Die neuen ISO Guidelines ISO / TS 22332 für Business Continuity Pläne

Für Sie gelesen: die neuen ISO-Guidelines für Business Continuity Pläne

Das Technical Committee ISO/TC 292 Security and resilience hat uns mit einer neuen Guideline für das BCM beglückt. Die ISO / TS 22332 trägt den Titel “Guidelines for developing business continuity plans and procedures” und beschreibt auf übersichtlichen 19 Seiten Empfehlungen für die Erstellung von Business Continuity Planungen (BC-Pläne). Der ISO-Standard verwendet daher auch durchgehend den Begriff “should” – und nicht “shall” wie die Norm ISO 22301 – was den Charakter einer Guideline der Norm deutlich macht.

Die Lektüre eines neuen ISO-Standards ist immer spannend, oftmals anstrengend und enttäuschend, manchmal leichtgängig und erfreulich. Diese Guideline gehört glücklicherwiese zur positiven Gattung der ISO-Neuerscheinungen. Nicht nur die Länge ist angemessen, auch sind die Inhalte pragmatisch und ergebnisorientiert dargestellt. Dies kann man leider nicht von jedem Standard behaupten. Die Entwicklung scheint mir aber in letzter Zeit in die richtige Richtung zu gehen – pragmatisch und ergebnisorientiert statt theoretisch, abstrakt und abkürzungsfanatisch.

Nun aber zu den Inhalten unseres Neuankömmlings. Die Guideline ist gegliedert in die Abschnitte Begriffsdefinitionen, Voraussetzungen, Notfallbewältigung (“Response”), Arten von BC-Plänen, Inhalte von BC-Plänen, szenariobasierte BC-Pläne, Hinweise zum Schreiben von BC-Plänen, Qualitätssicherung, Aufbewahrung und Verfügbarkeit von BC-Plänen, Folgeschritte nach der Erstellung von BC-Plänen, sowie Überwachung und Aktualisierung der BC-Pläne.

Im BCM-Lifecycle folgt die Planungs-Phase auf die Phase zur Festlegung der Business Continuity Strategien und – Lösungen. Die BC-Strategien bilden daher die Voraussetzungen, um auf diesen aufbauend konkrete BC-Pläne entwickeln zu können. An die Planungs-Phase schließt die Phase zur Durchführung der Übungen und Tests an, die den Kreis des BCM-Lebenszyklus zur Business Impact Analyse schließt..

Neben den BC Strategien bilden die Identifikation der “interested parties”, die Festlegung von Rollen und Verantwortlichkeiten für die BC-Planung sowie die Bereitstellung der Ressourcen zentrale Voraussetzungen um in die BC-Planungsphase starten zu können. Die Guidance sieht hierbei ein Team zur Erstellung der BC-Pläne vor, das von einer kompetenten und mit entsprechenden Autorität ausgestatteten Person geführt wird. Der BCM Beauftragte ist also explizit nicht der Autor der BC-Pläne, sondern koordiniert und steuert die Erstellung der BC-Pläne, macht Vorgaben und sichert die Qualität und Vollständigkeit.

BC-Pläne und Notfallprozeduren sollen eine schnelle Reaktion ermöglichen und ausreichend flexibel sein, um auf unerwartete Situationen reagieren zu können. Diese Empfehlung könnte zur Schlußfolgerung führen, dass die Guideline dem All-Hazard-Ansatz folgt. Die BC-Pläne sollen hierbei für möglichst viele BCM-Szenarien einsetzbar sein und orientieren sich daher an den Schadenswirkungen und nicht an den Ursachen. Doch wird dies relativiert, indem in einem eigenen Abschnitt “Plans for response to specific disruptions” szenariobasierte BC-Pläne für die beiden Szenarien Pandemie / Epidemie und Cyber-Attacken empfohlen werden. Die Guideline verbindet daher wirkungsbasierte mit szenariobasierten BC-Plänen. Dies ist ein praxisorientierter Ansatz, den ich aus meiner eigenen Erfahrung nur bestätigen kann. Siehe hierzu auch meinen Beitrag in den BCM-News.

Bei der Notfallorganisation folgt die Struktur dem dreigliedrigen Prinzip “strategische Team-Ebene”, “taktische Team-Ebene”, “operative Team-Ebene”, im amerikanischen auch oftmals als “Gold”, Silver”, “Bronze” bezeichnet. Die strategische Ebene besteht aus dem Top Management, das die Strategie vorgibt. Das taktische Team steuert und koordiniert die Notfallbewältigung und das operative Team setzt die Maßnahmen um. In kleineren Organisationen dürfen Ebenen auch zusammengefasst werden. Die Struktur der BC-Pläne folgt dieser dreistufigen Logik indem es strategische, taktische und operative Team-Pläne gibt. Die Inhalte korrespondieren mit der Notfall-Organisation. Strategische Pläne konzentrieren sich auf die Ziele der Wiederherstellung und Monitoring der Schadensfolgen sowie Schutz der Reputation der Organisation. Taktische Team-Pläne sollen übergreifende koordinative Pläne zum Beispiel für den Transport der Mitarbeiter und Bereitstellung von Ressourcen beinhalten währen die operativen Team-Pläne die Geschäftsfortführungs- und Wiederherstellungsprozeduren beinhalten.

