Home » Fachbeiträge » Security Management » Business-Continuity-Management mit IT-Grundschutz

BSI-Standard 200-4 BCM ist final: Business-Continuity-Management mit IT-Grundschutz

Nach einer umfangreichen Modernisierungsphase und zwei öffentlichen Kommentierungsphasen steht der finale BSI-Standard 200-4 „Business Continuity Management“ (BCM) bereit. Er richtet sich an Institutionen verschiedenster Art und Größe und hilft ihnen dabei, sich bestmöglich auf Schadensereignisse vorzubereiten

5 Min. Lesezeit
Foto: ©AdobeStock/Nuthawut

Ob der Ausfall eines Rechenzentrums, die Zerstörung einer Produktionsstätte infolge eines Naturereignisses oder eine Cyber-Attacke auf die gesamte IT-Infrastruktur – Institutionen sind einer stetig wachsenden Bedrohungslage ausgesetzt, die zu einer existenzbedrohenden Unterbrechung des Geschäftsbetriebes führen kann. Der BSI-Standard 200-4 „Business Continuity Management“ (BCM) hilft, sich bestmöglich auf Schadensereignisse vorzubereiten und trägt somit zu ganzheitlicher organisatorischer Resilienz bei (Abb. 1).

Abbildung 1: BCM als integraler Bestandteil der organisatorischen Resilienz

Ziele der Modernisierung

Schon zu Beginn der Modernisierungsphase hat sich herauskristallisiert, dass der neue BSI-Standard 200-4 einen anleitenden, erklärenden Charakter erhalten soll. Dieser Ansatz ergibt sich im Wesentlichen aus den folgenden zwei Gründen:

  • Verbreitungsgrad von BCM: BCM als Thema und als Managementsystem ist nach wie vor noch nicht so weit verbreitet wie Managementsysteme für Informationssicherheit (ISMS). Viele Institutionen stehen noch davor, sich selbst systematisch mit dem Thema Business-Continuity zu beschäftigen und ein eigenes Business-Continuity-Management-
    System (BCMS) aufzubauen.
  • Ausgangssituation am Standardmarkt: Grundsätzlich gibt die international anerkannte ISO-Norm 22301:2019 ideale Anforderungen für ein solches BCMS – jedoch sind die Umsetzung sowie besonders der Aufbau und die Etablierung eines solchen BCMS anhand dieser Norm und weiteren dazu gehörenden Normen für Einsteiger:innen nicht selbsterklärend. Daneben besteht mit den Good-Practice-Guidelines (GPG) des Business Continuity Institute (BCI, www.thebci.org) ein praxisnahes Standardwerk, das auch in Teilen Hilfe zur Umsetzung und entsprechende Anleitungen gibt. Jedoch genügt auch das nicht immer, um ein BCMS ohne weitere Hilfe umzusetzen. Zusätzlich finden sich in diesen beiden Normen beziehungsweise Standards auch keine direkten Bezüge zu den Standardwerken des BSI.

Raum für einen modernisierten BSI-Standard 200-4

Diese Ausgangslage bot somit Platz für einen modernisierten BSI-Standard 200-4, der eine praxisnahe Umsetzungsanleitung für die ISO-Norm ISO 22301:2019 bietet und gleichzeitig weitere Hürden zum Einstieg herabsetzt. So ermöglicht der BSI-Standard 200-4 einen schrittweisen Einstieg über ein Stufenmodell und zeigt die möglichen Synergien mit weiteren Managementsystemen auf.

Das Stufenmodell (siehe Abb. 2) ermöglicht erst einen schnellen, rudimentären Einstieg zur Existenzsicherung oder sofort die Etablierung eines ausgereiften, zur entsprechenden ISO-Norm (ISO 22301:2019) kompatiblen Managementsystems. Zusätzlich erleichtert es den Übergang zwischen diesen Stufen.

Abbildung 2: BCM-Stufenmodell

Ein BCMS stellt idealerweise keine Insellösung dar – um wirklich umfassende Resilienz zu schaffen, bedarf es so zum Beispiel intensiver Schnittstellen zu den Abteilungen beziehungsweise Organisationseinheiten, die sich mit dem operativen Tagesgeschäft der typischerweise abzusichernden Ressourcenkategorien (Gebäude, IT, Personale sowie Dienstleister) befassen.

