Mit <kes>+ lesen

BCM im KRITIS-Umfeld : Ganzheitliches Management von IT- und Business-Continuity

Bis zum 30. Juni müssen weitere Unternehmen, die als kritische Infrastruktur (KRITIS) eingestuft sind, ein Gesamtkonzept für das KRITIS-Management etablieren. Die Vorgaben aus IT-Sicherheitsgesetz und Kritisverordnung erfordern unter anderem ein Business-Continuity- (BCM) und ein IT-Service-Continuity-Management (ITSCM) – beides muss in einem ganzheitlichen Konzept verwoben sein.

Lesezeit 5 Min.

Das Business-Continuity-Management (BCM) hat sich seit den 1990er-Jahren als eigenständige Disziplin etabliert und seither erheblich weiterentwickelt. Ein BCM-System trägt erheblich zur Widerstandsfähigkeit eines Unternehmens, der Resilienz, bei. Das Fehlen eines BCM-Systems, das sicherstellt, dass die kritischsten Geschäftsprozesse im Notfall funktionieren, kann darüber entscheiden, ob ein Unternehmen seine Marktposition nach einem Vorfall weiterhin halten kann. BCM und auch IT-Service-Continuity-Management (ITSCM) sollten daher eigentlich längst in allen Branchen eine Selbstverständlichkeit sein. Durch das IT-Sicherheitsgesetz (IT-SiG) sind sie nun für Unternehmen der kritischen Infrastrukturen (KRITIS) zwingend vorgeschrieben.

Zur Vorbereitung auf den Fall der Fälle filtern das Unternehmen oder ein Dienstleister für BCM, ITSCM und Krisenmanagement in „ruhigen Zeiten“ die verletzlichen Punkte und zeitkritischen Prozesse heraus und entwickeln Business-Continuity-Pläne, um diese dann im Notfall innerhalb der tolerierbaren maximalen Ausfallzeit und auf einem akzeptablen Mindestlevel wiederherzustellen – oder sie beispielsweise auch anderswo mit anderen Ressourcen abzubilden.

Ganzheitliches Konzept

Dabei nur einzelne Aspekte abzudecken genügt jedoch nicht, um die gesetzlichen Anforderungen zu erfüllen: Vielmehr ist es erforderlich, in einem Gesamtkonzept zahlreiche Management-Disziplinen zu vereinen. Falls noch nicht vorhanden, müssen sie etabliert und notwendige Schnittstellen zwischen ihnen definiert werden. Wesentlich für die Prüfkriterien nach IT-SiG ist unter anderem das Zusammenspiel von:

  • Informationssicherheits-Management (ISM), zum Beispiel nach ISO 27001 „Information technology
  • Security techniques – Information security management systems – Requirements“, den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“, gegebenenfalls inklusive Industrial-Control-System-(ICS)-Security, etwa nach IEC 62443 „Industrial communication networks – Network and system security“
  • Service-Management-Prozessen wie Asset-, Incident-, Change- und Availability-Management, zum Beispiel nach ISO 20000 „Information technology – Service management – Part 1: Service management system requirements“ oder der Information-Technology-Infrastructure-Library (ITIL)
  • Risikomanagement nach ISO 27005 „Information technology – Security techniques – Information security risk management“, ISO 31000 „Risk management – Guidelines“ beziehungsweise BSI-Standard 200-3 „Risikomanagement“
  • Business-Continuity-Management (BCM) gemäß ISO 22301 und BSI-Standard 100-4 „Notfallmanagement“
  • IT-Service-Continuity-Management (ITSCM – heute oft auch als IT-Notfallmanagement, früher als Disaster-Recovery bezeichnet) etwa nach ISO 27031 „Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity“
  • Krisenmanagement als systematischer Umgang mit kritischen Situationen beziehungsweise Krisen
  • Testen und Üben inklusive Strategie zur Planung, Vorbereitung, Durchführung und Auswertung
  • Lieferanten- und Dienstleistermanagement

Das Krisenmanagement dient dabei als eine Art Steuerungsprozess in einem Notfall oder einer Krise. Die Krisenmanagement-Organisation löst im Krisenfall die normale Organisation des Unternehmens ab – hier laufen dann alle Fäden zusammen. Durch das Krisenmanagement sollten alle Pläne und das Zusammenwirken der Notfallorganisation orchestriert werden. Eine gut aufgebaute Krisenmanagement-Organisation sollte aber auch in der Lage sein, beispielsweise Reputationskrisen gut zu meistern, bei denen das BCM- oder/und ITSCM-System gegebenenfalls gar nicht aktiviert werden.

BCM und ITSCM

Mit einem BCM-System ist zu analysieren, welche Ressourcen für die Aufrechterhaltung der zeitkritischen Prozesse benötigt werden. Da die Abhängigkeit der Prozesse fast aller Unternehmen und Organisationen von der IT steigt und die Abbildung von Prozessen ohne IT mittlerweile oft undenkbar ist, kommt der IT in der Notfallplanung eine Sonderrolle zu, weswegen ein ITSCM-System zur Absicherung der IT im Notfall zu implementieren ist.

