BSI/200-4/02 Einführung

BSI/200-4/02 Einführung

Betriebskontinuitätsmanagement (BKM)

Sicherstellung des Fortbestands von Einrichtungen

• Bei Risiken mit hohem Schadensausmaß

Zeitkritischen Geschäftsprozesse

Im Fokus des BCM liegen die zeitkritischen Geschäftsprozesse der Institution, die gegen Ausfälle abgesichert werden sollen.

Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen:

Geschäftsprozess
Zeitkritisch
Allgemeine Aufbauorganisation
Besondere Aufbauorganisation (BAO)

Geschäftsprozess

Ein Geschäftsprozess (Fachaufgaben) im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten (OEs) ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen.

• Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger.

Für die im BCM betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend.

• Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das BCM nicht notwendig.

Zeitkritisch

Als zeitkritisch gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann.

• So kann z. B. ein Ausfall, der gegen entsprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen führen.
• Falls andere Geschäftsprozesse, wie beispielsweise Unterstützungsprozesse, oder Ressourcen, wie beispielsweise Personal, IT-Systeme oder Dienstleistungsunternehmen, benötigt werden, um die zeitkritischen Geschäftsprozesse aufrecht zu erhalten, müssen auch diese als zeitkritisch angesehen werden.
• Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind.

Allgemeine Aufbauorganisation (AAO)

Üblicherweise werden Schadensereignisse durch die Allgemeine Aufbauorganisation (AAO) im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt.

• DieAAOist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs.
• Für dieAAOsind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt.

Besondere Aufbauorganisation (BAO)

Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch dieAAOund deren Strukturen zu bewältigen sind.

• In diesem Fall wird in der Regel eine Besondere Aufbauorganisation (BAO) eingesetzt.

DieBAOist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situationen angemessen und schnell reagieren kann.

• Innerhalb derBAOgelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können.

Störung, Notfall und Krise

Um zu verdeutlichen, welche Schadensereignisse durch das BCM behandelt werden, werden im Folgenden die Begriffe Störung, Notfall und Krise voneinander abgegrenzt.

Störung

Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen

• Störungen werden in der Regel innerhalb des Normalbetriebs durch dieAAOder Institution behoben
• Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen.
• Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards

Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können

Notfall

Ein Notfall im Sinne dieses Standards ist eine Unterbrechung des Geschäftsbetriebs, die mindestens einen zeitkritischen Geschäftsprozess betrifft, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann

• Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eineBAObenötigt
• Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden
• Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt, um schnell reagieren zu können
• Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird

Hinweis

Der Begriff Notfall wird hier im Kontext BCM definiert

• In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben
• Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint

Krise

Als Krise im Sinne dieses Standards wird ein Schadensereignis bezeichnet, das sich in erheblicher Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können

• Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor
• Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht
• Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen derBAObewältigt

Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren

• Das BCM trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe derBAOoperativ zu bewältigen (siehe Glossar, Definition Krisenmanagement)
• Zudem können mithilfe derBAOauch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen

Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken

• In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichtsbehörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr
• Krisen, wie z. B. Großschadenslagen oder Ereignisse im Spannungs- und Verteidigungsfall, werden in diesem Standard explizit nicht beschrieben
• Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eigenen Betroffenheit aufgefasst und nicht näher erläutert

Katastrophe

In diesem Standard wird der Begriff Katastrophe nicht definiert, weil es hierzu bereits Legaldefinitionen der Länder (z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg ) und des Bundes gibt (z. B. Definition gemäß BBK-Glossar)

• BCM behandelt die Auswirkung von Schadensereignissen auf die eigene Institution
• Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden

Weitere wesentliche Begriffe, die zusätzlich relevant zum Verständnis dieses Standards sind, werden innerhalb des Glossars definiert

Strategien, Plänen und Handlungen

BCMS etablieren	Rahmenbedingungen, Aufbau- und Ablauforganisation
Kritische Prozesse ermitteln	Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung
Kritische Prozesse absichern	Schützen und alternative Abläufe ermöglichen

PDCA-Zyklus eines Managementsystems

Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM

Ablauf der Bewältigung mit BCM

• Strukturanalyse
• Feststellung des Schutzbedarfs nach IT-Grundschutz und Business-Impact-Analyse
• Risikoanalyse und -behandlung
• Maßnahmen
• Notfallbewältigung
• Unterschiede zwischen dem BCM und der Informationssicherheit

BCM-Standards und korrespondierende Sicherheitsthemen

Security and resilience – Business continuity management systems – Requirements

Erster internationaler Standard zum BCM, der eine Zertifizierung ermöglicht

• Unterstützt Institutionen, Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren

Beschreibt Anforderungen an ein BCMS

• planen
• einrichten
• betreiben
• überwachen
• überprüfen
• kontinuierlich verbessern

Die internationale Norm erschien erstmalig im Jahr 2012 und ersetzte die Reihe des British Standard BS 25999

• Die ISO 22301 wurde 2019 überarbeitet (ISO 22301:2019)
• BSI-Standard 200-4 ist kompatibel zu dieser Version

Im Gegensatz zu diesem BSI-Standard stellt die ISO-Norm 22301 Anforderungen auf abstrakterer Ebene.

