Mit <kes>+ lesen

Der Weg zum Fünf-Sterne-BCMS : Ein Reifegradmodell für den BSI-Standard 200-4

Die Verbesserung eines Managementsystems ist ein langwieriger Prozess. Business-Continuity-Management-(BCM)-Beauftragte müssen schrittweise vorgehen, um ihr BCMS sukzessive zu verbessern. Im Rahmen einer Masterarbeit wurde nun ein Reifegradmodell für den BSI-Standard 200-4 entwickelt, das hierzu eine Anleitung gibt.

Von Victor Wolf, Berlin, und Daniel Gilles, Bonn

Klar definierte Vorgaben statt unverständlicher Dokumente, regelmäßig durchgeführte Business-Impact Analysen (BIAs) statt veralteter Erkenntnisse „von vorgestern“ und sinnvolle, aussagekräftige Kennzahlen statt fehlendem Management-Interesse: Ein funktionales Business-Continuity-Management-System (BCMS) erfordert strukturierte und gelebte Prozesse. Doch um welche Prozesse handelt es sich dabei konkret? Und was unterscheidet einen „reifen“ von einem „weniger reifen“ BCM-Prozess? Diese Fragestellungen hat eine Masterarbeit an der Technischen Hochschule Brandenburg für den BSI-Standard 200-4 behandelt – im Ergebnis dieser durch das BSI betreuten Abschlussarbeit [1] entstand ein maßgeschneidertes Reifegradmodell, das BCM-Beauftragte unterschiedlicher Institutionen dabei unterstützen soll, ihr BCMS zu bewerten und zu verbessern (es handelt sich dabei also um keine Eigenveröffentlichung des BSI).

Vor knapp einem Jahr ist der neue BSI-Standard 200-4, der den bereits 2008 veröffentlichten BSI-Standard 100-4 ablöst, als Community-Draft (CD) vorgestellt worden [2]. Ziel der Modernisierung war es, Anwender:innen eine praxisnahe Anleitung für den Aufbau und die kontinuierliche Verbesserung eines BCMS zu liefern. Anwender:innen des BCM-Standards des BSI stehen nun vor der Herausforderung, etablierte Strukturen an geänderte Rahmenbedingungen anzupassen (vgl. [3]. Das Reifegradmodell für den BSI-Standard 200-4 bietet hierbei ein hilfreiches Werkzeug, um die derzeitige Entwicklung des eigenen BCMS einzuschätzen und Entwicklungspotenzial aufzuzeigen sowie das BCMS kontinuierlich und langfristig zu verbessern.

Das Reifegradmodell eignet sich für Organisationen unterschiedlicher Größe und richtet sich an alle, die Interesse an der Bewertung und Verbesserung der Prozesse ihres BCMS haben – primär sind jedoch Nutzer:innen des BSI-Standards 200-4 im Fokus. Dies können BC-, Compliance- oder Informationssicherheits-Beauftragte mit BCM-Aufgaben sein.

Das Reifegradmodell soll eine einfache und effiziente Bewertung des BCMS ermöglichen – ohne dass man
externe Unterstützung beauftragen oder umfangreiche Projekte initiieren müsste. Im Rahmen der Modell-Evaluation wurden die besten Resultate in Workshops mit 3 bis 6 Teilnehmer:inne:n erzielt. Es empfiehlt sich, die jeweiligen Fragestellungen des Excel-Erhebungstools (verfügbar über [1]) als Diskussionsgrundlage zu verwenden. Eine vollständige Erhebung aller Prozessbereiche sollte im Optimalfall – je nach Diskussionslust der Teilnehmer:innen – zwischen ein und zwei Arbeitstagen in Anspruch nehmen.

Modell-Logik

Reifegradmodelle sind eine bewährte Praxis zur systematischen Bewertung und Verbesserung von Prozessen – nicht nur für BCMS. Sie sind typischerweise stufenförmig aufgebaut: Auf jeder Reifegradstufe werden spezifische Anforderungen an die Erfüllung eines Reifegrads gestellt. Ein Reifegrad gilt erst als erfüllt, wenn die zuvor definierten Kriterien (Prozess-Attribute) nachweislich umgesetzt werden. Den nächsthöheren Reifegrad kann man demnach nur erreichen, wenn die vorherigen Reifegrade vollständig erfüllt sind – ein Überspringen ist nicht möglich (kumulativer Aufbau). Das Reifegradmodell für den BSI-Standard 200-4 besteht aus sechs Stufen und basiert auf den generischen Beschreibungen der ISO/IEC 33020. Für die Bewertung der Reifegrade wurde der generische Bewertungsrahmen der Norm jedoch angepasst. Um eine inhaltliche Trennschärfe zwischen den Reifegradstufen herzustellen, wurden diese mit Schlüsselwörtern versehen:

