Der allseits Verkannte – BSI Standard 100-4

Noch immer wird der vom BSI bereits 2008 veröffentlichte Standard 100-4 zum Notfallmanagement als ein Standard zur Absicherung der IT-Systeme betrachtet und in die Ecke von „IT-Grundschutz“ geschoben. Leider, denn als Standard für ein unternehmensweites Notfallmanagement  bietet er eine wichtige Alternative zu anderen BCM (Business Continuity Management)-Standards

An einem meiner ersten Seminare zum BSI-Standard 100-4 vor einigen Jahren nahmen auch zwei Mitarbeiter des Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) teil, also des Amtes, das den Standard veröffentlich hatte. Was mich zunächst verwunderte, machte aber durchaus Sinn. Sie wollten mit den anderen Teilnehmern und damit mit potenziellen Nutzern in Kontakt kommen, um zu verstehen, warum der Standard 100-4 so wenig Akzeptanz fand. Nach meiner Einschätzung hat sich an der mangelnden Akzeptanz bzw. Bekanntheit des Standard bis heute wenig geändert. Anwendung findet er in der Regel lediglich in Behörden, also dort wo auch das Thema IT-Grundschutz eine Rolle spielt. Dass sich der Standard aber keineswegs auf die IT bzw. den IT-Grundschutz beschränkt, ist längst nicht jedem klar.

IT-Grundschutz aus heutiger Sicht

Ende 2008 hat das BSI den Standard 100-4 Notfallmanagement veröffentlich und damit bei vielen IT-Verantwortlichen einige Verwirrungen ausgelöst, die bis heute anhalten. Denn obwohl der BSI-Standard 100-4 gemäß den Beschreibungen im Vorwort auf der im BSI-Standard 100-2 beschriebenen IT-Grundschutz-Vorgehensweise aufbaut, spielt die IT im neuen Standard zum Notfallmanagement nur eine untergeordnete Rolle. Im Fokus stehen nicht die IT-Systeme, sondern vielmehr die Geschäftsprozesse. Um dies zu verstehen, ist eine kurze Betrachtung der Entwicklung der Standards des BSI erforderlich.

Ziel des in den 90er-Jahren entwickelten IT-Grundschutzhandbuch war es Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise zur Absicherung Ihrer IT-Komponenten zu geben. Betrachtet wurden

  • Typische IT-Komponenten
  • Typische Gefährdungen, Schwachstellen und Risiken
  • Standard-Sicherheitsmanagement

Während der Weiterentwicklung bis 2004 wuchs das „Handbuch“, das sich zwischenzeitlich auf mehrere Ordner erstreckte, auf 58 Grundschutzbausteine mit über 700 Maßnahmen an. Die immer stärkere Einbindung der IT in die Geschäftsprozesse einerseits und Entwicklungen bei internationalen Standards andererseits veranlassten 2005 das BSI im Rahmen einer Synchronisierung mit der ISO-Norm 27001 das Konzept des Grundschutzhandbuches zugunsten einer Zweiteilung der Dokumentation aufzugeben, mit den Standards auf der einen Seite und den IT-Grundschutzkatalogen auf der anderen Seite.

Ziel war es eine Standardreihe zu entwickeln, die, entsprechend den internationalen Standards, den Aufbau eines Informationssicherheitsmanagement-Systems als einen kontinuierlichen Prozess beschreibt. Dies führte letztlich zur Veröffentlichung der drei Standards 100-1 bis 100-3. Die BSI-Standards 100-1, 100-2 und 100-3 enthalten Empfehlungen für den organisatorischen Rahmen sowie zu Methoden, Vorgehensweisen und Maßnahmen zur Gewährleistung von Informationssicherheit. Die zusätzlich notwendigen technischen Maßnahmen zur Absicherung der Systeme sind seitdem in den IT-Grundschutz-Katalogen zu finden.

Auch Notfallmanagement muss als Prozess betrachtet werden

Bis zur Veröffentlichung des Standards 100-4 behandelte das BSI das Thema Notfall lediglich in zwei Bausteinen (B1.3 Notfallvorsorge-Konzept und B 1.8 Behandlung von Sicherheitsvorfällen). Internationale Standards, wie beispielsweise der Britische Standard BS 25999 machten jedoch deutlich, dass auch der Umgang mit Notfällen nicht nur als kontinuierlicher Prozess, sondern vor allem unternehmensweit betrachtet werden muss. Schließlich beschränken sich die typischen Notfälle, wie Brand oder Wassereinbruch in der Regel nicht auf den IT-Bereich. Mit der Einführung des Standards 100-4 wurde daher ein Sichtwechsel von der IT-Notfallplanung hin zu einem unternehmensweiten Notfallmanagement vollzogen eingeleitet. Der Standard 100-4 beschreibt ein eigenständiges Managementsystem für die Geschäftsfortführung und die Notfallbewältigung, das es ermöglicht auf Notfälle und Krisen der verschiedensten Art adäquat und effizient reagieren und die wichtigen Geschäftsprozesse schnell wieder aufnehmen zu können.

Nur vor diesem Hintergrund ist zu verstehen, warum die Notfallvorsorge und hier vor allem die Business Impact Analyse (BIA) einen wesentlichen Bestandteil des Standards darstellt. Eine Business Impact Analyse ist eine Methode zur Identifizierung von kritischen Geschäftsprozessen sowie der den Prozessen zugrunde liegenden Ressourcen. Mit Hilfe einer BIA können darüber hinaus die Auswirkungen von Prozessausfällen und die Abhängigkeiten zwischen den Prozessen ermittelt sowie die benötigten Wiederanlaufzeiten beschrieben werden. Zusammen mit einer Risikoanalyse bildet die BIA die Grundlage für alle Maßnahmen der Notfallvorsorge und der Notfallbewältigung.

Ein Ziel dabei war es, die Grundschutzvorgehensweise mit Methoden aus verschiedenen Standards rund um das Thema Business Continuity Management zu verbinden. Eingeflossen sind dabei vor allem die Inhalte des britischen Standards BS 25999.

Der Standard 100-4 ist kein IT-Grundschutzstandard

Formal ordnet das BSI den Standard 100-4 der Standardreihe zur Informationssicherheit zu. Hierbei ist aber zu beachten, dass dieser weit über den Einsatzbereich der drei Standards 100-1 bis 100-3 hinaus geht. Dies wird auch in der Einleitung des Standards deutlich, in der es heißt:

 „…. Eine ganzheitliche Betrachtung ist daher ausschlaggebend. Es sind alle Aspekte zu betrachten, die zur Fortführung der kritischen Geschäftsprozesse bei Eintritt eines Schadensereignisses erforderlich sind, nicht nur die Ressource Informationstechnik. IT-Notfallmanagement ist ein Teil des Notfallmanagements.“

Notfallvorsorge + Notfallbewältigung + Tests und Übungen = Notfallmanagement

Gemäß BSI muss das Notfallmanagement sowohl die Notfallvorsorge, die Notfallbewältigung wie auch die Notfallnachsorge umfassen. Entsprechend handelt es sich hierbei um einen komplexen Prozess, der aus den folgenden Phasen besteht:

  • Initiierung eines Notfallmanagementprozesses
  • Planung und Umsetzung von Notfallvorsorgemaßnahmen
  • Erstellung eines Notfallhandbuchs zur Notfallbewältigung
  • Planung und Durchführung von Übungen und Tests
  • Kontinuierliche Verbesserung des Notfallprozesses

Welche Dokumente im Rahmen von Notfallmanagement zu erstellen sind, werde ich in weiteren Beiträgen in diesem Blog vorstellen. Außerdem kann hierzu ein Blick in das Umsetzungsrahmenwerk des BSI, kurz UMRA, hilfreich sein, das ich in einem eigenen Beitrag vorstelle.

Fazit

Wer glaubt im BSI Standard 100-4 Anleitungen zur Erstellung eines IT-Notfallhandbuchs mit Wiederherstellungsanleitungen zu finden, sieht sich getäuscht. Der Standard ist kein Handbuch zur Erstellung von Notfallplänen für IT-Systeme nach dem Vorbild von IT-Grundschutz. Wer aber auf der Suche nach einem BCM-Standard für den Aufbau und die Dokumentation eines unternehmensweiten Notfallmanagements mit einem pragmatischen Ansatz zur Durchführung von BIA und Risikoanalyse ist, sollte sich den BSI Standard 100-4 einmal genauer ansehen. Das BSI stellt den Standard (wie auch alle anderen Dokumente zum IT-Grundschutz) kostenfrei zum Download bereit.

Teilen
Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.