Ergänzende ISO-Standards der ISO-Reihe 22300 konkretisieren einzelne Aspekte oder Schnittstellen zum BCM

Norm	Titel
ISO 22313:2020	Societal security and resilience – Business continuity management systems –Guidance on the use of ISO 22301
ISO 22317:2015	Societal security – Business continuity management systems – Guidelines for business impact analysis
ISO 22318:2015	Societal security – Business continuity management systems – Guidelines for supply chain continuity
ISO 22398:2013	Societal security — Guidelines for exercises

BCM und Informationssicherheit haben zahlreiche Schnittstellen

• BSI-Standard 200-4 ergänzt die BSI-Standards der 200-x-Reihe

Standard	Titel	Beschreibung
200-1	Managementsysteme für Informationssicherheit (ISMS)	Allgemeinen Anforderungen an ein ISMS Methoden mit welchen Informationssicherheit in einer Institution generell initiiert wird
200-2	IT-Grundschutz-Methodik	Aufbau und den Betrieb eines Managementsystems für Informationssicherheit Schritte der IT-Grundschutz-Vorgehensweise zur Erstellung einer Sicherheitskonzeption
200-3	Risikoanalyse auf der Basis von IT-Grundschutz	Aufbauend auf der IT-Grundschutz-Vorgehensweise eine vereinfachte Analyse von Risiken für die Informationsverarbeitung Basiert auf den elementaren Gefährdungen, die im IT-Grundschutz-Kompendium beschrieben sind, und auf deren Basis auch die IT-Grundschutz-Bausteine erstellt werden Kann auch im Rahmen der BCM-Risikoanalyse des BSI-Standards 200-4 angewendet werden

Umsetzungshilfen

Good Practice Guidelines (GPG)

• Herausgegeben vom Business Continuity Institute
• Erstmal im Jahre 2002
• Regelmäßig aktualisiert und optimiert
• In mehrere Sprachen übersetzt

Ziele

• Hohen Standard des BCM setzen
• Kompetenz aufzubauen

Leitfaden Krisenkommunikation des Bundesministeriums des Innern

Interne und externe Krisenkommunikation

• planen
• aufzubauen
• optimieren

Krisenkommunikation analysieren und Krisenkommunikationsplan erarbeiten

ITIL (Information Technology Infrastructure Library)

Von AXELOS herausgegeben, gepflegt und weiterentwickelt

• Erläutert, wie Institutionen anhand von Technologien und Werkzeugen das Servicemanagement digital transformieren können
• Berücksichtigt aktuelle Trends wie Agile Softwareentwicklung, DevOps und Lean IT-Management

Wenn ein IT-Betrieb an ITIL ausgerichtet ist, kann auf diese Strukturen zurückgegriffen werden

• Incident Management
• IT-Service Continuity Management

Verschiedene Bundesländer veröffentlichen länderspezifische Leitfäden zum Krisenmanagement

Bundesland	Dokument
Nordrhein-Westfalen	Leitfaden Krisenmanagement durch Krisenstäbe im Land Nordrhein-Westfalen bei Großeinsatzlagen, Krisen und Katastrophen
Baden-Württemberg	Verwaltungsvorschrift der Landesregierung und der Ministerien zur Bildung von Stäben bei außergewöhnlichen Ereignissen und Katastrophen des Landes Baden-Württemberg

Eigenschaft	Reaktiv-BCMS	Aufbau-BCMS	Standard-BCMS
Vorteile	Schnelle Fähigkeit zur Notfallbewältigung	Schrittweiser, ressourcenschonender Aufbau	Vollständige Absicherung, gesteigerte Resilienz
Nachteile	Lücken in der Absicherung (Bereiche die nicht/teilweise betrachtet werden)	Bereiche, die in der Absicherung der Institution nicht betrachtet werden	Größerer Ressourcenbedarf

Reaktiv-BCMS

• Vereinfachte Methodik
• Detaillierteren Analysen zeitlich zurückstellen
• Rahmenbedingungen und Notfallvorsorge

Aufbau- und Standard-BCMS

• Detaillierte Analysen
• Vollständigen Methodik
• Berücksichtigen Notfallvorsorge und Notfallbewältigung

Die jeweiligen Methoden der einzelnen BCMS-Prozessschritte sind im Aufbau- und Standard-BCMS erweitert, um detailliertere Ergebnisse zu ermöglichen

• In diesen Stufen kann das BCMS deutlich effektiver und zielgerichteter aufgebaut werden
• DieBAOkann konkreter und bedarfsorientierter definiert werden

Umfang der Geschäftsprozesse (GP)

• Im Rahmen der Initiierung des BCMS wird dessen Geltungsbereich festgelegt

Reaktiv- und Aufbau-BCMS

• Innerhalb des Geltungsbereichs des BCMS kann der Aufwand durch einen eingeschränkten GP-Umfang zunächst reduziert werden

Ziel: Standard-BCMS

• Anschließend kann der GP-Umfang mit jedem weiteren Zyklus schrittweise gesteigert werden, bis alle Geschäftsprozesse im Geltungsbereich des BCMS betrachtet werden

---

---