Anforderungen an die Ressourcen werden dabei vom BCM ermittelt und an das ITSCM übergeben. Dieses greift diese Informationen auf und beschäftigt sich dann auf dieser Basis mit ihrer Absicherung (z.B. durch Hochverfügbarkeit oder Georedundanz), Plänen für den schnellstmöglichen Wiederanlauf beziehungsweise die Ermittlung von Alternativen für die benötigten IT-Ressourcen. Das ITSCM ist also einerseits als eine Art „Spezialdisziplin“ im Rahmen von BCM zu verstehen. Da die IT selbst aber auch zeitkritische Prozesse durchführt, ist die IT selbst ebenfalls genau wie jede anderer Fachabteilung im Rahmen des BCM abzusichern.

IT-Sicherheit und ITSCM

Sowohl IT-Sicherheit (ISM) als auch ITSCM haben das gemeinsame Ziel, die Verfügbarkeit von IT-Ressourcen und somit von Informationen sicherzustellen. Das ISM ist dabei für den Normalbetrieb verantwortlich – daher muss mit dem ISM abgestimmt werden, welche Szenarien das ITSCM behandelt und welche Szenarien in die Verantwortung von ISM oder IT-Betrieb fallen.

Der vorausschauende Schutz von Rechenzentren (RZ) gegen elementare Bedrohungen ist dabei ein wichtiges Ziel. Hier gilt es, gemeinsam auch Vorgaben zum Perimeterschutz sowie der baulichen und physischen Sicherheit (z. B. Anfahrschutz, Zutrittskontrollsysteme, Brandschutz, Wasserschutz und Stromversorgung) auszuarbeiten.

Im RZ werden Datensicherungsverfahren (etwa Disk-to-Disk-to-Tape) geplant, durchgeführt und überwacht. Diese Datensicherungen können im Rahmen von ITSCM bei physischen Ausfällen genutzt werden (z. B. Defekte bei Servern oder Storage-Systemen), aber ebenso wenn es zu Verlusten der Datenintegrität oder -verfügbarkeit gekommen ist (z. B. durch einen Ransomware-Angriff). Die Datensicherungsverfahren sind also gemeinsam abzustimmen. Ein weiterer Aspekt ist die Abstimmung zwischen BCM, ITSCM und ISM bezüglich der Bedeutung der Business-Continuity-Pläne für das Worst-Case-Szenario.

Damit das Zusammenspiel der beiden Management-Disziplinen funktioniert, ist es erforderlich, den jeweiligen Scope und die zu betrachtenden Szenarien klar festzulegen. Oft ist es so, dass im Rahmen der IT-Sicherheit vorbeugende Sicherheitsvorgaben für Zutritts- und Zugriffsbeschränkungen, kryptografische Verfahren, Virenschutz, Konfigurationen von Firewalls und IntrusionDetection-Systemen (IDS) geregelt werden – reaktive Pläne für den Ernstfall werden aber meistens nicht erstellt.

ITSCM wiederum schließt Cyberkriminalität aus seinen Betrachtungen aus, da beispielsweise korrumpierte Daten im RZ nicht in dem vom BCM vorgegeben Zeitraum wiederhergestellt werden könnten: Selbst bei einer Georedundanz (zwei Rechenzentren aktiv/aktiv) wären ja beide Instanzen korrumpiert. Eine Wiederherstellung kann somit nur über Bandsicherungen erfolgen – das würde aber viel zu lange dauern. Die geforderten Wiederherstellungszeiten (Recovery-Time-Objective, RTO) für zeitkritische Prozesse belaufen sich meistens auf 4–8 Stunden – Rücksicherungen aus Bändern sind bei den heutigen Datenvolumen nicht so schnell.

Schnittstellen zwischen ITSCM und IT-Sicherheit findet man in den Bereichen der Vorgaben und Standards, der Nutzung der Krisenorganisation, den IT-Themen Datensicherungsverfahren und Rechenzentrumssicherheit und natürlich auch bei den Business-Continuity-Plänen für das Szenario „IT-Ausfall“. ITSCM und IT-Sicherheit kümmern sich, wie angesprochen, beide um die Verfügbarkeit der IT-Services: Die IT-Sicherheit – also der Prozess Information-Security-Management (ISM) – soll die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität („VIVA“) der Informationsverarbeitung sicherstellen. Das ITSCM konzentriert sich hingegen im Rahmen der Sicherstellung der Verfügbarkeit auf die „Kontinuitätsplanung“ für die IT-Services – der IT-Betrieb muss auch nach dem Ausfall eines ganzen Rechenzentrums kontinuierlich gewährleistet sein.

Nachhaltige Unterstützung

BCM ist kein Projekt, das man durchführt, abschließt und dann zum nächsten Thema übergeht – BCM ist ein Managementprozess, der eingeführt und betrieben werden muss. Das bedeutet auch, dass man hierfür dauerhaft Ressourcen bereitstellen muss. Ohne die Bereitschaft, das Personal in Sachen BCM auszubilden und die benötigte Zeit zur Verfügung zu stellen, kann man keine guten Arbeitsergebnisse erwarten. Wenn das Management aber die Vorteile einer erhöhten Widerstandsfähigkeit durch die Einführung von BCM erkennt und sie entsprechend kommuniziert, dann besteht eine gute Chance auf Akzeptanz im Unternehmen.

Daniel Knepp ist Texter für Wordfinder PR, Jörg Kobeleff Manager bei der Controllit AG (www.controll-it.de).

 

Diesen Beitrag teilen: