Der News Blog zu Business Continuity Management und IT Service Continuity Management
Bei der Notfallplanung wird häufig der Fokus auf den Notbetrieb gelegt. Die Komplexität des Wiederanlaufs aus dem Notbetrieb in den Normalbetrieb wird jedoch häufig unterschätzt und daher in der Notfallplanung nicht berücksichtigt.
Lesen Sie hierzu meine aktuelle Veröffentlichung auf der Plattform 3GRC.
Bildquelle: Adobestock 174821335
In Schweden musste die große Supermarktkette hunderte von Läden nach einem erfolgreichen Ransomware-Angriff schließen. In einer Supply-Chain-Attacke wurde die Fernwartungssoftware VSA von Kaseya mit eine Ransomware kompromittiert. Über die Lücke in der Fernwartungssoftware konnten die Angreifer auf die Kassensysteme zugreifen und mit Hilfe des Verschlüsselungstrojaners REvil die Daten in den Kassensystemen verschlüsseln. Die Angreifer fordern 70 Millionen Dollar Lösegeld für die Herausgabe des Softwareschlüssels zum Entsperren der Daten. Über 1.000 Unternehmen sind von der Ransomware betroffen, darunter auch einige Unternehmen in Deutschland.
Weiterlesen…
Immer wieder erlebe ich in Tests und Übungen, aber auch bei Störungen und Notfällen, dass vorhandene Notfallplanungen nicht genutzt werden, sondern mal gut und leider auch weniger erfolgreich durch die Beteiligten improvisiert wird.
Wenn man die Ursachen hierfür analysiert, kommt man immer wieder auf die gleichen Punkte:
Während die Punkte eins bis drei noch relativ einfach durch Information, Kommunikation, Disziplin sowie Kontrollen zu beheben sind, geht es bei den Ursachen vier und fünf “an das Eingemachte” der BCM-Notfallplanung. Oftmals gilt offensichtlich der Grundsatz “Masse ist gleich Klasse”. Umfangreiche Einleitungen, Darstellungen von Business Impact Analysen und sich wiederholende Standardtexte “schmücken” die eigentliche Notfallplanung. Die Kerninhalte bestehend aus den Notfallprozeduren für Kommunikation, Einleitung und Durchführung des Notbetriebs, Wiederanlauf in den Normalbetrieb sowie Kontaktdaten sind in den Textwüsten nicht auffindbar. Statt mühsam zu suchen, wird dann improvisiert.
Sehr schade für die ganze Mühe, die in die Dokumente gesteckt wurde und es ist dann auch nicht verwunderlich, dass die laufende und anlassbezogene Aktualisierung der Dokumente der Priorisierung anderer Aufgaben zum Opfer fällt.
Sollte Ihnen diese Situation bekannt vorkommen, ist es an der Zeit über Struktur und Aufbau der BCM-Notfallplanung grundsätzlich nachzudenken.
Sie würden sich auch nicht einem Piloten im Cockpit anvertrauen, der das 1.000-seitige Manual des Herstellers für das Triebwerk unter seinem Pilotensitz für Notfälle bereithält. Und der Co-Pilot die weiteren Handbücher im Cockpit versteckt hat.
Be prepared
NEU: IHK-Zertifikat “Krisen- und Notfallmanager/in, IHK” möglich!
Seit 2021 haben die Teilnehmenden die Möglichkeit, nach dem erfolgreichen Besuch der Lehrgangsreihe sowie erfolgreich absolvierter Prüfung zum „Krisen- und Notfallmanager, BdSI“ mittels einer direkt anschließenden 30minütigen Zusatzprüfung das Zertifikat der IHK Bonn/ Rhein-Sieg zum „Krisen- und Notfallmanager/in, IHK“ zu erwerben. Für die Prüfung und das Zertifikat wird eine Gebühr von € 250,– erhoben.
verhindert wirksam eine weitere Eskalation in Richtung Krise und hält das Ereignis in einem “beherrschbaren Rahmen”.
Dies setzt jedoch eine intensive und strukturierte Beschäftigung mit dem Thema Notfallmanagement voraus.
Der zweitägige Lehrgang behandelt alle relevanten Themen zum
verdeutlichen unsere Referenten mittels Fallbeispielen aus Industrie- und Dienstleistungsunternehmen den Stellenwert gründlicher Vorbereitung, flexibler Planung und wiederholter Trainings. In Übungen werden die Teilnehmer das Erlernte anwenden und Konzepte für Ihr eigenes Umfeld erarbeiten.