Darüber hinaus werden im BSI-Standard 200-4 typische Schnittstellen und mögliche Synergiepotenziale (siehe Abb. 3) zu angrenzenden Themenfeldern und Managementsystemen wie dem ISMS oder ITSCM aufgezeigt.

Abbildung 3: Synergien und Schnittstellen

Der BSI-Standard 200-4 beschreibt alle Schritte des BCM-Prozesses so, dass auch Institutionen ohne tiefergehende Vorkenntnisse und externe Hilfe dazu befähigt werden, selbstständig ein BCMS aufzubauen. Der BSI-Standard 200-4 bietet dabei Raum und Platz dafür, das BCMS an den eigenen Anforderungen und Ressourcen auszurichten und unterstützt Anwender durch umfangreiche Abbildungen und praxisnahe Beispiele.

Umfangreiche Hilfsmittel

Ein weiterer wesentlicher Bestandteil, um einen selbstständigen Einstieg in das Thema BCM zu ermöglichen, sind die umfangreichen Hilfsmittel zum BSI-Standard 200-4. Es werden zwei Kategorien von Hilfsmitteln angeboten:

  • Vorlagen: einfache Dokumentvorlagen (zum Beispiel für die Leitlinie oder das Notfallhandbuch) sowie ein interaktiver Auswertungsbogen zur Business-Impact-Analyse (BIA)
  • weiterführende Informationen

Der Standard und die Dokumentvorlagen sind so aufeinander abgestimmt, dass sich die Dokumentvorlagen unter Anleitung der entsprechenden Kapitel des BSI-Standards 200-4 direkt ausfüllen beziehungsweise anpassen lassen. Die Dokumentvorlagen bieten bereits umfangreiche Standardtexte, die nur noch an die Lage der eigenen Institution angepasst werden müssen.

Eine sehr umfangreiche Unterstützung für Anwendende bietet zum Beispiel der interaktive Auswertungsbogen zur BIA (siehe Kasten).

Interaktiver Auswertungsbögen zur BIA

Mithilfe dieses Exceltools kann die Business-Impact-Analyse (BIA) erfasst und können automatisch die wesentlichen Kennzahlen wie die „Maximum Tolerable Period of Disruption“ (MTPD) auf Basis der Schadensbewertung generiert werden. Es bietet sich vor allem für Institutionen zum Einstieg an, um eine BIA erstmals systematisch zu erfassen, ohne sich bereits zum Start auf ein umfangreiches Government-Risk-und-Compliance-(GRC)-Tool festzulegen, dessen Einführung und Betrieb auch weitere Ressourcen erforderlich macht.

Selbst wenn sich herausstellen sollte, dass auf Dauer ein Tool benötigt oder gewünscht wird, haben Anwender:innen durch dieses Hilfsmittel bereits die Möglichkeit, Erfahrungen mit der BIA-Auswertung zu sammeln, die wiederum bei der Auswahl eines geeigneten Tools helfen.

Deckblatt Business-Impact-Analyse (Auszug)

Neben den Dokumentvorlagen gibt es weitergehende, nicht-normative Informationen zu ausgewählten Themen: So werden zum Beispiel weitergehende Informationen zum Tool-Einsatz oder zur Bewältigung von Schadensereignissen gegeben. Das Hilfsmittel „Weiterführende Aspekte zur Bewältigung“ greift die verschiedensten Aspekte zur Bewältigung von Notfällen und Krisen auf, die im Standard nicht normativ vorgegeben werden. Ein wesentlicher Aspekt sind die Besonderheiten von IT-Krisen gegenüber „analogen“ Krisen (siehe Abb. 4).

Da sich sogenannte Cyberlagen (IT-Angriffe) in der Regel in den vier aufgezeigten Dimensionen stärker auswirken beziehungsweise schneller ausbreiten, eskalieren solche Cyberlagen schneller zu IT-Krisen, als im Vergleich analoge Vorfälle zu herkömmlichen, „analogen“ Krisen eskalieren (siehe Abb. 4).

