Cyber Risk: Neuer BSI-Standard für das Business Continuity Management

Cyber-Risiken zählen zu den Top-Gefahren in deutschen Unternehmen. Im Rahmen eines Notfallmanagements müssen insbesondere diese Berücksichtigung finden. Das Bundesamt für Sicherheit und Informationstechnik (BSI) unterstützt mit seinen Standards u. a. den Aufbau eines  Notfallmanagements in Behörde und Unternehmen, mit dem Ziel, die Kontinuität des Geschäftsbetriebs sicherzustellen. Nun gibt es eine Erneuerung des bisherigen BSI-Standards 100-4, denn mit dem BSI-Standard 200-4 kommt eine Modernisierung des bisher bekannten Standards auf die Branche zu. Was dahinter steckt, erfahren wir im Interview mit Daniel Gilles, Referat SZ 13 – IT-Grundschutz beim Bundesamt für Sicherheit in der Informationstechnik.

Die Gefahr durch Cyber-Risiken steigt stetig. Wie ist die Versicherungsbranche gegen diese gerüstet?

Aus Perspektive des BSI bedarf es einer ganzheitlichen Strategie, um Institutionen nachhaltig auf den Umgang mit Cyber-Risiken vorzubereiten. Einzelne Maßnahmen oder zeitlich begrenzte Projekte können Anlass bzw. Startpunkte sein, reichen aber für sich alleine betrachtet schon lange nicht mehr aus, um Unternehmen aus der Versicherungsbranche gegen Cyber-Risiken zu schützen.

Um Institutionen gegen Cyber-Risiken resilienter zu machen, bedarf es zweier Managementsysteme, welche die Themen Informationssicherheit und Notfallmanagement in den Unternehmen verankern. Ein Managementsystem für Informationssicherheit härtet dabei die Informationssicherheit (also primär präventiv), wohingegen ein Notfallmanagementsystem die Handlungsfähigkeit im Falle eines Cyber-Vorfalls sicherstellt (d.h. eher reaktiv).

Mit dem IT-Grundschutz bietet das BSI ein seit 25 Jahren etabliertes Standardwerk der Cyber-Sicherheit für beide Managementsysteme, dasMethode, Handlungsanweisung, Empfehlung und Standard in einem ist. Der IT-Grundschutz ist anwendbar für alle Unternehmen, die in Zeiten der Digitalisierung ihre IT-Systeme, Datennetze und damit ihre Geschäftsprozesse nach dem Stand der Technik absichern wollen. Der IT-Grundschutz ist mit den etablierten internationalen Normen (ISO 27001 für die Informationssicherheit und ISO 22301 für BCM/Notfallmanagement) kompatibel und bietet darüber hinaus für standardisierte Anwendungsfälle, wie sie bei Unternehmen der Versicherungsbranche in einer Vielzahl vorliegen, konkretere Anleitungen zur Umsetzung sowie weitere Hilfsmittel, wie zum Beispiel IT-Grundschutz-Profile.

Das nächste Arbeitstreffen ist am 12./13. November 2019 in Leipzig. U. a. mit einem Vortrag von Daniel Gilles zum neuen BSI-Standard.

Warum wird ein neuer Standard entwickelt bzw. der aktuelle  100-4 überarbeitet?

Mit einem kurzen Blick auf die Historie der Standardlandschaft im Bereich BCM/Notfallmanagement lässt sich festhalten, dass der BSI-Standard 100-4 im internationalen Vergleich ein sehr früher Standard für ein allgemeines Notfallmanagement war, das nicht auf IT begrenzt ist. Er wurde 2008 veröffentlicht, vier Jahre vor der international maßgeblichen ISO-Norm 22301. Der BSI-Standard 100-4 ist bereits in seiner jetzigen Form mit der ISO 22301 kompatibel und nach wie vor die Empfehlung des BSI bis zur Veröffentlichung des BSI-Standards 200-4.

Dennoch hat sich im Zuge der Zeit der Bedarf einer weiteren Anwenderunterstützung herauskristallisiert, die wir in einem ersten Schritt mit dem Umsetzungsrahmenwerk (UMRA) adressiert haben. Dieses bietet ausführliche Anleitungen zur Umsetzung des BSI-Standards 100-4, ein Reifegradmodell und eine Vielzahl an Hilfsmitteln und Formatvorlagen.

Darüber hinaus wurden 2018 die IT-Grundschutz-Standards zur Informationssicherheit und das IT-Grundschutz-Kompendium grundlegend modernisiert, sodass nun die Zeit für einen modernisierten BSI-Standard 200-4 zum BCM reif ist. Dieser adressiert die nachfolgenden Punkte:

• Integration der praxisnahen Umsetzungsanleitung und Hilfsmittel aus dem Umsetzungsrahmenwerk in den Standard selbst.
• Einführung eines Stufenmodells, sodass insbesondere kleineren Institutionen der Einstieg vereinfacht wird und gleichzeitig im BCM fortgeschrittenen Institutionen eine praxisnahe Anleitung zur Etablierung eines vollumfänglichen, zur ISO 22301 kompatiblen BCM, gegeben wird.
• Ausarbeitung möglicher Synergien zu einem möglicherweise existierenden ISMS (insbesondere nach IT-Grundschutz) und/oder ITSCM, ohne jedoch solche Systeme vorauszusetzen.

Auch in der ISO-Welt ist aktuell Bewegung, denn dort wird derzeit die ISO-Norm 22301 überarbeitet. Dies berücksichtigt das BSI bei der Modernisierung, sodass ein BCM nach dem BSI-Standard 200-4 auch zu der neuen Norm kompatibel sein wird.

Was erwarten Sie sich von dem Standard und was kommt auf die Branche mit dem neuen Standard zu?

Das primäre Anliegen bei der Modernisierung des BSI-Standards 200-4 besteht darin, die Resilienz von Unternehmen und Behörden in Deutschland nachhaltig zu fördern, indem wir diesen Institutionen ein maßgeschneidertes und leicht anwendbares Werkzeug an die Hand geben.

Es ging nicht darum, BCM/Notfallmanagement neu zu erfinden, sondern den „Werkzeugkasten BSI-Standard 200-4“ für Institutionen unterschiedlichster Art, Branche und Größe noch besser anwendbar zu machen.

Für Unternehmen aus der Versicherungsbranche, die über ein etabliertes BCM verfügen, wird sich somit gar nicht so viel ändern. Denn der neue Standard 200-4 wird ebenso wie der Standard 100-4 mit der ISO-Norm 22301 kompatibel sein und Unternehmen auf eine entsprechende ISO-Zertifizierung vorbereiten. Unternehmen, die bereits ein Notfallmanagementsystem nach dem BSI-Standard 100-4 etabliert haben, stellen wir eine Anleitung zur Migration auf die höchste Stufe des BSI-Standards 200-4 zur Verfügung. Der Aufwand bei der Migration wird sich in Grenzen halten, da sich nicht viel an dem „Was“ ändert, sondern viel mehr das „Wie“ um praxisnahe Anleitungen und weitere Hilfsmittel ergänzt wird.

Für Anwender, die gerade erst mit dem Thema BCM starten, stellen wir mit dem BSI-Standard 200-4 vereinfachte Stufen zum Einstieg zur Verfügung. Damit lassen sich Einstiegsbarrieren abbauen und zum anderen schnellstmöglich ein hinreichendes Maß an Reaktionsfähigkeit in Notfällen und Krisensituationen herstellen, sodass Unternehmen handlungsfähig bleiben.

Interessierte Anwender aus der Versicherungsbranche und darüber hinaus sind herzlich eingeladen, sich zur BCM Info-Gruppe des BSI anzumelden. Über diesen Newsletter erhalten sie immer die neuesten Informationen zum BSI-Standard 200-4 und alle IT-Grundschutz Aktivitäten rund um das Thema BCM. Über diesen Kanal freuen wir uns auch über Feedback und möchten so mit der Anwendergemeinschaft in einem inhaltlichen Austausch bleiben.