Der Lehrgang Notfallmanagement kann einzeln – aber auch als Baustein der Zertifikatslehrgangsreihe zum “Krisen- und Notfallmanager, BdSI” gebucht werden.
Der Lehrgang richtet sich an Führungskräfte und Verantwortliche, wie z.B. Sicherheitsmanager, Geschäftsführer, Werkschutz- und Werkfeuerwehr-Leiter bzw. -Mitarbeiter, Unternehmens- und Sicherheitsberater, Koordinatoren und Projektverantwortliche (z.B. Brandschutz, Umwelt, strategische Planung), Ausbilder und Trainer, Revisionsabteilungen.
verhindert wirksam eine weitere Eskalation in Richtung Krise und hält das Ereignis in einem “beherrschbaren Rahmen”.
Dies setzt jedoch eine intensive und strukturierte Beschäftigung mit dem Thema Notfallmanagement voraus.
Der zweitägige Lehrgang behandelt alle relevanten Themen zum
NEU: IHK-Zertifikat “Krisen- und Notfallmanager/in, IHK” möglich!
Seit 2021 haben die Teilnehmenden die Möglichkeit, nach dem erfolgreichen Besuch der Lehrgangsreihe sowie erfolgreich absolvierter Prüfung zum „Krisen- und Notfallmanager, BdSI“ mittels einer direkt anschließenden 30minütigen Zusatzprüfung das Zertifikat der IHK Bonn/ Rhein-Sieg zum „Krisen- und Notfallmanager/in, IHK“ zu erwerben. Für die Prüfung und das Zertifikat wird eine Gebühr von € 250,– erhoben.
verdeutlichen unsere Referenten mittels Fallbeispielen aus Industrie- und Dienstleistungsunternehmen den Stellenwert gründlicher Vorbereitung, flexibler Planung und wiederholter Trainings. In Übungen werden die Teilnehmer das Erlernte anwenden und Konzepte für Ihr eigenes Umfeld erarbeiten.
Der Lehrgang Notfallmanagement kann einzeln – aber auch als Baustein der Zertifikatslehrgangsreihe zum “Krisen- und Notfallmanager, BdSI” gebucht werden.
Der Lehrgang richtet sich an Führungskräfte und Verantwortliche, wie z.B. Sicherheitsmanager, Geschäftsführer, Werkschutz- und Werkfeuerwehr-Leiter bzw. -Mitarbeiter, Unternehmens- und Sicherheitsberater, Koordinatoren und Projektverantwortliche (z.B. Brandschutz, Umwelt, strategische Planung), Ausbilder und Trainer, Revisionsabteilungen.
Im Rahmen des Business Continuity Management werden Notfallkonzepte und -pläne erstellt, um auf das Unwahrscheinliche vorbereitet zu sein. Der Notfall ist jedoch leider ein tückischer Zeitgenosse. Sind wir gut vorbereitet, lässt er sich nicht blicken und wir stehen als Zeit- und Ressourcenverschwender für unnütze Notfallpläne im schlechten Licht. Tritt der Notfall ein, ist es purer Zufall, dass der vorbereitete Notfallplan genau die passende Lösung für genau dieses Ereignis abbildet.
Lesen Sie hierzu meinen aktuellen Beitrag auf der Plattform 3GRC.
Ja, wo sind sie denn die Mitarbeiter alle?
Zu Hause, den Keller auspumpen.
Auch Szenarien wie die jüngsten monsunartigen Regenfälle mit Tornados führen zu Personalausfällen, auch wenn das Unternehmen nicht direkt betroffen ist. Im Zweifel ist dem Mitarbeiter die Rettung des eigenen Mobiliars näher als die Aufrechterhaltung der Geschäftsprozesse. Wer will es ihnen verdenken.
Ein Notfallplan für den Personalausfall stellt daher auf die Wirkungen ab und nicht auf die Ursachen.Und neben Plan “A” immer Plan “B” und Plan “C” in der Hinterhand haben. Denn das Wetter ist schon schwer genug vorherzusagen, beeinflussen lässt es sich schon gar nicht.
Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …
Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen. Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.
Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.
Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:
Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.
Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.
be prepared
Ihr Matthias Hämmerle
Dieser Artikel über Checklisten beinhaltet ein beeindruckendes Beispiel über die Wirksamkeit von Checklisten. In neun Krankenhäusern in Michigan wurden einfache Checklisten mit eingeführt, um die Anzahl von Infektionen in Intensivstationen zu verringern. Die Checklisten waren nicht umfangreich und enthielten eigentlich selbstverständliche Punkte, wie das Desinfizieren der Hände. Durch die Einführung der Checklisten in Verbindung mit Trainingsmaßnahmen konnte die Anzahl der Infektionen um 66 Prozent verringert werden. Obwohl die Inhalte der Checklisten den Ärzten eigentlich geläufig waren, wurde im Arbeitsalltag dann doch immer wieder der eine oder andere Punkt übersehen – mit zum Teil tödlichen Folgen durch Infektionen.
Welche Schlüsse lassen sich hieraus für das Business Continuity Management ziehen?
Bei dem Eintritte eines Notfalls können wir nicht erwarten, dass eigentlich selbstverständliche Aktivitäten unternommen werden. Die Aufregung, vielleicht sogar Panik, ist groß. Es herrscht eine große Verunsicherung über die Situation und viele Menschen sind betroffen und beteiligt. Im ersten Moment gibt es noch keine klare Hierarchie, der Krisenstab ist noch nicht besetzt und es gibt keine oder widersprüchliche Anweisungen von unterschiedlichen Kompetenzträgern. Gerade die ersten Momente in einem Notfall sind jedoch häufig der kritische Erfolgsfaktor dafür, wie erfolgreich ein Notfall bewältigt und Schaden minimiert werden kann. Gerade in dieser Situation sind Checklisten ein besonders wirksames Hilfsmittel. Sie stellen sicher, dass die Beteiligten einen Handlungsleitfaden haben und wichtige Aktivitäten in der Hektik nicht vergessen werden. In vielen Situationen mit hohem Risiko oder auch hohen Qualitätsanforderungen werden Checklisten eingesetzt. Piloten nutzen Checklisten, auch wenn sie diese im Schlaf herunterbeten könnten. Doch Vergessen ist menschlich.
Zu einem guten Notfallhandbuch gehören daher auch kompakte abarbeitbare Checklisten für die zentralen BCM-Szenarien. Es gibt zahlreiche Varianten, wie solche Checklisten gestaltet und technisch umgesetzt werden können. In dem oben zitierten Artikel sind einige Tools benannt. Aber auch mit den Standard Office-Produkten Word und Excel lassen sich hervorragend Checklisten erstellen. Daneben können visuelle grafische Ablaufpläne in Form von Flowcharts hilfreich sein.
Die eigentliche Übung liegt jedoch in der Erstellung der Checklisten selbst. Im ersten Wurf wird die hundertprozentige Lösung selten gelingen. Durch Tests und Übungen, in denen die Checklisten als Grundlage verwendet werden, erhalten die Checklisten den letzten Schliff und die Beteiligten üben den Umgang mit den Formularen.
Ein Beispiel Template Notfallplan Checkliste (word) habe ich diesem Artikel beigefügt. Es ist nur ein Beispiel und ich freue mich auf Rückmeldungen von Ihnen. Welche Erfahrungen haben Sie mit Checklisten gesammelt? Haben Sie ein bewährtes Template? Was ist bei den Checklisten zu beachten?
be prepared
Matthias Hämmerle
BCM-Szenarien wie IT-Ausfall, Gebäude- und / oder Arbeitsplatzausfall sind in der Notfallvorsorge mittlerweile selbstverständlich. Das Szenario “Personalausfall” gehört in der Theorie gleichwertig mit zu den elementaren Risikoszenarien wie auch der Ausfall kritischer Dienstleistungen / Dienstleister. In der Praxis kommt das Szenario Personalausfall in allen Phasen des BCM-Lebenszyklus leider oftmals zu kurz. Und das, obwohl uns auch die praktische Realität zum Beispiel in Form zahlreicher streikbedingter Personalausfälle bei Bahn, Kitas und Geldtransporteuren die Notwendigkeit einer angemessenen Vorsorge für Personalausfälle aufzeigt. SARS, Vogelgrippe, EHEC/HUS und jetzt aktuell MERS finden vermeintlich im fernen Asien statt. Norovirus, auch “Kreuzfahrer-Virus”, trifft vermeintlich nur Kreuzfahrer – aktuell gibt es eine Lebensmittelwarnung wegen Noroviren in gefrorenen Erdbeeren bei Aldi Nord. Masern-Epidemien betreffen nicht nur die Kinder, wenn Heerscharen von Elternteilen für die Pflege zu Hause bleiben müssen. Doch wenn das Szenario “Personalausfall” zuschlägt ist jede Vorbereitung Gold wert. Hinzu kommt dass das Szenario Personalausfall BCM und Krisenmanagement gerne über Tage, Wochen oder gar Monate auf Trab hält. Eine zweistündige Krisenstabsübung lässt die Anforderungen an ein solches Szenario nur erahnen. Alleine, wenn der Krisenstab in den Drei-Schichtbetrieb gehen soll … Weiterlesen…
Wer schon mal vor der Aufgabe stand, einen Notfallplan (ich nenne dieses Dokument hier einmal pragmatisch so) zu erstellen, hat sicherlich die Erfahrung gemacht, dass sich im Anblick der leeren weiße Seiten plötzlich ganz viele Fragen auftun, die gar nicht so einfach zu beantworten sind. Der hilfesuchende Blick in die BCM-Standards und Gesetze / Normen hilft dann leider nur bedingt, den auch hier gilt der Grundsatz “viele (Standard-)Köche verderben den Brei”.