Für die Planinhalte sieht die Guideline allgemeine Inhalte und planspezifische Inhalte vor. Zu den allgemeinen Inhalten zählen die Ziele, Voraussetzungen, Notfallteams, Aufgaben, Kommunikation, Kontaktdaten, Ressourcen sowie Kriterien für die Auflösung der Teams. Spezifische Planinhalte beinhalten die Notfallprozeduren für Kommunikation und Geschäftsfortführung sowie Wiederanlauf für die klassischen BCM-Ausfallszenarien.

Organisationen sollen darüber hinaus BC-Pläne für spezifische Szenarien erstellen. Explizit sind die beiden Szenarien “Pandemie / Epidemie” und “Cyber-Attacken” im ISO 22332 beschrieben.

BC-Pläne sollen für Situationen mit hohem Stress-Level und Zeitdruck erstellt werden. Pläne sind keine Handbücher oder Berichte und sollten keine unnötigen Informationen enthalten. Dies ist aus meiner Sicht ein wichtiger Hinweis auf völlig ungeeignete Notfall-Handbücher, die sich in Textwüsten über mehrere hundert Seiten erstrecken und sich im Notfall eigentlich nur zum Unterlegen verwenden lassen.

Die Guidelines schließen mit den Anforderungen an die Qualitätssicherung und laufende Aktualisierung.

Ein BC-Plan ist solange geduldiges gedrucktes Papier bis er im Rahmen von Übungen und Tests auf seine Praxistauglichkeit überprüft ist. Folgerichtig schließen die Guiodelines mit den Anforderungen an Übungen und Tests.

In der Anlage sind ergänzende Hinweise für die BC-Planung enthalten. Hier werden zum Beispiel die Themen Outsourcing, manuelle Workarounds, ICT Change Management, Ausweicharbeitsplätze und Supplier Management mit konkreten Hinweisen und Empfehlungen adressiert.

Aus meiner Sicht ist dies eine gelungene Empfehlung für die Erstellung von BC-Plänen. Die angelsächsische Gliederung in strategische, taktische und operative Ebene mag ungewohnt sein, doch lässt sich diese Struktur sehr gut in gewohntere Begrifflichkeiten und Strukturen transformieren.

BCM-News Daily Digest

BCM-News Daily Digest

  • Western Digital: Hilfe nach Datenlöschung durch Hackerangriff geplant – Golem.de
    Durch Ausnutzung von Sicherheitslücken erhielten Angreifer Zugriff auf die Geräte und löschten zum Teil alle Daten. In anderen Fällen wurden Kennwörter von Unbefugten vergeben, so dass die Besitzer der Geräte keinen Zugriff mehr hatten.
  • US CISA releases a Ransomware Readiness Assessment (RRA) toolSecurity Affairs
    The US Cybersecurity and Infrastructure Security Agency (CISA) has released the Ransomware Readiness Assessment (RRA), a new ransomware self-assessment security audit tool for the agency's Cyber Security Evaluation Tool (CSET).
  • Die Verteidigung der Softwarelieferkette
    Nachdem wir im ersten Teil die Gefahren, Akteure und vielfältigen Eintrittsvektoren von Supply-Chain-Angriffen skizziert haben, gehen wir nun ins Detail und widmen uns der Verteidigung. Asaf Karas von Vdoo zeigt, wie man Risiken fundiert bewertet und Bedrohungen effektiv abwehrt. Hierbei helfen insbesondere Zehn Best Practices samt praktikabler Vorkehrungen und Methoden.

BCM-News Daily Digest

Ressourcenbasierte versus szenariobasierte Notfallplanung

Nutzung von Szenarioanalysen zur Erhöhung der Resilienz

Die Geschäftsfortführungs- und Wiederherstellungsplanung hat zum Ziel, die zeitkritischen Geschäftsprozesse nach einer Unterbechung durch ein Schadensereignis zunächst in einen geordneten Notbetrieb und anschließend in den Normalbetrieb zu überführen. Bei der Erstellung dieser Notfallplanung stellt sich immer die Frage, wie die Notfallplanung inhaltlich strukturiert und aufgebaut werden soll.

Die Notfallpläne sollen beim Eintritt eines Schadensereignisses eine strukturierte Anleitung mit Prozeduren und Verfahren (“Standard Operating Procedures”) zur Bewältigung des Notfalls geben. Die Herausforderung bei der Notfallplanung besteht allerdings darin, dass es eine nicht überschaubare Menge an Schadensereignissen (Ursachen) geben kann, die zu einem Notfall führen können. Es gibt zum Beispiel viele Ursachen, die zum Ausfall eines Gebäudes führen können, die zusätzlich voneinander abhängig sind. So kann zum Beispiel erst der Löscheinsatz der Feuerwehr nach einem Brand zum Ausfall des Gebäudes auf Grund des Wasserschadens führen. Für jedes mögliche Schadensereignis einen Notfallplan zu erstellen, würde bedeuten, eine sehr große Anzahl an Notfallplänen erstellen und pflegen zu müssen, mit dem Risiko, dass genau für das eingetretene Ereignis dann leider kein Notfallplan vorliegt, da niemals alle Szenarien abgedeckt werden können.

