Kapitel 01 | Coconote

Title: URL Source: blob://pdf/9cdf477f-5a2d-4024-a967-96525492c848 Markdown Content: 2 Prof. Dr. Gael Pentang [email protected] Sommersemester 2025 | Seminaristische Lehrveranstaltung # BCSM 402 BCM KAP. 01: GRUNDLAGEN DES BUSINESS CONTINUITY MANAGEMENT (BCM) > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 3 Kapitel 00: Organisatorisches Kapitel 01: Grundlagen des Business Continuity Management (BCM) Kapitel 02: Standards und Rahmenbedingungen fr BCM Kapitel 03: Rollen und Verantwortlichkeiten im BCM-Prozess Kapitel 04: Business Impact Analyse: Methoden und Techniken Kapitel 05: BCM Risikomanagement: Strategien und Umsetzung Kapitel 06: Betrieb & Leistungsberprfung und Verbesserung Kapitel 07: Krisenmanagement - Krisenbung Kapitel 08: Zertifizierung und Auditierung des BCMS Kapitel 09: IT-Service Continuity Management (ITSCM) 2. Gliederung > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 4 Am Ende sind Sie in der Lage, verschiedene Schadensszenarien zu beschreiben und zu analysieren rechtlichen Anforderungen an ein Business Continuity Management System zu benennen und zu erlutern Gltige Standards (ISO 22301 und BSI 100-4/200-4) fr das BCM zu benennen und ihre Bedeutung zu erklren Strukturelemente eines BCM-Systems zu beschreiben und deren Funktion zu erlutern > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Lernziele 5 Am Ende sind Sie in der Lage, relevanten Begrifflichkeiten im Bereich BCM zu definieren und bzw. anzuwenden Vorteile eines BCM-Systems zu erlutern > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Lernziele 6 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 7 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 8 Praxisbeispiele > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Ransomware-Angriff - EDF, 2022 Das franzsische Atomkonzern lectricit de France (EDF) ist Opfer einer Ransomware-Attacke. Angreifer erlangen Zugriff zu E-Mails und internen Netzwerken des Unternehmens. EDF meldet ffentlich, dass Vorfall keine Auswirkungen auf den Betrieb der Kraftwerke hat. Einige IT-Systeme bleiben vorbergehend offline. Es dauerte etwa eine Woche, bis alle Systeme wieder betriebsbereit. Cyberangriff - UKD, 2020 Angreifer verschlsseln das IT System vom Universittsklinikum Dsseldorf (UKD) und fordern Lsegeld. UKD muss ber mehrere Tage alle Notflle abweisen und zahlreiche Patienten auf umliegende Krankenhuser umleiten. Es dauerte mehrere Wochen, bis alle IT-Systeme wiederhergestellt und der Krankenhausbetrieb wieder normal aufgenommen werden konnte. Stromausflle - Sony, 2019 Taifun in Japan sorgt fr berschwemmungen und Stromausflle was dazu fhrte, dass der Elektronikhersteller Sony seine Fabriken fr mehrere Tage schlieen musste. Sony konnte erst nach neun Tagen wieder den normalen Betrieb aufnehmen. 9 Praxisbeispiele > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM System Ausfall - Amazon, 2017 Ausfall der Amazon S3-Cloud-Services, fhrt zu einem Ausfall von Hunderten von Websites und Apps. Der Ausfall dauerte mehrere Stunden, und einige Kunden waren fr mehrere Tage von der Nutzung der Dienste ausgeschlossen. Angriff - Bundestag, 2015 Das Netzwerk des Deutschen Bundestags wurde Ziel eines Angriffs. Unbekannte versuchten, sich Zugang zu sensiblen Daten zu verschaffen. Der Angriff fhrte zur Abschaltung des Netzwerks. Es dauerte mehrere Wochen, bis alle Systeme wieder betriebsbereit waren. Corona Pandemie - Lufthansa Whrend der Corona-Pandemie reduzierte Lufthansa den Flugverkehr drastisch. Der Umsatz sank um mehr als 60 Prozent und das Unternehmen musste eine massive Umstrukturierung durchfhren, um die Krise zu bewltigen. Es dauerte mehrere Monate, bis das Unternehmen wieder betriebsbereit war. 10 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 11 Schadensszenarien > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Zahlreiche Ereignissen knnen die Geschftsprozesse von Unternehmen beeintrchtigen und sich auf verschiedene Aspekte des Geschftsbetriebs auswirken. Auswirkungen Auslser Schden Hhere Gewalt : Feuer, Wasser, Pandemie, Corona, Tsunamis, Erdbeben, Vulkan Organisatorische Mngel : unzureichende Regelungen, unzureichender Schutz mangelhafte Vorsorge Technisches Versagen : Ausfall Stromversorgung, Kommunikationsnetze Menschliches Versagen : Verste, Fehlverhalten, Sorglosigkeit Kriminelle Bedrohungen : Terrorattacken, Cyber-Angriffe und Vandalismus ... Personal IT Gebude Dienstleister Informationen Betriebsmittel Verlust von Einnahmen Verlust von Kunden Reputationsverlust Verlust von Know-How Vertrauensverlust Bedrohung der Existenz 12 Schadensszenarien > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Eine Naturkatastrophe ist ein pltzliches und schwerwiegendes Ereignis , das durch die Krfte der Natur verursacht wird und das Leben und die Gesundheit von Menschen, die Umwelt und die Infrastruktur beeintrchtigt. Anzahl Schadenereignisse weltweit 1980 - 2019 Wetterextremen durch Klimawandel Unternehmen mssen Manahmen ergreifen, um ihre Geschftskontinuitt aufrechtzuerhalten, um sicherzustellen, dass sie trotz Naturkatastrophe ihre Dienstleistungen und Produkte bereitstellen knnen. Es wird erwartet, dass diese Entwicklungen in Zukunft zu einer Zunahme von Naturkatastrophen fhren werden. 13 Schadensszenarien > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Die Wirtschaftskriminalitt umfasst Straftaten (Betrug, Korruption, Diebstahl von geistigem Eigentum, Geldwsche ) , die darauf abzielen, einem Unternehmen finanziellen Schaden zuzufgen oder seine Geschftsprozesse zu stren. Es ist wichtig, bei der Erstellung von BCM-Plnen die potenziellen Auswirkungen von Wirtschaftskriminalitt zu bercksichtigen und geeignete Manahmen zu ergreifen, um das Risiko von Vorfllen zu minimieren und die Geschftskontinuitt zu gewhrleisten. Die Lage in Deutschland 78% der Befragten Unternehmen sehen hohes Risiko fr Wirtschaftskriminalitt obwohl nur 31% Opfer der Wirtschaftskriminalitt Die Gesamtschadenssummen pro Schadensfall knnen ber eine Million Euro betragen. In den vergangenen Jahren wurden wirtschafts-kriminelle Handlungen zu gleichen Anteilen von externen wie internen Ttern begangen; (2020: 47 %, 2018: 61% der Flle wurden externen Ttern zugeordnet). Grnde fr eine erhhte Gefahr im Unternehmen sind o fehlende oder mangelhafte Kontrollen o Unachtsamkeit bzw. Nachlssigkeit > Quelle: KPMG-Studie Wirtschaftskriminalitt in Deutschland (2020) Von Wirtschaftskriminalitt betroffene Bereiche (in Prozente) 14 eCrime bezieht sich auf kriminelle Handlungen , die im Zusammenhang mit der Informationstechnologie stehen, wie zum Beispiel Cyberangriffe, Datendiebstahl, Ransomware-Angriffe oder Hacking. > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schadensszenarien * Quelle: BITKOM-Studie Wirtschaftsschutz (2021). Quelle: Kaspersky Lab Infographics, Kaspersky-Studie IT Security RisksSurvey 2014 Global report (2014). Die Folgen fr Unternehmen Datenverlust Produktivittseinbruch Geschftsunterbrechung Verlust von Know-How Vetragsverletzungen ( Sicherheitsbestimmungen) Gesetzverste Verlust von Autrgen Vertrauensverlust bei Geschftspartnern Unter-nehmen direkt indirekt Laut einer BITKOM-Studie* sind 88 % aller befragten Unternehmen in den letzten 2Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen. Unternehmen haben Notfallplne fr Datenverluste eingefhrt*. 53% 75% 88% 26% 13% 12% 21% 11% 1 2 3 Datenreihen1 Datenreihen2 Datenreihen3 Die Folgen fr Unternehmen Cyberattacken knnen zum Verlust von Geschftsgeheimnissen fhren und gefhrden die Arbeitsfhigkeit eines Unternehmens. (Prof. Dieter Kempf, Prsident der BITKOM) 2017 2018 2019 15 Schadensszenarien > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Folgen von Prozessausflle knnen sich im Laufe der Zeit in Stunden oder Tagen entwickeln. Prozessausfall und dessen Folgen Schadensszenarien Prozessausfall kann Ansehen des Unternehmens bei Kunden, Geschftspartnern und ffentlichkeit beeintrchtigen . Reputation Ausfall eines wichtigen Geschftsprozesses fhrt dazu, dass das Unternehmen Umstze verliert . Umsatzwirkung Branchenspezifische gesetzliche Vorschriften mssen eingehalten werden Regulatorische Auswirkungen Festgelegte Vertrge fr die Bereitstellung von bestimmten Dienstleistungen oder Produkte innerhalb eines bestimmten Zeitraums. Strafzahlungen ## 16 Vergleich der Schden fr Unternehmen mit und ohne BCM Unternehmen mit einem BCM sind in der Lage, Strungen oder Unterbrechungen besser zu bewltigen und ihren Betrieb schneller wieder aufzunehmen ? Mit der Reputation verbundene Schden fallen allerdings bei Unternehmen mit BCM hher aus als bei Unternehmen ohne BCM. Woran knnte das liegen? > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schadensszenarien > Quelle: Basierend auf Chartered Management Institute (2013). Weathering the Storm. > 010 20 30 40 50 60 1 2 3 4 > Unternehmen mit BCM > Unternehmen Ohne BCM Top 4 Auswirkungen von Schden fr Unternehmen mit und ohne BCM. (Angaben aus einer Befragung von 637 Managern britischer Unternehmen, die in der Regel keine spezielle BCM-Verantwortung hatten und aus verschiedenen Hierarchieebenen ihrer Unternehmen stammten. Die Prozentzahlen wurden ermittelt.) 17 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 18 Gesetzliche und regulatorische Vorgaben machen BCM verpflichtend direkt oder indirekt > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Allgemeine Anforderungen HGB Ordnungsmigkeit der Buchfhrung GoB / GoBD Datenverfgbarkeit sichern BDSG / DSGVO Datenwierderherstellung AktG / GmbHG Sorgfaltspflichten Branchenspezifische Anforderungen MaRisk / BAIT / VAIT Notfallmanagement in Finanzinstituten Solvency II / VAG BCM bei Versicherungen Basel III / KWG Risikomanagement in Banken IT-Sicherheitsgesetz KRITIS Infrastrukturen TKG / EnWG Verfgbarkeitsvorgaben fr Telekommunikation und Energie 19 Grundstze ordnungsgemer Buchfhrung (GoB) Software und Geschftsdaten mssen geschtzt und vor unberechtigten nderungen gesichert werden Buchfhrungsrelevante Daten mssen jederzeit verfgbar, vollstndig und nachvollziehbar sein Relevante Vorschriften: 145147 AO, 238, 239, 257 HGB, GoBD, GoB, GDPdU Datenschutzgrundverordnung (DSGVO) Verantwortliche und Auftragsverarbeiter mssen geeignete technische und organisatorische Manahmen umsetzen Ziel: Sicherstellung von Vertraulichkeit, Integritt, Verfgbarkeit und Belastbarkeit von Systemen und Diensten (Art. 32 Abs. 1 DSGVO). Schnelle Wiederherstellung nach physischen oder technischen Zwischenfllen muss gewhrleistet sein Notfallmanagement inklusive Notfallplnen ist verpflichtend Regelmige Tests zur Wiederherstellbarkeit und Verfgbarkeit sind erforderlich > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Allgemein 20 Handelsgesetzbuch (HGB): Brsennotierte Aktiengesellschaften mssen nach 91 Abs. 2 AktG ein angemessenes Risikofrherkennungssystem implementieren Das berwachungssystem muss funktionsfhig sein und wird im Rahmen der Abschlussprfung gem. 317 Abs. 4, 321 Abs. 4 HGB bewertet GmbH-Gesetz (GmbHG): Geschftsfhrer unterliegen der Pflicht zur Sorgfalt eines ordentlichen Geschftsmannes (43 GmbHG). > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Gesellschaftsformen 21 IT-Sicherheitsgesetz (IT-SiG) Das IT-Sicherheitsgesetz (IT-SiG) von 2015 identifiziert kritische Versorgungsbereiche der digitalen Infrastruktur in Deutschland und ist die nationale Umsetzung der EU NIS