Mit <kes>+ lesen

BSI-Standard 200-4 veröffentlicht: : Business-Continuity-Management weitergedacht

Wer sich mit Business-Continuity-Management (BCM) beschäftigt, kam bislang an drei Standards nicht vorbei: dem ISO-Standard 22301, den Good-Practice-Guidelines des British Standard Institute sowie dem deutschen BSI-Standard 100-4 Notfallmanagement. Letzterer hat kürzlich ein großes Update erhalten und übertrumpft damit nun die anderen Standards hinsichtlich Aktualität und Detailtiefe. Welche Änderungen und Neuerungen der BSI-Standard 200-4 erhielt und warum es sinnvoll ist, zeitnah zu migrieren, fasst der vorliegende Artikel zusammen.

Lesezeit 13 Min.

Von Marcel Lehmann und Jann-Christoph Sowa, Berlin

Business-Continuity-Management (BCM) beschreibt, wie sich Organisationen auf ungeplante Ausfälle ihres Geschäftsbetriebs vorbereiten und diesen im Notfall aufrechterhalten können. Im Jahr 2008 stellte das BSI erstmals den BSI-Standard 100-4 „Notfallmanagement“ vor und prägte damit für viele Jahre das deutschsprachige Standardwerk zu diesem Thema. BCM ist zwar aktueller denn je, doch seither hat sich die Welt deutlich verändert – und mit ihr auch die Rahmenbedingungen und Anforderungen, denen Organisationen unterliegen:

  • Neue arbeitsorganisatorische Methoden und Verfahren wie das Lean-Management und Outsourcing hielten Einzug. Neben vielen Effizienzvorteilen ging mit dieser Entwicklung einher, dass vorhandene Puffer an Zeit und Ressourcen immer weiter reduziert wurden, während die Abhängigkeit von Dritten zunahm. Geschäftsunterbrechungen bei Zulieferern und Dienstleistern wirken sich daher heute schneller und massiver auf den eigenen Geschäftsbetrieb aus.
  • Massive Bedrohungen, wie Cyberangriffe oder Naturkatastrophen, sind keine Randerscheinungen mehr, sondern betreffen Organisationen jeglicher Art und Größe auf direkte und indirekte Weise.
  • Für viele Bereiche entstanden neue und umfassende regulatorische Anforderungen an das BCM, etwa für den Banken- und Versicherungssektor, für kritische Infrastrukturen, aber auch im öffentlichen Sektor.

Vor diesem Hintergrund war es an der Zeit, die Methoden und Verfahren des BSI-Standards 100-4 grundlegend auf den Prüfstand zu stellen, die heutigen Anforderungen sowie Trends von Morgen zu erfassen und mit den gewonnenen Erkenntnissen zu verknüpfen. Dazu wurde der neue BSI-Standard 200-4 in Zusammenarbeit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und HiSolutions entwickelt.

Altes Ziel – neue Anforderungen

Das übergeordnete Ziel des BSI-Standard 200-4 ist denkbar einfach: Der Standard soll Institutionen ganz gleich welcher Art, Größe oder Tätigkeit dabei unterstützen, ein BCM-System (BCMS) aufzubauen, das auf ihre spezifischen Anforderungen ausgerichtet ist. Doch so einfach das auch wirken mag, so komplex scheinen die sich daraus ergebenden Anforderungen an den Standard zu sein.

Der BSI-Standard 200-4 soll:

  • für alle Organisationen aller Branchen und Größen anwendbar sein – gleichzeitig soll er konkrete Umsetzungshilfen sowie Praxisbeispiele und Synergiepotenziale für spezifische Sachverhalte liefern
  • sowohl eine erste Grundabsicherung ermöglichen als auch einen vollständigen Schutz, der den Vorgaben verschiedener Interessengruppen entspricht
  • nahtlos auf bestehende BCM-Systeme aufgesetzt werden können und kompatibel zum BSI-Standard 100-4 bleiben – gleichzeitig soll der neue Standard aber auch darüber hinaus gehen und in seiner maximalen Ausprägung ermöglichen, ein BCMS nach ISO 22301 zu zertifizieren
  • eine praxisnahe Anwendung ermöglichen, gleichzeitig aber maximal generisch, adaptierbar und konzentriert bleiben
  • eine bestmögliche Umsetzung eines BCMS ermöglichen, sich gleichzeitig aber auch harmonisch in die BSI-Standards 200-1 bis 200-3 zur Informationssicherheit eingliedern
  • für BCM-Einsteiger verständlich geschrieben sein – BCM-Erfahrenden hingegen einen schnellen Überblick über die relevanten Anforderungen geben

