Schritt für Schritt zum Business Continuity Management

Weiterentwicklung des BSI-Standards 200-4

Durch den geplanten BSI-Standard 200-4 sollen Notfallmanagement und regelmäßige Übungen zur Regel werden. Dabei spielt das Stufenmodell für den Einstieg ins BCM (Business Continuity Management) eine wichtige Rolle.

Laut Cyber-Sicherheits-Umfrage 2018 des BSI (Bundesamt für Sicherheit in der Informations­technik) sehen drei Viertel der Befragten Cyber-Bedrohungen als relevante Gefährdung: Für 76 Prozent bergen Cyber-Angriffe das Potenzial, betriebliche Prozesse zu beeinträchtigen. Nur 20 Prozent gehen nicht davon aus, dass Cyber-Vorfälle Störungen und/oder Ausfälle im Betriebsablauf verursachen können.

Fast neun von zehn Institutionen erwarten von der Digitalisierung eine Verschärfung der Bedrohungslage. Trotzdem lag im Jahr 2018 der Anteil der Befragten, die ein Notfallmanagement einschließlich regelmäßiger Übungen betreiben, um bei einem Cyber-Vorfall schnell handlungsfähig zu sein, bei nur 43 Prozent. Mit 49 Prozent war der Anteil der Betreiber eines solchen Systems unter den großen Unternehmen deutlich höher als unter den kleinen und mittelständischen Unternehmen mit 38 Prozent.

Viele Unternehmen kümmern sich erst um ihr Notfallmanagement, wenn es zu einem Notfall gekommen ist. Das ist natürlich viel zu spät, damit Folgeschäden möglichst weitgehend reduziert werden können. Auch mit Blick auf die notwendigen Reaktionen nach einer Datenschutzverletzung, die von der Datenschutz-Grundverordnung (DSGVO) gefordert werden, müssen Unternehmen das Thema Notfallmanagement und BCM (Business Continuity Management) angehen.

Warten auf BSI-Standard 200-4?

Das BSI bietet Unterstützung für die Einführung eines Notfallmanagements, darunter seit November 2008 den BSI-Standard "Notfallmanagement - BSI-Standard 100-4 zur Business Continuity" sowie ein Umsetzungsrahmenwerk zum Notfallmanagement nach BSI-Standard 100-4. Dieser BSI-Standard befindet sich allerdings in Überarbeitung, mit dem Ziel, einen BSI-Standard 200-4 zu veröffentlichen.

Das Ziel der Überarbeitung ist eine Anleitung mit Best Practices zur Etablierung und Aufrechterhaltung sowie kontinuierlichen Verbesserung eines institutionsweiten BCM-Systems. Der neue BSI-Standard soll "praxisnah, handhabbar und adaptierbar" werden und ähnlich zum BSI-Standard 200-2 ein Stufenmodell mit leichter Einstiegsstufe (z. B. für Kleinstinstitutionen) vorsehen.

Dieses Stufenmodell soll die nachfolgenden Ziele ermöglichen, so das BSI:

  • Eine vereinfachte Einstiegsstufe senkt Eintrittsbarrieren und erleichtert den Einstieg. Institutionen werden zu einer "rudimentären Bewältigung" von Notfällen bzw. Krisen befähigt.
  • Praxisnahe Anleitung zur Etablierung eines möglichst vollumfänglichen BCMS (Business Continuity Management System), das alle Geschäftsprozesse untersucht und ISO 22301 kompatibel ist
  • Definition einer oder mehrerer Zwischenstufen, die den Übergang von der Einstiegsstufe zu einem etablierten BCMS erleichtern

Es wird allerdings noch etwas dauern, bis der neue BSI-Standard 200-4 verfügbar ist: Das BSI plant, den neuen BSI-Standard 200-4 mit externer Unterstützung zu erstellen. Hierzu wurde am 10. Juni 2019 eine Ausschreibung auf der E-Vergabe-Plattform veröffentlicht.

Gegenwärtig wird das Glossar für den neuen BSI-Standard aktualisiert, es wird einen BSI-Vortrag auf dem BCM Summit 2019 mit aktueller Information zum BSI Standard 200-4 geben sowie die Möglichkeit zum Austausch über BCM-Themen am BSI-Stand während der it-sa 2019.

Das ist allerdings kein Grund, nicht bereits mit den Vorbereitungen für das eigene Notfallmanagement und BCM zu starten. Vielmehr wird der BSI-Standard 200-4 auch später noch eine Hilfe sein, um das eigene Notfallmanagement fortzuentwickeln und zu pflegen.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.