Richtlinie. Eine aktualisierte Novelle aus dem Jahr 2021 wird als IT-SiG 2.0 bezeichnet. Betreiber von Webangeboten mssen erhhte Anforderungen an technische und organisatorische Manahmen zum Schutz von Kundendaten und IT-Systemen von Betreibern von Webangeboten sowie die Verpflichtung von Telekommunikationsunternehmen zur Warnung ihrer Kunden bei einem Missbrauch des Kundenanschlusses fr IT-Angriffe. Betreiber kritischer Infrastrukturen mssen ihre IT-Systeme angemessen absichern und regelmig berprfen lassen, erhebliche IT-Sicherheitsvorflle an das BSI melden. Die Kritisverordnung (BSI-KritisV) regelt, welche Unternehmen aus den betroffenen Branchen unter das IT-Sicherheitsgesetz fallen. Unter das IT-Sicherheitsgesetz fallen Unternehmen aus den Bereichen Abfallentsorgung, Energie, IT und Telekommunikation, Ernhrung, Wasser, Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Branchenspezifisch 23 Energieversorger - Energiewirtschaftsgesetz (EnWG) Energieversorger mssen Manahmen zur Vermeidung schwerwiegender Versorgungsstrungen treffen ( 13, 16 EnWG Systemverantwortung der Betreiber ) Betreiber von Energieversorgungsnetzen mssen der Bundesnetzagentur jhrlich Bericht ber Versorgungsstrungen und ergriffene Manahmen erstatten. ( 52 EnWG Meldepflichten bei Versorgungsstrungen) Telekommunikation - Telekommunikationsgesetz (TKG) Telekommunikationsanlagen (TK) -Betreiber mssen angemessene Vorkehrungen gegen Strungen und Risiken treffen Technische Schutzmanahmen und Daten- und Informationssicherheit sind im Telekommunikationsgesetz vorgeschrieben. ( 109, 109a TKG Technische Schutzmanahmen,Daten-und Informationssicherheit) > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Branchenspezifisch 24 Investmentgesellschaften und Kapitalverwaltungsgesellschaften Das Kapitalanlagegesetzbuch (KAGB) verlangt von Kapitalverwaltungsgesellschaften (KVG) eine permanente Risikocontrolling Funktion, die auch das operationelle Risiko beinhaltet. Dies bezieht sich auf das Verlustrisiko fr ein Investmentvermgen, das durch interne Prozesse, menschliches oder Systemversagen oder externe Ereignisse verursacht wird. Mindestanforderungen an das Risikomanagement (KAMaRisk) Das Risikomanagementsystem muss regelmig berprft und aktualisiert werden. AIF-Kapitalverwaltungsgesellschaften mssen ein Notfallkonzept erstellen und umsetzen, um sicherzustellen, dass wesentliche Daten und Funktionen im Falle von Strungen erhalten bleiben und Dienstleistungen bald wieder aufgenommen werden knnen. Im Falle von Auslagerungen mssen die beteiligten Unternehmen ber aufeinander abgestimmte Notfallkonzepte verfgen und die Kommunikationswege fr den Notfall festlegen. Das Notfallkonzept muss den Mitarbeitern zur Verfgung stehen (gem Ziffer 8.2 KAMaRisk) > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Branchenspezifisch 25 Kreditinstitute und Finanzdienstleistungsinstitute Kreditwesengesetz (KWG) Kreditinstitute und Finanzdienstleistungsinstitute mssen eine ordnungsgeme Geschftsorganisation haben, die ein angemessenes und wirksames Risikomanagement umfasst. Das Risikomanagement erfordert die Festlegung eines angemessenen Notfallkonzepts, insbesondere fr IT-Systeme Mindestanforderungen an das Risikomanagement (BA) (MaRisk BA) AT 7.2 Technisch-organisatorische Ausstattung Die IT-Systeme und -Prozesse mssen die Integritt, Verfgbarkeit, Authentizitt und Vertraulichkeit der Daten sicherstellen und auf gngige Standards abgestimmt sein AT 7.3 Notfallkonzept o Es muss Vorsorge fr Notflle in zeitkritischen Aktivitten und Prozessen getroffen werden, indem ein Notfallkonzept erstellt wird, das Geschftsfortfhrungs- und Wiederanlaufplne umfasst o Die Wirksamkeit und Angemessenheit des Notfallkonzepts muss regelmig durch Notfalltests berprft werden, und die im Notfall zu verwendenden Kommunikationswege mssen festgelegt sein. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfgung stehen. > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Branchenspezifisch 26 Kreditinstitute und Finanzdienstleistungsinstitute Fortsetzung Bankaufsichtliche Anforderungen an die IT (BAIT) Die BAIT sind regulatorische Anforderungen fr Kreditinstitute und Finanzdienstleistungsinstitute, die sicherstellen sollen, dass ihre IT-Systeme und Prozesse angemessen und sicher gestaltet sind. Sie sind ein zentraler Baustein fr die IT-Aufsicht im Bankensektor in Deutschland und interpretieren die gesetzlichen Anforderungen des KWG bezglich einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme und eines angemessenen Notfallkonzepts. hnlich wie bei MaRisk, werden die gesetzlichen Anforderungen des 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG von der BAIT interpretiert. > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Branchenspezifisch 27 Versicherungen Versicherungsaufsichtsgesetz (VAG) Versicherungsunternehmen mssen gem VAG eine ordnungsgeme Geschftsorganisation sicherstellen, welche die Einhaltung gesetzlicher und aufsichtsbehrdlicher Anforderungen gewhrleistet. Dazu gehrt ein angemessenes Risikomanagement, wofr die Geschftsleitung verantwortlich ist ( 23, 24, 26 Geschftsorganisation, Geschftsleiterpflichten). Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) geben den Unternehmen einen flexiblen Rahmen fr die Ausgestaltung der IT, insbesondere fr das Management der IT-Ressourcen und des IT-Risikos. > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Branchenspezifisch 28 BCM bei Auslagerung an Dienstleister Brgerliches Gesetzbuch (BGB) besagt, dass eine Leistungspflicht ausgeschlossen ist, wenn sie fr den Schuldner unmglich ist, jedoch nur bei dauerhafter Unmglichkeit und nicht bei bloer Lieferverzgerung. Bei Gefhrdung des Geschftszwecks oder Unzumutbarkeit des weiteren Festhaltens am Vertrag kann eine vorbergehende Unmglichkeit der Leistung einer dauerhaften gleichgestellt werden. (275 BGB - Ausschluss der Leistungspflicht (Force majeure)) KAMaRisk und MaRisk (BA) definieren ebenfalls spezifische Anforderungen. > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Gesetzliche Anforderungen Branchenspezifisch 29 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 30 Die Standards ISO 22301 und BSI 100-4 / 200-4 > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM ISO 22301 Der Standard ISO 22301:2019 legt fest, welche Anforderungen ein Business Continuity Management System erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen. BSI-Standard 100-4 / 200-4 Der deutsche BSI-Standard 100-4 / 200-4 bietet eine systematische Methodik fr die Etablierung eines Notfallmanagements in Unternehmen oder Behrden, um die Geschftskontinuitt zu gewhrleisten. > INTERNATIONAL > STANDARD > ISO > 22301 31 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 32 Strukturelemente eines BCM > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM AWARENESS UND TRAINING 1. BUSINESS IMPACT ANALYSE 2. RISIKO- MANAGEMENT 5. BERWACHUNG UND VERBESSERUNG 3. STRATEGIE UND WIEDERANLAUF 4. TESTS UND BUNGEN MANAGEMENT-VERANTWORTUNG, BCM LEITLINIE UND MANAGEMENT-SYSTEM BCM GOVERNANCE 33 Strukturelemente eines BCM BCM Governance > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schwerpunkte und Aktivitten Die BCM Governance etabliert Rollen und Verantwortlichkeiten sowie organisatorische Strukturen und definiert BCM-Anforderungen in einer BCM-Richtlinie. Einrichtung einer BCM Abteilung Konzeption und Etablierung der Rollen und Verantwortlichkeiten Identifizierung relevanter Schnittstellen zu anderen Abteilungen und/oder Managementsystemen. Erstellung und Verffentlichung der BCM-Richtlinie mit den relevanten Anforderungen fr die Organisation Praxis Fachleute (Prvention) Implementierung von prventiven BC-Manahmen Notfall-und Krisenteams (Reaktion) Durchfhrung von Reaktionsmanahmen nach einem Zwischenfall Leitung des Crisis Management Teams Steuerung des Krisenmanagem ents Leitung des IT Disaster Recovery Teams Steuerung der IT-Wiederherstellun g Leitung des Emergency Response Teams Steuerung der Notfallmanahm en BC-Manager Konzeption der BCM-Anforderungen Kontrolle und Untersttzung der BCM-Ausfhrung Vorstand Gesamtverantwortung fr das BCM > 1. Linie BC Koordinatoren Steuerung innerhalb der Geschftsbereiche > 2. Linie 34 Strukturelemente eines BCM Business Impact Analyse (BIA) > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Praxis Produktionslinie A Produktionslinie C Produktionslinie B Entwicklung Compliance Strategische Analyse Schwerpunkte und Aktivitten Die Business Impact Analyse (BIA) ist ein Verfahren zur Identifikation der kritischen Geschftsprozesse , die nach ihrer Schutzbedrftigkeit priorisiert werden. Dies erfolgt durch die Entwicklung einer BIA-Methodik Durchfhrung von BIA-Workshops Bewertung des Schadens bei Nichtverfgbarkeit Ableitung von BCM-Parametern Zuordnung kritischer Ressourcen Konsolidierung und Prfung der Konsistenz der BIA-Ergebnisse Produktionslinie C Produktionslinie A Entwicklung Detaillierte Business Impact Analyse Zuordnung von Ressourcen Gebude Mitarbeiter IT-Systeme Infrastrukturen Zulieferer 35 Strukturelemente eines BCM Risikomanagement > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schwerpunkte und Aktivitten Zur Sicherung zeitkritischer Prozesse und Ressourcen liegt der Fokus des Risikomanagements auf der Identifikation von potenziellen Risiken sowie bereits bestehenden Schutzmanahmen. Aus dieser Analyse werden Optionen abgeleitet, um Risiken zu behandeln: Entwicklung einer BCM-Risikomanagement-Methodik Identifikation von BCM-Risiken und bestehenden Schutzmanahmen fr kritische Prozesse und Ressourcen Bewertung und Dokumentation der Risiken Ermittlung und Bewertung von Optionen zur Risikobehandlung Implementierung prventiver BCM-Manahmen Praxis Ausfall-Szenario Kontinuittsstrategien Auswahlkriterien Gebude Ersatz Mobile Rumlichkeiten Mobiles Arbeiten Mitarbeiter Interne Kompensierung Untersttzung durch Dritte Eignung Kosten-Nutzen Verhltnis Durchfhrbarkeit Geschwindigkeit Wirksamkeit IT-Systeme Interne Kompensierung Manuelle Implementierung Zulieferer Multi-sourcing Ersatzbeschaffung Infrastrukture n > Kontinuittsstrategie 36 Strukturelemente eines BCM Strategie und Wiederanlauf > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schwerpunkte und Aktivitten BCM-Prozesse und Notfallplne gewhrleisten die zeitnahe Wiederherstellung kritischer Prozesse bei Notfllen und Krisen Definition zentraler Notfall- und Krisenprozesse wie Alarmierung und Eskalation Erstellung von Methodik und Vorlagen zur Entwicklung von Notfallplnen Dokumentation der Notfallplne durch Prozesseigentmer unter Aufsicht des BC-Managers Entwicklung von Krisenprozessen und Einrichtung des Krisenstabs Praxis > Business Continuity Management > Template Notfallplan > Bezeichnung > der Prozesse > und Einheiten Wichtige Informationen auf einem Blick Aktivierung der BCP-Kriterien und Verantwortlichkeiten Verantwortlichkeiten im Fall eines BCM-Vorfalls Kommunikation und Ansprechpartner Bewertung der Situation Identifizierung der betroffenen Prozesse und Ressourcen Kontinuittsstrategie Notbetrieb (Vorbereitung, Durchfhrung, Rckkehr zum Normalbetrieb) 37 Strukturelemente eines BCM Tests und bungen > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schwerpunkte und Aktivitten Durch Tests und bungen knnen Notfallplne und Krisenprozesse auf ihre Umsetzbarkeit und Wirksamkeit geprft werden. Die Auswertung der Testergebnisse ermglicht kontinuierliche Verbesserungen des BCM. Es hilft Mitarbeiter im Ernstfall gut vorbereitet zu sein und schnell und zuverlssig reagieren zu knnen. Zur Durchfhrung von Tests und bungen sollte ein konkreter Zeitplan erstellt werden, der die relevanten BCM-Tests einschliet. Anschlieend mssen die Ergebnisse konsolidiert und ausgewertet werden, um mgliche Schwachstellen aufzudecken und zu beseitigen. Praxis Walkthrough Test Diskussionsbasierter Test im Bro, bei dem der Inhalt und die Logik der Notfallplne/Krisenproz esse geprft werden. Funktionaler Test Praxistest anhand eines konkreten Beispielszenarios, um festzustellen, ob die in den Notfallplnen beschriebenen BCM-Manahmen auch tatschlich in der Praxis umgesetzt werden knnen. Vollstndige Test Kontrolliertes Auslsen eines BCM-Vorfalls, ggf. unter Einbeziehung des Krisenstabs. Dabei wird auch geprft, ob und inwieweit die beschriebenen BCM-Manahmen aus dem Notfallplan in der Praxis tatschlich umgesetzt werden knnen. 