BSI 200-4: Vom Notfallmanagement zum Business Continuity Management

Zusammenfassung

Risiken und Gefahren, denen Unternehmen ausgesetzt sind, werden komplexer und vielschichtiger. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagiert auf diese Entwicklung und hat einen neuen Standard publiziert. Dieser bietet eine erstklassige Grundlage, das eigene Unternehmen robuster aufzustellen.

Einleitung

Aus der Praxis lernen und – um im BSI-200-1/ISO-27001-Kontext zu bleiben – die kontinuierliche Verbesserung leben, dies zeigt das BSI im Rahmen des neuen BSI-Standards 200-4 zum Thema Business Continuity Management (BCM).

War in der Vergangenheit im BSI-Standard 100-4 vor allem das Notfallmanagement im Fokus, erweitert sich dieser Fokus nun hin zum Aufbau eines umfassenden Business Continuity Management Systems (BCMS). Dieser neue Standard ist mittlerweile als Community-Draft-Version 1 verfügbar.

Welche Themenblöcke sind neu dazugekommen? Das zum Business Continuity Management mehr als nur ein Notfallplan gehört, dürfte allen klar sein. Das BSI setzt dazu im neuen Standard hauptsächlich folgende Schwerpunkte:

• Die Einführung eines Stufenmodells, jeweils mit Hilfsmitteln und Beispielen, um ein Business-Continuity-Management-System zu etablieren, sei dies grundlegend („Reaktiv“) oder vollumfänglich („Standard“)
• Der vertiefte Einbezug von Lieferketten und Outsourcing
• Die Einbettung und damit die Synergienutzung mit dem Managementsystem für Informationssicherheit (BSI 200-1)
• Die Aufstellung eines normativen Anforderungskatalogs, der speziell für erfahrene Anwenderinnen und Anwender von Interesse sein kann

Die beiden ersten Punkte werden nachfolgend genauer beleuchtet.

Stufenmodell und PDCA-Zyklus

Das BCM kann in verschiedenen Stufen eingeführt werden. In der Eintrittsstufe, dem «Reaktiven BCMS», liegt der Hauptfokus auf der praxisnahen Umsetzung und beinhaltet die überlebensnotwendigen Geschäftsprozesse. Eine grundlegende BCM-Risikoanalyse ist nicht erforderlich.

Bei der nächsthöheren Zwischenstufe, dem «Aufbau-BCMS» wird das Reaktive BCMS um zusätzliche Geschäftsprozesse ergänzt. Dies wiederum erleichtert den Übergang zum «Standard BCMS», dem Vollausbau, der sämtliche Prozesse abdeckt. Die nachfolgende Grafik illustriert diesen Aufbau:

Abb.1: BCMS-Stufen und Übergang zwischen den Stufen, Quelle BSI-Standard 200-4

Mit dem erweiterten Prozessumfang erfolgt ein systematischer Übergang in ein vollumfängliches BCMS. In der letzten Ausbaustufe ist die Kompatibilität mit den Anforderungen der ISO Norm 22301 sichergestellt.

Der Aufbau und der Betrieb des BCM folgen den klassischen PDCA-Zyklen (Plan, Do, Check, Act), die, abgestimmt auf die gewählte Stufe, kontinuierlich durchlaufen werden. Ergänzend hinzu kommt beim BCM der Ablauf der Bewältigung. Dieser Ablauf wird im Standard separat detailliert abgehandelt.

Neben diesem Stufenmodell wird in der Norm auch speziell auf den Einbezug von Outsourcing und Lieferketten eingegangen.

BCM im Rahmen für Outsourcing und Lieferketten

Der Einsatz von externen Dienstleistern ist mit vielen Vorteilen verbunden, bringt aber auch Risiken mit sich. Folgenden Punkten sollen nach BSI 200-4 im Rahmen des Outsourcings und bei Lieferketten besondere Beachtung geschenkt werden. Diese sollten vor einem Vertragsabschluss definiert resp. mit dem Dienstleister geklärt werden.

• Identifikation der zeitkritischen Leistungsbezüge
• Festlegung der BCM-Grundanforderungen
• Überprüfung der Eignung des Dienstleisters
• Entwicklung einer Exitstrategie
• Definition der Vertragsanforderungen
• Eingliederung der Leistungserbringung in die gesamte Lieferkette
• Steuerung des Dienstleisters während der Leistungserbringung

Erstrebenswert ist zudem, die genannten Punkte auch bei bereits existierenden Outsourcing- oder Dienstleistungspartnern durchzuführen. Somit ist sichergestellt, dass ein unterbrechungsfreier Geschäftsbetrieb gewährleistet ist.

Fazit

Was anfänglich nach schwerer Kost aussieht – knapp 300 Seiten Umfang sind nicht ohne – entpuppt sich bei genauerer Hinsicht als spannende Plattform, um ein fortschrittliches und zeitgemässes Busines-Continuity-Management-System zu etablieren. Mit vielen Beispielen wird der Leser, die Leserin unterstützt, die Themenblöcke zu verstehen und auf die eigene Unternehmung zu projizieren. Ob wie beim propagierten Stufenmodell nur das reaktive BCMS oder der Vollausbau angestrebt wird, ist schlussendlich jedem selbst überlassen; vergleichbar mit einem reich bestückten Frühstücksbuffet, Mann oder Frau pickt sich genau das was gewünscht wird!

Ausblick

Wie geht es nun weiter mit diesem neuen Standard? Die seitens BSI zum BSI-200-4 Community Draft 1 erhaltenen Rückmeldungen werden im Community Draft Version 2 eingearbeitet. Dieser zweite Draft wird im Winter 2021/22 publiziert werden. Interessierte haben dann wiederum die Möglichkeit zu kommentieren, bevor der finale Release freigegeben wird. Ebenfalls wichtig zu wissen: Momentan ist noch keine Zertifizierung nach dem neuen Standard geplant.

Literaturquellen, Links

Bundesamt für Sicherheit in der Informationstechnik; BSI-Standard 200-4 – Business Continuity Management Community Draft1.0 (CD 1.0) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_4_CD.pdf?__blob=publicationFile&v=3

Autorenteam:

Rolf Morgenegg https://www.linkedin.com/in/rolf-morgenegg-889443142
Dirk Larisch https://www.linkedin.com/in/dirk-larisch

---