  • Stufe 0 – unvollständig: Der Prozess wird nicht durchgeführt oder es liegen keine Nachweise für die Durchführung vor. Verantwortlichkeiten für die Durchführung des Prozesses sind nicht definiert.
  • Stufe 1 – durchgeführt: Der Prozess wird situativ / ad hoc, ohne Planung und ohne spezifische Vorgaben durchgeführt – Know-how liegt bei einzelnen Wissensträgern und ist nicht dokumentiert. Der Prozess erreicht zwar seine definierten Ergebnisse, dies jedoch nicht nach einer definierten Vorgehensweise. Verantwortlichkeiten für die Durchführung des BCM-Prozesses sind definiert. Der Handlungsbedarf und die Aufgaben für die Durchführung des Prozesses sind bekannt, werden jedoch ereignisgetrieben umgesetzt. Know-how und Expertenwissen im Bezug auf die Prozessdurchführung bündeln sich bei einzelnen Kompetenzträgern Schlüsselwort: situativ / ad hoc
  • Stufe 2 – wiederholbar: Durch festgelegte Ablaufmuster lässt sich der Prozess wiederholen. Er wird gelegentlich durchgeführt. Die Durchführung ist nicht mehr von einzelnen Wissensträgern abhängig, sondern kann auch von fachnahen Mitarbeitern durchgeführt werden – Abläufe sind jedoch nicht organisationsweit bekannt (Silo-strukturen). Für die Durchführung des Prozesses existieren Dokumente und Vorgaben, die diesen Ablauf beschreiben und die eingehalten werden. Schlüsselwort: gelegentlich
  • Stufe 3 – standardisiert: Der Prozess ist vollständig dokumentiert und standardisiert. Zudem wird er regelmäßig gemäß definierter Vorgehensweise durchgeführt. Seine Verantwortlichkeiten und Abläufe sind organisationsweit bekannt. Der Ablauf des Prozesses entspricht den Anforderungen des BSI-Standards 200-4 (Standard-BCMS). Mitarbeiter werden hinsichtlich der Prozessdurchführung regelmäßig ausgebildet und besitzen nachweislich die erforderlichen Fähigkeiten. Schlüsselwort: regelmäßig
  • Stufe 4 – gesteuert: Für die Prozessdurchführung sind konkrete Ziele definiert – die Einhaltung der Zielvorgaben wird regelmäßig mithilfe von Kennzahlen kontrolliert und gesteuert. Die Einhaltung von Vorgaben für den Prozess wird ebenfalls regelmäßig überprüft und etwaige Abweichungen zeitnah korrigiert. Schlüsselwort: regelmäßig überprüft
  • Stufe 5 – optimierend: Der Prozess wird kontinuierlich verbessert – Verbesserungsvorschläge werden identifiziert und zeitnah umgesetzt. Der Prozess wird mithilfe von Tools unterstützt. Schlüsselwort: kontinuierlich verbessert

Betrachtungsbereiche

Tabelle 1: Prozess-Referenzmodell (PRM) des Reifegradmodells

Das Reifegradmodell für den BSI-Standard 200-4 verfolgt das Ziel, die Prozesse des BCMS zu bewerten und zu verbessern. Doch welche Prozesse sind damit eigentlich gemeint? Der Standard selbst definiert – anders als andere Best-Practice-Standards, wie etwa ITIL – kein eigenes Prozess-Referenzmodell (PRM), das hierzu als Grundlage dienen könnte. Daher wurde auf Basis der Anforderungen des BSI-Standards 200-4 sowie unter Zuhilfenahme der ISO/IEC 33004 ein eigenständiges Prozess-Referenzmodell erstellt, das aus 14 Prozessbereichen besteht und modellhaft zu verstehen ist – die Prozesse des BCMS können also je nach Organisation unterschiedlich interpretiert werden. Die Prozesse des BCMS wurden in Management- (MP), Lifecycle- (LP) und Support-Prozesse (SP) aufgeteilt – einen vollständigen Überblick liefert Tabelle 1.

Management-Prozesse (MP)

Die BCMS-Management-Prozesse (MP) dienen der Initiierung, Steuerung und strategischen Ausrichtung des BCMS. Hierzu zählt die Identifikation von strategischen Zielen sowie die regelmäßige Leistungsbewertung des BCMS. Zu den Management-Prozessen des BCMS zählen:

  • MP.1 Initiierung, Planung und Steuerung des BCMS
  • MP.2 Managementreview

Lifecycle-Prozesse (LP)

Die BCMS-Lifecycle-Prozesse (LP) umfassen die Kernbestandteile des BSI-Standards 200-4 und somit Prozesse für den Aufbau und die Befähigung der besonderen Aufbauorganisation (BAO), zur angemessenen Absicherung der Geschäftsprozesse sowie zur Überprüfung und kontinuierlichen Verbesserung des BCMS. Zu den Lifecycle-Prozessen zählen:

  • LP.1 Befähigung der Stabsstrukturen
  • LP.2 Meldung, Alarmierung, Erstreaktion
  • LP.3 Notbetrieb, Deeskalation und Bewältigung
  • LP.4 Business-Impact-Analyse
  • LP.5 Risikoanalyse
  • LP.6 Notfallplanung und Konzeption
  • LP.7 Tests und Übungen
  • LP.8 Überprüfung und Berichterstattung
  • LP.9 Kontinuierliche Verbesserung

Support-Prozesse (SP)

Die BCMS-Support-Prozesse (SP) unterstützen die ordnungsgemäße Umsetzung der Lifecycle-Prozesse und bilden eine Schnittstelle zu weiteren Managementsystemen der Organisation. Zu den Support-Prozessen gehören:

  • SP.1 Dokumentenlenkung
  • SP.2 Rollen und Verantwortlichkeiten
  • SP.3 Schulung und Sensibilisierung

Für die einzelnen Prozesse wurden Prozesssteckbriefe erstellt, die neben einem klaren Zweck auch Prozessergebnisse, Basispraktiken und Arbeitsprodukte des Prozesses definieren. Die inhaltliche Beschreibung der Prozesse dient dabei als Grundlage zur Erhebung der jeweiligen Reifegradstufen und erhebt keinen Anspruch auf Vollständigkeit. Sie sollten demnach schematisch verstanden werden. Tabelle 2 zeigt beispielhaft den Prozess-Steckbrief für den LP.4 „Business-Impact-Analyse“.

Tabelle 2: Prozess-Steckbrief LP.4 „Business-Impact-Analyse“

Reifegradstufen

Für jeden der 14 betrachteten Prozesse wurden Reifegradstufen sowie konkrete Messkriterien (PA) definiert, die nachweislich vorhanden sein müssen. Um einen Reifegrad zu erfüllen, müssen die spezifischen Fragestellungen einer jeweiligen Reifegradstufe demnach mit „vollständig“ oder „in den meisten Fällen“ beantwortet werden. Das Ergebnis aller Antworten führt zum jeweiligen Reifegrad. Tabelle 3 zeigt die Zusammensetzung der Kontrollfragen und Prozess-Attribute am Beispiel des LP.4 „Business-Impact-Analyse“.

Tabelle 3: Aufbau der Reifegradstufen am Beispiel des LP.4 „Business-Impact-Analyse“

Toolgestützte Anwendung

Um Anwender:inne:n die praktische Anwendung des Reifegradmodells zu erleichtern, wurde ein Excel-basiertes Erhebungstool entwickelt (kostenfrei verfügbar via [1]), das sich in drei Teilbereiche untergliedern lässt (vgl. Abb. 1):

  • Erläuterungsbereich: Diese Tabellenblätter dienen der Erläuterung des theoretischen Hintergrunds und der Logik des Reifegradmodells.
  • Erhebungsbögen dienen zur Erhebung der Reifegrade der einzelnen Prozesse: Die Erhebung erfolgt anhand spezifischer Fragestellungen – in den Erhebungsbögen befinden sich zudem Hintergrundinformationen wie Prozess-Steckbriefe und Prozess-Attribute des jeweiligen Prozesses.
  • Dashboard: visualisiert die Ergebnisse der Reifegraderhebung.

