BSI IT-Grundschutz Standard 200-4 vs. 100-4 - Das ändert sich mit der Aktualisierung
Ob nun technische Probleme, Fehlbedienungen oder Ransomware, fast jedes moderne Unternehmen hat mit Incidents zu kämpfen. Um die Auswirkungen dieser Störungen auf den täglichen Betrieb zu minimieren und kritische Geschäftsprozesse zu schützen, nutzen Business Continuity Management (BCM) Systeme komprimierte geplante und organisierte Prozeduren, die die Resilienz im eigenen Unternehmen sowie Schäden und Ausfälle minimieren.
Im folgenden Beitrag beleuchten wir das Vorgehen gemäß des aktuellen BSI IT-Grundschutz Standards 200-4, vergleichen diesen mit der bisherigen Norm (Standard 100-4) und zeigen auf, wie Sie diesen verwenden können, um Ihr eigenes Unternehmen im Fall einer Katastrophe sinnvoll abzusichern.
Was ist ein Business Continuity Management System (BCMS)?
Laut Definition ist ein BCMS eine Komprimierung von Prozeduren (geplant und organisiert), die dabei unterstützen zeitkritische Geschäftsprozesse (Aufgaben und Arbeitsabläufe) von Institutionen gegen Ausfälle abzusichern. Zeitkritisch sind hierbei solche Prozesse, deren Ausfall nur für einen festgelegten Zeitraum tolerierbar sind, da sonst schwerwiegende oder sogar existenzgefährdende Folgen zu erwarten sind.
Das Business Continuity Management greift hierbei jedoch nicht im Rahmen kleinerer Betriebsunterbrechungen (Störungen), sondern ausschließlich für die nachfolgenden Eskalationsstufen (Notfälle und Krisen).
Abgesichert wird das Unternehmen dabei im Regelfall gegen finanzielle, personelle und Reputationsschäden. Letztlich besteht das BCMS im Regelfall aus drei verschiedenen Bereichen:
- Einem Emergency Plan,
- Einem Crisis Management Plan und
- Einem Operational Recovery Plan.
Was ist der BSI IT-Grundschutz Standard 200-4?
Der Standard beschreibt den Aufbau, die Aufrechterhaltung und die kontinuierliche Verbesserung eines BCMS in Anlehnung an ISO/IEC 22301:2019 (zweite Edition). Er ist dabei der Nachfolger des bisherigen BSI Standards 100-4 und ergänzt das Notfallmanagement um weitere wichtige Punkte.
Dies schlägt sich insbesondere im Umfang wieder. Statt der 123-seitigen Dokumentation des Vorgängers, bietet der IT-Grundschutz Standard 200-4 nun etwa 300 Seiten an Informationen für unerfahrene Unternehmen und Institutionen.
Ziel der Überarbeitung waren insbesondere die erleichterte Einführung in eines BCMS in Unternehmen über ein dreistufiges Modell (Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS), das Aufzeigen von Synergien zu Informationssicherheitsmanagementsystemen (ISMS), anderen Standards der 200-x-Reihe sowie dem IT Service Continuity Management (ITSCM). Der neue 200-4 besitzt im Vergleich zur Vorgängerversion u.a. eine vereinfachte Business Impact Analyse (BIA) und ermöglicht im Rahmen dieser Prüfung weiterhin die Möglichkeit prozessuale wie auch ressourcenseitige Abhängigkeiten zu berücksichtigen.
Weiterhin erfolgt nun die Implementierung eines BCMS nach dem Plan-Do-Check-Act-Zyklus (PDCA) (analog zu den BSI IT-Grundschutz Standards 200-x).
Wie funktioniert das neue Stufenmodell nach BSI IT-Grundschutz Standard 200-4?
Anders als bislang gibt es nun drei Arten von BCMS, aus denen Unternehmen wählen können.
- Das Reaktiv-BCMS (Einstieg in Business Continuity Management):
Hierbei handelt es sich ausschließlich um ein Übergangsmodell. Ziel ist dabei die Beschleunigung der Notfallbewältigung, jedoch fokussiert sich dieses Modell ausschließlich auf die wichtigsten Prozesse und stellt etwa keine Wiederanlauf- und Wiederherstellungspläne zur Verfügung. Es ist jedoch möglich von diesem Modell sowohl in ein Aufbau- als auch ein Standard-BCMS zu wechseln. - Das Aufbau-BCMS (Die schrittweise Einführung des Business Continuity Managements):
Anders als bei dem Reaktiv-BCMS, werden hierbei deutlich mehr Bereiche abgedeckt. So werden etwa erweitere Rahmenbedingungen analysiert und auch die Dokumentation fällt deutlich umfangreicher aus. Dennoch findet im Rahmen der Business Impact-Analyse (BIA) weiterhin eine Vorfilterung statt, sodass nicht alle Risiken vollumfänglich erfasst und damit auch behandelt werden. Gegenüber dem Standard-BCMS bietet dieses Modell jedoch eine bessere Skalierbarkeit insbesondere was den Ressourcenbedarf anbelangt. Dieses Modell richtet sich insbesondere an Unternehmen mit einer gewissen Vorerfahrung im Bereich Business Continuity Management. Weiterhin sind bei der Wahl dieses Modells eventuelle gesetzliche und sonstige regulatorischen Vorgaben zu berücksichtigen und zu prüfen. - Das Standard-BCMS (Business Continuity Management gemäß ISO/IEC 22301:2019)
Im Gegensatz zu den beiden vorherigen Modellen, bietet ein Standard-BCMS eine vollständige Absicherung und, im Vergleich, eine maximierte Resilienz für das eigene Unternehmen, da alle Geschäftsbereiche, -prozesse und -risiken betrachtet werden. Bei der Einführung ist jedoch insbesondere der erhebliche Ressourcenbedarf (finanziell, fachlich, personell) zu berücksichtigen. Dennoch, bei diesem Modell handelt es sich um die einzige Variante, die eine Konformität zur ISO/IEC 22301:2019 sicherstellt. (Ähnlich der Konformität der Standard-Absicherung gemäß BSI IT-Grundschutz Standard 200-1 zu ISO/IEC 27001:2017.)
Warum und vor allem wie sollte ich den BSI IT-Grundschutz Standard 200-4 verwenden?
Unerfahrenen Unternehmen gewähren die beschriebenen Best Practices und Anforderungen einen ersten Einblick in das Thema und können dabei helfen ein geeignetes Vorgehen zu ermitteln und festzustellen welche Aspekte besonders im Fokus liegen sollten.
Erfahrenere Institutionen können dagegen das Stufenmodell verwenden, um den Reifegrad des eigenen BCMS zu bewerten. Darüber hinaus bietet der vom BSI bereitgestellte Anforderungs-katalog die Möglichkeit die Vollständigkeit der eigenen Prozesse und Maßnahmen zu gewährleisten und die beschriebenen Übungen und Tests als Grundlage eigener Notfallübungen zu werden oder diese zu ergänzen.
Die Einführung des BSI IT-Grundschutz Standards 200-4 kann somit vielmehr als Erweiterung zu den bisherigen Normen verstanden werden und sollte auch dann genutzt werden, wenn ein für den Aufbau des eigenen BCMS eine andere Norm (wie etwa ISO/IEC 22301:2019) herangezogen wird.
Verfasser: Robin Enste