Damit die Lichter nicht ausgehen

Die Risikokontrolle „IKT-Bereitschaft für Business Continuity“ gemäß ISO 27002:2022 (Abschnitt 5.30) bezieht sich auf die Planung, Implementierung, Wartung und das Testen der Informations- und Kommunikationstechnologie (IKT), um die Geschäftskontinuität im Falle von Störungen sicherzustellen. Unternehmen sind zunehmend auf digitale Infrastrukturen angewiesen, um ihre Kernprozesse aufrechtzuerhalten. Diese Kontrolle stellt sicher, dass die IT-Systeme eines Unternehmens widerstandsfähig gegenüber unerwarteten Ereignissen wie Cyberangriffen, Naturkatastrophen oder technischen Ausfällen sind und schnell wieder in Betrieb genommen werden können. Der Fokus liegt darauf, dass die IKT-Bereitschaft im Einklang mit den Geschäftszielen und Anforderungen an die Geschäftskontinuität steht.

Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die IKT-Bereitschaft für Business Continuity zielt darauf ab, mehrere potenzielle Gefahren abzumildern, die die Geschäftskontinuität gefährden könnten:

1. IT-Ausfälle: Ohne vorbereitete Maßnahmen können unvorhergesehene IT-Ausfälle, wie Serverabstürze oder Netzwerkausfälle, ganze Geschäftsprozesse lahmlegen. Diese Ausfälle führen zu Produktivitätsverlusten und in schwerwiegenden Fällen zu Datenverlust.
2. Naturkatastrophen: Ereignisse wie Brände, Überschwemmungen oder Erdbeben können physische IT-Infrastrukturen beschädigen und damit den Zugriff auf kritische Systeme verhindern. Unternehmen, die nicht auf solche Katastrophen vorbereitet sind, laufen Gefahr, den Betrieb über längere Zeit nicht wieder aufnehmen zu können.
3. Cyberangriffe: Angriffe durch Hacker, wie Ransomware oder Distributed Denial of Service (DDoS), können IT-Systeme lahmlegen und sensible Daten gefährden. Unternehmen ohne ein robustes Business-Continuity-Programm sind anfälliger für solche Angriffe und können nicht schnell genug reagieren, um Schäden zu minimieren.
4. Verlust von Kommunikationsmöglichkeiten: Ein ungeplanter Ausfall von Kommunikationssystemen kann dazu führen, dass wichtige interne und externe Kommunikation nicht stattfinden kann, was in Krisenzeiten den Betrieb zusätzlich destabilisiert.

Welche typische Schwachstellen in Organisationen werden damit adressiert?

Die IKT-Bereitschaft für Business Continuity behebt mehrere Schwachstellen, die in vielen Organisationen bestehen:

1. Fehlende Business-Continuity-Planung: Viele Organisationen haben keine klaren Pläne, wie sie auf IT-Ausfälle oder Krisensituationen reagieren sollen. Dies führt dazu, dass im Ernstfall keine vorbereiteten Maßnahmen existieren, um den Betrieb schnell wiederherzustellen.
2. Keine Redundanz bei kritischen Systemen: Unternehmen, die keine redundanten Systeme oder Backups haben, riskieren erhebliche Ausfallzeiten, wenn ihre primären IT-Infrastrukturen ausfallen.
3. Unzureichende Tests der Notfallpläne: Selbst wenn Notfallpläne vorhanden sind, werden sie oft nicht regelmäßig getestet. Dies bedeutet, dass Schwachstellen oder Lücken in der Planung erst dann sichtbar werden, wenn der Ernstfall bereits eingetreten ist.
4. Mangelnde Kommunikation im Krisenfall: Ohne klare Kommunikationspläne für Notfälle sind Unternehmen oft nicht in der Lage, in Krisensituationen effektiv zu handeln, was die Wiederherstellung des Betriebs verzögert.
5. Abhängigkeit von Einzelpersonen: In vielen Organisationen ist das Wissen über die Funktionsweise der IT-Systeme auf wenige Personen beschränkt. Wenn diese Personen in einem Krisenfall nicht verfügbar sind, fehlt das notwendige Know-how, um den Betrieb wiederherzustellen.

Beispiel für die Umsetzung der Risikokontrolle

Ein konkretes Beispiel für die erfolgreiche Umsetzung der IKT-Bereitschaft für Business Continuity stammt aus der Bankenbranche, die extrem stark auf den kontinuierlichen Betrieb ihrer IT-Systeme angewiesen ist. Eine große Bank, die weltweit tätig ist, hat ein umfassendes Business-Continuity-Programm für ihre IT-Systeme entwickelt, das sicherstellt, dass sie auch bei schwerwiegenden Zwischenfällen wie Cyberangriffen oder Naturkatastrophen funktionsfähig bleibt.

1. Redundante Rechenzentren: Die Bank betreibt mehrere redundante Rechenzentren, die geografisch verteilt sind. Jedes dieser Zentren kann die gesamte IT-Last im Falle eines Ausfalls eines anderen Zentrums übernehmen. Durch diese Redundanz wird sichergestellt, dass auch bei lokalen Naturkatastrophen der Betrieb weitergeführt werden kann.
2. Notfallpläne und regelmäßige Tests: Die Bank hat detaillierte Notfallpläne für verschiedene Szenarien entwickelt, darunter Cyberangriffe, Stromausfälle und Naturkatastrophen. Diese Pläne werden regelmäßig getestet, um sicherzustellen, dass alle Mitarbeiter wissen, welche Maßnahmen im Krisenfall zu ergreifen sind. Im Rahmen dieser Tests simuliert die Bank reale Krisensituationen und überprüft, ob die Maßnahmen wie geplant funktionieren.
3. Daten-Backups und Disaster-Recovery: Alle kritischen Daten der Bank werden in Echtzeit gesichert und in redundanten Systemen gespeichert, die außerhalb der regulären Rechenzentren untergebracht sind. Dies garantiert, dass selbst im Falle eines Datenverlusts durch Cyberangriffe oder technische Ausfälle die Datenintegrität gewahrt bleibt und der Geschäftsbetrieb schnell wieder aufgenommen werden kann.
4. Krisenkommunikation: Die Bank hat zudem ein Notfall-Kommunikationssystem implementiert, das es den Mitarbeitern ermöglicht, im Krisenfall auch bei Ausfällen der regulären Kommunikationswege miteinander in Kontakt zu bleiben. Diese Systeme umfassen Notfall-Hotlines, Satellitentelefone und verschlüsselte Kommunikationsplattformen.

Im Jahr 2021 konnte die Bank durch diese Maßnahmen einen groß angelegten DDoS-Angriff abwehren. Der Angriff führte dazu, dass der primäre Rechenzentrumsstandort vorübergehend offline war. Dank der redundanten Systeme und der gut vorbereiteten Notfallpläne wurde der Betrieb jedoch innerhalb von Minuten auf das Backup-Rechenzentrum umgeleitet, sodass es zu keinen größeren Ausfallzeiten kam.

Notwendige Ressourcen

Die Umsetzung der IKT-Bereitschaft für Business Continuity erfordert sowohl finanzielle als auch personelle Ressourcen. Je nach Größe und Komplexität der Organisation variieren die Kosten erheblich.

1. Kosten für redundante Systeme: Der Aufbau von Redundanzen, wie Backup-Rechenzentren oder Cloud-Infrastrukturen, ist eine der größten Investitionen. Diese Kosten können je nach Branche und Größe der Organisation mehrere hunderttausend bis mehrere Millionen Euro betragen. Cloud-basierte Lösungen sind dabei eine kostengünstigere Alternative zu physischen Rechenzentren.
2. Testen und Wartung: Regelmäßige Tests und die Wartung der Business-Continuity-Systeme sind entscheidend für den Erfolg dieser Kontrolle. Solche Tests können zeitaufwendig sein und erfordern gut ausgebildetes Personal. Abhängig von der Komplexität des Plans und der Häufigkeit der Tests kann dieser Prozess zwischen 10.000 und 50.000 Euro jährlich kosten.
3. Zeitaufwand: Die Entwicklung und Implementierung eines umfassenden Business-Continuity-Plans kann mehrere Monate in Anspruch nehmen. Unternehmen müssen sicherstellen, dass alle potenziellen Bedrohungen berücksichtigt werden und die Lösungen in die bestehende IT-Infrastruktur integriert sind. Die Zeit für die regelmäßige Überprüfung und Aktualisierung des Plans muss ebenfalls eingeplant werden.
4. Einfachheit vs. Komplexität: Einfache Notfallpläne und Daten-Backups sind relativ schnell umzusetzen, besonders in kleineren Organisationen. Komplexer wird es jedoch bei globalen Unternehmen mit verteilten IT-Systemen und mehreren Rechenzentren. Hier müssen umfassende Redundanzsysteme eingerichtet und detaillierte Notfallpläne entwickelt werden, die auf verschiedenen Szenarien basieren.
5. Personalschulung: Eine erfolgreiche Umsetzung dieser Risikokontrolle erfordert die Schulung des Personals, um sicherzustellen, dass alle Beteiligten im Krisenfall wissen, wie sie reagieren müssen. Die Schulungskosten hängen von der Anzahl der Mitarbeiter und der Komplexität des Plans ab und können mehrere tausend Euro pro Jahr betragen.

Fazit

Die Risikokontrolle „IKT-Bereitschaft für Business Continuity“ gemäß ISO 27002:2022 ist unerlässlich, um sicherzustellen, dass Organisationen auch im Falle schwerwiegender Störungen oder Ausfälle ihrer IT-Systeme funktionsfähig bleiben. Eine gut geplante und getestete IKT-Bereitschaft minimiert das Risiko von Ausfallzeiten, Datenverlusten und finanziellen Einbußen. Obwohl die Implementierung zeit- und kostenintensiv ist, bietet sie langfristige Vorteile in Form von erhöhter Resilienz und schnellerer Reaktionsfähigkeit auf unerwartete Ereignisse. Organisationen, die in eine robuste Business-Continuity-Strategie investieren, sind besser aufgestellt, um den Herausforderungen einer zunehmend vernetzten und dynamischen Welt zu begegnen.