Um die Zusammensetzung der Reifegradstufen nachvollziehbar zu gestalten, wurden sowohl die Prozess-Steckbriefe als auch die Prozess-Attribute in den Erhebungsbögen hinterlegt. Die 14 Erhebungsbögen im Tool sind allerdings nicht aufeinander aufbauend – Reifegraderhebungen lassen sich daher auch nur für ausgewählte Prozesse durchführen. Der Aufbau der Erhebungsbögen ist bewusst simpel gehalten, um Unklarheiten zu verhindern. Die Erhebungsbögen bestehen aus den folgenden Elementen:

  • Prozesskürzel: Jeder Erhebungsbogen bezieht sich auf einen spezifischen Prozess des Referenzwerks (PRM). Das jeweilige Kürzel sowie die dazugehörigen Informationen befinden sich im oberen Abschnitt der Erhebungsbögen. Um die Zuordnung zu erleichtern, ist das Prozesskürzel in der jeweils passenden Farbe markiert (z. B. in Abb. 4 LP4 in orange).
  • Reifegrad: Der ermittelte Reifegrad für den jeweiligen Prozess wird ebenfalls im oberen Abschnitt des Erhebungsbogens angezeigt – er setzt sich aus den Antwortmöglichkeiten der spezifischen Fragestellungen zusammen.
  • Kontrollfragen: Zu jedem Reifegrad werden spezifische Kontrollfragen gestellt, die auf den definierten Prozess-Attributen (PA) der jeweiligen Reifegradstufe basieren.
  • Umsetzung: Um aussagekräftige Ergebnisse zu erhalten, sind die Antwortmöglichkeiten für die spezifischen Fragestellungen vordefiniert – diese Optionen orientieren sich an den Vorgaben des Basismodells ISO/IEC 33020. Zusätzlich besteht die Möglichkeit, eine Frage mit „nicht anwendbar“ zu beantworten: Die Ergebnisse dieser Frage werden dann nicht gewertet, um das Endergebnis nicht zu verfälschen.
  • Kommentar/Hinweis: Hierbei handelt es sich um ein Freitextfeld, das es dem Anwender ermöglicht, zusätzliche Kommentare zu dokumentieren (z. B. mögliche Umsetzungsmaßnahmen).
Abbildung 1: Anwendungslogik des Excel-basierten Erhebungstools

Fazit

Die Modernisierung des BSI-Standards 100-4 bringt einige Änderungen mit sich. Das beschriebene Reifegradmodell kann als ein leicht zu bedienendes Hilfsmittel dienen, um das BCMS einer Organisation mit den geänderten Rahmenbedingungen abzugleichen – es ermöglicht somit einen leichten Einstieg in das Themenfeld BCMS sowie den aktualisierten BSI-Standard 200-4.

Neben einem ganzheitlichen Überblick über den gegenwärtigen Leistungsstand der eigenen BCMS-Prozesse ermöglicht das Reifegradmodell zusätzlich die Identifikation von Verbesserungspotenzial für das BCMS. Dabei geht das Modell über eine eindimensionale Betrachtung der Anforderungen hinaus und bewertet nicht nur, ob eine Anforderung des Standards umgesetzt wurde, sondern auch, inwiefern diese in einem Prozess berücksichtigt und „gelebt“ wird.

Das Reifegradmodell für den BSI-Standard 200-4 steht auf der Internetseite des BSI in Form der Masterthesis sowie des Excel-basierten Erhebungstools kostenfrei zum Download bereit [1]. Alle -Leser sind eingeladen, es zu testen und die praktische Anwendung zu bewerten – Verbesserungsvorschläge und Rückmeldungen zur Anwendbarkeit sind herzlich willkommen.

Victor Wolf (victorwolf1994@gmail.com) ist Spezialist für Informationssicherheit bei der Stromnetz Berlin GmbH. Daniel Gilles (daniel.gilles@bsi.bund.de) ist Referent im Referat „BSI-Standards und IT-Grundschutz“ des BSI.

Literatur

[1] Victor Wolf, Erstellung eines Reifegradmodells für den BSI-Standard 200-4, Masterarbeit nebst Erhebungstool zum Download, September 2021, verfügbar via www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Hilfsmittel-und-Anwenderbeitraege/Studentische-Arbeiten/studentische-arbeiten_node.html, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Extern/Diplomarbeiten/Wolf_BCM_Reifegrad.pdf?__blob=publicationFile&v=2

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard 200-4 „Business Continuity Management“, Community Draft (CD 1.0), Januar 2021, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html

[3] Marcel Lehmann und Jann-Christoph Sowa, BSI-Standard 200-4 veröffentlicht, Business-Continuity-Management weitergedacht, 2021# 1, S. 3

Diesen Beitrag teilen: