Wissenswertes

WISSEN KOMPAKT

BSI Standard 200-4 – Neuer BCM-Standard für das Notfallmanagement

Business Continuity Management

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet zurzeit an dem neuen BSI Standard 200-4. Damit steht der Nachfolger des BSI Notfallstandards 100-4 in den Startlöchern. Letzterer stellt seit vielen Jahren ein hilfreiches Regelwerk für den Aufbau und die Dokumentation eines Notfallmanagements bereit und gilt im deutschsprachigen Raum als Best Practice für das Thema.

Community Draft veröffentlicht – Kommentierung erwünscht

Bereits im Oktober 2017 hatte das BSI mit der Ablösung der Standards der Reihe 100-x begonnen. Die BSI-Standards sind elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Anforderungen und Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen zu unterschiedlichen Aspekten der Informationssicherheit und der Business Continuity. Aber während die drei Grundschutz-Standards 200-1, 200-2 und 200-3 in sehr kurzen Abständen veröffentlicht wurden, hatte sich das BSI mit der Ablösung des Notfallstandards 100-4 noch einige Jahre Zeit gelassen.

Erst im Januar 2021 wurde der neue Standard 200-4 Business Continuity Management als Community Draft veröffentlicht und im Rahmen des BSI Grundschutztags vorgestellt. Zuvor hatte Manuela Reiss Gelegenheit, an der Erneuerung des Standards als Mitglied des Expertenkreises zum BSI Standard 200-4 mitzuwirken.

Der BSI-Standard 200-4 steht seitdem als Community Draft 1.0 (CD 1.0) auf der Seite BSI-Standard 200-4 zum Download zur Verfügung. Die Version CD 1.0 stellt einen vom BSI erarbeiteten Entwurf dar, der von jedem kommentiert werden kann. Während der Community-Draft-Phase bleibt der bestehende BSI-Standard 100-4 gültig. Im Anschluss an die Kommentierungsphase sollte der Standard nach ursprünglicher Planung Ende 2021 final veröffentlicht werden. Auf Basis des umfangreichen Feedbacks hat sich das BSI allerdings entschieden einen weiteren Community-Draft 2.0 des BSI-Standards 200-4 mit den Änderungen aus den bisherigen Kommentierungen zur Verfügung zu stellen. Geplant ist die Veröffentlichung der Version CD 2.0 im Winter 2021/22. So möchte das BSI allen Anwendern die erneute Möglichkeit geben, die Änderungen, die sich aus dem bisherigen Feedback ergeben, zu kommentieren, bevor der BSI-Standard 200-4 final veröffentlicht wird.

Aber auch wenn nun die finale Veröffentlichung des Standard 200-4 nun noch etwas dauern wird, ist es sinnvoll, die sich abzeichnenden Änderungen im neuen Standard genauer anzusehen.

Aus Notfallmanagement wird Business Continuity Management (BCM)

Zunächst einmal sind zwei Punkte augenfällig: Der neue Standard ist mit fast 300 Seiten deutlich umfangreicher (der Standard 100-4 kam „nur“ auf 117 Seiten) und der Titel wurde geändert.

Während der Standard 100-4 noch den Titel Notfallmanagement trug, wurde dieser beim Standard 200-4 in Business Continuity Management (BCM) geändert. Damit möchte das BSI stärker als bisher verdeutlichen, dass es sich nicht um einen Standard für das IT-Notfallmanagement handelt, sondern um einen (unternehmensweiten) BCM Standard. Ziel von Business Continuity Management ist der Aufbau und Betrieb eines leistungsfähigen Notfall- und Krisenmanagements mit dem Ziel der systematischen Vorbereitung auf die Bewältigung von Schadenereignissen bearbeitet. Dadurch soll erreicht werden, dass wichtige respektive zeitkritische Geschäfts­prozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.

Der Standard beschreibt dabei aber nicht nur abstrakte Vorgehensweisen. Vielmehr bietet er eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) aufzubauen und zu etablieren. Hierzu liefert er konkrete Hinweise zur Umsetzung der geforderten Maßnahmen und zeigt einen systematischen Weg auf, um bei Notfällen der verschiedensten Art adäquat und effizient reagieren und die wichtigen Geschäftsprozesse schnell wieder aufnehmen zu können. Im Vordergrund steht hierbei die Vermeidung von Notfällen und die Minimierung von Schäden in einem Notfall.

Im Fokus stehen die zeitkritischen Geschäftsprozesse

Ein Geschäftsprozess im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen. Im behördlichen Umfeld wird dafür häufig der Begriff Fachaufgabe verwendet. Als zeitkritisch gelten dabei alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren und unter Umständen existenzgefährdenden Schaden für die Institution führen können. Bei nicht-zeitkritischen Prozessen wird hingegen davon ausgegangen, dass genügend Zeit zur Verfügung steht, um auf Ausfälle angemessen zu reagieren.