100-4 und 200-4 im Vergleich

Um dem gerecht zu werden, ist die erste wesentliche Änderung des BSI-Standards 200-4 gegenüber seinem Vorgänger bereits auf dem Deckblatt zu finden: Aus dem Titel „BSI-Standard 100-4 Notfallmanagement“ wurde „BSI-Standard 200-4 Business-Continuity-Management“. Dies ist nur konsequent, stand doch der Begriff Notfallmanagement schon immer mehr im Fokus von „Alarmieren und Evakuieren“. Der international geläufigere Begriff BCM fokussiert stärker auf den Aspekt, mithilfe von Notfallplänen den Geschäftsbetrieb aufrechtzuerhalten.

Wo der BSI-Standard 100-4 noch von einem Notfallmanagementprozess sprach, geht der BSI-Standard 200-4 konsequent weiter und spricht von einem Business-Continuity-Management-System (BCMS). Dies soll zum einen unterstreichen, dass BCM als eigenständige Managementdisziplin zu verstehen ist. Zum anderen kann durch die Darstellung als BCMS sichergestellt werden, dass der BSI-Standard 200-4 kompatibel zum ISO-Standard 22301 ist. Da alle ISO-Standards an dem bekannten Plan-Do-Check-Act-Zyklus (PDCA) ausgerichtet sind, finden sich Anwender, die mit den ISO-Standards vertraut sind, schnell darin wieder.

Dass der neue BSI-Standard vieles besser, in jedem Fall aber ausführlicher machen möchte, verdeutlicht auch sein Umfang: Der Standard umfasst insgesamt knapp 300 Seiten – der Vorgänger begnügte sich mit 117 Seiten. Die anderen BSI-Standards der 200-x-Reihe sind ebenfalls kürzer – dem ist jedoch gegenüberzustellen, dass sich das Thema Informationssicherheit dort über drei verschiedene BSI-Standards sowie das IT-Grundschutz-Kompendium erstreckt. Der BSI-Standard 200-4 sowie sein Vorgänger mussten von jeher mit einem einzigen Dokument auskommen.

Was ebenfalls den Umfang vergrößert: Das beschriebene BCMS wird nicht als singuläres Managementsystem betrachtet. Um die BSI-Standard 200-x-Reihe konsequent fortzusetzen, werden an verschiedenen Stellen Synergiepotenziale zur Informationssicherheit, zum Krisen- und IT-Service-Continuity-Management sowie zum Outsourcing aufgezeigt.

Das alles dient dazu, das Thema ganzheitlich unter dem Thema Resilienz zu betrachten: Je „resilienter“ eine Organisation ist, umso besser kann sie Risiken und Chancen aus plötzlichen und allmählichen internen und externen Veränderungen erkennen und darauf reagieren. Dies gelingt umso besser, je mehr die verschiedenen Sicherheitsdisziplinen und Managementsysteme aufeinander abgestimmt sind und interagieren. Der BSI-Standard 100-4 hatte dem Thema „Zusammenarbeit mit anderen Management-Systemen“ seinerzeit nur 10 Zeilen gewidmet. Der BSI-Standard 200-4 hingegen stellt die wichtigsten Schnittstellen in eigenen Kapiteln kurz vor.

Zudem wird im gesamten Dokument anhand von Informationsboxen auf die spezifischen Synergiepotenziale näher eingegangen. Ergänzt wird dies durch zwei weitere Arten von Informationsboxen: So liefern Beispiel-Boxen eine ganze Reihe an Beispielen für verschiedene Prozessschritte. Einerseits werden hierdurch komplexere BCM-Prozessschritte, wie die Business-Impact-Analyse (BIA), auch für Einsteiger verständlich erklärt – für andere Themen werden hingegen mögliche Beispiele gezeigt, wie sich diese in einer Organisation implementieren lassen. Als dritte Art von Informationsbox erhält der Leser innerhalb von Hinweisen eine Reihe an Tipps und Tricks für die praktische BCM-Implementierung – diese enthalten keine zwingenden Anforderungen, sondern zeigen vielmehr was man innerhalb des jeweiligen BCM-Prozessschritts beachten sollte.

