Neuer BSI-Standard 200-4: Business-Continuity-Management : Leichter zum BCM durch IT-Grundschutz

Von Cäcilia Jung und Daniel Gilles, BSI

Der BSI-Standard 100-4 hat als Vorgänger des aktuellen Community-Drafts Institutionen bereits dazu befähigt, erfolgreich ein Business-Continuity-Management-System (BCMS) beziehungsweise Notfallmanagementsystem zu etablieren. Die fortlaufenden Entwicklungen und Erfahrungen im BCM und den angrenzenden BSI-Standards zur Informationssicherheit haben jedoch den Bedarf aufgezeigt, den BSI Standard 100-4 grundsätzlich zu modernisieren. Die Ziele der Modernisierung bestanden primär darin:

• die in der Praxis gesammelten Erfahrungen und etablierten Best-Practice-Ansätze in den Standard einfließen zu lassen,
• den Standard an die modernisierten BSI-Standards 200-1 bis 200-3 und die modernisierte ISO 22301:2019 anzugleichen sowie
• die ergänzenden Informationen aus dem Umsetzungsrahmenwerk zum BSI-Standard 100-4 in den Standard zu integrieren.

Darüber hinaus soll der BSI-Standard 200-4 wie bereits der BSI-Standard 100-4 als alleinstehender Standard anwendbar sein und zugleich die möglichen Synergien mit den angrenzenden Managementsystemen beziehungsweise Bereichen (ISMS, ITSCM, Outsourcing usw.) näher aufzeigen. So können Aufwände für Managementsysteme über die unterschiedlichen Disziplinen gebündelt werden.

Der BSI-Standard 200-4 ist wie der BSI-Standard 100-4 für Institutionen unterschiedlichster Art, Branche und Größe geeignet. Um diesen Anspruch noch besser erfüllen zu können, wurde ein Stufenmodell, ähnlich wie im BSI-Standard 200-2, eingeführt.

Notfallbewältigung – ohne und mit BCM

Wurden im Vorfeld keine Vorkehrungen getroffen, müssen in der Krise ad hoc schnellstmöglich Lösungen gefunden werden. Zum Beispiel sind Entscheidungswege im normalen Geschäftsbetrieb oft zu lang, um adäquate Reaktionen zu ermöglichen und existenzbedrohende Lagen abwenden zu können. Das BCM sieht daher eine Stabsstruktur (in einer „besonderen Aufbau-Organisation“ – BAO) vor, die einer Institution auch im Notfall eine schnelle Reaktions- und Handlungsfähigkeit ermöglicht.

Abbildung 1 visualisiert, wie sich eine Notfallbewältigung mit BCM von einer Notfallbewältigung ohne BCM unterscheidet. Nähere Details können den Beschreibungen aus dem aktuellen Community-Draft des BSI-Standards 200-4 im Kapitel 2.3 „Ablauf der Notfallbewältigung“ entnommen werden.

Hier ist sehr schnell ersichtlich, dass ohne Vorbereitung alles verzögert stattfindet und die Institution vielleicht schon insolvent ist, bevor sie adäquat reagieren konnte. Selbst wenn das Schadensereignis erkannt wurde, dauert es in der Regel deutlich länger, bis die relevanten Personen identifiziert und kontaktiert werden. Diese haben solche Situationen nicht geübt und es gibt in der Regel keine Infrastruktur, die ad hoc im Notfall verfügbar ist. Zusätzlich gibt es keine Notfallpläne, die schnelle Handlungsoptionen für Notfälle bereitstellen. Damit verbunden stehen in der Regel auch keine schnell verfügbaren Kontinuitätslösungen bereit, mit denen der ausgefallene Geschäftsbetrieb kurzfristig wiederaufgenommen werden kann.