Abbildung 4: Unterschiede zwischen „analogen“ Krisen und IT-Krisen

Auch für Poweruser

Im Fokus stehen neben Einsteiger:inne:n auch erfahrene BCM-Anwender:innen. Mithilfe des bereitgestellten, übersichtlichen Anforderungskatalogs lässt sich die eigene Kompatibilität mit dem BSI-Standard 200-4 schnell nachvollziehen. Dieser Anforderungskatalog basiert auf der letzten Aufbaustufe, dem Standard-BCMS, die ein vollumfängliches, ISO-kompatibles BCMS darstellt. Die Kompatibilität zu der relevanten ISO-Norm ISO 22301:2019 lässt sich durch das ISO-Mapping nachvollziehen, in dem jedem ISO-Control mindestens eine entsprechende Anforderung aus dem BSI-Standard 200-4 zugeordnet ist. Durch den Anleitungscharakter kann der BSI-Standard 200-4 auch zur Umsetzung dieser ISO-Norm genutzt werden – das Mapping ermöglicht eine Transition zwischen beiden Normen.

Ausblick auf kommende Neuerungen

Während der BSI-Standard 200-4 nun final ist und damit über einen längeren Zeitraum auch stabil in der aktuellen Form bestehen bleibt, bieten die umfangreichen Hilfsmittel Raum für Anpassungen und neue Veröffentlichungen. So möchte das BSI die Hilfsmittel weiter ausbauen und perspektivisch weitere beispielhafte Dokumentvorlagen wie Übungshandbücher oder -drehbücher anbieten.

Ferner ist es auch denkbar, dass das aktuelle Recplast-Beispiel aus dem ISMS-Bereich hinsichtlich eines Recplast-BCMS erweitert wird: So würde Anwendenden neben den einzelnen Beispielen im BSI-Standard 200-4 und den einzelnen Beispielen in den Dokumentvorlagen ein übergreifendes Beispiel für ein BCMS mit der typischen damit verbundenen, zusammenhängenden Dokumentation zur Verfügung stehen.

BSI-Standard 200-4 als lebendes Standardwerk

Anwender:innen steht mit dem BSI-Standard 200-4 ein fortschrittlicher Standard zur Verfügung, den umfangreiche Hilfsmittel abrunden. Selbstverständlich setzt das BSI auch weiterhin auf den Austausch mit der Community – weitere Anregungen oder auch Kritik sind per E-Mail an it-grundschutz@bsi.bund.de willkommen.

 

Cäcilia Jung

Cäcilia Jung ist Referentin im Referat WG 13 – KRITIS-Sektoren Ernährung, Transport und Verkehr im Bundesamt für Sicherheit in der Informationstechnik

Daniel Gilles

Daniel Gilles ist Referent im Referat SZ 13 – IT-Grundschutz & BSI-Standards im Bundesamt für Sicherheit in der Informationstechnik

Andere interessante Fachbeiträge

Frau mit VR-Brille

Next-Gen Cybersecurity-Simulation im Industrial Metaverse

In der heutigen Zeit, in der die Digitalisierung in produzierenden Unternehmen rasant voranschreitet, hat die Bedeutung der Cybersicherheit exponentiell zugenommen. Das Thema entwickelt sich von einem reinen Kostenfaktor zu einem wichtigen Wertschöpfungsfaktor in der Produktion.

Riese und Zwerg

Klein gegen Groß – ein ungleiches Spiel

Für kleine und mittlere Unternehmen (KMU) sind die umfangreichen gesetzlichen Anforderungen, die oft mit Blick auf Großkonzerne konzipiert wurden, eine Herausforderung. Unser Kommentar beleuchtet die überproportionalen Belastungen für KMU insbesondere im Bereich IT-Sicherheit und Datenschutz und fordert ein Umdenken in der Gesetzgebung.

IT-Security - Datenschutzsymbole

Ticket in die erfolgreiche Zukunft

In der innovationszentrierten Welt der Start-ups wird die Informationssicherheit häufig übersehen. Doch in einer Ära, in der Cyberbedrohungen zunehmen, ist ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 für Start-ups nicht nur ein Schutzmechanismus, sondern ein entscheidender Wettbewerbsvorteil.