Außerdem ist der Standard 200-4 mit der ISO Norm 22301:2019 kompatibel, was ebenfalls mit dem Titel verdeutlicht werden soll. Der ISO-Standard 22301 „Security and resilience – Business continuity management systems – Requirements“ ist der erste internationale Standard zum BCM, der auch eine Zertifizierung ermöglicht.  Der internationale Standard erschien erstmalig im Jahr 2012 und ersetzte den Britischen Standard BS 25999. Die ISO Norm wurde 2019 erneut überarbeitet und der BSI-Standard 200-4 ist kompatibel zu dieser überarbeiteten Version. Konkret entsprechen die Anforderungen des Standards 200-4 denen der ISO 22301. Im Gegensatz zur Norm bietet der BSI Standard aber zusätzlich praktische Hinweise und Hilfsmittel zur Umsetzung der Anforderungen.

Ihr Vorteil: Wir unterstützen Sie beim Aufbau und bei der Pflege Ihrer IT-Notfalldokumentation. Hierzu gehören u. a. die Analyse der IT-Betriebsdokumentation in Hinblick auf die Anforderungen des Notfallmanagements Konzeption und der Aufbau der Notfall-Dokumentation beispielsweise in MS SharePoint oder einem WIKI-System. Mehr erfahren …

Neue Definitionen für Störung, Notfall, Krise

Unterbrechungen von Geschäftsprozessen können unterschiedliche Ursachen und Auswirkungen haben. Um Schadensereignisse im Rahmen des BCM entsprechend betrachten bzw. behandeln zu können, ist ein gemeinsames Begriffsverständnis wichtig. Mit dem Standard 200-4 hat das BSI auch die Definitionen für Störung, Notfall und Krise überarbeitet. Insbesondere werden im Gegensatz zum bisherigen Verständnis Störungen, Notfälle und Krisen nicht mehr primär anhand der Auswirkungen differenziert. Vielmehr werden die Auswirkungen stärker in einen zeitlichen Bezug gesetzt:

  • Störung: Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen. Störungen werden in der Regel innerhalb des Normalbetriebs durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben. Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Incident-Managements zurückgegriffen. Störungen können jedoch zu einem Notfall eskalieren.
  • Notfälle: Als Notfälle werden Unterbrechungen des Geschäftsbetriebs definiert, die mindestens einen zeitkritischen Geschäftsprozess betreffen, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine Besondere Aufbauorganisation (BAO) benötigt. Im Gegensatz zur Krise liegen bei Notfällen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden. Notfälle können auch eintreten, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt. Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird.
  • Krise: Als Krise wird ein Schadensereignis bezeichnet, das sich in massiver Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können. Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor, vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden.

Die Kernaspekte des BCM bestehen darin, eine entsprechende Organisation aufzubauen und die zur Bewältigung der Szenarien erforderlichen Notfallpläne zu erstellen. Im Schadensereignis muss dann „nur noch“ festgestellt werden, ob ein zeitkritischer Geschäftsprozess betroffen ist und ob Notfallpläne vorliegen oder adaptiert werden können oder nicht. Wenn Notfallpläne vorliegen und anwendbar sind, handelt es sich um einen Notfall, der im Rahmen der Besonderen Aufbauorganisation mithilfe der Notfallpläne behandelt werden kann. Sind keine Notfallpläne vorhanden sind oder die bestehenden Pläne können nur bedingt angewendet werden, handelt es sich um eine Krise, die situativ behandelt werden muss.

Stufenmodell für die BCM-Einführung

Bereits mit dem Grundschutzstandard 200-2 hat das BSI ein Stufenmodell eingeführt. Dieses sieht drei Stufen bei der Umsetzung des IT-Grundschutzes vor:

  • Die Basis-Absicherung liefert einen Einstieg für den Aufbau eines Managements für die Informationssicherheit (ISMS).
  • Die Kern-Absicherung ist eine Vorgehensweise zum Einstieg in ein ISMS, bei der zunächst nur ein kleiner Teil eines größeren Informationsverbundes betrachtet wird.
  • Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Diese Absicherung ist kompatibel zur ISO 27001-Zertifizierung.

Ein vergleichbares Stufenmodell für das BCM führt das BSI nun mit dem Standard 200-4 ein. Dieses unterscheidet die Stufen Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS. Ziel ist es Unternehmen und Behörden jeglicher Art, Branche, Größe mit entsprechenden unterschiedlichen zeitlichen, finanziellen und personellen Möglichkeiten Wege zur Umsetzung des Standards aufzuzeigen.

Reaktiv-BCMS
Das Reaktiv-BCMS stellt eine stark vereinfachte Einstiegsstufe dar und ist besonders für Unternehmen und Behörden geeignet, die sich möglichst schnell in die Lage versetzen möchten, angemessen auf Notfälle reagieren zu können. Im ersten Schritt werden deshalb nur ausgewählte zeitkritische Geschäftsprozesse und Ressourcen eingeschränkt abgesichert. Hierbei wird so weit wie möglich auf vorhandene Sicherheits- und Vorsorgemaßnahmen zurückgegriffen. Weitere BCM-Maßnahmen, für die zunächst der Geschäftsbetrieb eingehender analysiert werden müsste, werden dabei bewusst zeitlich zurückgestellt.