Eine Lösung für diese Herausforderung stellen generische Notfallpläne dar, die auf die Bewältigung der Schadenswirkungen abzielen und nicht auf die vielfältigen Ursachen. Die Notfallplanung beinhaltet zum Beispiel die Verfahren bei Ausfall eines Gebäudes, ungeachtet der Ursache für den Gebäudeausfall. Diese Denkweise folgt dem All-Hazard-Ansatz, der zum Ziel hat, durch generische Notfallplanungen viele Schadensszenarien abzudecken.

Im Rahmen der Notfallplanung werden daher konsequenterweise Notfallplanungen für den Ausfall kritischer Prozessressourcen entwickelt: Notfallpläne für “Ausfall Personal”, “Ausfall Gebäude”, “Ausfall IT”, “Ausfall Dienstleister”. Die Ursachen für die Ausfälle werden in der notfallplanung ausgeblendet. Dieses Vorgehen reduziert die Anzahl der Notfallpläne auf ein überschaubares Maß und erleichtert damit die Erstellung, Pflege und Validierung der Notfallpläne.

Dieser ressourcenorientierte Planungsansatz hat neben den eindeutigen Vorteilen in der Erstellung und Pflege der Plandokumente jedoch auch seine Grenzen. Nicht jedes Szenario lässt sich eindeutig einem Notfallplan zuordnen. Ein gutes Beispiel ist die Covid-19-Pandemie. Die Pandemie hat bei den meisten Unternehmen nicht zu kritischen Personalausfällen geführt, sondern ganz andere und komplexere Schadenswirkungen erzielt. Diese beginnen bei der eingeschränkten Nutzbarkeit von Arbeitsplätzen und Gebäuden durch die Hygienekonzepte, über tiefgreifende und anhaltende Unterbrechungen von Lieferketten, Wegfall von Absatzmärkten bis hin zu Liquiditätsnotfällen.

Die Konsequenz hieraus sollte jetzt allerdings nicht sein, die ressourcenbasierte Notfallplanung zu Gunsten einer szanariobasierten Vorgehensweise aufzugeben, sondern vielmehr die Stärken beider Vorgehensweisen zu kombinieren.

Dies bedeutet, die Top-Risikoszenarien mit einem sehr hohen Schadenspotial für die Organisation zu identifizieren und für die Szenarien jeweils eine Risikoanalyse und eine Notfallplanung zu erstellen. Die szenariobasierte Risikoanalyse deckt hierbei Lücken in der bestehenden Notfallplanung auf, die durch eine assetbezogene Sichtweise entstehen können. In meinem aktuellen Beitrag “Bow-Tie: Risikomanagement mit Hilfe der Fliege” auf 3GRC beschreibe ich eine Methode, mit der mit einfachen Mitteln eine anschauliche Szenarioanalyse durchgeführt werden kann. Die auf Basis der Szenarioanalyse erstellte Notfallplanung kann ein eigener Notfallplan (Bsp. Notfallplan “Stromausfall”) oder eine Kombination bestehender Notfallpläne sein.

Die Top-Risikoszenarien, die in dieser Betrachtung analysiert werden sollten, hängen von der spezifischen Risikosituation der Organisation ab und sollten (nur) die bestandsgefährdenden Risiken beinhalten. Zu diesen zählen zum Beispiel Cyber-Attacken, Unterbrechungen der Lieferketten, Ausfall kritischer Dienstleister, Extremwettereignisse, Produktrückrufe, Liquiditätsengpässe, Tod von Geschäftsführern etc..

Wie stehen Sie zu den unterschoiedlichen Ansätzen in der Notfallplanung? Ich freue mich auf Ihre Kommentare!

Be prepared

Matthias Hämmerle

BCM-News Daily Digest

BCM-News Daily Digest

BCM-News Daily Digest

BCM-News Daily Digest

BCM-News Daily Digest

  • BaFin – Aktuelles – IT-Aufsicht bei Banken: Anmeldung für Veranstaltung jetzt möglich
    In den Vorträgen der BaFin und der Deutschen Bundesbank werden aktuelle Themen der IT-Aufsicht aufgegriffen. Dazu zählen der geplante europäische Digital Operational Resilience Act (DORA), die Überarbeitung der "Bankaufsichtlichen Anforderungen an die IT" (BAIT) und erste Erkenntnisse aus dem LSI-ICT-SREP, dem aufsichtlichen Überprüfungs- und Bewertungsprozess der Informations- und Kommunikationstechnologie von Instituten unter direkter deutscher Aufsicht.
  • Chinese Hack Targeted Verizon and Water Supplier: AP Report
    A cyberespionage campaign blamed on China was more sweeping than previously known, with suspected state-backed hackers exploiting a device meant to boost internet security to penetrate the computers of critical US entities