Notfallvorsorge: Nur Üben macht den Meister

Die Urlaubssaison bricht gerade an und viele von uns steigen mit großem Vertrauen in ein Flugzeug, das uns in weit entfernte exotische Urlaubsziele bringt. Ein großer Teil des Vertrauens, den wir der überaus komplexen Technik entgegenbringen, ist im Wissen darüber begründet, dass

  • alle wichtigen Komponenten mehrfach redundant ausgelegt sind,
  • die komplizierte Technik laufend gewartet und repariert wird,
  • den Piloten für auftretende Störungen bewährte und getestete Verfahren in Form von Checklisten zur Verfügung stehen,
  • die Piloten regelmäßig diese Notfallverfahren üben und „im Schlaf beherrschen“.

Dieses gleiche Vertrauen möchten wir natürlich auch gerne der Notfallplanung in unserer Organisation entgegenbringen können.

Mein aktueller Beitrag auf der Plattform 3GRC beschäftigt sich mit dem Thema Tests und Übungen zur Validierung der Notfallplanung. Damit wir in unsere Notfallvorsorge im Ernstfall vertrauen können.

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen.  Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.

Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.

Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias Hämmerle

Anforderungen an die Bewertung von Tests und Übungen

Ein Gastbeitrag für die BCM-News von Torsten Zacher

Einleitung

Gemäß der MaRisk AT 7.3 ist die Wirksamkeit und der Angemessenheit des Notfallkonzeptes regelmäßig durch Notfalltests zu überprüfen.

Die zwei Begriffe Angemessenheit und Wirksamkeit spielen hierbei in Verbindung mit den Tests eine entscheidende Rolle.

Das KWG ergänzt im § 25c hierbei noch, dass den jeweils Verantwortlichen über die Ergebnisse der Notfalltest berichtet wird.

Die Begriffe Angemessenheit und Wirksamkeit bilden die Grundlage der Bewertung, die im ersten Teil des Artikels vorgestellt werden. Im zweiten Teil wird auf die Notwendigkeit einer Bewertung, deren Zielgruppen und den positiven Nutzen eingegangen. Im dritten Teil wird eine mögliche Bewertung inklusive Inhalten vorgestellt. Es sind Bewertungen je Test und eine Jahresbewertung zu differenzieren. Weiterlesen…

Die Phase “Tests und Übungen” im BCM Lifecycle

Tests und Übungen runden die technischen Disziplinen des BCM Lifecycle ab. Sie sind Bestandteil der Phase “Exercising, Maintaining and Reviewing”. Aus meiner Sicht ist dies das wichtigste Element des BCM Lebenszyklus – und nicht weil hier die Nachweise für Revision und Wirtschaftsprüfer erzeugt werden. Erst Tests und Übungen zeigen, ob die Pläne auch funktionieren und versetzen die Beteiligten erst in die Lage die Papierpläne auch mit Leben zu füllen. Weiterlesen…

Why Recovery Plans Fail – Ergebnisse einer Umfrage

Janco Associates, ein US IT-Beratungsunternehmen, hat 253 Unternehmen befragt, die ihren Recovery Plan aktivieren mussten. Bei über 60 Prozent der befragten Unternehmen war der Plan fehlerhaft und bei nahezu 50 Prozent der Unternehmen nicht mehr aktuell. Dies sind keine guten Voraussetzungen für eine erfolgreiche Wiederherstellung. Ein Plan ist nur so gut wie der regelmäßige Review und vor allem Tests und Übungen. Denn viele Fehler und Unzulänglichkeiten kommen tatsächlich erst bei Tests und Übungen zu Tage. Es sind dann oftmals die Kleinigkeiten, wie fehlende Kabel, Adapter, Zugangspaßworte etc., die zum Scheitern führen.

Quelle: janco

Was nach der erfolgreichen Krisenbewältigung kommt

Die Blockupy-Proteste im Bankenviertel Frankfurts vom 16. bis 19. Mai haben nicht die gefürchteten Folgen für die Einzelhändler und Banken gehabt. Nach den gewaltsamen Ausschreitungen am 31. März bei den Anti-Kapitalismus-Demonstrationen in Frankfurt war dies zu befürchten. Die Verbote fast aller Veranstaltungen durch die Stadt Frankfurter, darunter auch die Veranstaltung “Banken fluten” am 18. Mai sowie ein massives Polizeiaufgebot von rund 5.000 Polizisten haben die Lage nicht eskalieren lassen. Aber auch die Demonstranten auf der anderen Seite waren friedlich und es kam zu keinen nennenswerten Ausschreitungen. Viele der Banken in Frankfurt haben vorsorglich ihre repräsentativen Wahrzeichen an dem Brückentag geschlossen und die kritischen Geschäftsprozesse an Ausweichlokationen oder Remote-Arbeitsplätze verlagert. Für das Business Continuity Management wurden diese Tage zu einer idealen Live-Übung, in der die Abläufe und Technik unter realen Bedingungen getestet werden konnten. Durch den Brückentag relativierte sich die Belastung, da viele Mitarbeiter ohnehin nicht anwesend waren. Nachdem die Ereignisse nun vorüber und das Medienecho wieder abgeflaut sind, gilt es in Ruhe die hektischen Tage aufzuarbeiten. Was ist gut gelaufen, wo liegen die Optimierungspotentiale, welches sind konkrete Maßnahmen zur Optimierung des BCM. Information und Kommunikation sind dabei zum Beispiel immer Standardthemen, mit denen man eigentlich nie fertig wird. Wie die Geschäftsfortführungsplanung sollte auch der Lessons Learned-Prozess zu einem Standardverfahren des BCM gehören. Nichts ist schlimmer, als wenn nach einem Ereignis alle Beteiligten müde, erschöpft und vielleicht sogar frustriert auseinanderrennen in der Hoffnung, diese Situation möge so schnell nicht wiederkommen. Dann bleiben viele Potentiale verborgen und möglicherweise entstandener Frust oder Ärger setzt sich erst so richtig fest. Daher sollte zeitnah ein Lessons Learned Prozess aufgesetzt werden. Der neue ISO Standard zu Tests und Übungen ISO 22398 sieht dies im Übrigen unter dem Punkt “Improvement” explizit vor. After action review, Evaluation, Afteraction report, Management review, Corrective action und Implementation follow-up sind die benannten Aktivitäten nach der Durchführung einer Übung. Sehr hilfreich ist es übrigens, sich der Unterstützung der Kollegen von der Personalentwicklung  zu bedienen. Die Mitarbeiter des BCM selbst sind ja auch Teil des Geschehens. Eine unabhängige Moderation hilft den Lesson learned-Prozess zielgerichtet und ohne gegenseitige Schuldzuweisungen durchzuführen. In moderierten Gruppenarbeiten der Beteiligten lassen sich interaktiv die Abläufe noch einmal strukturiert aufarbeiten und die Ergebnisse als Maßnahmenkataloge identifizieren. Das BCM hat damit eine wertvolle Grundlage für die Optimierung. Ein weiterer wichtiger Punkt nach der Live-Übung ist die Dokumentation. Natürlich ist sie lästig. Aber für Auditoren, Revisoren und Wirtschaftsprüfer gilt nur das geschriebene Wort!  Ausserdem schärfen sich beim Schreiben oftmals noch einmal die Gedanken. Und für das Management gibt es eine Dokumentation für das im ISO-Standard geforderte Management-Review. Eine gute Gelegenheit, das BCM in den Köpfen des Managements wieder präsent zu machen.