Initiierung und Konzeption

Eine 1:1-Überleitung der Inhaltsverzeichnisse beider BSI-Standards ist ad hoc nicht möglich. Vor allem die Initiierung und Konzeption unterscheiden sich zwischen den BSI-Standards 100-4 und 200-4 strukturell, um dem ISO-typischen PDCA-Zyklus gerecht zu werden.

Für alle, die bereits mit dem BSI-Standard 100-4 arbeiten und umsteigen wollen, gibt es aber auch eine gute Nachricht: Die BSI-Standards 100-4 und 200-4 sind voll kompatibel zueinander. Das BSI wird dazu auf seiner Website ein Migrationskonzept anbieten, in dem die verschiedenen zu erstellenden Dokumente sowie Methoden anhand der jeweiligen Kapitel gegenübergestellt und notwendige Ergänzungen beschrieben werden.

Zudem ist die BCM-Dokumentation im Wesentlichen gleich geblieben – als Kernelemente gibt es weiterhin das Notfallvorsorgekonzept sowie das Notfallhandbuch. Während das Notfallvorsorgekonzept dazu dient, das BCMS näher zu beschreiben, umfasst das Notfallhandbuch alle Aktivitäten für die Notfallbewältigung selbst – zudem bildet es eine Klammer um die Geschäftsfortführungspläne und Wiederanlauf- sowie Wiederherstellungspläne. Während die Geschäftsfortführungspläne der angemessenen Absicherung der Geschäftsprozesse dienen, beschreiben die Wiederanlauf- und Wiederherstellungspläne die technischen und organisatorischen Maßnahmen für den Wiederanlauf beziehungsweise die Wiederherstellung zeitkritischer Ressourcen.

Abweichend zum BSI-Standard 100-4 findet man zum Notfallvorsorgekonzept und Notfallhandbuch kein eigenständiges Kapitel mehr im BSI-Standard 200-4. Ziel der Autoren war es, den Standard prozessual zu schreiben und damit die praktische Umsetzung des BCMS in den Vordergrund zu stellen. Da sich die beiden Dokumente inhaltlich aus den umgesetzten BCM-Prozessschritten zusammensetzen, entstehen sie parallel zum Aufbau des BCMS quasi automatisch.

In der Initiierung des BCM ist inhaltlich vieles gleichgeblieben: So verbleibt die Gesamtverantwortung für das BCM weiterhin bei der obersten Managementebene. Sie gibt die operative Zuständigkeit für das BCM jedoch an einen BCM-Beauftragten ab, der gleichwertig zu einem Business-Continuity-Manager zu sehen ist. Um das BCM anschließend angemessen in der Organisation etablieren zu können, bedarf es je nach deren Komplexität und Größe weitere Rollen im BCM, ausreichende Ressourcen und entsprechendes Know-how, das durch Schulungen und Sensibilisierung aufzubauen ist.

Für alle, die erstmalig ein BCMS nach BSI-Standard implementieren möchten, kommt jedoch eine wesentliche Neuerung dazu: Nach Initiierung des BCMS stehen dafür drei verschiedene Aufbaustufen zur Wahl (vgl. Abb. 1).

