da sich die benötigten Backups ebenfalls auf dem verschlüsselten Netzwerksegment befinden. Dies stellt eine Schwachstelle im Notfallplan dar, die bei der Analyse der Notfallbewältigung identifiziert und korrigiert werden muss.

Zur Überbrückung, bis ein Normalbetrieb wieder möglich ist, leitet der Krisenstab also den Notbetrieb der Maschinen ein. Dafür erfolgt die manuelle Steuerung der Maschinen durch extra geschultes Personal sowie eine alternative, analoge Fertigungsdokumentation. Sollten nicht sofort genug Mitarbeiter zur Verfügung stehen, wird der Maschinenpark bei der manuellen Erstinbetriebnahme in niedrigerer Auslastung bedient. Der Notbetrieb ermöglicht so die Durchführung der wichtigsten Fertigungsaufträge.

(6) Wiederherstellung des Normalbetriebs

Während der Notbetrieb läuft, befasst sich das Notfallbewältigungsteam damit, schrittweise die ausgefallenen Ressourcen wiederherzustellen und einen Übergang zurück in den Normalbetrieb zu erreichen. Hierbei arbeitet die IT-Abteilung des Unternehmens gemeinsam mit dem externen IT-Forensiker daran, eine schnelle und effiziente Lösung zu finden.

Eine „Entschlüsselung“ würde selbst mithilfe einer Spezialfirma so lange dauern, sodass dies keine praktikable Option darstellt. Die Zahlung der Lösegeld-Forderung, die üblicherweise mit einem Ransomware-Angriff einher geht, möchte das Unternehmen nicht zahlen, um nicht auf die Erpressung einzugehen. Denn selbst bei einer Lösegeldzahlung ist der Erhalt eines Schlüssels zur Entschlüsselung nicht gewährleistet. Ein Datenverlust durch Aufspielen eines nicht aktuellen Backups wäre einigermaßen gut zu bewältigen. Diese Option steht jedoch ebenfalls nicht zur Verfügung, da sämtliche Backups vom System der Produktionsstraße – sowohl aktuelle als auch ältere – mitverschlüsselt wurden. Somit bleibt nur die Möglichkeit, mit Unterstützung des externen IT-Spezialisten der Firma, das betroffene System sowie all die dort gespeicherten Daten zu ersetzen. Hierbei müssen für eine abschließende Entscheidung jedoch grundsätzlich die Kosten für die Datenwiederherstellung, der Wert der betroffenen Daten und die Höhe des geforderten Lösegelds gegeneinander abgewogen werden.

(7) Nacharbeiten

Die Auswirkungen der Betriebsunterbrechung werden nun erst richtig sichtbar: verlorene Daten, versäumte Fristen sowie daraus entstehende Konventionalstrafen, liegen gebliebene Aufträge. Die Phase der Nacharbeitung ist nicht zu unterschätzen und kann ebenfalls Herausforderungen bergen. Das neu erstellte System, über das der Maschinenpark gesteuert werden soll, muss nun mit allen dafür essenziellen Daten bestückt werden: die Konfiguration der Maschinen, die Fertigungsdaten und nachzuerfassende Datenbestände aus dem Notbetrieb. Hinzu kommt möglicherweise die Notwendigkeit einer Inventur der Fertigungsstoffe und eine Kontrolle der einzelnen Maschinen zur Erhebung der aktuellen Maschinenzustände.

Erst nachdem entstandene Datenlücken und Verzögerungen aufgearbeitet sind, kann der alltägliche Normalbetrieb wieder anlaufen.

(8) Analyse der Notfallbewältigung

Im Nachgang wird der Gesamtablauf der Notfallbewältigung betrachtet und analysiert. So lassen sich Optimierungsmöglichkeiten und weitere Sicherheitsmaßnahmen definieren, die einen künftigen Cyberangriff erschweren oder noch effizienter handhaben lassen. Im Beispielfall muss eine gesonderte Sicherung der Backups auf einem örtlich separierten Server oder in einer Cloud veranlasst werden, sodass auf diese auch bei Ausfall oder Verschlüsselung des zuständigen Systems oder des kompletten Firmennetzwerks zugegriffen werden kann.