Aufbau-BCMS
Die Vorgehensweise beim Aufbau-BCMS unterscheidet sich vom Standard-BCMS dahin gehend, dass zwar zunächst nur ausgewählte zeitkritische Geschäftsprozesse und Ressourcen näher analysiert und innerhalb des BCM abgesichert werden, die Absicherung aber so umfangreich wie möglich erfolgt. Damit ist das Aufbau-BCMS vorwiegend für Unternehmen und Behörden geeignet, die ein BCMS über mehrere Zyklen schrittweise und risikoorientiert aufbauen möchten oder über geringe Vorerfahrung verfügen. Gegenüber dem Reaktiv-BCMS besteht der Vorteil, dass die identifizierten zeitkritischen Geschäftsprozesse wesentlich effektiver abgesichert werden.

Standard-BCMS
Das Standard-BCMS entspricht einem vollständigen und angemessenen BCMS. Bei dieser Stufe werden alle Geschäftsprozesse, die sich im Geltungsbereich des BCMS befinden, analysiert und die zeitkritischen Prozesse angemessen abgesichert.

BCMS-Stufen gemäß BSI Standard 200-4
BCMS-Stufen und Übergang zwischen den Stufen. Quelle: BSI-Standard 200-4 Business Continuity Management CD 1.0

Das Ziel sollte immer der Aufbau eines Standard-BCMS sein. Nur damit kann sichergestellt werden, dass alle zeitkritischen Geschäftsprozesse identifiziert und angemessen gegen existenzbedrohende Schadensereignisse geschützt werden. Die Stufe Standard-BCMS ist außerdem konform zu den Anforderungen des ISO-Standards 22301:2019. Dementsprechend erreichen Unternehmen und Behörden mit einem vollständig eingeführten und betriebenen Standard-BCMS die erforderliche Reife, um zertifizierungsfähig nach ISO 22301 zu sein.

Berücksichtigung von Synergien

Eine weitere Neuerung des Standard 200-4 ist die Berücksichtigung von Synergien. Denn nicht nur zwischen ISMS und BCMS bestehen wechselseitige Abhängigkeiten. Vielmehr kann das BCM nicht als isoliertes, unabhängiges Managementsystem behandelt, sondern als Teil eines integrierten Managements betrachtet werden. Im Standard 200-4 werden derartige Schnittstellen und Synergien nun explizit betrachtet. Konkret enthält der Standard in allen Kapiteln Hinweise zu Synergien, die aufzeigen, welche konkreten Möglichkeiten bestehen, um die Arbeit mit den angrenzenden Managementsystemen und Themen zu erleichtern oder abzustimmen.

Zur Erreichung von Synergieeffekten müssen in allen Stufen, die für das BCMS relevanten Schnittstellen ermittelt und dokumentiert werden. Für jede Schnittstelle sollte dann festgelegt werden, welche gegenseitigen Informationen oder Leistungen ausgetauscht und welche der angewendeten Methoden und Verfahren aufeinander abgestimmt werden müssen oder können.

Hilfsmittel – Vorlagen und Beispiele auch für den Standard 200-4

Bereits für den BSI Standard 100-4 hatte das BSI mit dem Umsetzungsrahmenwerk für das Notfallmanagement eine Vorlagensammlung zur Erleichterung der Umsetzung des Standards zur Verfügung gestellt. Informationen dazu finden Sie im Beitrag Mehr als eine Vorlagensammlung – UMRA, das Umsetzungsrahmenwerk für das Notfallmanagement.

Ergänzend stellt das BSI auch für den Standard 200-4 eine Reihe von Vorlagen und Beispielen zur Verfügung. Die unter dem Begriff Hilfsmittel zusammengefassten Dokumentvorlagen mit Beispieltexten, Tabellen, Präsentationsvorlagen und Abbildungen bauen zum Teil auf den aus UMRA bekannten Vorlagen auf und führen diese fort. Inhaltlich finden sich hier Hilfsmittel u. a. zu folgenden Themen

Alle Hilfsmittel sind auf der Website BSI-Standard 200-4: Hilfsmittel zu finden und können dort kostenlos heruntergeladen werden. Sie bilden die Anforderungen des Standard-BCMS ab, können aber auch für die anderen Stufen adaptiert werden. Und auch losgelöst vom BSI Standard 200-4 können die Vorlagen und Beispiele hilfreich sein.

Gut zu wissen: Alle Beispiele müssen geprüft, bewertet und angepasst werden. Der zeitliche Aufwand hierfür wird häufig unterschätzt. Wir verfügen über jahrelange Erfahrungen und branchenspezifische Kenntnisse und stellen Ihnen angepasste Entwürfe für die erforderlichen Notfalldokumente zeit- und damit kostensparend für Ihr Unternehmen zur Verfügung. Mehr erfahren 


Manuela Reiss dokuit®

Scroll to Top