:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ganzheitliches KRITIS-Management, Korb 2 Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen
Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Vorgaben aus dem IT-Sicherheitsgesetz und der Kritisverordnung machen unter anderem ein Business Continuity Management (BCM) und ein IT Service Continuity Management (ITSCM) nötig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die Umsetzung prüfen.
Im Bereich der Kritischen Infrastrukturen hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. Damit Krankenhäuser, Speditionen, Banken und Versicherungen adäquat vorbereitet sind, unterstützen externe Experten bei Entwicklung und Implementierung von BCM- und ITSCM-Systemen, Erstellung von BCM-/ITSCM-Strategien und BCM-/ITSCM-Plänen, dem Aufbau eines Krisen-Managements sowie bei der Vorbereitung auf die vorgeschriebenen Nachweise der Umsetzung ihrer organisatorischen und technischen Vorkehrungen (siehe: § 8a (1) BSIG) nach Stand der Technik zur Vermeidung von Störungen gegenüber dem BSI.
Die Verfügbarkeit und Sicherheit der IT-Systeme spielen somit, speziell im Bereich der Kritischen Infrastrukturen, eine zentrale Rolle. 2016 trat bereits der erste Teil (Umgangssprachlich „Korb 1“ genannt) der BSI-Kritisverordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft, der die Bereiche Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung regelte. Nun muss der zweite Teil umgesetzt werden, der Unternehmen aus dem Gesundheitsbereich, Versicherungs- / Finanzwesen und Transport / Verkehr betrifft.
Den Notfall managen
Business Continuity Management, auch Notfallplanung oder Notfall-Management genannt, ist ein Management-Prozess, der sich seit den 1990er-Jahren als eigenständige Disziplin etabliert hat. Seither entwickelt er sich stetig weiter und gewinnt immer mehr an Bedeutung. Vor allem bei der Widerstandsfähigkeit eines Unternehmens, der Resilienz, trägt ein BCM-System einen wichtigen Teil bei. Unternehmen haben oftmals bereits Prozesse zur Absicherung implementiert, dennoch kann es zu Notfällen oder Krisen kommen.
Hier greift das BCM, für das Spezialisten wie die Controllit AG aus Hamburg integrative Konzepte und Produkte entwickeln. In „ruhigen“ Zeiten filtert das Beratungsunternehmen für BCM, ITSCM und Krisen-Management die verletzlichen Punkte im Unternehmen, die zeitkritischen Prozesse, heraus und entwickelt Pläne, so genannte Business Continuity Pläne, um diese dann im Notfall innerhalb der ermittelten maximalen Ausfallzeit und auf einem akzeptablen Mindestlevel wiederherzustellen, zum Beispiel auch anderswo mit anderen Ressourcen abzubilden.
Die Experten übernehmen die Implementierung und Aufrechterhaltung eines BCM-Systems. Unternehmen betreiben quasi ein Outsourcing und erhalten einen externen BC-Manager.
Unterstützung für alle Branchen
Relevant sollte BCM und ITSCM eigentlich in allen Branchen sein. Das Fehlen eines BCM-Systems, das sicherstellt, dass die kritischsten Geschäftsprozesse im Notfall funktionieren und das Unternehmen damit die Erwartungshaltungen seiner Stakeholder erfüllt, kann darüber entscheiden, ob das Unternehmen seine Marktposition nach dem Notfall weiterhin halten kann. Durch das IT-Sicherheitsgesetz ist es nun für Unternehmen der Kritischen Infrastrukturen vorgeschrieben, in Bezug auf BCM geprüft werden.
Insgesamt hat sich die Bedeutung von BCM beziehungsweise ITSCM dadurch verändert, dass die Bedrohungslage sich verschärft hat. Europa und auch Deutschland wurden Opfer von Terroranschlägen, aber auch Naturereignisse sind stärker ins Bewusstsein gerückt. Zumal solche Ereignisse die oftmals über den gesamten Globus gespannten Lieferketten bedrohen. „Industrie 4.0“ und die damit einhergehende weitere Automatisierung von Produktions- und Geschäftsprozessen macht die Abhängigkeit der Unternehmen von einer funktionierenden IT offensichtlich.
Damit verbunden sind auch größere Gefahren. Und wenn alle Schutzmechanismen versagen, brauchen Unternehmen neben der IT-Sicherheit ein funktionierendes ITSCM- und BCM-System.
