Einführung eines Business Continuity Management Systems zur Notfallvorsorge

Im Rahmen einer unternehmensweiten Risikoanalyse stellte ein mittelständisches Dienstleistungsunternehmen mit über 1.000 Mitarbeitenden fest, dass die bestehenden Sicherheitsmaßnahmen nicht ausreichen würden, um die Folgen eines größeren Cyberangriffs zu bewältigen.

Eine finanzielle Analyse ergab zudem, dass ein Totalausfall von mehr als 14 Tagen gravierende wirtschaftliche Auswirkungen hätte und die Liquidität des Unternehmens gefährden könnte. Durch die Einführung von Business Continuity Managements (BCM) sollte die Krisenresilienz erhöht und die Überlebensfähigkeit im Ernstfall gesichert werden.

Lösungsweg

Nach Beauftragung durch das Unternehmen prüften wir zunächst die Verfügbarkeit eines Informationssicherheitsmanagementsystems (ISMS). Dabei zeigte sich, dass zwar zahlreiche technische Sicherheitsmaßnahmen existierten, jedoch organisatorische Strukturen und abgestimmte Prozesse für den Notfallbetrieb fehlten. Eine strukturierte Business-Impact-Analyse (BIA) war bislang nicht durchgeführt worden, weshalb unklar blieb, welche Geschäftsprozesse und Ressourcen im Notfall prioritär aufrechterhalten werden müssen. Zudem fehlten elementare Notfall- und Wiederanlaufpläne für zentrale IT-Systeme.

Im nächsten Schritt führten wir gemeinsam mit dem Unternehmen eine umfassende Business-Impact-Analyse durch. Dabei konnten sieben geschäftskritische Prozesse sowie 15 wesentliche Ressourcen (darunter IT-Dienstleister und Softwarelösungen) identifiziert werden, die es vorrangig abzusichern galt.

Mittels einer Schutzbedarfsfeststellung konnten weitere Systeme mit Daten ermittelt werden, die im Falle eines Verlusts oder einer Verbreitung geschäftskritisch werden könnten. Mithilfe einer Risikoanalyse wurde das Risiko für das Unternehmen bestimmt. Hieraus ergaben sich eine Reihe von Maßnahmen (BC-Strategien), um das Risiko insgesamt zu reduzieren. Dazu gehörten beispielsweise die systematische Einführung eines ISMS sowie die Erstellung von IT-Notfallplänen im Rahmen eines IT-Service-Continuity-Managements.

Da das Risiko auch nach Umsetzung dieser Maßnahmen noch sehr hoch war, wurde beschlossen, sich mit Geschäftsfortführungsplänen für die Geschäftsprozesse und einem Kommunikationsplan auf den Notfall vorzubereiten.

Diese enthielten konkrete Maßnahmen zur Überführung wichtiger Prozesse in den Notbetrieb sowie zur geordneten Rückführung in den Normalbetrieb.

Abschließende Tests und Simulationen ermöglichten es, Schwachstellen zu erkennen und die Praxistauglichkeit der erarbeiteten Maßnahmen zu bestätigen. Im Anschluss wurden die Ergebnisse dokumentiert.

Vorteile für den Kunden

• Deutliche Verbesserung der organisatorischen und strukturellen Krisenvorsorge

• Klare Identifikation geschäftskritischer Prozesse und Ressourcen durch die Business Impact Analyse

• Aufbau eines praktikablen Business Continuity Management Systems auf Basis des BSI-Standards 200-4

• Entwicklung umsetzbarer Geschäftsfortführungs- und Wiederanlaufpläne zur Sicherung der Handlungsfähigkeit für über zwei Monate

• Etablierung klarer Verantwortlichkeiten und einer dauerhaft nutzbaren BCM-Struktur

• Positive Auswirkungen auf das Risikoprofil und Sicherheitsniveau des Unternehmens bei internen und externen Audits

• Erfüllung von Compliance-Anforderungen (z.B. NIS2)