Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

| Autor / Redakteur: Daniel Knep und Jörg Kobeleff* / Ulrike Ostler

Im Bereich der Kritischen Infrastrukturen hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen.
Im Bereich der Kritischen Infrastrukturen hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. (Bild: gemeinfrei, Free-Photos / Pixabay / CC0)

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden.

Die Vorgaben aus dem IT-Sicherheitsgesetz und der Kritisverordnung machen unter anderem ein Business Continuity Management (BCM) und ein IT Service Continuity Management (ITSCM) nötig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die Umsetzung prüfen.

Im Bereich der Kritischen Infrastrukturen hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. Damit Krankenhäuser, Speditionen, Banken und Versicherungen adäquat vorbereitet sind, unterstützen externe Experten bei Entwicklung und Implementierung von BCM- und ITSCM-Systemen, Erstellung von BCM-/ITSCM-Strategien und BCM-/ITSCM-Plänen, dem Aufbau eines Krisen-Managements sowie bei der Vorbereitung auf die vorgeschriebenen Nachweise der Umsetzung ihrer organisatorischen und technischen Vorkehrungen (siehe: § 8a (1) BSIG) nach Stand der Technik zur Vermeidung von Störungen gegenüber dem BSI.

Die Verfügbarkeit und Sicherheit der IT-Systeme spielen somit, speziell im Bereich der Kritischen Infrastrukturen, eine zentrale Rolle. 2016 trat bereits der erste Teil (Umgangssprachlich „Korb 1“ genannt) der BSI-Kritisverordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft, der die Bereiche Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung regelte. Nun muss der zweite Teil umgesetzt werden, der Unternehmen aus dem Gesundheitsbereich, Versicherungs- / Finanzwesen und Transport / Verkehr betrifft.

Den Notfall managen

Business Continuity Management, auch Notfallplanung oder Notfall-Management genannt, ist ein Management-Prozess, der sich seit den 1990er-Jahren als eigenständige Disziplin etabliert hat. Seither entwickelt er sich stetig weiter und gewinnt immer mehr an Bedeutung. Vor allem bei der Widerstandsfähigkeit eines Unternehmens, der Resilienz, trägt ein BCM-System einen wichtigen Teil bei. Unternehmen haben oftmals bereits Prozesse zur Absicherung implementiert, dennoch kann es zu Notfällen oder Krisen kommen.

Hier greift das BCM, für das Spezialisten wie die Controllit AG aus Hamburg integrative Konzepte und Produkte entwickeln. In „ruhigen“ Zeiten filtert das Beratungsunternehmen für BCM, ITSCM und Krisen-Management die verletzlichen Punkte im Unternehmen, die zeitkritischen Prozesse, heraus und entwickelt Pläne, so genannte Business Continuity Pläne, um diese dann im Notfall innerhalb der ermittelten maximalen Ausfallzeit und auf einem akzeptablen Mindestlevel wiederherzustellen, zum Beispiel auch anderswo mit anderen Ressourcen abzubilden.

Die Experten übernehmen die Implementierung und Aufrechterhaltung eines BCM-Systems. Unternehmen betreiben quasi ein Outsourcing und erhalten einen externen BC-Manager.

Unterstützung für alle Branchen

Relevant sollte BCM und ITSCM eigentlich in allen Branchen sein. Das Fehlen eines BCM-Systems, das sicherstellt, dass die kritischsten Geschäftsprozesse im Notfall funktionieren und das Unternehmen damit die Erwartungshaltungen seiner Stakeholder erfüllt, kann darüber entscheiden, ob das Unternehmen seine Marktposition nach dem Notfall weiterhin halten kann. Durch das IT-Sicherheitsgesetz ist es nun für Unternehmen der Kritischen Infrastrukturen vorgeschrieben, in Bezug auf BCM geprüft werden.

Insgesamt hat sich die Bedeutung von BCM beziehungsweise ITSCM dadurch verändert, dass die Bedrohungslage sich verschärft hat. Europa und auch Deutschland wurden Opfer von Terroranschlägen, aber auch Naturereignisse sind stärker ins Bewusstsein gerückt. Zumal solche Ereignisse die oftmals über den gesamten Globus gespannten Lieferketten bedrohen. „Industrie 4.0“ und die damit einhergehende weitere Automatisierung von Produktions- und Geschäftsprozessen macht die Abhängigkeit der Unternehmen von einer funktionierenden IT offensichtlich.

Damit verbunden sind auch größere Gefahren. Und wenn alle Schutzmechanismen versagen, brauchen Unternehmen neben der IT-Sicherheit ein funktionierendes ITSCM- und BCM-System.