Nach dem Blick in die Standards hat sich dann leider die Anzahl der Fragezeichen noch vergrößert, statt der erhofften eindeutigen Antworten auf vermeintlich einfache Fragestellungen.
Los geht es schon einmal mit der Frage, wie viele Plandokumente es denn geben soll und wie diese heißen sollen. Als kleine Auswahl für die Namensgebung des Neugeborenen stehen Geschäftsfortführungs- und Wiederanlaufpläne, Notfallpläne, BCM-Pläne, Wiederherstellungspläne, Krisenmanagementpläne zur Auswahl. BSI 100-4, MaRisk, ISO 22301:2012 lassen hier gewaltigen Interpretations- und Gestaltungsspielraum, der vom heldenhaften Verfasser der Pläne aber gerade gar nicht erwünscht ist. Und dann kommt noch die Fragestellung hinzu, was die Wirtschaftsprüfer an Anforderungen an die Dokumentation stellen.
Viel hilft viel, ist dann oftmals der einzig möglich erscheinende Fluchtweg aus diesem Dilemma. In einem Notfall allerdings ist viel ganz schnell viel zu viel und nicht hilfreich – ganz im Gegenteil.
In den BCM-News gibt es einige Artikel als Denkanstoß zu diesem Thema. Die BCM Community wird sicherlich noch so manche Hirnwindung in dieses Thema investieren müssen. Torsten Zacher hat zu meiner großen Freude vor Kurzem das Thema engagiert in einem Gastbeitrag hier in den BCM-News aufgegriffen. Ich möchte für den Denkanstoß auf weitere Artikel hier in den BCM-News hinweisen. Wir freuen uns auf eine rege, kontroverse und konstruktive Diskussion.
Hier ein Auswahl an Artikeln zu diesem Themenkomplex:
Reduktion der Komplexität von Notfallplänen (Torsten Zacher)
Ja mach nur einen Plan … (Matthias Hämmerle)
Was gehört in einen Geschäftsfortführungsplan (Matthias Hämmerle)
Dieser Artikel ist im aktuellen BCM-Sonderheft des Sicherheits-Berater erstmalig erschienen.
Im Business Continuity Management (BCM) gibt es vier grundsätzliche BCM-Szenarien, für die im Rahmen der Notfallplanung Vorsorge getroffen wird. Neben dem Ausfall der IT und Telekommunikation, Gebäude sowie Dienstleister ist ein wesentliches BCM-Szenario der Ausfall von Personal zur Durchführung der kritischen Geschäftsprozesse. Das BCM geht in der Planung von der Wirkungsseite aus, da nicht für jede der vielen möglichen Ursachen ein Notfallplan erstellt werden kann. Die Ursachen, die zu einem Personalausfall führen können, sind sehr vielfältig. Sie reichen von einer Erkrankung einer hohen Anzahl an Mitarbeitern (Beispiele hierfür sind Grippe-Epidemien oder Norovirus-Infektionen), der Ausfall von „Kopf-Monopolen“, Streiks der Mitarbeiter bis hin zu Verkehrsbehinderungen der Arbeitswege (zum Beispiel die mehrtägigen europaweiten Flugausfälle durch den Ausbruch des isländischen Vulkans Eyjafjallajökull im April 2010). Weiterlesen…