Fokus auf die angemessene Absicherung von Geschäftsprozessen

Neben einer BAO werden in einem BCM für die zeitkritischsten Prozesse alle Voraussetzungen geschaffen, um im Notfall einen geregelten Notbetrieb zu erreichen und damit die Existenz der Institution zu gewährleisten. Hierzu werden im Vorfeld Pläne erstellt und Kontinuitätslösungen etabliert, um einen möglichen Ausfall von Ressourcen (z. B. Mitarbeiter, Gebäude oder IT) zu kompensieren. Der Stab koordiniert die Aktivitäten, um in den Notbetrieb zu gelangen und diesen fortzuführen, bis der normale Geschäftsbetrieb wieder möglich ist.

Vorteile durch BCM

Ein Business-Continuity-Management-System (BCMS) ermöglicht es, zeitkritische Geschäftsprozesse weitaus schneller nach einem Ausfall geordnet wiederaufzunehmen. Die Folgewirkungen, ergo Schäden, die aus dem Ausfall der Geschäftsprozesse hervorgehen, können so auf ein deutlich geringeres Maß begrenzt werden.

Schneller Einstieg

Der neue BSI-Standard 200-4 richtet sich besonders an weniger erfahrene Anwender, um diesen den Einstieg in ein BCM zu erleichtern. Aber auch erfahrene BCM-Experten werden das Stufenmodell hilfreich finden, da der Aufbau eines BCMS eine größere Aufgabe darstellt und schrittweise leichter umzusetzen ist. Die drei BCM-Stufen unterscheiden sich in der Methodik sowie im zu berücksichtigenden Prozessumfang:

• Das Reaktiv-BCMS fokussiert einen möglichst schnellen Einstieg, in dem aufgrund einer stark vereinfachten Methodik nicht verweilt werden darf. Es handelt sich um eine schnell realisierbare Einstiegsstufe, die eine Institution ohne zuvor implementiertes BCMS zu einer rudimentären Notfall- und Krisenbewältigung befähigt. Ziel sollte sein, nach dem Aufbau eines Reaktiv-BCMS möglichst bald die nächste Stufe anzugehen.
• Das Aufbau-BCMS ermöglicht den schrittweisen Aufbau eines BCMS, um nicht in einem einzigen großen Schritt alle Geschäftsprozesse betrachten zu müssen. So können schneller erste wichtige Ergebnisse erreicht und die eigenen Ressourcen besser eingeteilt werden. Das Aufbau-BCMS fokussiert erst die zeitkritischsten Geschäftsprozesse, um dann sukzessive den Prozessumfang zu erhöhen, bis schlussendlich im Standard-BCMS alle Geschäftsprozesse untersucht und damit verbunden alle zeitkritischen Geschäftsprozesse auch angemessen abgesichert werden.
• Das Standard-BCMS stellt ein vollumfängliches ISO-22301:2019-kompatibles BCMS dar und führt die etablierten Ansätze aus dem BSI-Standard 100-4 fort. Das BSI empfiehlt hierbei ausdrücklich, über den zeitlichen Verlauf ein Standard-BCMS anzustreben, da nur so eine vollumfängliche, bedarfsgerechte Absicherung aller zeitkritischen Geschäftsprozesse sichergestellt werden kann.

Aufbau eines Reaktiv-BCMS

Der nachfolgende Überblick beschreibt in aller Kürze den Aufbau eines Reaktiv-BCMS. Abbildung 2 zeigt zudem farblich, welche BCM-Prozess-Schritte eines Standard-BCMS ausgelassen werden können – so ist schnell ersichtlich, wo das Reaktiv-BCMS vereinfacht aufgebaut ist und wie ein vollständiges Standard-BCMS aussieht.

Planung

Wie in jedem Managementsystem üblich, sieht auch das Reaktiv-BCMS eine Initiierungsphase vor – diese beschränkt sich auf die dringendsten Aspekte. Das Reaktiv-BCMS beschränkt sich in der „Plan“-Phase auf die Leitlinie: In dieser dokumentiert die Institutionsleitung ihre Selbstverpflichtung und legt die Rahmenbedingungen für das BCMS (z. B. Ressourcenausstattung) fest. Anders als im Standard-BCMS wird auf eine tiefergehende Analyse der Rahmenbedingungen verzichtet.

Umsetzung

Der Teil „Aufbau und Befähigung der BAO“ umfasst alle Aspekte, um eine funktionierende „besondere Aufbau-Organisation“ (BAO) zu etablieren, die auch im Not- und Krisenfall schnell erreichbar und handlungsfähig ist. Die Institution kann nach Umsetzung dieses Teils auf Schadensereignisse schnell reagieren – unabhängig davon, ob bereits Notfallpläne für die Fortführung von Geschäftsprozessen vorliegen. Daher wird dieser Schritt im BSI-Standard 200-4 auch direkt nach der Plan-Phase empfohlen. Alle weiteren BCM-Prozess-Schritte in der „Do“-Phase dienen der angemessenen Absicherung der zeitkritischen Geschäftsprozesse.

Die Analysephase besteht aus Voranalyse, Business-Impact-Analyse (BIA) und einem Soll-Ist-Vergleich. Im Vergleich zu Standard- und Aufbau-BCMS ist die Analysephase verkürzt und beschränkt sich auf die zeitkritischsten Geschäftsprozesse und Ressourcen. Der Vorteil des Reaktiv-BCMS besteht darin, dass jeder dieser Folgeschritte der BAO im Notfall oder in der Krise direkt weiterhilft, auch wenn die weiteren Schritte noch nicht durchgeführt wurden. Die Voranalyse beschreibt, wie Organisationseinheiten als zeitkritisch eingestuft werden – die Geschäftsprozesse dieser zeitkritischen Organisationseinheiten stellen den eingeschränkten Prozessumfang dar.

In der BIA wird sehr genau untersucht, welche Geschäftsprozesse beziehungsweise Fachaufgaben in diesem eingeschränkten Prozessumfang wirklich zeitkritisch sind und in welchen Zeiträumen diese Geschäftsprozesse und die dazu benötigten Ressourcen wieder in einem Notbetrieb laufen müssen. Dies hilft in der Bewältigung sofort weiter, um zu priorisieren, welche Geschäftsprozesse und Ressourcen als Erstes wieder zur Verfügung stehen müssen. Zusätzlich sieht die BAO sehr schnell, ob sie die vorgegebenen Zeiten erreichen kann und gegebenenfalls die Krise ausrufen muss und dadurch eventuell größeren Handlungsspielraum hat.

Im Soll-Ist-Vergleich wird geprüft, ob die Institution diese Zeiten bereits erreichen kann. Auch diese Ergebnisse unterstützen die BAO bei der Priorisierung, falls nach Abschluss dieser Untersuchung ein Notfall oder eine Krise eintritt.

Anhand der Geschäftsfortführungsplanung wird festgelegt und dokumentiert, ob und wie mit technischen und organisatorischen Lösungen sowie Notfallmaßnahmen ein Notbetrieb der zeitkritischen Geschäftsprozesse erreicht werden kann. Im Reaktiv-BCMS werden die identifizierten Maßnahmen nicht nur geplant, sondern möglichst auch mit den gegebenen Ressourcen umgesetzt. Hierzu wird auf vorhandene Lösungen zurückgegriffen oder es werden einfache und schnell umsetzbare Lösungen geschaffen. Komplexere Probleme werden zunächst in einem Maßnahmenplan dokumentiert und anschließend in einem Folge-BCMS (Aufbau- oder Standard-BCMS) gelöst. Hier wird deutlich, warum die Institution nicht im Reaktiv-BCMS verweilen darf.

Prüfung und Verbesserung

Im Reaktiv-BCMS ist davon auszugehen, dass die Strukturen der Bewältigungsorganisation komplett neu sind. Daher ist es essenziell, dass anhand von Übungen und Tests überprüft wird, ob die Notfallbewältigungsorganisation in der Lage ist, angemessen und effektiv auf bestimmte Notfallszenarien zu reagieren. Nach Möglichkeit sollten auch die Geschäftsfortführungspläne geübt werden, denn nur so kann eingeschätzt werden, ob diese realistisch sind. Eine Überprüfung des Systems ist im Reaktiv-BCMS nicht vorgesehen, da das Managementsystem an dieser Stelle nur rudimentär ist und der PDCA-Zyklus des Reaktiv-BCMS nur einmal durchlaufen wird.

