„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Auf dem Online-Drehkreuz 3GRC fĂŒr Governance Risk & Compliance ist heute mein Artikel “Tear down the wall” – integrierte Umsetzung des Sicherheitsmanagements erschienen. An einem praktischen Beispiel wird die Notwendigkeit der Integration der verschiedenen Disziplinen des Sicherheitsmanagements eines Unternehmens beschrieben. Noch arbeiten oftmals die Disziplinen Business Continuity Management, Informationssicherheit, physische und personelle Sicherheit, Datenschutz und Risikomanagement eher neben- als miteinander. Hierdurch werden wichtige Synergieeffekte verschenkt und ein einheitliches ĂŒbergreifendes Sicherheitsniveau kann nicht geschaffen werden. Ich freue mich ĂŒber Ihre RĂŒckmeldungen und Meinungen.

Neu in der MarktĂŒbersicht BCM-Tools: Demios fĂŒr das Krisenmanagement

“Die innovative, internetbasierte und virtuelle Krisenmanagement Software mit integriertem Handbuch, unterstĂŒtzt den Krisenstab in seiner Arbeit und hilft die typischen Schwachpunkte im Krisenmanagement Prozess zu vermeiden. DEMiOS steuert den gesamten KrisenbewĂ€ltigungsprozess, beginnend mit der Ereigniserfassung und dessen Bewertung hinsichtlich der KritikalitĂ€t, dem Informations- und Alarmierungsmanagement, bis hin zur eigentlichen Arbeit des Stabes. Dort kann DEMiOS als Visualisierungs- und Kommunikationstool genutzt werden und vereinfacht die Zusammenarbeit der Mitglieder unabhĂ€ngig vom aktuellen Aufenthaltsort.”

Link zu Demios in der MarktĂŒbersicht fĂŒr BCM-Tools

Wachsende Bedeutung von “non property damage risks”

Risiken, die keine physischen SchĂ€den verursachen, aber trotzdem zu finanziellen Schadensfolgen fĂŒr das Unternehmen fĂŒhren, nehmen zu. Zu diesen Risiken gehören zum Beispiel SchĂ€den durch Cyber Attacken oder geo-politische Risiken. Die finanziellen SchĂ€den in Folge von Reputations- und Imageverlusten ĂŒbersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Über 500 Risikomanager in mehr als 40 LĂ€ndern wurden fĂŒr die Studie befragt. GeschĂ€ftsunterbrechungen auf Grund von physischen SchĂ€den wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlĂ€gt sich in den Risiken nieder. Der legendĂ€re “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande ĂŒber die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.

Was bedeutet dies fĂŒr das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von GebĂ€uden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, mĂŒssen im Business Continuity Management stĂ€rker berĂŒcksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kĂŒrzer werden, als wir sie hĂ€ufig fĂŒr die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor fĂŒr die BewĂ€ltigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Übungen fĂŒr das BCM und Krisenmanagement berĂŒcksichtigt werden mĂŒssen. Übungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur ĂŒben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und  sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens fĂŒr mehrere Stunden lahm.

Vom schwierigen VerhÀltnis zwischen Business Continuity Management und Organizational Resilience

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…

Wie eine KrisenstabsĂŒbung entsteht

Übungen der KrisenstĂ€be zĂ€hlen zu den wichtigsten Maßnahmen der Notfall- und KrisenprĂ€vention. NotfallplĂ€ne sind wichtig, sie können allerdings nicht alle möglichen Szenarien und Szenariokombinationen abdecken. Statt umfangreicher NotfallplĂ€ne – die im Notfall nicht gelesen werden – prĂ€feriere ich die Kombination von Notfallkonzepten und Notfallchecklisten. Das Krisenmanagement baut auf dieser prĂ€ventiven Planung des BCM auf und setzt diese entsprechend der Lage um. Weiterlesen…

Helmut Schmidt – “der Herr der Flut”

Nachrufe auf Politiker sind eigentlich nicht das Thema der BCM-News. Bei Helmut Schmidt ist das jedoch eine ganz andere Sache. Neben seinen persönlichen und politischen Verdiensten ist er mit seinen Leistungen als Katastrophenmanager in die Geschichte eingegangen. 1962 traf Hamburg eine verheerende Flut. Helmut Schmidt hat das Management dieser Katastrophe ĂŒbernommen und trĂ€gt seitdem den Beinamen “Herr der Flut”.

“Die Hansestadt Hamburg war fĂŒhrerlos und unfĂ€hig, einen FĂŒhrer zu berufen, als die Sturmflut ĂŒber sie kam. Der FĂŒhrer berief sich selbst. Im bisher grĂ¶ĂŸten Katastropheneinsatz der Bundesrepublik ĂŒbernahm der Innensenator und Bundeswehr-Reservehauptmann Helmut Schmidt, 43, das Oberkommando ĂŒber eine – erst noch herbeizuzaubernde – Heerschar ziviler und militĂ€rischer HilfskrĂ€fte.”

Hier geht es zur passenden Ausgabe des Spiegel von 1962.

Auch ein LehrstĂŒck fĂŒr das Krisenmanagement – ob das heute noch so denkbar wĂ€re?