38 Strukturelemente eines BCM berwachung und Verbesserung > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schwerpunkte und Aktivitten Prozess zur Leistungsberprfung sorgt fr Transparenz und zeigt die Wirksamkeit des BCMS. Definition von Reporting- und Eskalationsverfahren. Kontroll- und berwachungskonzept mit KPIs erstellen. Durchfhren von internen und externen Audits bei Bedarf. Identifizierung und Umsetzung von Verbesserungsmanahmen. Praxis BCM Governance Whrend des Berichtszeitraums wurden die folgende BCM-Vorflle festgestellt: Begrenzte Ressourcen Ransomware Unvollstndige BIA Zustzliche Ressourcen Updates der BIA Zustzliche Plne BCM-Vorflle Risiken & Herausforderungen Entscheidungsbedarf Rollen und Zustndigkeiten Durchfhrung der BIA Erstellung der Notfallplne Durchfhrung der Tests Status Quo Berichtszeitraum: 04.202 3 06.2023 Adresse: - BC Manager: - BIA wurde durchgefhrt Die berarbeitung der Notfallplne liegt bei 90% bungen / Tests geplant Status BIA Risiko Analyse Strategie und Wiederanlauf berwachung / Verbesserung Erkenntnisse und Verbesserungen Act Do Plan Tests und bungen Check 39 Strukturelemente eines BCM Awareness und Training > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Schwerpunkte und Aktivitten Schulung der Mitarbeiter ist entscheidend fr BCM-Verfahren und Risikominimierung Analyse der vorhandenen BCM-Kompetenzen Erstellung eines angepassten Trainings-und Awareness-Konzepts Implementierung von Awareness-Kampagnen Durchfhrung von BCM-Trainings intern oder extern Praxis Vorstand Fhrungskrfte ohne BCM-Bezug Mitarbeiter ohne BCM-Bezug Manager mit BCM-Bezug Mitarbeiter mit BCM-Bezug Trainingskomponente BCM kurz-Information BCM Basis-Information BCM Erweiterte Informationen 40 Strukturelemente eines BCM PDCA-Zyklus > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM PDCA-Zyklus (Plan-Do-Check-Act) ist ein Teil des BCM-Managementsystems. Wird genutzt um das BCMS von der Planung bis zur kontinuierlichen Verbesserung zu untersttzen. Der PDCA-Zyklus wird in allen Phasen des BCMS angewendet, einschlielich der Implementierung und des Betriebs. BCM Governance Business Impact Analyse Risiko Analyse Strategie und Wiederanlauf berwachung / Verbesserung Kontinuierliche Verbesserung des BCMS Act Do Plan Tests und bungen Chec k Definition von Rollen & Verantwortlichkeiten Erstellung der BCM-Leitlinie Entwicklung eines Trainings-& Awareness-Konzepts BIA-Methode zur Identifikation kritischer Prozesse Zuordnung von Assets (Service Komponenten) Festlegung der Ausfall-und Wiederanlaufzeiten Erstellung von bungs-und Testverfahren Regelmige berprfung des BCMS Risikoidentifikation Risikobewertung Risikobehandlung Erarbeitung einer BC Strategie Ableitung und Erstellung von Notfall- und Wiederanlaufplnen 41 Strukturelemente eines BCM Phasenmodell > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Business Impact Analyse (BIA) hilft, die Auswirkungen des Ausfalls von Geschftsprozessen auf die gesamte Organisation zu verstehen. ermglicht es, festzustellen, wie lange ein Prozess maximal ausfallen darf und wie schnell er wiederhergestellt werden muss. Zur Beschreibung dieser Eigenschaften mssen Wiederanlaufparameter fr kritische Prozesse definiert werden. Quelle: Angepasste eigene Darstellung nach BSI-Standard 100-4 Max. zulssiger Datenverlust Wiederanlaufzeit Notfallbetriebszeit Wiederherstellungszeit Normalbetrieb Wiederanl aufniveau Kapazitt Ereignis 100% X 0% Notbetrieb Max. tolerierbare Ausfallzeit 42 Strukturelemente eines BCM > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Hausaufgabe: Welche Dokumente werden im Rahmen des Aufbaus eines BCMS erstellt und in welchen Phasen kommen sie zum Einsatz? 43 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 44 Begrifflichkeiten > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Im Rahmen der BIA sollten insbesondere die folgenden Parameter bestimmt werden Maximal tolerierbare Ausfallzeit (Maximum tolerable period of disruptionMTPD) Dieser Wert gibt an, wann ein Prozess sptestens wieder anlaufen muss, damit die berlebensfhigkeit eines Unternehmens kurz-oder langfristig nicht gefhrdet ist. Wiederanlaufzeit (Recovery Time ObjectiveRTO) Dieser Wert gibt den Zeitraum nach einem Vorfall an, in dem der Notbetrieb aufgenommen werden sollte. Wiederanlaufniveau (Minimum business continuity objectiveMBCO) / Notbetriebsniveau Dieser Wert legt fest, welche Kapazitt bezogen auf den Normalbetrieb ein vorbergehender Notbetrieb zumindest aufweisen sollte, um ihre geschftlichen Zielsetzungen whrend einer Strung zu erreichen. 45 Begrifflichkeiten > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Im Rahmen der BIA sollten insbesondere die folgenden Parameter bestimmt werden Maximal zulssiger Datenverlust (Recovery Point ObjectiveRPO) Dieser Wert gibt an, welche Datenverluste hchstens tolerierbar sind und setzt Anforderungen an die Datensicherungsstrategie einer Institution. Die Ermittlung dieses Wertes ist immer dann wichtig, wenn Informationen einen hohen Stellenwert fr die Funktionsfhigkeit eines Prozesses haben. Notbetriebszeit Dieser Parameter gibt an, wie lange der Notbetrieb eines Prozesses dauert. 46 Begrifflichkeiten > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Business Continuity (BC): Fhigkeit einer Organisation, die Belieferung mit Produkten oder Dienstleistungen whrend eines Vorfalls mit Betriebsunterbrechung innerhalb eines angemessenen Zeitrahmens auf einem akzeptablen, zuvor festgelegten Niveau fortzusetzen (Definition gem ISO 22301:2019). Business Continuity Management (BCM): Ganzheitlicher Managementprozess Zur Identifikation von Bedrohungen fr die Organisation und der Auswirkungen auf die Geschftsablufe, der ein Rahmenwerk zur Herstellung der Widerstandsfhigkeit (Resilienz) der Organisation bereitstellt, das durch effektive Reaktionen die Interessen der zentralen Stakeholder, die Reputation, die Marke und wert schpfende Ttigkeiten der Organisation schtzt(Definition gem ISO 22301:2019). 47 Begrifflichkeiten > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Business Continuity Management System (BCMS): Teil des Gesamt-Managementsystems zur Einfhrung und Implementierung, den Betrieb sowie die berwachung, berprfung, Verwaltung und Verbesserung der Aufrechterhaltung der Betriebsfhigkeit. Es umfasst organisatorischen Aufbau, Leitlinien, Planungsttigkeiten, Verantwortlichkeiten, Verfahren, Prozesse und Ressourcen (Definition gem ISO 22301:2019). Resilienz / Widerstandsfhigkeit: Resilienz ist die Fhigkeit eines Unternehmens, Risiken mit existenzbedrohender Auswirkung durch eine gute Vorbereitung (Prvention) und eine unmittelbare Steuerung im Eintrittsfall (Reaktion) zu vermeiden oder abzumildern. Somit wird Resilienz definiert als Widerstandsfhigkeit eines Unternehmens, um dessen Fortbestand sicherzustellen. Diese kann durch ein Business Continuity Managementsystem sichergestellt werden. 49 Begrifflichkeiten - aus Notfallmanagement wird BCM > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Prozesse laufen wie gewnscht Prozesse oder Ressourcen stehen nicht wie vorgesehen zur Verfgung Innerhalb des Normalbetriebs behebbar(keine Notfallplne erforderlich) Keine Besondere Aufbau Organisation(BAO) erforderlich Erhebliche Unterbrechung eines zeitkritischen Geschftsprozesses BAO erforderlich Notfallplne liegen vor oder knnen angepasst werden Massive Unterbrechung eines/r (zeit-)kritischen Geschftsprozesses/ Fachaufgabe Es liegen keine Notfallplne vor oder die Notfallplne greifen nicht ausreichend Erweiterung der Befugnisse der BAO erforderlich # BCM 56 Begrifflichkeiten - aus Notfallmanagement wird BCM > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Strung: Eine Strung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfgung stehen. Strungen werden in der Regel innerhalb des Normalbetriebs durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben. Hierzu wird auf vorhandene Prozesse zur Strungsbeseitigung oder des Incident-Managements zurckgegriffen. Daher sind Strungen nicht Betrachtungsgegenstand dieses Standards. Strungen knnen jedoch zu einem Notfall eskalieren. Es ist daher empfehlenswert, diese zeitnah zu beheben. Notfall: Notflle sind Unterbrechungen des Geschftsbetriebs, die mindestens einen zeitkritischen Geschftsprozess betreffen, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. Im Gegensatz zu Strungen wird zur Bewltigung von Notfllen eine Besondere Aufbauorganisation (BAO) bentigt. Im Gegensatz zur Krise liegen hier geeignete Plne zur Bewltigung vor oder bestehende Plne knnen adaptiert werden. Notflle knnen auch eintreten, bevor das Schadensereignis zu einer Unterbrechung des Geschftsbetriebs fhrt. Es gengt die Gefahr, dass durch das Schadensereignis der Geschftsbetrieb unterbrochen wird. 57 Begrifflichkeiten - aus Notfallmanagement wird BCM > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Krise: Als Krise im Sinne dieses Standards wird ein Schadensereignis bezeichnet, das sich in massiver Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewltigt werden knnen. Im Gegensatz zu einem Notfall liegen zur Bewltigung einer Krise jedoch keine spezifischen Notfallplne vor, vorhandene Notfallplne knnen nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht. Innerhalb der Institution wird die Krise durch eingeleitete Manahmen der Besondere Aufbauorganisation (BAO) operativ bewltigt. 58 1. Praxisbeispiele 2. Schadenszenarien 3. Rechtliche Anforderungen 4. Die Standards ISO 22301 und BSI 100-4 / 200-4 5. Strukturelemente eines Business Continuity Management Systems 6. Begrifflichkeiten 7. Vorteile eines Business Continuity Managements bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 59 Vorteile > BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM Wettbewerbsvorteile und hhere Reputation. berblick ber wesentliche und zeitkritische Prozesse und Ressourcen innerhalb der Organisation. berblick ber potenzielle Risiken fr die Organisation. Die Gewissheit, dass es spezifische Aktionsplne gibt, die in Notfllen und Krisen sogar bei auergewhnlichen Ausfallereignissen funktionieren. Compliance mit den rechtlichen Anforderungen. Erfllung der Anforderungen von Kunden und Aktionren. 60 Fragen zur Veranstaltung BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 61 Impressum Prof. Dr. Gael Pentang Cybersecurity Management [email protected] BCSM 402 Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Title:

URL Source: blob://pdf/9cdf477f-5a2d-4024-a967-96525492c848

Markdown Content:
2

Prof. Dr. Gael Pentang

Gael.Pentang@hs-niederrhein.de

Sommersemester 2025 | Seminaristische Lehrveranstaltung

# BCSM 402 BCM KAP. 01: GRUNDLAGEN DES BUSINESS CONTINUITY MANAGEMENT (BCM)

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 3

Kapitel 00: Organisatorisches

Kapitel 01: Grundlagen des Business Continuity Management (BCM)

Kapitel 02: Standards und Rahmenbedingungen fr BCM

Kapitel 03: Rollen und Verantwortlichkeiten im BCM-Prozess

Kapitel 04: Business Impact Analyse: Methoden und Techniken

Kapitel 05: BCM Risikomanagement: Strategien und Umsetzung

Kapitel 06: Betrieb & Leistungsberprfung und Verbesserung

Kapitel 07: Krisenmanagement - Krisenbung

Kapitel 08: Zertifizierung und Auditierung des BCMS

Kapitel 09: IT-Service Continuity Management (ITSCM)

2. Gliederung

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 4

Am Ende sind Sie in der Lage,

verschiedene Schadensszenarien zu beschreiben und zu analysieren

rechtlichen Anforderungen an ein Business Continuity Management System zu benennen und zu erlutern

Gltige Standards (ISO 22301 und BSI 100-4/200-4) fr das BCM zu benennen und ihre Bedeutung zu erklren

Strukturelemente eines BCM-Systems zu beschreiben und deren Funktion zu erlutern

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Lernziele 5

Am Ende sind Sie in der Lage,

relevanten Begrifflichkeiten im Bereich BCM zu definieren und bzw. anzuwenden

Vorteile eines BCM-Systems zu erlutern

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Lernziele 6

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 7

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 8

Praxisbeispiele

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Ransomware-Angriff - EDF, 2022

Das franzsische Atomkonzern

lectricit de France (EDF) ist Opfer einer Ransomware-Attacke.