  • Das Reaktiv-BCMS ist eine Einstiegsstufe und richtet sich an Organisationen mit beschränkten
    Mitteln und wenig Vorerfahrung im BCM. Hierbei werden alle BCM-Prozessschritte vorgezogen, die eine angemessene Notfallbewältigung ermöglichen, während man tiefgreifende Analysen des Geschäftsbetriebs sowie die Notfallvorsorge zurückstellen kann. Entsprechend sind auch die Methoden selbst auf ein erforderliches Maß reduziert. Dieser Gewinn an Zeit und Aufwand geht allerdings zulasten einer möglichst zielgerichteten und vollständigen Absicherung der Organisation. Daher weist auch das BSI darauf hin, dass das Reaktiv-BCMS immer nur ein erster Schritt auf dem Weg zu einem Standard-BCMS sein kann.
  • Das Aufbau-BCMS umfasst bereits alle Prozessschritte und Methoden eines vollständigen (Standard-)BCMS. Anders als im Standard-BCMS kann der Anwender aber den Untersuchungsbereich in der BIA und BCM-Risikoanalyse vom Geltungsbereich des BCMS abgrenzen und damit die Zeit und den Aufwand zu ihrer Umsetzung reduzieren. Auch in dieser Stufe stehen analog zum Reaktiv-BCMS zunächst die zeitkritischsten Geschäftsprozesse der Organisation im Fokus, sodass noch von keiner vollständigen Absicherung des Geschäftsbetriebs gesprochen werden kann.
  • Erst das Standard-BCMS ermöglicht es, ein vollständiges und anforderungsgerechtes BCMS aufzubauen. Vollständig meint dabei, dass alle Geschäftsprozesse im Geltungsbereich des BCMS untersucht und bedarfsweise abgesichert werden – zudem sind sowohl die Notfallvorsorge als auch Notfallbewältigung gleichwertig berücksichtigt. Um ein anforderungsgerechtes BCMS zu ermöglichen, sieht diese Stufe darüber hinaus vor, dass sich die Organisation konkreter mit ihren Interessengruppen auseinandersetzt und deren Kommunikationsbedürfnisse näher definiert. Wenn ein Standard-BCMS gemäß BSI-Standard 200-4 umgesetzt wird, sind darüber gleichzeitig auch alle Anforderungen nach ISO 22301:2019 abgedeckt.
Abbildung 1

Abbildung 1: Prinzip des Stufenmodells für den BCMS-Aufbau

Plan / Do – neu sortiert

Wo es früher nach der Initiierung des BCMS direkt von der BIA und Risikoanalyse zu den Kontinuitätsstrategien ging, wurden im BSI-Standard 200-4 je nach gewählter BCMS-Stufe bis zu zwei Analysemethoden ergänzt: die Voranalyse sowie der Soll-Ist-Vergleich.

Die Voranalyse gilt für das Reaktiv- und Aufbau-BCMS und soll der Organisation ermöglichen, eine „BIA light“ durchzuführen. Statt einer komplexen Untersuchung aller Geschäftsprozesse beschränkt sich die Voranalyse dabei zunächst auf die Betrachtung der Organisationseinheiten. Auch die Fragestellung ist in der Voranalyse gegenüber der BIA stark vereinfacht: So lässt sich anhand einer zentral formulierten Leitfrage relativ schnell ermitteln, ob eine Organisationseinheit als zeitkritisch zu betrachten ist und einer genaueren Untersuchung in der BIA unterzogen werden sollte.

Die BIA ist in ihrem Ablauf grundlegend gleich geblieben – neu ist jedoch, dass die Schadensbewertung nach dem Worst-Case-Prinzip erfolgt: Statt also jeden Geschäftsprozess über verschiedene Zeithorizonte anhand von Schadenskategorien wie „Finanzielle Auswirkungen“ oder „Reputationsverlust“ einzeln zu bewerten, kann dies nun in einer einzigen Bewertung zusammengefasst werden. Diese Worst-Case-Bewertung dokumentiert nur den jeweils höchsten Schadenswert aus allen Schadenskategorien, was den Dokumentationsaufwand innerhalb der BIA deutlich reduziert. Um in den Einstiegsstufen Reaktiv- und Aufbau-BCMS schneller zu BIA-Ergebnissen kommen zu können, entfällt dort zusätzlich der Schritt, die zeitkritischen Prozessabhängigkeiten zu ermitteln.

Für alle BCMS-Stufen gleichermaßen gilt der neu aufgenommene Soll-Ist-Vergleich, der sich an die BIA anschließt. In diesem Prozessschritt wird überprüft, ob sich die soeben ermittelten Wiederanlaufanforderungen (Recovery-Time-Objective, RTO) in der Realität überhaupt erreichen lassen. Dazu wird dem RTO die zugesicherte Wiederanlaufzeit (Recovery-Time-Achievable, RTA) gegenübergestellt. Der Soll-Ist-Vergleich schließt damit eine wichtige Lücke im BSI-Standard 100-4: Der Vorgänger setzte automatisch voraus, dass die Anforderungen auch eins zu eins in der Praxis erreicht werden können. Der BSI-Standard 200-4 erläutert hingegen konkreter, wie man Lücken zwischen gewünschtem und erreichbarem Wiederanlauf identifizieren kann, welche Konsequenzen das jeweilige Ergebnis hat und welche Bedeutung nachfolgende BCM-Prozessschritte dabei haben, identifizierte Lücken zu schließen.

Ebenfalls umfassend angepasst wurde das Kapitel zur Risikoanalyse: Der Begriff BCM-Risikoanalyse wurde geschärft. Dafür verzichtet der BSI-Standard 200-4 auf eine eigene Methodik zur Risikoanalyse, sondern erlaubt es, auf bestehende Methoden zurückzugreifen, wie sie zum Beispiel im BSI-Standard 200-3 oder dem ISO-Standard 27005 beschrieben sind – auf dieser Basis geht das entsprechende Kapitel nur noch auf die Besonderheiten einer BCM-Risikoanalyse ein. Diese Änderung ist insbesondere für Anwender von Interesse, die bereits für ihr Informationssicherheits-Managementsystem (ISMS) eine Risikoanalyse durchführen und die bestehende Methodik weiternutzen möchten.

Einen größeren Stellenwert gegenüber dem BSI-Standard 100-4 nehmen die Aspekte Business-Continuity-Strategien und -Lösungen (vormals Kontinuitätslösungen), Geschäftsfortführungsplanung sowie Wiederanlaufplanung ein. Diese drei Elemente stellen im Kern das Notfallkonzept für die zeitkritischen Geschäftsprozesse einer Organisation dar und werden entsprechend ausführlich beschrieben. Dabei bleibt es bei der etablierten Unterteilung in prozessbasierte Geschäftsfortführungspläne und ressourcenbasierte Wiederanlauf- und Wiederherstellungspläne, um Umsteigern vom BSI-Standard 100-4 den Übergang zu erleichtern.

Check – mehr als Üben

Die im BSI-Standard 200-4 beschriebenen Aspekte der Check-Phase orientieren sich stark an den Inhalten des ISO 22301 und weichen damit strukturell und inhaltlich vom BSI-Standard 100-4 ab, der Übungen und Tests fokussierte. So besteht die Check-Phase im BSI-Standard 200-4 aus Übungen und Tests, Leistungsüberprüfungen sowie Managementbewertungen. Die letztgenannten zwei Themen wurden im BSI-Standard 100-4 nur grob angerissen – im Hinblick auf die gestiegenen, regulatorischen Anforderungen an das BCM sind Leistungsüberprüfungen und Managementbewertungen aber heute von grundlegender Bedeutung und nicht mehr nur für jene Organisationen von Belang, die ihr BCMS zertifizieren lassen wollen. Entsprechend ausführlich sind die Themen im BSI-Standard 200-4 behandelt.

Gemäß der grundsätzlichen Ausrichtung des neuen Standards fokussieren die Kapitel weniger die zu erstellenden Dokumente. Vielmehr beschreiben sie konkret, welche Handlungsschritte erforderlich sind, um Übungen, Überprüfungen und Managementbewertungen zu konzipieren, umzusetzen und die richtigen Rückschlüsse daraus ziehen zu können.

Act – je nach Stufe

Je nach gewählter BCMS-Stufe unterscheiden sich die Act-Phasen im BSI-Standard 200-4 deutlich voneinander: Während im Reaktiv-BCMS ein Übergang in ein Folge-BCMS erfolgt, orientiert sich das Aufbau- sowie Standard-BCMS an den üblichen Elementen zur kontinuierlichen Verbesserung eines BCMS. Hierbei stehen – analog zur ISO 22301 – die Korrektur- und Verbesserungsmaßnahmen im Fokus.