Ganzheitliches Konzept gefragt
Nur einzelne Aspekte abzudecken reicht nicht, um die gesetzlichen Anforderungen erfüllen zu können. In einem Gesamtkonzept ist es erforderlich, zahlreiche Management-Disziplinen abzudecken. Falls nicht vorhanden, müssen sie etabliert und die entsprechenden Schnittstellen zwischen den Management-Disziplinen definiert werden. Diese Disziplinen müssen unter anderem ineinander spielen, um die Prüfkriterien des BSI zu erfüllen:
- Informationssicherheit (ISM): zum Beispiel nach ISO 27001 (Information technology – Security techniques – Information security management systems – Requirements) / BSI-Standard 200-1 und 200-2 / Industrial Control System Security (ICS) / IEC 62443 – Industrial communication networks – Network and system security.
- Service Management Prozesse: wie z.B. Asset Management, Incident Management, Change Management, Availability Management entsprechend ISO 20000 beziehungsweise ITIL
- Risiko-Management: ISO 27005 / ISO 31000 bzw. BSI-Standard 200-3
- Business Continuity Management: ISO 22301 und BSI-Standard 100-4 (Notfallmanagement).
- IT Service Continuity Management: Oft als IT-Notfall-Management, früher als Disaster Recovery Management bezeichnet. ISO 27031.
- Krisen-Management: Systematischer Umgang mit kritischen Situationen beziehungsweise Krisensituationen.
- Testen und Üben: Strategie für Planung, Vorbereitung, Durchführung und Auswertung von Tests und Übungen
Lieferanten- und Dienstleister-Management
Mit einem BCM-System analysieren die Fachleute von Controllit, welche Ressourcen sie für die Aufrechterhaltung der zeitkritischen Prozesse benötigen. Da die Abhängigkeit der Prozesse fast aller Unternehmen und Organisationen von der IT steigt und die Abbildung von Prozessen ohne IT oftmals undenkbar ist, kommt der IT in der Notfallplanung eine Sonderrolle zu – das ITSCM-System zur Absicherung der IT im Notfall wird deswegen implementiert.
Die Anforderungen an die IT-Ressourcen werden vom BCM ermittelt und an das ITSCM übergeben. Das ITSCM greift diese Informationen auf und beschäftigt sich dann auf dieser Basis mit der Absicherung (etwa durch Hochverfügbarkeit / Georedundanz), den Plänen für den schnellstmöglichen Wiederanlauf beziehungsweise der Ermittlung von Alternativen für diese IT-Ressourcen wie etwa Anwendungen und IT- Infrastruktur.
ITSCM ist also als eine Art „Spezialdisziplin“ im Rahmen von BCM zu verstehen. Da die IT selbst aber auch zeitkritische Prozesse durchführt, ist die IT genau wie eine Fachabteilung im Rahmen von BCM abzusichern.
Organisation im Krisenfall
Das Krisen-Management dient als eine Art Steuerungsprozess in einem Notfall oder einer Krise. Die Krisen-Management-Organisation löst im Krisenfall die normale Organisation des Unternehmens ab, hier laufen dann alle Fäden zusammen. Durch das Krisen-Management sollten alle Pläne und das Zusammenwirken der Notfallorganisation orchestriert werden. Eine gut aufgebaute Krisen-Management-Organisation sollte aber auch in der Lage sein, beispielsweise Reputationskrisen gut zu meistern, bei denen das BCM-System und das ITSCM-System gegebenenfalls gar nicht aktiviert werden.
IT-Sicherheit und ITSCM
Sowohl ISM- als auch ITSCM haben das gemeinsame Ziel die Verfügbarkeit von IT-Ressourcen und somit von Informationen sicherzustellen. ISM ist für den Normalbetrieb verantwortlich, daher muss mit ISM abgestimmt werden, welche Szenarien im ITSCM behandelt werden und welche Szenarien in die Verantwortung von ISM oder den IT-Betrieb fallen, beispielsweise IT-Ausfall durch Virenbefall.
Der proaktive Schutz der Rechenzentren gegen elementare Bedrohungen ist dabei ein wichtiges Ziel. Hier gilt es, gemeinsam Vorgaben zum Perimeterschutz sowie der baulichen und physischen Sicherheit, wie zum Beispiel Anfahrschutz, Zutrittskontrollsysteme, Brandschutz, Wasserschutz und der Stromversorgung, auszuarbeiten.
Im Rechenzentrum werden Datensicherungsverfahren – Disk-to-Disk-to-Tape – geplant, durchgeführt und überwacht. Diese Datensicherungen können im Rahmen von ITSCM bei physischen Ausfällen genutzt werden - zum Beispiel Servern oder Storage-Systemen, aber ebenso wenn es zu Verlusten der Datenintegrität gekommen ist - zum Beispiel durch einen Ransomware-Angriff.
Die Datensicherungsverfahren sind also miteinander abzustimmen. Ein weiterer Aspekt ist die Abstimmung zwischen BCM, ITSCM und ISM bezüglich der Bedeutung der Business Continuity Pläne für das Worst Case Szenario.
Szenarien festlegen
Damit das Zusammenspiel der beiden Management-Disziplinen funktioniert, ist es erforderlich, den jeweiligen Scope und die zu betrachtenden Szenarien festzulegen. Oft ist es so, dass im Rahmen der IT-Sicherheit vorbeugende Sicherheitsvorgaben für Zutritts- und Zugriffsbeschränkungen, kryptografische Verfahren, Virenschutz, Konfigurationen von Firewalls und Intrusion-Detection-Systemen (IDS) geregelt werden.
Reaktive Pläne für den Ernstfall werden aber meistens nicht erstellt. ITSCM wiederum schließt Cyber-Kriminalität aus, da zum Beispiel korrumpierte Daten in Rechenzentren nicht in dem vom BCM vorgegeben Zeitraum wiederhergestellt werden können. Selbst bei einer Georedundanz, sollten zwei Rechenzentren im aktiv - aktiv-Modus arbeiten, sind ja beide Seiten korrumpiert.
Eine Wiederherstellung der Daten kann somit nur über Bandsicherungen erfolgen und würde aber viel zu lange dauern. Die geforderten Wiederherstellungszeiten (so genannte RTO) für zeitkritische Prozesse belaufen sich meistens auf vier bis acht Stunden. Rücksicherungen aus Bändern können das bei den heutigen Datenvolumen vom Zeitfaktor her nicht leisten.
Schnittstellen zwischen ITSCM und IT-Sicherheit liegen in den Bereichen der Vorgaben und Standards, der Nutzung der Krisenorganisation, den IT-Themen Datensicherungsverfahren und Rechenzentrumssicherheit und natürlich auch bei den Business Continuity Plänen für das Szenario „IT-Ausfall“. ITSCM und IT-Sicherheit kümmern sich um die Verfügbarkeit der IT-Services.
Die IT-Sicherheit – also der Prozess Information Security Management - soll die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität (VIVA) der Informationsverarbeitung sicherstellen. Das ITSCM konzentriert sich im Rahmen der Sicherstellung der Verfügbarkeit auf die „Kontinuitätsplanung“ für die IT-Services. Es geht dabei um die Kontinuität des IT-Betriebs auch nach dem Ausfall eines ganzen Rechenzentrums.
Bei der Implementierung Schwierigkeiten vermeiden
Wer BCM einführt, sollte bedenken, dass es kein Projekt ist, das man durchführt, abschließt und dann zum nächsten Thema übergeht. BCM ist ein Management-Prozess, der eingeführt und betrieben werden muss. Dies bedeutet auch, dass hierfür Ressourcen dauerhaft bereitgestellt werden müssen.
Ohne die Bereitschaft, das Personal in dem Thema BCM auszubilden und die benötigte Zeit zur Verfügung zu stellen, kann man keine guten Arbeitsergebnisse erwarten. Wenn das Management aber die Vorteile einer erhöhten Widerstandsfähigkeit durch die Einführung von BCM erkennt und diese entsprechend kommuniziert, dann besteht eine gute Chance auf Akzeptanz im Unternehmen.
* Daniel Knep und Jörg Kobeleff sind Manager bei Controllit.
(ID:45946958)
:quality(80)/images.vogel.de/vogelonline/bdb/1902400/1902401/original.jpg "Sicherheitszertifizierungen sind heute wichtiger denn je. Sie ermöglichen nicht nur einen ganzheitlichen Unternehmensschutz, sondern auch einen Wettbewerbsvorteil. (BSI)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933897/original.jpg "Cybersecurity ist kein Add-On, sondern der Schlüssel für eine erfolgreiche Digitalisierung. (photon_photo - stock.adobe.com)")