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jĂŒngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale GeschĂ€ftsbetrieb muss ja noch gewĂ€hrleistet bleiben und die Unternehmen werden weiter Menschen beschĂ€ftigen, die das schwĂ€chste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case fĂŒr Cyber-Kriminelle hochattraktiv. Mit der VerschlĂŒsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar tĂ€glich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. FĂŒr einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives GeschĂ€ftsmodell ist! Wir mĂŒssen daher davon ausgehen, dass dieses GeschĂ€ftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “GeschĂ€ftsmodell” sind gerade auch kleine und mittelstĂ€ndische Unternehmen.  Die eingeforderten BetrĂ€ge sind fĂŒr die Betroffenen verkraftbar kalkuliert und so ist es auch fĂŒr viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische KalkĂŒl der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz fĂŒr ein sorgloses Leben und Arbeiten können sie nicht gewĂ€hren. Im Zweifel sind die kriminellen besser ausgestattet und technisch ĂŒberlegen.

Daher mĂŒssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity PlĂ€ne fĂŒr diese Szenarien (Bsp. Nicht-VerfĂŒgbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management fĂŒr die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement fĂŒr die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-KriminalitĂ€t mit seinen potentiellen Auswirkungen auf kritische GeschĂ€ftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement mĂŒssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewĂ€ltigen zu können.

Die Angriffe sind mittlerweile so ausgeklĂŒgelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile tĂ€uschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der FĂ€lle das Business weiter lĂ€uft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade fĂŒr diese Szenarien PlĂ€ne nicht ausreichend. Gerade hier gilt ĂŒben, ĂŒben, ĂŒben. Denn die Bedrohungsszenarien Ă€ndern sich laufend genauso wie sich elektronische VertriebskanĂ€le und schĂŒtzenswerte Daten Ă€ndern. WofĂŒr die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss stĂ€ndig geĂŒbt werden, so wie Piloten im Simulator regelmĂ€ĂŸig die Notfallverfahren ĂŒben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias HĂ€mmerle

Nur ein einziger ganz simpler Test hĂ€tte genĂŒgt …

“Jedem war bewusst, dass man zur KĂŒhlung eines Atomreaktors Strom benötigt und dass es ohne KĂŒhlung zur Kernschmelze kommt.” (…). “Meine Mitarbeiter brachten ein Whiteboard ins Arbeitszimmer und zeichneten die aktuellen Positionen der Stromversorgungsfahrzeuge ein, die sich aus verschiedenen Richtungen möglichst schnell auf Fukushima Daiichi zubewegten.” (…) “Irgendwann kam dann die Idee auf, ein Hubschrauber der SelbstverteidigungskrĂ€fte könnte doch ein Stromversorgungsfahrzeug durch die Luft transportieren”.

“Die verzweifelt zur VerfĂŒgung gestellten Stromversorgungsfahrzeuge waren aus vielerlei GrĂŒnden, die wir spĂ€ter erfuhren, nutzlos: Die Stecker der Fahrzeuge hatten nicht die richtige Spezifikation und konnten nicht angeschlossen werden, die Kabel waren nicht lang genug, der Stromverteiler war nicht zu verwenden usw. usf.”.

Naoto Kan, Premierminister von Japan vom 4. Juni 2010 bis 2. September 2011.

Teile von ein paar Euro hĂ€tten beinahe zu einer nationalen Tragödie gefĂŒhrt, als nach dem Tsunami in Japan das Atomkraftwerk Fukushima havarierte. Ein einfacher Test hĂ€tte die Probleme verhindern können. Doch alle wĂ€hnten sich sicher, denn ein solche Katastrophe konnte ja nicht passieren …

Naoto Kan zeichnet in seinem Buch “Als Premierminister wĂ€hrend der Fukushima-Krise” ein schonungloses Bild des Krisenmanagments wĂ€hrend der BewĂ€ltigung der Katastrophe. GlĂŒck und ZufĂ€lle retteten Japan vor einer nationalen Tragödie: “Es kann nur GlĂŒck gewesen sein”, so Kan.

Ein sehr lesenswertes Buch ĂŒber das Krisenmanagement aus Sicht des verantwortlichen Premierministers.

 

Krisenmanagement lernen von den Profis

Wie man Krisen managed lernt man durch eigenes Erleben in der RealitĂ€t und in Simulationen oder aber auch durch Zuhören bei Menschen, die Extremsituationen erlebt und gemeistert haben. Solche Extremsituationen gibt es in allen Lebensbereichen. Es gibt gerade im Sport auch Menschen, die sich bewusst in Extremsituationen begeben. Von diesem Menschen will ich lernen am 3. Extremsporttag am 31. Oktober in Frankfurt. QuerschnittsgelĂ€hmt zurĂŒck als B.A.S.E. Jumperin, 6.500 Kilometer im Ruderboot ĂŒber den Atlantik, Yucon Arctic Ultra Lauf, mit dem Mountainbike ĂŒber den Baikalsee. Neben der körperlichen Fitness entscheidet vor allem die mentale Fitness ĂŒber das Gelingen, Misslingen und gar Überleben. Ich freue mich schon sehr auf die Veranstaltung und bin gespannt, welche Erkenntnisse sich auf das Krisenmanagement ĂŒbertragen lassen.

Der Erpresserbrief ist geschrieben

keine Sorge, nur fĂŒr die anstehende KrisenstabsĂŒbung. Mit dem Szenario einer Erpressung sollte sich jedes Unternehmen einmal auseinandersetzen. Suchen Sie im Internet doch einfach einmal nach dem Stichwort “DD4BC” oder schauen Sie sich diese Risikoanalyse an. Betroffen sind bei weitem nicht nur bekannte Großunternehmen. Insbesondere sind auch kleine und mittelstĂ€ndische Unternehmen betroffen. Die BetrĂ€ge sind relativ klein und viele Unternehmen werden die Publicity und den Gang zur Polizei scheuen und den geforderten Betrag zĂ€hneknirschend bezahlen, in der Hoffnung dann Ruhe zu haben. In dieser Situation ist die Zeit knapp und schnelles zielgerichtetes Handeln gefragt. Ohne Vorbereitung und Übung passieren schwerwiegende Fehler. In einer Checkliste sollten die wichtigsten Schritte festgehalten werden und ein BeratungsgesprĂ€ch bei der Polizei hilft den richtigen Kontakt im entscheidenden Moment zu finden.

Checklisten fĂŒr den Notfall

Dieser Artikel ĂŒber Checklisten beinhaltet ein beeindruckendes Beispiel ĂŒber die Wirksamkeit von Checklisten. In neun KrankenhĂ€usern in Michigan wurden einfache Checklisten mit eingefĂŒhrt, um die Anzahl von Infektionen in Intensivstationen zu verringern. Die Checklisten waren nicht umfangreich und enthielten eigentlich selbstverstĂ€ndliche Punkte, wie das Desinfizieren der HĂ€nde. Durch die EinfĂŒhrung der Checklisten in Verbindung mit Trainingsmaßnahmen konnte die Anzahl der Infektionen um 66 Prozent verringert werden. Obwohl die Inhalte der Checklisten den Ärzten eigentlich gelĂ€ufig waren, wurde im Arbeitsalltag dann doch immer wieder der eine oder andere Punkt ĂŒbersehen – mit zum Teil tödlichen Folgen durch Infektionen.

Welche SchlĂŒsse lassen sich hieraus fĂŒr das Business Continuity Management ziehen?

Bei dem Eintritte eines Notfalls können wir nicht erwarten, dass eigentlich selbstverstĂ€ndliche AktivitĂ€ten unternommen werden. Die Aufregung, vielleicht sogar Panik, ist groß. Es herrscht eine große Verunsicherung ĂŒber die Situation und viele Menschen sind betroffen und beteiligt. Im ersten Moment gibt es noch keine klare Hierarchie, der Krisenstab ist noch nicht besetzt und es gibt keine oder widersprĂŒchliche Anweisungen von unterschiedlichen KompetenztrĂ€gern. Gerade die ersten Momente in einem Notfall sind jedoch hĂ€ufig der kritische Erfolgsfaktor dafĂŒr, wie erfolgreich ein Notfall bewĂ€ltigt und Schaden minimiert werden kann. Gerade in dieser Situation sind Checklisten ein besonders wirksames Hilfsmittel. Sie stellen sicher, dass die Beteiligten einen Handlungsleitfaden haben und wichtige AktivitĂ€ten in der Hektik nicht vergessen werden. In vielen Situationen mit hohem Risiko oder auch hohen QualitĂ€tsanforderungen werden Checklisten eingesetzt. Piloten nutzen Checklisten, auch wenn sie diese im Schlaf herunterbeten könnten. Doch Vergessen ist menschlich.

Zu einem guten Notfallhandbuch gehören daher auch kompakte abarbeitbare Checklisten fĂŒr die zentralen BCM-Szenarien. Es gibt zahlreiche Varianten, wie solche Checklisten gestaltet und technisch umgesetzt werden können. In dem oben zitierten Artikel sind einige Tools benannt. Aber auch mit den Standard Office-Produkten Word und Excel lassen sich hervorragend Checklisten erstellen. Daneben können visuelle grafische AblaufplĂ€ne in Form von Flowcharts hilfreich sein.

Die eigentliche Übung liegt jedoch in der Erstellung der Checklisten selbst. Im ersten Wurf wird die hundertprozentige Lösung selten gelingen. Durch Tests und Übungen, in denen die Checklisten als Grundlage verwendet werden, erhalten die Checklisten den letzten Schliff und die Beteiligten ĂŒben den Umgang mit den Formularen.

Ein Beispiel Template Notfallplan Checkliste (word) habe ich diesem Artikel beigefĂŒgt. Es ist nur ein Beispiel und ich freue mich auf RĂŒckmeldungen von Ihnen. Welche Erfahrungen haben Sie mit Checklisten gesammelt? Haben Sie ein bewĂ€hrtes Template? Was ist bei den Checklisten zu beachten?

be prepared

Matthias HĂ€mmerle