Angreifer erlangen Zugriff zu E-Mails und internen Netzwerken des Unternehmens.

EDF meldet ffentlich, dass Vorfall keine Auswirkungen auf den Betrieb der Kraftwerke hat. Einige IT-Systeme bleiben vorbergehend offline.

Es dauerte etwa eine Woche, bis alle Systeme wieder betriebsbereit.

Cyberangriff - UKD, 2020

Angreifer verschlsseln das IT System vom Universittsklinikum Dsseldorf (UKD) und fordern Lsegeld.

UKD muss ber mehrere Tage alle Notflle abweisen und zahlreiche Patienten auf umliegende Krankenhuser umleiten.

Es dauerte mehrere Wochen, bis alle IT-Systeme wiederhergestellt und der Krankenhausbetrieb wieder normal aufgenommen werden konnte.

Stromausflle - Sony, 2019

Taifun in Japan sorgt fr berschwemmungen und Stromausflle

was dazu fhrte, dass der Elektronikhersteller Sony seine Fabriken fr mehrere Tage schlieen musste.

Sony konnte erst nach neun Tagen wieder den normalen Betrieb aufnehmen. 9

Praxisbeispiele

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

System Ausfall - Amazon, 2017

Ausfall der Amazon S3-Cloud-Services, fhrt zu einem Ausfall von Hunderten von Websites und Apps.

Der Ausfall dauerte mehrere Stunden, und einige Kunden waren fr mehrere Tage von der Nutzung der Dienste ausgeschlossen.

Angriff - Bundestag, 2015

Das Netzwerk des Deutschen Bundestags wurde Ziel eines Angriffs.

Unbekannte versuchten, sich Zugang zu sensiblen Daten zu verschaffen. Der Angriff fhrte zur Abschaltung des Netzwerks.

Es dauerte mehrere Wochen, bis alle Systeme wieder betriebsbereit waren.

Corona Pandemie - Lufthansa

Whrend der Corona-Pandemie reduzierte Lufthansa den Flugverkehr drastisch.

Der Umsatz sank um mehr als 60 Prozent und das Unternehmen musste eine massive Umstrukturierung durchfhren, um die Krise zu bewltigen.

Es dauerte mehrere Monate, bis das Unternehmen wieder betriebsbereit war. 10

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 11

Schadensszenarien

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Zahlreiche Ereignissen knnen die Geschftsprozesse von Unternehmen beeintrchtigen und sich auf verschiedene Aspekte des Geschftsbetriebs auswirken.

Auswirkungen Auslser  Schden

Hhere Gewalt : Feuer, Wasser, Pandemie, Corona, Tsunamis, Erdbeben, Vulkan

Organisatorische Mngel : unzureichende Regelungen, unzureichender Schutz mangelhafte Vorsorge

Technisches Versagen : Ausfall Stromversorgung, Kommunikationsnetze

Menschliches Versagen : Verste, Fehlverhalten, Sorglosigkeit

Kriminelle Bedrohungen : Terrorattacken, Cyber-Angriffe und Vandalismus

...

Personal

Gebude

Dienstleister

Informationen

Betriebsmittel

Verlust von Einnahmen

Verlust von Kunden

Reputationsverlust

Verlust von Know-How

Vertrauensverlust

Bedrohung der Existenz 12

Schadensszenarien

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Eine Naturkatastrophe ist ein pltzliches und schwerwiegendes Ereignis , das durch die Krfte der Natur verursacht wird und das Leben und die Gesundheit von Menschen, die Umwelt und die Infrastruktur beeintrchtigt.

Anzahl Schadenereignisse weltweit 1980 - 2019  Wetterextremen durch Klimawandel

Unternehmen mssen Manahmen ergreifen, um ihre Geschftskontinuitt aufrechtzuerhalten, um sicherzustellen, dass sie trotz Naturkatastrophe ihre Dienstleistungen und Produkte bereitstellen knnen.

Es wird erwartet, dass diese Entwicklungen in Zukunft zu einer Zunahme von Naturkatastrophen fhren werden. 13

Schadensszenarien

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Die Wirtschaftskriminalitt umfasst Straftaten (Betrug, Korruption, Diebstahl von geistigem Eigentum, Geldwsche ) , die darauf abzielen, einem Unternehmen finanziellen Schaden zuzufgen oder seine Geschftsprozesse zu stren.

Es ist wichtig, bei der Erstellung von BCM-Plnen die potenziellen Auswirkungen von Wirtschaftskriminalitt zu bercksichtigen und geeignete Manahmen zu ergreifen, um das Risiko von Vorfllen zu minimieren und die Geschftskontinuitt zu gewhrleisten.

Die Lage in Deutschland

78% der Befragten Unternehmen sehen hohes Risiko fr Wirtschaftskriminalitt

obwohl nur 31% Opfer der Wirtschaftskriminalitt

Die Gesamtschadenssummen pro Schadensfall knnen ber eine Million Euro betragen.

In den vergangenen Jahren wurden wirtschafts-kriminelle Handlungen zu gleichen Anteilen von externen wie internen Ttern begangen; (2020: 47 %, 2018: 61% der Flle wurden externen Ttern zugeordnet).

Grnde fr eine erhhte Gefahr im Unternehmen sind

o fehlende oder mangelhafte Kontrollen

o Unachtsamkeit bzw. Nachlssigkeit

> Quelle: KPMG-Studie Wirtschaftskriminalitt in Deutschland (2020)

Von Wirtschaftskriminalitt betroffene Bereiche (in Prozente) 14

eCrime bezieht sich auf kriminelle Handlungen , die im Zusammenhang mit der Informationstechnologie stehen, wie zum Beispiel Cyberangriffe, Datendiebstahl, Ransomware-Angriffe oder Hacking.

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schadensszenarien

* Quelle: BITKOM-Studie Wirtschaftsschutz  (2021).

Quelle:  Kaspersky Lab Infographics, Kaspersky-Studie IT Security RisksSurvey 2014 Global report (2014).

Die Folgen fr Unternehmen

Datenverlust

Produktivittseinbruch

Geschftsunterbrechung

Verlust von Know-How

Vetragsverletzungen ( Sicherheitsbestimmungen)

Gesetzverste

Verlust von Autrgen

Vertrauensverlust bei Geschftspartnern

Unter-nehmen

direkt

indirekt

Laut einer BITKOM-Studie* sind 88 % aller befragten Unternehmen in den letzten 2Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen.

Unternehmen haben Notfallplne fr Datenverluste eingefhrt*.

53%

75%  88%

26%

13%

12% 21%  11%

1 2 3

Datenreihen1  Datenreihen2  Datenreihen3

Die Folgen fr Unternehmen

Cyberattacken knnen zum Verlust von Geschftsgeheimnissen fhren und gefhrden die Arbeitsfhigkeit eines Unternehmens. (Prof. Dieter Kempf, Prsident der BITKOM)

2017  2018  2019 15

Schadensszenarien

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Folgen von Prozessausflle knnen sich im Laufe der Zeit in Stunden oder Tagen entwickeln.

Prozessausfall und dessen Folgen

Schadensszenarien

Prozessausfall kann Ansehen des Unternehmens bei Kunden, Geschftspartnern und ffentlichkeit beeintrchtigen .

Reputation

Ausfall eines wichtigen Geschftsprozesses fhrt dazu, dass das Unternehmen Umstze verliert .

Umsatzwirkung

Branchenspezifische gesetzliche Vorschriften mssen eingehalten werden

Regulatorische Auswirkungen

Festgelegte Vertrge fr die Bereitstellung von bestimmten Dienstleistungen oder Produkte innerhalb eines bestimmten Zeitraums.

Strafzahlungen

## 16

Vergleich der Schden fr Unternehmen mit und ohne BCM

Unternehmen mit einem BCM sind in der Lage, Strungen oder Unterbrechungen besser zu bewltigen und ihren Betrieb schneller wieder aufzunehmen

? Mit der Reputation verbundene Schden fallen allerdings bei Unternehmen mit BCM hher aus als bei Unternehmen ohne BCM. Woran knnte das liegen?

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schadensszenarien

> Quelle: Basierend auf Chartered Management Institute (2013). Weathering the Storm.
> 010 20 30 40 50 60

> Unternehmen mit BCM
> Unternehmen Ohne BCM

Top 4 Auswirkungen von Schden fr Unternehmen mit und ohne BCM.