Resilienz erhöhen und Notfälle verhindern mit BCM

Resilienz erhöhen und Notfälle verhindern mit BCM

Um mit dem Cyberangriff angemessen umgehen zu können, hat das Beispielunternehmen im Vorhinein einen Notfallplan und Leitfäden für die einzelnen Teams auf Basis eines Notfallvorsorgekonzepts erstellt. Dieses liegt der Praxis durch Business Continuity Management zugrunde und folgt einem PDCA-Zyklus (Plan – Do – Check – Act). Darin enthalten sind folgende wichtige Schritte:

  1. Identifizierung zeitkritischer Prozesse und deren maximal tolerierbare Ausfallzeiten (RTO) im Rahmen einer Business Impact Analyse (BIA)
  2. Auf Basis identifizierter Risiken Notfallszenarien erstellen
  3. Rollen/Verantwortlichkeiten zuteilen
  4. Festlegung einer BAO (Besondere Aufbauorganisation)
  5. Notfallpläne verfassen
  6. Notfallszenarien proben

Sobald das Notfallszenario fertiggestellt und alle Notfallpläne verfasst sind, erhalten die Verantwortlichen den jeweiligen zu befolgenden Notfallplan. Diese sind separiert auf einem lokalen Datenträger oder unabhängigen Netzwerk zu speichern, ebenfalls ist die analoge Ablage als Ausdruck zu empfehlen. Damit soll gewährleistet werden, dass selbst bei Ausfall des gesamten Netzwerks, auf die Notfallpläne zugegriffen werden kann.

Zusätzlich zu einem Notfallvorsorgekonzept können Präventionsmaßnahmen wie hohe Sicherheitsstandards, regelmäßige Mitarbeiter-Schulungen und eine ISO-Zertifizierung die Widerstandsfähigkeit – die Resilienz – Ihres Unternehmens maßgeblich steigern.

Ein BCM ist gesetzlich nur für KRITIS-Unternehmen vorgeschrieben. Jedoch ist es, durch die Regelungen der BAIT, VAIT und KAIT (Bankenaufsichtliche, Versicherungsaufsichtliche und Kapitalverwaltungsaufsichtliche Anforderungen an die IT), ebenfalls für Unternehmen der Finanzbranche verpflichtend. Andere Firmen können mit einem funktionierenden Business Continuity Management den Aufwand für ISO-Zertifizierungen erheblich verringern, da dieses zum einem für eine ISO-27001-Zertifizierung obligatorisch ist und zum anderen auch für die Zertifizierung nach ISO 9001 einige der benötigten Daten von den Risikoanalysen und Notfallmaßnahmen aus dem BCM übernommen werden können.

Softwaregestütztes Business Continuity Management

Ein gutes BCM zeichnet sich durch eine umfassende Übersicht über potenzielle Bedrohungen und Risiken aus. Diese variieren je nach Unternehmen und Branche, sodass die Nutzung von flexibel anpassbarer BCM-Software empfehlenswert ist. So kann die Software optimal auf die Bedürfnisse und Anforderungen Ihres Geschäfts eingestellt werden. In Kombination mit einem sorgfältig geführten Risikomanagement sorgen Sie für einen umfassenden Schutz Ihres Unternehmens und sind auf potenzielle Schadensfälle bestmöglich vorbereitet.

Business Continuity Management kann sowohl analog auf Papier als auch digital stattfinden. Gerade in Hinsicht auf Zugänglichkeit, Verfügbarkeit und Datenpflege bietet eine BCM-Software eine erleichterte Handhabung und mehr Zuverlässigkeit.

Mit unserem BCM-Tool haben Sie alle nötigen Werkzeuge zur Notfallbewältigung zur Hand: Einfache Rollen- und Verantwortlichkeitszuteilung, umfassender Überblick dank regelmäßiger Reports und strukturierte Prozesse sind nur ein paar Beispiele. Da das BCM-Tool Teil unserer GRC-Software ist, stehen Ihnen weitere Management- und Kontrollsysteme zur Verfügung, mit denen Sie Risiken in all Ihren Unternehmensbereichen minimieren können. Mit der individuell anpassbaren, zentralen Multi-Norm-Lösung profitieren Sie zudem von den Synergien der der verschiedenen enthaltenen Module; so sparen Sie dank einheitlicher Datenbasis Zeit bei der Verwaltung, können Ihr internes Kontrollsystem (IKS) und Ihr bestehendes Risikomanagement problemlos einbinden und genießen eine lückenlose, dokumentierte Umsetzung aller Compliance-Anforderungen.

Über den Autor

Dipl. Ing. Andreas Chlebnicek war lange Zeit im Automotive- sowie PKI-Umfeld als Software-Entwickler tätig, bevor er in die Beratung wechselte – seit 2021 ist er Head of Governance, Risk and Compliance (GRC) Management bei OMNINET.

