Rückblick auf die erste Fachkonferenz des Institut für Business Continuity Management und Resilience IBCRM e.V.

Am 22. März 2018 fand im Gürzenich Köln die erste Fachkonferenz des Instituts für Business Continuity Management & Resilience e.V. (kurz IBCRM e.V.) statt. Das IBCRM ist im März 2017 durch acht Gründer ins Leben gerufen worden. Der Verein mit den Vorsitzenden Franziska Hain (Vorsitzende) und Thorsten Scheibel hat sich zum Ziel gesetzt, das Thema Business Continuity und Resilience Management bewusster in den Unternehmen und bei den Vorständen zu positionieren. Weiterlesen…

ASW – Fachtagung „IT-Risiken in Unternehmen der öffentlichen Daseinsvorsorge und der mittelständischen Wirtschaft“

Am 26. April 2018 findet bei der IHK Osnabrück, Emsland, Grafschaft Bentheim die ASW-Fachtagung „IT-Risiken in Unternehmen der öffentlichen Daseinsvorsorge und der mittelständischen Wirtschaft“ satt. Mit einer neuen Veranstaltungsreihe zur Unternehmenssicherheit möchten die Regionalverbände der Allianz für Sicherheit in der Wirtschaft (ASW) aus Nordrhein-Westfalen und Norddeutschland dazu beitragen, künftig besser auf die derzeitigen und die absehbaren Bedrohungen aus dem Cyberraum zu reagieren.

Weiterlesen…

Termine, Termine, Termine

Sie führen in diesem Jahr Trainings, Konferenzen, Schulungen, Seminare, Webinare oder andere Veranstaltungen zu den Themen Business Continuity Management, Krisenmanagement Resilience oder Informationssicherheit durch? Dann ist der Kalender der BCM-News der richtige Ort, um auf Ihre Veranstaltung aufmerksam zu machen. Eintragungen sind kostenfrei unter dem Menüpunkt “Kalender -> Veranstaltung hinzufügen” möglich. Die Eintragungen werden nach Prüfung freigeschaltet.

Organisatorische Resilienz – Hype-Thema oder Konzept mit Zukunft?

Was ist das für ein scheinbar so bedeutendes Thema, dass sich gleich zwei Standards dem Thema widmen? Gibt man in Amazon den Suchbegriff „Resilienz“ für deutsche Bücher ein, erhält man bereits über 1.000 Vorschläge zur Befüllung des elektronischen Einkaufwagens. Wer sich fremdsprachig an das Thema „Resilience“ heranwagt, hat bereits über 4.000 Bücher als Kauf-Option. Der überwiegende Teil davon sind persönliche Ratgeber zur Stärkung der Widerstandskräfte gegen Stress, Krisen, Burn Out und Depressionen. Es scheint sich auf den ersten Blick um eine wahre Wunderwaffe gegen alle Bedrohungen des Lebens zu handeln.

Diese Frage beantworte ich in meiner aktuellen Veröffentlichung auf 3GRC.

Bildquelle: fotolia #125714179 | Urheber: bounlow-pic

Die Business Continuity Awareness Week startet heute

Unter dem Motto “Cyber security is everyone´s responsibility” startet heute die Business Continuity Awareness Week 2017 mit einem umfangreichen Programm. Die weltweite Ransomware-Attacke WannaCry am vergangenen Freitag hat wiederum die Notwendigkeit koordinierter Vorsorge- und Awarenessmaßnahmen aufgezeigt. Von der Ransomware-Attacke waren zahlreiche Krankenhäuser in Großbritannnien, namhafte Automobil- und Telekommunikationsunternehmen sowie Ministerien, Banken und Eisenbahn in Russland betroffen. In Deutschland traf es die Deutsche Bahn mit dem elektronischen Anzeigesystem, Fahrkartenautomaten und Videoüberwachungsanlagen sowie die Logistiktochter Schenker. Laut Europol traf die Ransomware-Attacke weltweit über 200.000 Organisationen in 150 Ländern. Für den Wochenbeginn erwarten IT-Experten ansteigende Fallzahlen, wenn Computer wieder in Betrieb genommen werden und die Attacke sich möglicherweise nach Asien ausbreitet.

Aufmerksame E-Mail-Nutzer und gepatchte IT-Betriebssysteme hätten ausgereicht, Betriebsunterbrechungen und große finanzielle Schäden zu verhindern. Die Vorsorgemaßnahmen hätten nur ein paar unterlassene Handgriffe beim User und dafür ein paar zusätzliche Handgriffe in der IT erfordert – keine aufwändigen Investitionen in die Sicherheit.

Da kommt die BCAW 2017 gerade recht! Das Angebot reicht von Postern, Studien und Fachbeiträgen bis zu zahlreichen interessanten Webinaren zum aktuellen Thema. Schauen Sie doch einfach einmal vorbei bei der BCAW 2017. Ein Besuch lohnt sich!