(Angaben aus einer Befragung von 637 Managern britischer Unternehmen, die in der Regel keine spezielle BCM-Verantwortung hatten und aus verschiedenen Hierarchieebenen ihrer Unternehmen stammten. Die Prozentzahlen wurden ermittelt.) 17

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 18

Gesetzliche und regulatorische Vorgaben machen BCM verpflichtend  direkt oder indirekt

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen

Allgemeine Anforderungen

HGB  Ordnungsmigkeit der Buchfhrung

GoB / GoBD  Datenverfgbarkeit sichern

BDSG / DSGVO  Datenwierderherstellung

AktG / GmbHG  Sorgfaltspflichten

Branchenspezifische Anforderungen

MaRisk / BAIT / VAIT Notfallmanagement in Finanzinstituten

Solvency II / VAG  BCM bei Versicherungen

Basel III / KWG  Risikomanagement in Banken

IT-Sicherheitsgesetz  KRITIS Infrastrukturen

TKG / EnWG  Verfgbarkeitsvorgaben fr Telekommunikation und Energie 19

Grundstze ordnungsgemer Buchfhrung (GoB)

Software und Geschftsdaten mssen geschtzt und vor unberechtigten nderungen gesichert

werden

Buchfhrungsrelevante Daten mssen jederzeit verfgbar, vollstndig und nachvollziehbar sein

Relevante Vorschriften: 145147 AO, 238, 239, 257 HGB, GoBD, GoB, GDPdU

Datenschutzgrundverordnung (DSGVO)

Verantwortliche und Auftragsverarbeiter mssen geeignete technische und organisatorische Manahmen umsetzen

Ziel: Sicherstellung von Vertraulichkeit, Integritt, Verfgbarkeit und Belastbarkeit von Systemen und Diensten (Art. 32 Abs. 1 DSGVO).

Schnelle Wiederherstellung nach physischen oder technischen Zwischenfllen muss gewhrleistet sein

Notfallmanagement inklusive Notfallplnen ist verpflichtend

Regelmige Tests zur Wiederherstellbarkeit und Verfgbarkeit sind erforderlich

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Allgemein 20

Handelsgesetzbuch (HGB):

Brsennotierte Aktiengesellschaften mssen nach 91 Abs. 2 AktG ein angemessenes

Risikofrherkennungssystem implementieren

Das berwachungssystem muss funktionsfhig sein und wird im Rahmen der Abschlussprfung gem. 317 Abs. 4, 321 Abs. 4 HGB bewertet

GmbH-Gesetz (GmbHG):

Geschftsfhrer unterliegen der Pflicht zur Sorgfalt eines ordentlichen Geschftsmannes (43 GmbHG).

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Gesellschaftsformen 21

IT-Sicherheitsgesetz (IT-SiG)

Das IT-Sicherheitsgesetz (IT-SiG) von 2015 identifiziert kritische Versorgungsbereiche der digitalen Infrastruktur in Deutschland und ist die nationale Umsetzung der EU NIS Richtlinie. Eine aktualisierte Novelle aus dem Jahr 2021 wird als IT-SiG 2.0 bezeichnet.

Betreiber von Webangeboten mssen  erhhte Anforderungen an technische und organisatorische Manahmen zum Schutz von Kundendaten und IT-Systemen von Betreibern von Webangeboten sowie die Verpflichtung von Telekommunikationsunternehmen zur Warnung ihrer Kunden bei einem Missbrauch des Kundenanschlusses fr IT-Angriffe.

Betreiber kritischer Infrastrukturen mssen

ihre IT-Systeme angemessen absichern und regelmig berprfen lassen,

erhebliche IT-Sicherheitsvorflle an das BSI melden.

Die Kritisverordnung (BSI-KritisV) regelt, welche Unternehmen aus den betroffenen Branchen unter das IT-Sicherheitsgesetz fallen. Unter das IT-Sicherheitsgesetz fallen Unternehmen aus den Bereichen Abfallentsorgung, Energie, IT und Telekommunikation, Ernhrung, Wasser, Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Branchenspezifisch 23

Energieversorger - Energiewirtschaftsgesetz (EnWG)

Energieversorger mssen Manahmen zur Vermeidung schwerwiegender Versorgungsstrungen treffen (  13, 16 EnWG Systemverantwortung der Betreiber )

Betreiber von Energieversorgungsnetzen mssen der Bundesnetzagentur jhrlich Bericht ber Versorgungsstrungen und ergriffene Manahmen erstatten. ( 52 EnWG  Meldepflichten bei Versorgungsstrungen)

Telekommunikation - Telekommunikationsgesetz (TKG)

Telekommunikationsanlagen (TK) -Betreiber mssen angemessene Vorkehrungen gegen Strungen und Risiken treffen

Technische Schutzmanahmen und Daten- und Informationssicherheit sind im Telekommunikationsgesetz vorgeschrieben. (  109, 109a TKG  Technische

Schutzmanahmen,Daten-und Informationssicherheit)

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Branchenspezifisch 24

Investmentgesellschaften und Kapitalverwaltungsgesellschaften

Das Kapitalanlagegesetzbuch (KAGB)

verlangt von Kapitalverwaltungsgesellschaften (KVG) eine permanente Risikocontrolling Funktion, die auch das operationelle Risiko beinhaltet.

Dies bezieht sich auf das Verlustrisiko fr ein Investmentvermgen, das durch interne Prozesse, menschliches oder Systemversagen oder externe Ereignisse verursacht wird.

Mindestanforderungen an das Risikomanagement (KAMaRisk)

Das Risikomanagementsystem muss regelmig berprft und aktualisiert werden.

AIF-Kapitalverwaltungsgesellschaften mssen ein Notfallkonzept erstellen und umsetzen, um sicherzustellen, dass wesentliche Daten und Funktionen im Falle von Strungen erhalten bleiben und Dienstleistungen bald wieder aufgenommen werden knnen.

Im Falle von Auslagerungen mssen die beteiligten Unternehmen ber aufeinander abgestimmte Notfallkonzepte verfgen und die Kommunikationswege fr den Notfall festlegen.

Das Notfallkonzept muss den Mitarbeitern zur Verfgung stehen (gem Ziffer 8.2 KAMaRisk)

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Branchenspezifisch 25

Kreditinstitute und Finanzdienstleistungsinstitute

Kreditwesengesetz (KWG)

Kreditinstitute und Finanzdienstleistungsinstitute mssen eine ordnungsgeme Geschftsorganisation haben, die ein angemessenes und wirksames Risikomanagement umfasst.

Das Risikomanagement erfordert die Festlegung eines angemessenen Notfallkonzepts, insbesondere fr IT-Systeme

Mindestanforderungen an das Risikomanagement (BA) (MaRisk BA)

AT 7.2 Technisch-organisatorische Ausstattung  Die IT-Systeme und -Prozesse mssen die Integritt, Verfgbarkeit, Authentizitt und Vertraulichkeit der Daten sicherstellen und auf gngige Standards abgestimmt sein

AT 7.3 Notfallkonzept

o Es muss Vorsorge fr Notflle in zeitkritischen Aktivitten und Prozessen getroffen werden, indem ein Notfallkonzept erstellt wird, das Geschftsfortfhrungs- und Wiederanlaufplne umfasst

o Die Wirksamkeit und Angemessenheit des Notfallkonzepts muss regelmig durch Notfalltests berprft werden, und die im Notfall zu verwendenden Kommunikationswege mssen festgelegt sein. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfgung stehen.

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Branchenspezifisch 26

Kreditinstitute und Finanzdienstleistungsinstitute  Fortsetzung

Bankaufsichtliche Anforderungen an die IT (BAIT)

Die BAIT sind regulatorische Anforderungen fr Kreditinstitute und Finanzdienstleistungsinstitute, die sicherstellen sollen, dass ihre IT-Systeme und Prozesse angemessen und sicher gestaltet sind.

Sie sind ein zentraler Baustein fr die IT-Aufsicht im Bankensektor in Deutschland und interpretieren die gesetzlichen Anforderungen des KWG bezglich einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme und eines angemessenen Notfallkonzepts.

hnlich wie bei MaRisk, werden die gesetzlichen Anforderungen des 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG von der BAIT interpretiert.

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Branchenspezifisch 27

Versicherungen

Versicherungsaufsichtsgesetz (VAG)

Versicherungsunternehmen mssen gem VAG eine ordnungsgeme Geschftsorganisation sicherstellen, welche die Einhaltung gesetzlicher und aufsichtsbehrdlicher Anforderungen gewhrleistet.

Dazu gehrt ein angemessenes Risikomanagement, wofr die Geschftsleitung verantwortlich ist (  23, 24, 26  Geschftsorganisation, Geschftsleiterpflichten).

Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)

geben den Unternehmen einen flexiblen Rahmen fr die Ausgestaltung der IT, insbesondere fr das Management der IT-Ressourcen und des IT-Risikos.

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Branchenspezifisch 28

BCM bei Auslagerung an Dienstleister

Brgerliches Gesetzbuch (BGB)

besagt, dass eine Leistungspflicht ausgeschlossen ist, wenn sie fr den Schuldner unmglich ist, jedoch nur bei dauerhafter Unmglichkeit und nicht bei bloer Lieferverzgerung.

Bei Gefhrdung des Geschftszwecks oder Unzumutbarkeit des weiteren Festhaltens am Vertrag kann eine vorbergehende Unmglichkeit der Leistung einer dauerhaften gleichgestellt werden. (275 BGB - Ausschluss der Leistungspflicht (Force majeure))

KAMaRisk und MaRisk (BA) definieren ebenfalls spezifische Anforderungen.

