Noch immer wird der vom BSI bereits 2008 veröffentlichte Standard 100-4 zum Notfallmanagement als ein Standard zur Absicherung der IT-Systeme betrachtet und in die Ecke von „IT-Grundschutz“ geschoben. Leider, denn als Standard für ein unternehmensweites Notfallmanagement bietet er eine wichtige Alternative zu anderen BCM (Business Continuity Management)-Standards.
Ende 2008 hat das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) den Standard 100-4 Notfallmanagement veröffentlicht und damit bei vielen IT-Verantwortlichen einige Verwirrungen ausgelöst, die bis heute anhalten. Denn obwohl der BSI-Standard 100-4 gemäß den Beschreibungen im Vorwort auf der im BSI-Standard 100-2 beschriebenen IT-Grundschutz-Vorgehensweise aufbaut, spielt die IT in diesem Standard nur eine untergeordnete Rolle. Im Fokus stehen nicht die IT-Systeme, sondern vielmehr die Geschäftsprozesse. Um dies zu verstehen, ist eine kurze Betrachtung der Entwicklung der Standards des BSI erforderlich.
Formal den Grundschutzstandards des BSI zugeordnet
Ziel des in den 90er-Jahren entwickelten IT-Grundschutzhandbuch war es, Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise zur Absicherung Ihrer IT-Komponenten zu geben. Betrachtet werden
- Typische IT-Komponenten
- Typische Gefährdungen, Schwachstellen und Risiken
- Standard-Sicherheitsmanagement
Mit den Grundschutzstandards stellt das BSI eine Standardreihe zur Verfügung, die entsprechend den internationalen Standards, den Aufbau eines Informationssicherheitsmanagement-Systems als einen kontinuierlichen Prozess beschreibt.
Bis zur Veröffentlichung des Standards 100-4 behandelte das BSI das Thema Notfall lediglich in zwei Bausteinen (B1.3 Notfallvorsorge-Konzept und B 1.8 Behandlung von Sicherheitsvorfällen). Internationale Standards, wie unter anderem der britische Standard BS 25999 machten jedoch deutlich, dass auch der Umgang mit Notfällen nicht nur als kontinuierlicher Prozess, sondern vor allem unternehmensweit betrachtet werden muss. Schließlich beschränken sich die typischen Notfälle, wie Brand oder Wassereinbruch in der Regel nicht auf den IT-Bereich. Mit der Einführung des Standards 100-4 wurde daher ein Sichtwechsel von der IT-Notfallplanung hin zu einem unternehmensweiten Notfallmanagement vollzogen eingeleitet. Der Standard 100-4 beschreibt ein eigenständiges Managementsystem für die Geschäftsfortführung und die Notfallbewältigung, das es ermöglicht, auf Notfälle und Krisen der verschiedensten Art adäquat und effizient reagieren und die wichtigen Geschäftsprozesse schnell wieder aufnehmen zu können.
Nur vor diesem Hintergrund ist zu verstehen, warum die Notfallvorsorge und hier hauptsächlich die Business Impact Analyse (BIA) einen wesentlichen Bestandteil des Standards darstellt. Eine Business Impact Analyse ist eine Methode zur Identifizierung von kritischen Geschäftsprozessen sowie der den Prozessen zugrunde liegenden Ressourcen. Mithilfe einer BIA können darüber hinaus die Auswirkungen von Prozessausfällen und die Abhängigkeiten zwischen den Prozessen ermittelt sowie die benötigten Wiederanlaufzeiten beschrieben werden. Zusammen mit einer Risikoanalyse bildet die BIA die Grundlage für alle Maßnahmen der Notfallvorsorge und der Notfallbewältigung.
Ein Ziel dabei war es, die Grundschutzvorgehensweise mit Methoden aus verschiedenen Standards rund um das Thema Business Continuity Management zu verbinden. Eingeflossen sind dabei vorwiegend die Inhalte des britischen Standards BS 25999.
Ihr Vorteil: Dokumente für die Notfallplanung sind ein Muss für jedes Unternehmen. Hierzu gehören neben den Dokumenten für die Notfallvorsorge, auch ein Notfallhandbuch sowie entsprechende Notfallpläne. Wir unterstützen Sie bei der Erstellung der Dokumente. Mehr erfahren …
Der Standard 100-4 ist kein IT-Grundschutzstandard
Formal ordnet das BSI den Standard 100-4 damit zwar der Standardreihe zur Informationssicherheit zu. Hierbei ist aber zu beachten, dass dieser weit über den Einsatzbereich der drei anderen Standards hinaus geht. Dies wird auch in der Einleitung des Standards deutlich, in der es heißt:
„… Eine ganzheitliche Betrachtung ist daher ausschlaggebend. Es sind alle Aspekte zu betrachten, die zur Fortführung der kritischen Geschäftsprozesse bei Eintritt eines Schadensereignisses erforderlich sind, nicht nur die Ressource Informationstechnik. IT-Notfallmanagement ist ein Teil des Notfallmanagements.“
Notfallvorsorge + Notfallbewältigung + Tests und Übungen = Notfallmanagement
Gemäß BSI muss das Notfallmanagement sowohl die Notfallvorsorge, die Notfallbewältigung wie auch die Notfallnachsorge umfassen. Entsprechend handelt es sich hierbei um einen komplexen Prozess, der aus den folgenden Phasen besteht:
- Initiierung eines Notfallmanagementprozesses
- Planung und Umsetzung von Notfallvorsorgemaßnahmen
- Erstellung eines Notfallhandbuchs zur Notfallbewältigung
- Planung und Durchführung von Übungen und Tests
- Kontinuierliche Verbesserung des Notfallprozesses
Vorlagen zur Umsetzung kostenlos verfügbar
Gegenüber anderen Standards und Normen zum Notfallmanagement bietet der Standard 100-4 einen entscheidenden Vorteil: Mit dem Umsetzungsrahmenwerk zum Standard 100-4, kurz UMRA, stellt das BSI nicht nur ein paar einzelne Vorlagen, sondern einen kompletten Werkzeugkasten kostenlos zur Verfügung.
Nachfolger steht in den Startlöchern
Aktuell (09/2021) ist der Standard 100-4 noch die gültige Version. Das BSI hat aber bereits Anfang 2021 eine Community Draft Version des Nachfolgers 200-4 veröffentlicht. Ein weiterer Community-Draft 2.0 des BSI-Standards 200-4 wird im Winter 2021/2022 veröffentlicht.
Wir stellen Ihnen den neuen Standard im Beitrag BSI Standard 200-4 – Neuer BCM-Standard für das Notfallmanagement vor.
Manuela Reiss dokuit®