Umfrage IT-Service Manager Grafik itSMF Deutschland

Berufsbild IT-Service Manager:In

Im Rahmen unserer Initiative zur Stärkung, Weiterentwicklung und Akkreditierung des Berufsbildes IT-Service Manager:In sind wir bestrebt, ein umfassendes Verständnis der aktuellen Anforderungen, Kompetenzen und Bedürfnisse in diesem Berufsfeld zu erlangen. Durch Ihre Teilnahme an dieser Umfrage leisten Sie einen wichtigen Beitrag zur Gestaltung und Verbesserung des Berufsbildes IT-Service Manager:In.

Weiterlesen »
itSMF Deutschland EU KI Gesetz copyright 2024 Grafik

Das EU-KI-Gesetz

Ein neues Zeitalter der künstlichen Intelligenz bricht an in Europa – dies ist die Botschaft, die vom Europäischen Parlament ausgeht, das nun das weltweit erste umfassende Gesetz zur Regelung von KI-Systemen verabschiedet hat. Wie ein Leuchtturm soll dieses Gesetz den Weg in eine Zukunft weisen, in der Technologie uns voranschreitet auf einem Pfad, der ebenso von humanistischen Werten wie von wirtschaftlichem Weitblick geprägt ist.

Weiterlesen »
itSMF BLOG Wegweiser zur Automatisierung im ITSM Grafik

Wegweiser zur Automatisierung im ITSM

Im digitalen Zeitalter werden Geschwindigkeit und Effizienz großgeschrieben. Unternehmen streben stetig danach, ihre Servicequalität zu verbessern und gleichzeitig die operativen Kosten zu senken. Eine Schlüsselrolle spielt dabei das IT-Service-Management (ITSM), das die Planung, Lieferung, Verwaltung und Verbesserung von IT-Dienstleistungen an Geschäftsprozesse anlehnt. Doch wie können diese Ziele erreicht werden, ohne dabei die menschliche Arbeitskraft zu überlasten? Die Antwort findet sich in einem Begriff, der in der IT-Branche zunehmend an Bedeutung gewinnt: Automatisierung.

Weiterlesen »

Cyberkriminalität im ITSM-Kontext

August 2023 – Cyberangriffe sind zu einer alltäglichen Realität geworden, die kaum noch jemanden erschreckt – eine beunruhigende Entwicklung. Laut der aktuellen BKA-Statistik wurden im Jahr 2022 136.865 Fälle von Cyberkriminalität registriert. Das ist zwar ein Rückgang um 6,5 Prozent im Vergleich zum Vorjahr, doch Experten weisen darauf hin, dass diese Zahl nur die Spitze des Eisbergs darstellt. Berücksichtigt man das sogenannte Dunkelfeld, welches das BKA auf bis zu 90 Prozent schätzt, bedeutet dies, dass von zehn Cybercrime-Fällen nur einer zur Anzeige kommt.

Weiterlesen »

ITSM Frameworks im Vergleich

In der IT-Welt gibt es viele verschiedene ITSM-Frameworks, von denen jedes einen einzigartigen Ansatz zur Optimierung von IT-Services bietet. Es liegt in der Verantwortung des Unternehmens, das richtige Framework zu wählen und es an die eigenen Bedürfnisse anzupassen.

Weiterlesen »

Änderungen im SAP-Angebot

Auf der jüngsten Bilanzpressekonferenz kündigte die SAP an, dass die neuesten Innovationen des Unternehmens ausschließlich in der Cloud verfügbar sein werden. Diese Innovationen werden ausschließlich für Kunden bereitgestellt, die bestimmte Cloud-Versionen von SAP S/4HANA über ausgewählte Vertragsmodelle nutzen. Obwohl dies nicht bedeutet, dass On-Premise-Lösungen nicht weiterentwickelt werden, können diese Kunden nicht von den neuesten Technologien wie Künstliche Intelligenz und Green Ledger profitieren.

Weiterlesen »

Wettbewerb, Cybersecurity und ITSM

Die EU-Kommission prüft, ob Microsoft seine marktbeherrschende Stellung missbraucht. Software-Monokulturen sind zwar altbekannt, ihre Relevanz nimmt aber stetig zu. Dabei spielt auch das IT-Service Management (ITSM) eine entscheidende Rolle.

Weiterlesen »

PRODUKT vs. SERVICE

In der dynamischen Welt der Informations- und Kommunikationstechnologien wird die Differenzierung zwischen Produkten und Services zunehmend komplexer. Dieses Phänomen ist auf die rasanten Veränderungen und Innovationen in der Technologiebranche zurückzuführen, die sich nicht nur auf die Art und Weise auswirken, wie wir arbeiten und interagieren, sondern auch auf die Art und Weise, wie wir zwischen Produkten und Services unterscheiden.

Weiterlesen »