Notfallmanagement

Ein Ransomware-Angriff legt Ihre Server lahm. Die Produktion steht still. Kunden können nicht bedient werden. Lieferketten brechen zusammen. Ohne strukturiertes Notfallmanagement vergehen Stunden oder Tage, bis kritische Systeme wieder laufen – wenn überhaupt. Studien zeigen: Unternehmen ohne professionelle Notfallvorsorge haben eine hohe Wahrscheinlichkeit, einen schwerwiegenden IT-Ausfall nicht zu überleben. Ein häufiges Missverständnis besteht darin, Notfallmanagement primär mit der Bewältigung von Krisen gleichzusetzen. Tatsächlich liegt der Schwerpunkt auf der Vorsorge – also der Minimierung der Eintrittswahrscheinlichkeit und der potenziellen Auswirkungen von Notfällen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2023 mit dem Standard 200-4 einen Paradigmenwechsel vollzogen. Der neue Standard ersetzt den bewährten BSI-Standard 100-4 und erweitert den Fokus vom reinen IT-Notfallmanagement zum ganzheitlichen Business Continuity Management (BCM).

Der BSI-Standard 200-4 ist mit 230 Seiten fast doppelt so umfangreich wie sein Vorgänger (117 Seiten). Diese Erweiterung spiegelt die gewachsene Komplexität des Notfallmanagements wider. Gleichzeitig bringt der Standard aber auch praktische Verbesserungen: Er ist kompatibel mit der internationalen Norm ISO 22301:2019, was Unternehmen eine weltweit anerkannte Zertifizierungsmöglichkeit bietet.

Ein wesentlicher Vorteil des BSI-Standards 200-4 liegt in den explizit beschriebenen Synergien mit anderen Managementsystemen, insbesondere dem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder IT-Grundschutz. Diese Synergien sind für die Praxis hochrelevant:

Gemeinsame Prozesse: Viele Aktivitäten lassen sich für ISMS und BCMS parallel durchführen. Die Risikoanalyse, die Dokumentation von Verfahren oder die Schulung von Mitarbeitenden können koordiniert erfolgen. Dies spart Zeit und Ressourcen.

Integrierte Dokumentation: Notfallpläne, IT-Inventare und Sicherheitskonzepte müssen nicht doppelt geführt werden. Der BSI-Standard 200-4 zeigt auf, wie Unternehmen ihre Dokumentation so strukturieren, dass sie sowohl ISMS- als auch BCMS-Anforderungen erfüllt.

Abgestimmte Übungen: Notfallübungen können gleichzeitig Tests für IT-Sicherheitsmaßnahmen sein. Simulierte Cyberangriffe prüfen sowohl die Incident-Response-Fähigkeit (ISMS) als auch die Business Continuity-Planung (BCMS).

Kombinierte Zertifizierung: Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, können ihr BCMS effizienter aufbauen und beide Systeme in einem integrierten Audit zertifizieren lassen.

Diese Synergien sind besonders für den Mittelstand wertvoll, der häufig mit begrenzten Ressourcen arbeiten muss. Statt separate Teams und Prozesse für IT-Sicherheit und Notfallmanagement zu etablieren, können Unternehmen integrierte Strukturen schaffen.

Jedes professionelle Notfallmanagement beginnt mit der Business Impact Analyse (BIA). Die BIA identifiziert, welche Geschäftsprozesse für das Unternehmen kritisch sind und welche Auswirkungen ihr Ausfall hätte. Ohne diese Analyse laufen Unternehmen Gefahr, Ressourcen für weniger wichtige Bereiche zu verschwenden, während kritische Prozesse ungeschützt bleiben.

Die BIA beantwortet zentrale Fragen: Welche Prozesse müssen innerhalb welcher Zeitspanne wiederhergestellt werden? Welche maximale Ausfallzeit (Maximum Tolerable Period of Disruption, MTPD) kann das Unternehmen verkraften? Welche Ressourcen, Systeme und Mitarbeitenden sind für kritische Prozesse erforderlich? Welche finanziellen und reputationsbezogenen Schäden entstehen bei Ausfällen?

Die Ergebnisse der BIA bestimmen den Umfang und die Prioritäten des gesamten Notfallmanagements. Sie zeigen auf, wo Redundanzen, Backup-Systeme oder alternative Prozesse erforderlich sind. Für IT-intensive Unternehmen bedeutet dies typischerweise die Identifikation kritischer Anwendungen, Datenbanken und Infrastrukturkomponenten.

Während der BSI-Standard 200-4 primär im deutschsprachigen Raum Anwendung findet, bietet die ISO 22301 eine international anerkannte Zertifizierungsmöglichkeit. Die Norm wurde 2012 als erster internationaler Standard für Business Continuity Management Systems veröffentlicht und 2019 grundlegend überarbeitet.

Die Kompatibilität des BSI-Standards 200-4 mit der ISO 22301:2019 ist ein wesentlicher Vorteil. Unternehmen, die ihr BCMS nach dem BSI-Standard aufbauen, können mit vergleichsweise geringem Mehraufwand auch eine ISO-Zertifizierung erreichen. Dies ist besonders für international tätige Unternehmen relevant, da ISO-Zertifizierungen weltweit anerkannt sind.

Die ISO 22301 basiert auf dem PDCA-Zyklus (Plan-Do-Check-Act), einem bewährten Modell für kontinuierliche Verbesserung. Unternehmen planen ihr BCMS, setzen es um, überprüfen die Wirksamkeit und nehmen auf Basis der Erkenntnisse Anpassungen vor. Dieser iterative Ansatz stellt sicher, dass das BCMS nicht statisch bleibt, sondern sich kontinuierlich an neue Bedrohungen und geänderte Geschäftsanforderungen anpasst.

Neben der Zertifizierung bietet die ISO 22301 weitere Vorteile: Sie stärkt das Vertrauen von Kunden, Partnern und Investoren. Sie erleichtert die Erfüllung regulatorischer Anforderungen, etwa für KRITIS-Betreiber. Und sie schafft Wettbewerbsvorteile, da immer mehr Ausschreibungen und Verträge entsprechende Nachweise verlangen.