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Gesetzliche Anforderungen  Branchenspezifisch 29

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 30

Die Standards ISO 22301 und BSI 100-4 / 200-4

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

ISO 22301

Der Standard ISO 22301:2019 legt fest, welche Anforderungen ein Business Continuity Management System erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen.

BSI-Standard 100-4 / 200-4

Der deutsche BSI-Standard 100-4 / 200-4 bietet eine systematische Methodik fr die Etablierung eines Notfallmanagements in Unternehmen oder Behrden, um die Geschftskontinuitt zu gewhrleisten.

> INTERNATIONAL
> STANDARD
> ISO
> 22301 31

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 32

Strukturelemente eines BCM

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

AWARENESS UND TRAINING

BUSINESS IMPACT

ANALYSE

RISIKO-

MANAGEMENT

BERWACHUNG UND VERBESSERUNG

STRATEGIE UND WIEDERANLAUF

TESTS UND BUNGEN

MANAGEMENT-VERANTWORTUNG, BCM LEITLINIE UND MANAGEMENT-SYSTEM

BCM GOVERNANCE 33

Strukturelemente eines BCM  BCM Governance

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schwerpunkte und Aktivitten

Die BCM Governance etabliert Rollen und Verantwortlichkeiten sowie organisatorische Strukturen und definiert BCM-Anforderungen in einer BCM-Richtlinie.

Einrichtung einer BCM Abteilung

Konzeption und Etablierung der Rollen und Verantwortlichkeiten

Identifizierung relevanter Schnittstellen zu anderen Abteilungen und/oder Managementsystemen.

Erstellung und Verffentlichung der BCM-Richtlinie mit den relevanten Anforderungen fr die Organisation

Praxis

Fachleute (Prvention)

Implementierung von prventiven BC-Manahmen

Notfall-und Krisenteams (Reaktion)

Durchfhrung von Reaktionsmanahmen nach einem Zwischenfall

Leitung des Crisis Management

Teams

Steuerung des Krisenmanagem ents

Leitung des IT Disaster Recovery

Teams

Steuerung der IT-Wiederherstellun g

Leitung des Emergency Response Teams

Steuerung der Notfallmanahm en

BC-Manager

Konzeption der BCM-Anforderungen Kontrolle und Untersttzung der BCM-Ausfhrung

Vorstand

Gesamtverantwortung fr das BCM

> 1. Linie

BC Koordinatoren

Steuerung innerhalb der Geschftsbereiche

> 2. Linie 34

Strukturelemente eines BCM  Business Impact Analyse (BIA)

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Praxis

Produktionslinie A  Produktionslinie C

Produktionslinie B  Entwicklung

Compliance

Strategische Analyse

Schwerpunkte und Aktivitten

Die Business Impact Analyse (BIA) ist ein Verfahren zur Identifikation der kritischen Geschftsprozesse , die nach ihrer Schutzbedrftigkeit priorisiert werden.

Dies erfolgt durch die Entwicklung einer BIA-Methodik

Durchfhrung von BIA-Workshops

Bewertung des Schadens bei Nichtverfgbarkeit

Ableitung von BCM-Parametern

Zuordnung kritischer Ressourcen

Konsolidierung und Prfung der Konsistenz der BIA-Ergebnisse

Produktionslinie C

Produktionslinie A  Entwicklung

Detaillierte Business Impact Analyse

Zuordnung von Ressourcen

Gebude  Mitarbeiter  IT-Systeme  Infrastrukturen  Zulieferer 35

Strukturelemente eines BCM  Risikomanagement

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schwerpunkte und Aktivitten

Zur Sicherung zeitkritischer Prozesse und Ressourcen liegt der Fokus des Risikomanagements auf der Identifikation von potenziellen Risiken sowie bereits bestehenden Schutzmanahmen. Aus dieser Analyse werden Optionen abgeleitet, um Risiken zu behandeln:

Entwicklung einer BCM-Risikomanagement-Methodik

Identifikation von BCM-Risiken und bestehenden Schutzmanahmen fr kritische Prozesse und Ressourcen

Bewertung und Dokumentation der Risiken

Ermittlung und Bewertung von Optionen zur Risikobehandlung

Implementierung prventiver BCM-Manahmen

Praxis

Ausfall-Szenario  Kontinuittsstrategien  Auswahlkriterien

Gebude

Ersatz

Mobile Rumlichkeiten

Mobiles Arbeiten

Mitarbeiter

Interne Kompensierung

Untersttzung durch Dritte   Eignung

Kosten-Nutzen Verhltnis

Durchfhrbarkeit

Geschwindigkeit

Wirksamkeit

IT-Systeme

Interne Kompensierung

Manuelle Implementierung

Zulieferer   Multi-sourcing

Ersatzbeschaffung

Infrastrukture n

> Kontinuittsstrategie

Strukturelemente eines BCM  Strategie und Wiederanlauf

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schwerpunkte und Aktivitten

BCM-Prozesse und Notfallplne gewhrleisten die zeitnahe Wiederherstellung kritischer Prozesse bei Notfllen und Krisen

Definition zentraler Notfall- und Krisenprozesse wie Alarmierung und Eskalation

Erstellung von Methodik und Vorlagen zur Entwicklung von Notfallplnen

Dokumentation der Notfallplne durch Prozesseigentmer unter Aufsicht des BC-Managers

Entwicklung von Krisenprozessen und Einrichtung des Krisenstabs

Praxis

> Business Continuity Management
> Template Notfallplan
> Bezeichnung
> der Prozesse
> und Einheiten

Wichtige Informationen auf einem Blick

Aktivierung der BCP-Kriterien und Verantwortlichkeiten

Verantwortlichkeiten im Fall eines BCM-Vorfalls

Kommunikation und Ansprechpartner

Bewertung der Situation  Identifizierung der betroffenen Prozesse und Ressourcen

Kontinuittsstrategie

Notbetrieb (Vorbereitung, Durchfhrung, Rckkehr zum Normalbetrieb) 37

Strukturelemente eines BCM  Tests und bungen

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schwerpunkte und Aktivitten

Durch Tests und bungen knnen Notfallplne und Krisenprozesse auf ihre

Umsetzbarkeit und Wirksamkeit geprft werden. Die Auswertung der Testergebnisse ermglicht kontinuierliche Verbesserungen des BCM. Es hilft Mitarbeiter im Ernstfall gut vorbereitet zu sein und schnell und zuverlssig reagieren zu knnen.

Zur Durchfhrung von Tests und bungen sollte ein konkreter Zeitplan erstellt werden, der die relevanten BCM-Tests einschliet.

Anschlieend mssen die Ergebnisse konsolidiert und ausgewertet werden, um mgliche Schwachstellen aufzudecken und zu beseitigen.

Praxis

Walkthrough Test

Diskussionsbasierter Test im Bro, bei dem der Inhalt und die Logik der Notfallplne/Krisenproz esse geprft werden.

Funktionaler Test

Praxistest anhand eines konkreten Beispielszenarios, um festzustellen, ob die in den Notfallplnen beschriebenen BCM-Manahmen auch tatschlich in der Praxis umgesetzt werden knnen.

Vollstndige Test

Kontrolliertes Auslsen eines BCM-Vorfalls, ggf. unter Einbeziehung des Krisenstabs. Dabei wird auch geprft, ob und inwieweit die beschriebenen BCM-Manahmen aus dem Notfallplan in der Praxis tatschlich umgesetzt werden knnen. 38

Strukturelemente eines BCM  berwachung und Verbesserung

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schwerpunkte und Aktivitten

Prozess zur Leistungsberprfung sorgt fr Transparenz und zeigt die Wirksamkeit des BCMS.

Definition von Reporting- und Eskalationsverfahren.

Kontroll- und berwachungskonzept mit KPIs erstellen.

Durchfhren von internen und externen Audits bei Bedarf.

Identifizierung und Umsetzung von Verbesserungsmanahmen.

Praxis

BCM Governance

Whrend des Berichtszeitraums wurden die folgende BCM-Vorflle festgestellt:

Begrenzte Ressourcen

Ransomware

Unvollstndige BIA

Zustzliche Ressourcen

Updates der BIA

Zustzliche Plne

BCM-Vorflle  Risiken & Herausforderungen  Entscheidungsbedarf

Rollen und Zustndigkeiten

Durchfhrung der BIA

Erstellung der Notfallplne

Durchfhrung der Tests

Status Quo

Berichtszeitraum:

04.202 3 06.2023

Adresse:

BC Manager:

BIA wurde durchgefhrt

Die berarbeitung der Notfallplne liegt bei 90%

bungen / Tests geplant

Status

BIA  Risiko Analyse

Strategie und Wiederanlauf  berwachung / Verbesserung

Erkenntnisse und Verbesserungen

Act

Plan  Tests und bungen

Check 39

Strukturelemente eines BCM  Awareness und Training

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Schwerpunkte und Aktivitten

Schulung der Mitarbeiter ist entscheidend fr BCM-Verfahren und Risikominimierung

Analyse der vorhandenen BCM-Kompetenzen

Erstellung eines angepassten Trainings-und Awareness-Konzepts

Implementierung von Awareness-Kampagnen

Durchfhrung von BCM-Trainings intern oder extern

Praxis

Vorstand

Fhrungskrfte ohne BCM-Bezug

Mitarbeiter ohne BCM-Bezug

Manager mit BCM-Bezug

Mitarbeiter mit BCM-Bezug

Trainingskomponente  BCM kurz-Information

BCM Basis-Information

BCM Erweiterte Informationen 40

Strukturelemente eines BCM  PDCA-Zyklus

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

PDCA-Zyklus (Plan-Do-Check-Act)

ist ein Teil des BCM-Managementsystems.

Wird genutzt um das BCMS von der Planung bis zur kontinuierlichen Verbesserung zu untersttzen.

Der PDCA-Zyklus wird in allen Phasen des BCMS angewendet, einschlielich der Implementierung und des Betriebs.

BCM Governance  Business Impact Analyse  Risiko Analyse  Strategie und Wiederanlauf  berwachung / Verbesserung

Kontinuierliche Verbesserung des BCMS

Act

Do Plan  Tests und bungen

Chec k

Definition von Rollen &

Verantwortlichkeiten

Erstellung der BCM-Leitlinie

Entwicklung eines

Trainings-&

Awareness-Konzepts

BIA-Methode zur Identifikation kritischer Prozesse

Zuordnung von Assets (Service Komponenten)

Festlegung der Ausfall-und Wiederanlaufzeiten

Erstellung von bungs-und Testverfahren

Regelmige berprfung des BCMS

Risikoidentifikation

Risikobewertung

Risikobehandlung

Erarbeitung einer BC Strategie

Ableitung und Erstellung von Notfall- und Wiederanlaufplnen 41

Strukturelemente eines BCM  Phasenmodell

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Business Impact Analyse (BIA)

hilft, die Auswirkungen des Ausfalls von Geschftsprozessen auf die gesamte Organisation zu verstehen.

ermglicht es, festzustellen, wie lange ein Prozess maximal ausfallen darf und wie schnell er wiederhergestellt werden muss.

Zur Beschreibung dieser Eigenschaften mssen Wiederanlaufparameter fr kritische Prozesse definiert werden.

Quelle:  Angepasste eigene Darstellung nach BSI-Standard 100-4

Max. zulssiger Datenverlust

Wiederanlaufzeit  Notfallbetriebszeit

Wiederherstellungszeit

Normalbetrieb

Wiederanl aufniveau

Kapazitt

Ereignis

100%

Notbetrieb

Max. tolerierbare Ausfallzeit 42

Strukturelemente eines BCM

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Hausaufgabe: Welche Dokumente werden im Rahmen des Aufbaus eines BCMS erstellt  und in welchen Phasen kommen sie zum Einsatz? 43

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 44

Begrifflichkeiten

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Im Rahmen der BIA sollten insbesondere die folgenden Parameter bestimmt werden

Maximal tolerierbare Ausfallzeit (Maximum tolerable period of disruptionMTPD)

Dieser Wert gibt an, wann ein Prozess sptestens wieder anlaufen muss, damit die berlebensfhigkeit eines Unternehmens kurz-oder langfristig nicht gefhrdet ist.

Wiederanlaufzeit (Recovery Time ObjectiveRTO)

Dieser Wert gibt den Zeitraum nach einem Vorfall an, in dem der Notbetrieb aufgenommen werden sollte.

Wiederanlaufniveau (Minimum business continuity objectiveMBCO) / Notbetriebsniveau

Dieser Wert legt fest, welche Kapazitt bezogen auf den Normalbetrieb ein vorbergehender Notbetrieb zumindest aufweisen sollte, um ihre geschftlichen Zielsetzungen whrend einer Strung zu erreichen. 45

Begrifflichkeiten

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Im Rahmen der BIA sollten insbesondere die folgenden Parameter bestimmt werden

Maximal zulssiger Datenverlust (Recovery Point ObjectiveRPO)

Dieser Wert gibt an, welche Datenverluste hchstens tolerierbar sind und setzt Anforderungen an die Datensicherungsstrategie einer Institution. Die Ermittlung dieses Wertes ist immer dann wichtig, wenn Informationen einen hohen Stellenwert fr die Funktionsfhigkeit eines Prozesses haben.

Notbetriebszeit

Dieser Parameter gibt an, wie lange der Notbetrieb eines Prozesses dauert. 46

Begrifflichkeiten

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Business Continuity (BC):

Fhigkeit einer Organisation, die Belieferung mit Produkten oder Dienstleistungen whrend eines Vorfalls mit Betriebsunterbrechung innerhalb eines angemessenen Zeitrahmens auf einem akzeptablen, zuvor festgelegten Niveau fortzusetzen (Definition gem ISO 22301:2019).

Business Continuity Management (BCM): Ganzheitlicher Managementprozess

Zur Identifikation von Bedrohungen fr die Organisation und der Auswirkungen auf die Geschftsablufe, der ein Rahmenwerk zur Herstellung der Widerstandsfhigkeit (Resilienz) der Organisation bereitstellt, das durch effektive Reaktionen die Interessen der zentralen Stakeholder, die Reputation, die Marke und wert schpfende Ttigkeiten der Organisation schtzt(Definition gem ISO 22301:2019). 47

Begrifflichkeiten

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Business Continuity Management System (BCMS):

Teil des Gesamt-Managementsystems zur Einfhrung und Implementierung, den Betrieb sowie die berwachung, berprfung, Verwaltung und Verbesserung der Aufrechterhaltung der Betriebsfhigkeit. Es umfasst organisatorischen Aufbau, Leitlinien, Planungsttigkeiten, Verantwortlichkeiten, Verfahren, Prozesse und Ressourcen (Definition gem ISO 22301:2019).

Resilienz / Widerstandsfhigkeit:

Resilienz ist die Fhigkeit eines Unternehmens, Risiken mit existenzbedrohender Auswirkung durch eine gute Vorbereitung (Prvention) und eine unmittelbare Steuerung im Eintrittsfall (Reaktion) zu vermeiden oder abzumildern. Somit wird Resilienz definiert als Widerstandsfhigkeit eines Unternehmens, um dessen Fortbestand sicherzustellen. Diese kann durch ein Business Continuity Managementsystem sichergestellt werden. 49

Begrifflichkeiten - aus Notfallmanagement wird BCM

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Prozesse laufen wie gewnscht

Prozesse oder Ressourcen stehen nicht wie vorgesehen zur Verfgung

Innerhalb des Normalbetriebs behebbar(keine Notfallplne erforderlich)

Keine Besondere Aufbau Organisation(BAO) erforderlich

Erhebliche Unterbrechung eines zeitkritischen Geschftsprozesses

BAO erforderlich

Notfallplne liegen vor oder knnen angepasst werden

Massive Unterbrechung eines/r (zeit-)kritischen Geschftsprozesses/ Fachaufgabe

Es liegen keine Notfallplne vor oder die Notfallplne greifen nicht ausreichend

Erweiterung der Befugnisse der BAO erforderlich

# BCM 56

Begrifflichkeiten - aus Notfallmanagement wird BCM

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Strung:

Eine Strung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfgung stehen. Strungen werden in der Regel innerhalb des Normalbetriebs durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben. Hierzu wird auf vorhandene Prozesse zur Strungsbeseitigung oder des Incident-Managements zurckgegriffen. Daher sind Strungen nicht Betrachtungsgegenstand dieses Standards. Strungen knnen jedoch zu einem Notfall eskalieren. Es ist daher empfehlenswert, diese zeitnah zu beheben.

Notfall:

Notflle sind Unterbrechungen des Geschftsbetriebs, die mindestens einen zeitkritischen Geschftsprozess betreffen, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. Im Gegensatz zu Strungen wird zur Bewltigung von Notfllen eine Besondere Aufbauorganisation (BAO) bentigt. Im Gegensatz zur Krise liegen hier geeignete Plne zur Bewltigung vor oder bestehende Plne knnen adaptiert werden. Notflle knnen auch eintreten, bevor das Schadensereignis zu einer Unterbrechung des Geschftsbetriebs fhrt. Es gengt die Gefahr, dass durch das Schadensereignis der Geschftsbetrieb unterbrochen wird. 57

Begrifflichkeiten - aus Notfallmanagement wird BCM

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Krise:

Als Krise im Sinne dieses Standards wird ein Schadensereignis bezeichnet, das sich in massiver Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewltigt werden knnen. Im Gegensatz zu einem Notfall liegen zur Bewltigung einer Krise jedoch keine spezifischen Notfallplne vor, vorhandene Notfallplne knnen nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht. Innerhalb der Institution wird die Krise durch eingeleitete Manahmen der Besondere Aufbauorganisation (BAO) operativ bewltigt. 58

1.  Praxisbeispiele

2.  Schadenszenarien

3.  Rechtliche Anforderungen

4.  Die Standards ISO 22301 und BSI 100-4 / 200-4

5.  Strukturelemente eines Business Continuity Management Systems

6.  Begrifflichkeiten

7.  Vorteile eines Business Continuity Managements

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 59

Vorteile

> BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Wettbewerbsvorteile und hhere Reputation.

berblick ber wesentliche und zeitkritische Prozesse und Ressourcen innerhalb der Organisation.

berblick ber potenzielle Risiken fr die Organisation.

Die Gewissheit, dass es spezifische Aktionsplne gibt, die in Notfllen und Krisen sogar bei auergewhnlichen Ausfallereignissen funktionieren.

Compliance mit den rechtlichen Anforderungen.

Erfllung der Anforderungen von Kunden und Aktionren. 60

Fragen zur Veranstaltung

BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM 61

Impressum

Prof. Dr. Gael Pentang

Cybersecurity Management

Gael.Pentang@hs-niederrhein.de

BCSM 402  Business Continuity Management (BCM) - Kap.01: Grundlagen des BCM

Transcript for:Kapitel 01

Transcript for:
Kapitel 01