Ganzheitliches Konzept gefragt

Nur einzelne Aspekte abzudecken reicht nicht, um die gesetzlichen Anforderungen erfüllen zu können. In einem Gesamtkonzept ist es erforderlich, zahlreiche Management-Disziplinen abzudecken. Falls nicht vorhanden, müssen sie etabliert und die entsprechenden Schnittstellen zwischen den Management-Disziplinen definiert werden. Diese Disziplinen müssen unter anderem ineinander spielen, um die Prüfkriterien des BSI zu erfüllen:

  • Informationssicherheit (ISM): zum Beispiel nach ISO 27001 (Information technology – Security techniques – Information security management systems – Requirements) / BSI-Standard 200-1 und 200-2 / Industrial Control System Security (ICS) / IEC 62443 – Industrial communication networks – Network and system security.
  • Service Management Prozesse: wie z.B. Asset Management, Incident Management, Change Management, Availability Management entsprechend ISO 20000 beziehungsweise ITIL
  • Risiko-Management: ISO 27005 / ISO 31000 bzw. BSI-Standard 200-3
  • Business Continuity Management: ISO 22301 und BSI-Standard 100-4 (Notfallmanagement).
  • IT Service Continuity Management: Oft als IT-Notfall-Management, früher als Disaster Recovery Management bezeichnet. ISO 27031.
  • Krisen-Management: Systematischer Umgang mit kritischen Situationen beziehungsweise Krisensituationen.
  • Testen und Üben: Strategie für Planung, Vorbereitung, Durchführung und Auswertung von Tests und Übungen

Lieferanten- und Dienstleister-Management

Mit einem BCM-System analysieren die Fachleute von Controllit, welche Ressourcen sie für die Aufrechterhaltung der zeitkritischen Prozesse benötigen. Da die Abhängigkeit der Prozesse fast aller Unternehmen und Organisationen von der IT steigt und die Abbildung von Prozessen ohne IT oftmals undenkbar ist, kommt der IT in der Notfallplanung eine Sonderrolle zu – das ITSCM-System zur Absicherung der IT im Notfall wird deswegen implementiert.

Die Anforderungen an die IT-Ressourcen werden vom BCM ermittelt und an das ITSCM übergeben. Das ITSCM greift diese Informationen auf und beschäftigt sich dann auf dieser Basis mit der Absicherung (etwa durch Hochverfügbarkeit / Georedundanz), den Plänen für den schnellstmöglichen Wiederanlauf beziehungsweise der Ermittlung von Alternativen für diese IT-Ressourcen wie etwa Anwendungen und IT- Infrastruktur.

ITSCM ist also als eine Art „Spezialdisziplin“ im Rahmen von BCM zu verstehen. Da die IT selbst aber auch zeitkritische Prozesse durchführt, ist die IT genau wie eine Fachabteilung im Rahmen von BCM abzusichern.

Organisation im Krisenfall

Das Krisen-Management dient als eine Art Steuerungsprozess in einem Notfall oder einer Krise. Die Krisen-Management-Organisation löst im Krisenfall die normale Organisation des Unternehmens ab, hier laufen dann alle Fäden zusammen. Durch das Krisen-Management sollten alle Pläne und das Zusammenwirken der Notfallorganisation orchestriert werden. Eine gut aufgebaute Krisen-Management-Organisation sollte aber auch in der Lage sein, beispielsweise Reputationskrisen gut zu meistern, bei denen das BCM-System und das ITSCM-System gegebenenfalls gar nicht aktiviert werden.

IT-Sicherheit und ITSCM

Sowohl ISM- als auch ITSCM haben das gemeinsame Ziel die Verfügbarkeit von IT-Ressourcen und somit von Informationen sicherzustellen. ISM ist für den Normalbetrieb verantwortlich, daher muss mit ISM abgestimmt werden, welche Szenarien im ITSCM behandelt werden und welche Szenarien in die Verantwortung von ISM oder den IT-Betrieb fallen, beispielsweise IT-Ausfall durch Virenbefall.

Der proaktive Schutz der Rechenzentren gegen elementare Bedrohungen ist dabei ein wichtiges Ziel. Hier gilt es, gemeinsam Vorgaben zum Perimeterschutz sowie der baulichen und physischen Sicherheit, wie zum Beispiel Anfahrschutz, Zutrittskontrollsysteme, Brandschutz, Wasserschutz und der Stromversorgung, auszuarbeiten.