Bildquelle: Business Continuity Institute

Allianz Risk Barometer 2017: Betriebsunterbrechungen sind das größte Risiko

Betriebsunterbrechung ist zum im fünften Jahr in Folge das größte Risiko für Unternehmen. Neue Auslöser sind auf dem Vormarsch. Gefahren wie Naturkatastrophen und Brände sind weiterhin die Ursachen, die Unternehmen am meisten fürchten, aber die Art des Risikos verschiebt sich zunehmend auf Nicht-Schaden-Ereignisse. Ein Cybervorfall oder die indirekten Auswirkungen eines terroristischen Gewaltakts sind Ereignisse, die zu großen Verlusten führen können, ohne physische Schäden zu verursachen. Eine Zunahme solcher Ereignisse wird erwartet.“, so das Ergebnis des Allianz Risk Barometer 2017. Gute Gründe also, Notfallvorsorge in Form von Business Continuity Management (BCM), IT-Service Continuity Management (ITSCM) und Krisenmanagement zu betreiben. Ein gutes Business Continuity Management in Form eines “all hazard approach” wirkt sowohl für Schaden, als auch Nicht-Schaden-Ereignisse gleichermaßen. Nicht-Schaden-Ereignisse wie Cyber-Attacken erfordern neben den klassischen BCM-Konzepten und -plänen eine enge und sorgfältige Abstimmung aller Disziplinen von den Notfallplänen über eine abgestimmte IT-Notfallvorsorge bis hin zu einem funktionierenden Krisenmanagement mit der internen und externen Krisenkommunikation. Notfallpläne in der Schublade alleine reichen für die aktuellen Anforderungen komplexer und dynamischer Szenarien nicht mehr aus. BCM, ITSCM und Krisenmanagement müssen fester Bestandteil der Unternehmensführung und -steuerung sein. Nicht umsonst steckt in jeder dieser Disziplinen das Wörtchen “…management”. Die Implementierung mag ein langer, steiniger Weg sein, doch erkennen viele Unternehmen inzwischen den Nutzen dieser Investition über die reine Notfallvorsorge hinaus. Gibt eine Versicherung nur ein etwas beruhigerendes Gefühl für das ausgegebene Geld, schaffen BCM und ITSCM demgenüber ein hohes Maß an Transparenz der komplexen Zusammenhänge von Wertschöpfungsketten und Ressourcen des Unternehmens – quasi als Nebenprodukt einer Business Impact Analyse.  Das Krisenmanagement unterstützt in Form von Krisenstabstrainings und -übungen die übergreifende Zusammenarbeit und das Verständnis für die Inhalte des “Silos” der jeweiligen Anderen. Damit zu starten, ist ein guter Vorsatz für 2017. Viele Vorsätze für das neue Jahr scheitern, weil die Ziele für das Leistungsvermögen, Zeit und Budget weit zu hoch gesteckt sind. Ich empfehle daher eine stufenweise Implementierung in überschaubaren Schritten  mit einer abgestimmten Vision, damit die Organisation in das Thema “wachsen” kann und keine Investitionsruine entsteht.

Der Allianz Risk Barometer 2017 ist auf der Webseite der AGCS verfügbar.

Be prepared

Matthias Hämmerle MBCI

Gestalten Sie die BCM-News im zehnten Jahr!

Das neue Jahr ist gestartet und die Tage vergehen schon wieder wie im Flug. Die BCM-News werden dieses Jahr schon zehn Jahre alt- unglaublich aber wahr. Auch im zehnten Jahr wird es hier wieder tagesaktuelle News und Beiträge rund um die Themen BCM, Informationssicherheit, Krisenmanagement und physische Sicherheit geben.

Bestimmen Sie mit, welche Themen in den redaktionellen Beiträgen behandelt werden sollen. Bitte geben Sie hierzu möglichst konkrete Themen und Fragestellungen in den Kommentaren zu diesem Beitrag an.Nutzen Sie die Gelegenheit und treiben Sie die BCM-News auch im zehnten Jahr als führendes Informationsportal für BCM in Deutschland weiter voran. Auch Gastbeiträge sind selbstverständlich wieder herzlich willkommen.

Ich freue mich auf Ihre Rückmeldungen.

„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Ein Mitarbeiter erhält eine an ihn persönlich adressierte Mail in der ihm ein befreundeter Geschäftspartner das Profil eines interessanten Kandidaten für eine offene Stelle im Anhang zusendet. Der Mitarbeiter öffnet den Anhang der Mail und das Schicksal nimmt seinen Lauf. Schrittweise verschlüsselt die im Anhang enthaltene Ransomware alle Dateien in den Laufwerken. Weiterlesen…

BCM-Wiki

Sie haben Fragen bei der Umsetzung von BCM, Krisenmanagement oder Informationssicherheit?

Sie haben sich an die Umsetzung von Business Continuity Management, Krisenmanagement oder informationssicherheit gewagt und stecken jetzt bei einer Frage fest? Im neuen Menüpunkt “BCM-Hilfe” haben Sie jetzt die Möglichkeit, Ihre Frage loszuwerden und eine Hilfestellung zu bekommen. Für Ihre Frage erstellen Sie einfach unter “BCM-Hilfe” im Ticketsystem ein Ticket. Dieses Ticket können nur Sie und ich lesen. Ich werde versuchen, ihr Ticket so schnell als möglich zu beantworten. Da ich jeden Tag unterwegs bei meinen Kunden bin, kann die Rückantwort etwas Zeit benötigen. Bitte haben Sie hierfür Verständnis.

Die (un-)heimliche IT

Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit über die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der Komplexität von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natürlich auch aus, dass auf Test, Dokumentation, Versionsführung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile Prüfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbständig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen für die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur Verfügung. Das mag im privaten Bereich komfortabel und günstig sein. Doch für Unternehmen entsteht aus dieser “Schatten-IT” ein beträchtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschätzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, Integrität und Verfügbarkeit können für IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewährleistet werden.

An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen für die Geschäftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunächst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu müssen. Denn Ziel der BIA ist die Absicherung der  Geschäftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage für eine risikoorientierte  Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen müssen durch die IT Lösungen an die Hand gegeben werden, die Funktionalitäten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genügen.

Dies können zum Beispiel sein

  • Integration der Funktionalitäten in bestehende Standard-Anwendungen
  • Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
  • Geschlossene Unternehmens Cloud Lösungen
  • Sichere Dateitransfer- und Kommunikationslösungen
  • Geregelter Einkauf von Web-Anwendungen über Einkauf und IT.

Auch wenn Prüfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management über die reine Notfallvorsorge hinaus.