In der Weiterentwicklung des Reaktiv-BCMS werden die identifizierten Korrekturbedarfe und Verbesserungsmöglichkeiten genutzt, um eine Entscheidungshilfe für die Institutionsleitung zu erstellen. Die Institutionsleitung entscheidet dann über das weitere Vorgehen und wählt zwischen Aufbau- oder Standard-BCMS.

Die Institution ist nun bereits rudimentär reaktionsfähig und kann daher mehr Zeit aufbringen, um sinnvoll die nötigen Investitionen zur angemessenen Absicherung abzuwägen. Dazu werden die in Abbildung 2 ausgegrauten BCMSchritte des Aufbau- beziehungsweise Standard-BCMS benötigt.

Weitere Neuerungen

Ähnlich wie im BSI-Standard 200-2, führt im BSI-Standard 200-4 das Standard-BCMS die bekannte Vorgehensweise aus dem vorangegangenen BSI-Standard 100-4 fort. Dabei wurden die grundsätzliche Vorgehensweise und die zugrunde liegende Dokumentenstruktur beibehalten, jedoch wurden die einzelnen BCMS-Teilprozessschritte deutlicher herausgearbeitet, um die Praxiserfahrungen besser reflektieren zu können. Auch wurde der gesamte Aufbau deutlich prozessorientierter gestaltet, wie dies bereits den Ausführungen zum Stufenmodell entnommen werden kann.

Tabelle 1 gibt einen kurzen Überblick über die wesentlichen Modernisierungen des Standard-BCMS. Hierbei wurde stets eine einfache Migration vom BSI-Standard 100-4 bedacht. Eine entsprechende Hilfestellung zur Migration wird hierzu in den Hilfsmitteln zum BSI-Standard 200-4 veröffentlicht.

Hilfsmittel

Der modernisierte BSI-Standard 200-4 wird zukünftig verschiedene Hilfsmittel und Dokumentenvorlagen anbieten, die den Anwender darin unterstützen sollen, die beschriebenen Prozesse und Methoden im BCM effektiv umzusetzen. Nachfolgende Hilfsmittel sollen noch während der Community-Draft-Phase des BSI-Standards 200-4 veröffentlicht werden:

• weiterführende Aspekte zur Bewältigung
• weiterführende Informationen zu Tools
• eine Hilfestellung zur Migration zum abgelösten BSI-Standard 100-4
• Dokumentenvorlagen (inkl. Beispieltexten)
• weiterführende Informationen zur Eintrittshäufigkeit von Ausfallrisiken
• Glossar zu den wichtigsten BCM-Begriffen
• Dokumenten- und Anforderungsvergleich BSI-Standard 200-4 zu ISO 22301:2019

Die Dokumentvorlagen basieren wesentlich auf den bereits aus dem Umsetzungsrahmenwerk zum BSI-Standard 100-4 bekannten Vorlagen. Im Gegensatz zum BSI-Standard 100-4 und dem Umsetzungsrahmenwerk sind im neuen Standard die einzelnen Prozessschritte bereits detailliert beschrieben. Zur Unterstützung können zudem die Dokumentvorlagen aus den Hilfsmitteln herangezogen werden – die ergänzenden Modulbeschreibungen aus dem Umsetzungsrahmenwerk entfallen somit vollständig.

Feedback gefragt!

Der Community-Draft des BSI-Standards 200-4 kann noch bis zum 30. Juni 2021 kommentiert werden – Feedback können Sie gerne an grundschutz@bsi.bund.de richten. Der Community-Draft des BSI-Standards 200-4 kann über den nachfolgenden Link online abgerufen werden: www.bsi.bund.de/gs-standard200-4

Der BSI-Standard 200-4 ist somit noch nicht final und bis zur Veröffentlichung der finalen Edition des BSI-Standards 200-4 bleibt der BSI-Standard 100-4 gültig.

Weitere Informationen über alle BSI-Aktivitäten zum Thema BCM erhalten Sie über die BCM-Info-Gruppe. Eine Anmeldung zu diesem Newsletter ist über den folgenden Link möglich: www.bsi.bund.de/newsletter