An Risiken für den Rechenzentrumsbetrieb mangelt es - gar nicht

Das Dickicht aus Datacenter-Bedrohungen

An Risiken für den Rechenzentrumsbetrieb mangelt es - gar nicht

20.02.19 - Sicher, die meisten Rechenzentrumsbetreiber haben Redundanzen eingebaut und irgendwo einen Notfallplan. Doch es gilt auch die Kosten für eines Rechenzentrums beim Bau und Betrieb im Blick zu behalten… Einzelne Risiken sind also doch nicht so bedrohlich? Doch welche? Béla Waldhauser, CEO der Telehouse Deutschland GmbH, gibt einen Überblick über die Gefährdungen und ein paar Best-Practice-Beispiele. lesen

Im Rechenzentrum werden Datensicherungsverfahren – Disk-to-Disk-to-Tape – geplant, durchgeführt und überwacht. Diese Datensicherungen können im Rahmen von ITSCM bei physischen Ausfällen genutzt werden - zum Beispiel Servern oder Storage-Systemen, aber ebenso wenn es zu Verlusten der Datenintegrität gekommen ist - zum Beispiel durch einen Ransomware-Angriff.

Die Datensicherungsverfahren sind also miteinander abzustimmen. Ein weiterer Aspekt ist die Abstimmung zwischen BCM, ITSCM und ISM bezüglich der Bedeutung der Business Continuity Pläne für das Worst Case Szenario.

Szenarien festlegen

Damit das Zusammenspiel der beiden Management-Disziplinen funktioniert, ist es erforderlich, den jeweiligen Scope und die zu betrachtenden Szenarien festzulegen. Oft ist es so, dass im Rahmen der IT-Sicherheit vorbeugende Sicherheitsvorgaben für Zutritts- und Zugriffsbeschränkungen, kryptografische Verfahren, Virenschutz, Konfigurationen von Firewalls und Intrusion-Detection-Systemen (IDS) geregelt werden.

Reaktive Pläne für den Ernstfall werden aber meistens nicht erstellt. ITSCM wiederum schließt Cyber-Kriminalität aus, da zum Beispiel korrumpierte Daten in Rechenzentren nicht in dem vom BCM vorgegeben Zeitraum wiederhergestellt werden können. Selbst bei einer Georedundanz, sollten zwei Rechenzentren im aktiv - aktiv-Modus arbeiten, sind ja beide Seiten korrumpiert.

Eine Wiederherstellung der Daten kann somit nur über Bandsicherungen erfolgen und würde aber viel zu lange dauern. Die geforderten Wiederherstellungszeiten (so genannte RTO) für zeitkritische Prozesse belaufen sich meistens auf vier bis acht Stunden. Rücksicherungen aus Bändern können das bei den heutigen Datenvolumen vom Zeitfaktor her nicht leisten.

Schnittstellen zwischen ITSCM und IT-Sicherheit liegen in den Bereichen der Vorgaben und Standards, der Nutzung der Krisenorganisation, den IT-Themen Datensicherungsverfahren und Rechenzentrumssicherheit und natürlich auch bei den Business Continuity Plänen für das Szenario „IT-Ausfall“. ITSCM und IT-Sicherheit kümmern sich um die Verfügbarkeit der IT-Services.

Die IT-Sicherheit – also der Prozess Information Security Management - soll die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität (VIVA) der Informationsverarbeitung sicherstellen. Das ITSCM konzentriert sich im Rahmen der Sicherstellung der Verfügbarkeit auf die „Kontinuitätsplanung“ für die IT-Services. Es geht dabei um die Kontinuität des IT-Betriebs auch nach dem Ausfall eines ganzen Rechenzentrums.

Bei der Implementierung Schwierigkeiten vermeiden

Wer BCM einführt, sollte bedenken, dass es kein Projekt ist, das man durchführt, abschließt und dann zum nächsten Thema übergeht. BCM ist ein Management-Prozess, der eingeführt und betrieben werden muss. Dies bedeutet auch, dass hierfür Ressourcen dauerhaft bereitgestellt werden müssen.

Ohne die Bereitschaft, das Personal in dem Thema BCM auszubilden und die benötigte Zeit zur Verfügung zu stellen, kann man keine guten Arbeitsergebnisse erwarten. Wenn das Management aber die Vorteile einer erhöhten Widerstandsfähigkeit durch die Einführung von BCM erkennt und diese entsprechend kommuniziert, dann besteht eine gute Chance auf Akzeptanz im Unternehmen.

* Daniel Knep und Jörg Kobeleff sind Manager bei Controllit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45946958 / Risk Management)