Detaillierter als ISO 22301

Wie es für einen ISO-Standard typisch ist, beschreibt auch ISO 22301 anhand normativer Anforderungen, was getan werden muss, um ein BCMS aufbauen, betreiben und kontinuierlich weiterentwickeln zu können. Dem Anwender ist jedoch freigestellt, wie er die Anforderungen in der Praxis umsetzt. Hingegen versteht sich der BSI-Standard 200-4 als konkrete Umsetzungshilfe: Anhand wohldefinierter Modalverben wird dem Anwender dabei immer verständlich erläutert, ob ein bestimmter Aspekt umgesetzt werden muss, sollte oder kann.

Um in der Fülle an Informationen nicht den Überblick über die konkreten Anforderungen an ein BCMS auf Basis des BSI-Standards 200-4 zu verlieren, wird das BSI auf seiner Website einen normativen Anhang zum Standard anbieten. Diese Anforderungsliste fasst alle Anforderungen eines Standard-BCMS zusammen und verweist auf das jeweilige Kapitel der ISO 22301:2019. Damit hat der Anwender zum einen eine konkrete Umsetzungshilfe zur Hand, andererseits aber auch die Möglichkeit, den Abdeckungsgrad der BSI- und ISO-Anforderungen rein normativ für sich zu bewerten.

Schwerpunkt: Notfall- und Krisenbewältigung

Ein weiterer Aspekt, den ISO 22301 nicht näher erläutert, ist die Notfallbewältigung selbst und wie sich eine Organisation auf solche außergewöhnlichen Ereignisse optimal vorbereitet. Diese Lücke schloss seit jeher der BSI-Standard 100-4, der im Kapitel Notfallbewältigung und Krisenmanagement auf rund 20 Seiten Aspekte wie die Ablauforganisation, psychologische Aspekte bei der Krisenstabsarbeit sowie die Notfallkommunikation beschrieb.

Auch hier geht der BSI-Standard 200-4 noch deutlich tiefer ins Detail und liefert im Standard-BCMS auf über 30 Seiten Informationen zu allen Aspekten der Notfallbewältigung, beginnend beim Aufbau und der Befähigung einer Bewältigungsorganisation, über die Alarmierung und Eskalation bis hin zur Stabsarbeit und Deeskalation eines Schadensereignisses.

Anwender, die zusätzlich wissen wollen, wie der Übergang von der Notfall- in die Krisenbewältigung gelingen kann, finden dazu auf der Website des BSI ein Hilfsmittel zum BSI-Standard 200-4, das sich speziell mit den weiterführenden Aspekten zur Bewältigung und Auswertung von Ereignissen auseinandersetzen (URL s. u.).

Outsourcing und Lieferketten

Wie eingangs geschildert besteht für viele Organisationen heutzutage eine große Abhängigkeit von Dienstleistern aufgrund von Outsourcing oder einer Einbindung in zeitkritische Lieferketten. Der BSI-Standard 200-4 trägt diesen besonderen Herausforderungen an das BCM mit einem eigenen Kapitel dazu Rechnung. Darin stellt er ein Vorgehen vor, wie man auch zeitkritische Dienstleister sinnvoll in das eigene BCMS integrieren und die gesetzten Anforderungen überwachen kann. Auch hier schließt der Standard mit konkreten Umsetzungshilfen eine Lücke, die zuvor nur normativ beantwortet werden konnte.

Lesen, bewerten, kommentieren

Seit 19. Januar 2021 steht der neue BSI-Standard 200-4 als Community-Draft auf www.bsi.bund.de/DE/ Themen/Unternehmen-und-Organisationen/Standardsund-Zertifizierung/IT-Grundschutz/BSI-Standards/ BSI-Standard-200-4-Business-Continuity-Management/ bsi-standard-200-4_Business_Continuity_Management_ node.html zum Download bereit. Alle <kes>-Leser sind eingeladen, den neuen Standard zu sichten und selbst zu bewerten, ob die gesteckten Ziele erreicht wurden – Kommentare sind herzlich willkommen.

Marcel Lehmann ist Senior Manager, Jann-Christoph Sowa Senior Consultant, Security Consulting bei der HiSolutions AG.

Diesen Beitrag teilen: