BSI-Standard 200-4 BCM ist final: Business-Continuity-Management mit IT-Grundschutz
Nach einer umfangreichen Modernisierungsphase und zwei öffentlichen Kommentierungsphasen steht der finale BSI-Standard 200-4 „Business Continuity Management“ (BCM) bereit. Er richtet sich an Institutionen verschiedenster Art und Größe und hilft ihnen dabei, sich bestmöglich auf Schadensereignisse vorzubereiten
Ob der Ausfall eines Rechenzentrums, die Zerstörung einer Produktionsstätte infolge eines Naturereignisses oder eine Cyber-Attacke auf die gesamte IT-Infrastruktur – Institutionen sind einer stetig wachsenden Bedrohungslage ausgesetzt, die zu einer existenzbedrohenden Unterbrechung des Geschäftsbetriebes führen kann. Der BSI-Standard 200-4 „Business Continuity Management“ (BCM) hilft, sich bestmöglich auf Schadensereignisse vorzubereiten und trägt somit zu ganzheitlicher organisatorischer Resilienz bei (Abb. 1).
Abbildung 1: BCM als integraler Bestandteil der organisatorischen Resilienz
Ziele der Modernisierung
Schon zu Beginn der Modernisierungsphase hat sich herauskristallisiert, dass der neue BSI-Standard 200-4 einen anleitenden, erklärenden Charakter erhalten soll. Dieser Ansatz ergibt sich im Wesentlichen aus den folgenden zwei Gründen:
- Verbreitungsgrad von BCM: BCM als Thema und als Managementsystem ist nach wie vor noch nicht so weit verbreitet wie Managementsysteme für Informationssicherheit (ISMS). Viele Institutionen stehen noch davor, sich selbst systematisch mit dem Thema Business-Continuity zu beschäftigen und ein eigenes Business-Continuity-Management-
System (BCMS) aufzubauen. - Ausgangssituation am Standardmarkt: Grundsätzlich gibt die international anerkannte ISO-Norm 22301:2019 ideale Anforderungen für ein solches BCMS – jedoch sind die Umsetzung sowie besonders der Aufbau und die Etablierung eines solchen BCMS anhand dieser Norm und weiteren dazu gehörenden Normen für Einsteiger:innen nicht selbsterklärend. Daneben besteht mit den Good-Practice-Guidelines (GPG) des Business Continuity Institute (BCI, www.thebci.org) ein praxisnahes Standardwerk, das auch in Teilen Hilfe zur Umsetzung und entsprechende Anleitungen gibt. Jedoch genügt auch das nicht immer, um ein BCMS ohne weitere Hilfe umzusetzen. Zusätzlich finden sich in diesen beiden Normen beziehungsweise Standards auch keine direkten Bezüge zu den Standardwerken des BSI.
Raum für einen modernisierten BSI-Standard 200-4
Diese Ausgangslage bot somit Platz für einen modernisierten BSI-Standard 200-4, der eine praxisnahe Umsetzungsanleitung für die ISO-Norm ISO 22301:2019 bietet und gleichzeitig weitere Hürden zum Einstieg herabsetzt. So ermöglicht der BSI-Standard 200-4 einen schrittweisen Einstieg über ein Stufenmodell und zeigt die möglichen Synergien mit weiteren Managementsystemen auf.
Das Stufenmodell (siehe Abb. 2) ermöglicht erst einen schnellen, rudimentären Einstieg zur Existenzsicherung oder sofort die Etablierung eines ausgereiften, zur entsprechenden ISO-Norm (ISO 22301:2019) kompatiblen Managementsystems. Zusätzlich erleichtert es den Übergang zwischen diesen Stufen.
Abbildung 2: BCM-Stufenmodell
Ein BCMS stellt idealerweise keine Insellösung dar – um wirklich umfassende Resilienz zu schaffen, bedarf es so zum Beispiel intensiver Schnittstellen zu den Abteilungen beziehungsweise Organisationseinheiten, die sich mit dem operativen Tagesgeschäft der typischerweise abzusichernden Ressourcenkategorien (Gebäude, IT, Personale sowie Dienstleister) befassen.
Darüber hinaus werden im BSI-Standard 200-4 typische Schnittstellen und mögliche Synergiepotenziale (siehe Abb. 3) zu angrenzenden Themenfeldern und Managementsystemen wie dem ISMS oder ITSCM aufgezeigt.
Abbildung 3: Synergien und Schnittstellen
Der BSI-Standard 200-4 beschreibt alle Schritte des BCM-Prozesses so, dass auch Institutionen ohne tiefergehende Vorkenntnisse und externe Hilfe dazu befähigt werden, selbstständig ein BCMS aufzubauen. Der BSI-Standard 200-4 bietet dabei Raum und Platz dafür, das BCMS an den eigenen Anforderungen und Ressourcen auszurichten und unterstützt Anwender durch umfangreiche Abbildungen und praxisnahe Beispiele.
Umfangreiche Hilfsmittel
Ein weiterer wesentlicher Bestandteil, um einen selbstständigen Einstieg in das Thema BCM zu ermöglichen, sind die umfangreichen Hilfsmittel zum BSI-Standard 200-4. Es werden zwei Kategorien von Hilfsmitteln angeboten:
- Vorlagen: einfache Dokumentvorlagen (zum Beispiel für die Leitlinie oder das Notfallhandbuch) sowie ein interaktiver Auswertungsbogen zur Business-Impact-Analyse (BIA)
- weiterführende Informationen
Der Standard und die Dokumentvorlagen sind so aufeinander abgestimmt, dass sich die Dokumentvorlagen unter Anleitung der entsprechenden Kapitel des BSI-Standards 200-4 direkt ausfüllen beziehungsweise anpassen lassen. Die Dokumentvorlagen bieten bereits umfangreiche Standardtexte, die nur noch an die Lage der eigenen Institution angepasst werden müssen.
Eine sehr umfangreiche Unterstützung für Anwendende bietet zum Beispiel der interaktive Auswertungsbogen zur BIA (siehe Kasten).
Interaktiver Auswertungsbögen zur BIA
Mithilfe dieses Exceltools kann die Business-Impact-Analyse (BIA) erfasst und können automatisch die wesentlichen Kennzahlen wie die „Maximum Tolerable Period of Disruption“ (MTPD) auf Basis der Schadensbewertung generiert werden. Es bietet sich vor allem für Institutionen zum Einstieg an, um eine BIA erstmals systematisch zu erfassen, ohne sich bereits zum Start auf ein umfangreiches Government-Risk-und-Compliance-(GRC)-Tool festzulegen, dessen Einführung und Betrieb auch weitere Ressourcen erforderlich macht.
Selbst wenn sich herausstellen sollte, dass auf Dauer ein Tool benötigt oder gewünscht wird, haben Anwender:innen durch dieses Hilfsmittel bereits die Möglichkeit, Erfahrungen mit der BIA-Auswertung zu sammeln, die wiederum bei der Auswahl eines geeigneten Tools helfen.
Deckblatt Business-Impact-Analyse (Auszug)
Neben den Dokumentvorlagen gibt es weitergehende, nicht-normative Informationen zu ausgewählten Themen: So werden zum Beispiel weitergehende Informationen zum Tool-Einsatz oder zur Bewältigung von Schadensereignissen gegeben. Das Hilfsmittel „Weiterführende Aspekte zur Bewältigung“ greift die verschiedensten Aspekte zur Bewältigung von Notfällen und Krisen auf, die im Standard nicht normativ vorgegeben werden. Ein wesentlicher Aspekt sind die Besonderheiten von IT-Krisen gegenüber „analogen“ Krisen (siehe Abb. 4).
Da sich sogenannte Cyberlagen (IT-Angriffe) in der Regel in den vier aufgezeigten Dimensionen stärker auswirken beziehungsweise schneller ausbreiten, eskalieren solche Cyberlagen schneller zu IT-Krisen, als im Vergleich analoge Vorfälle zu herkömmlichen, „analogen“ Krisen eskalieren (siehe Abb. 4).
Abbildung 4: Unterschiede zwischen „analogen“ Krisen und IT-Krisen
Auch für Poweruser
Im Fokus stehen neben Einsteiger:inne:n auch erfahrene BCM-Anwender:innen. Mithilfe des bereitgestellten, übersichtlichen Anforderungskatalogs lässt sich die eigene Kompatibilität mit dem BSI-Standard 200-4 schnell nachvollziehen. Dieser Anforderungskatalog basiert auf der letzten Aufbaustufe, dem Standard-BCMS, die ein vollumfängliches, ISO-kompatibles BCMS darstellt. Die Kompatibilität zu der relevanten ISO-Norm ISO 22301:2019 lässt sich durch das ISO-Mapping nachvollziehen, in dem jedem ISO-Control mindestens eine entsprechende Anforderung aus dem BSI-Standard 200-4 zugeordnet ist. Durch den Anleitungscharakter kann der BSI-Standard 200-4 auch zur Umsetzung dieser ISO-Norm genutzt werden – das Mapping ermöglicht eine Transition zwischen beiden Normen.
Ausblick auf kommende Neuerungen
Während der BSI-Standard 200-4 nun final ist und damit über einen längeren Zeitraum auch stabil in der aktuellen Form bestehen bleibt, bieten die umfangreichen Hilfsmittel Raum für Anpassungen und neue Veröffentlichungen. So möchte das BSI die Hilfsmittel weiter ausbauen und perspektivisch weitere beispielhafte Dokumentvorlagen wie Übungshandbücher oder -drehbücher anbieten.
Ferner ist es auch denkbar, dass das aktuelle Recplast-Beispiel aus dem ISMS-Bereich hinsichtlich eines Recplast-BCMS erweitert wird: So würde Anwendenden neben den einzelnen Beispielen im BSI-Standard 200-4 und den einzelnen Beispielen in den Dokumentvorlagen ein übergreifendes Beispiel für ein BCMS mit der typischen damit verbundenen, zusammenhängenden Dokumentation zur Verfügung stehen.
BSI-Standard 200-4 als lebendes Standardwerk
Anwender:innen steht mit dem BSI-Standard 200-4 ein fortschrittlicher Standard zur Verfügung, den umfangreiche Hilfsmittel abrunden. Selbstverständlich setzt das BSI auch weiterhin auf den Austausch mit der Community – weitere Anregungen oder auch Kritik sind per E-Mail an it-grundschutz@bsi.bund.de willkommen.
Cäcilia Jung ist Referentin im Referat WG 13 – KRITIS-Sektoren Ernährung, Transport und Verkehr im Bundesamt für Sicherheit in der Informationstechnik
Daniel Gilles ist Referent im Referat SZ 13 – IT-Grundschutz & BSI-Standards im Bundesamt für Sicherheit in der Informationstechnik