0
Blog|IT News|1. IT-Grundschutz-Tag 2021|
20.01.2021 | Andreas Bucher | Lesedauer 5 Min
netGoose - IT News

1. IT-Grundschutz-Tag 2021

Am 19. Januar fand der 1. IT Grundschutztag 2021 in Zusammenarbeit des BSI mit der Firma HiSolutions AG statt. Andreas von netGoose war für Euch dabei.

https://s3.netgoose.de/netgoose-web-prod/it_grundschutz_21_1_cc5430e367.jpg

Foto: Pixabay

1. IT Grundschutz-Tag 2021

Am 19. Januar fand der 1. IT-Grundschutz-Tag 2021 statt, eine Kooperation der Firma HiSolutions AG und des BSI (Bundesamt für Sicherheit in der Informationstechnik). Aufgrund der aktuellen Lage wurde die Veranstaltung nur online abgehalten und die Redner von verschiedenen Standorten zugeschalten. Hauptthema war dieses Mal die Veröffentlichung des neuen Standards 200-4 (Aufbau eines Business Continuity Management Systems – kurz BCMS), sowie passend dazu viele Praxisberichte wie BCM z.B. in der DZ Bank, bei Zalando u.a. umgesetzt wird. Insgesamt gab es über 3.000 Anmeldungen für das Event, wobei im Stream die Zuschauerzahl meistens zwischen 900 und 1.100 schwankte. Bei einem BCMS geht es vor allem darum wie man im Notfall, bei Beeinträchtigung oder Ausfall von Geschäftsprozessen, schnellstmöglich wieder zu einem Normalbetrieb zurückkehren kann bzw. wie besonders die zeitkritischen Geschäftsprozesse wieder durchgeführt werden können. Dazu sind Überlegungen notwendig, wie man kritische Ausfälle oder Beeinträchtigungen frühzeitig erkennen kann und diese z.B. an einen vorab definierten Krisenstab geleitet werden, der sich um das Problem kümmert. Ein BCMS soll den handelnden Personen klare Zuständigkeiten und Prozesse an die Hand geben um bei Eintritt eines Notfalls bestmöglich reagieren zu können.

Vorträge:

1. BSI-Standard 200-4

Den Beginn machte traditionell das BSI selbst. Zunächst Holger Schildt mit einer allgemeinen Einleitung und im Anschluss seine Kollegen Cäcilia Jung und Daniel Gilles um den neu entwickelten Baustein 200-4 vorzustellen. Ich fasse die verschiedenen Vorträge hier in einem Block zusammen, ebenso die Anmerkungen von Herrn Marcel Lehmann der HiSolutions AG, der ebenfalls beim Entwurf des Bausteins mitgewirkt hat. Der Baustein selbst befasst sich mit dem Aufbau eines BCMS-Systems. Der Vollständigkeit halber sei erwähnt, dass der Aufbau eines BCMS (wie generell alles was mit IT-Sicherheit zu tun hat) ein fortlaufender Prozess und kein Einmalprojekt ist – man kann sich stets verbessern. Der Baustein liefert Best Practices sowie eine Anleitung zum Aufsetzen eines BCMS. Der Fokus wurde dabei v.a. auf den Praxisbezug und eine leichte Verständlichkeit gelegt. Es sollte kein theoretisches Dokument entstehen, sondern etwas das in der echten Welt benutzt werden kann. Es wurde extra auf einen leichten Einstieg geachtet und ein Stufenmodell mitgeliefert, das von Neueinsteigern dieser Thematik genutzt werden kann. Man kann also mit den Basics beginnen, ist damit auch auf jeden Fall schon mal besser auf mögliche Krisen vorbereitet als zuvor und kann sukzessiv weitere Maßnahmen umsetzen, super! Besonders der Versuch möglichst nah an der Praxis zu bleiben gefällt sehr, dazu gibt es im Baustein viele Leitfäden und Hilfsmittel. Die aktuelle Version wurde hier https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html veröffentlicht. Aktuell handelt es sich dabei noch um einen sog. Community-Draft. Das bedeutet bis zum 30.06.2021 können Anmerkungen, sinnvolle Ergänzungen etc. an das BSI gemeldet werden. Nach einer Prüfung im BSI werden diese ggfs. in den finalen Entwurf eingearbeitet. Eine endgültige Veröffentlichung des finalen Standards 200-4 hängt stark von der Menge des Feedbacks der Community ab, daher gibt es aktuell noch kein fixes Datum. Firmen oder Institutionen, die bereits den Standard 100-4 umgesetzt haben, werden auch eine Anleitung oder Hilfestellungen zur Migration auf den 200-4 zur Verfügung gestellt bekommen.

2. Praxisbeispiele BCMS

Der zweite große Block waren Vorträge aus der Praxis wie in verschiedenen Unternehmen BCMS umgesetzt, getestet und weiterentwickelt werden, welchen Herausforderungen und Problemen man sich stellen muss, aber auch Beispiele wie Firmen von einem guten BCMS profitieren können. Die Vorträge wurden gehalten von Claudia Krüger & Thorsten Scheibel (DZ Bank), Uwe Grams (HiSolutions AG), Sandro Amendola (BSI), Jan Trulley & Göran Thälker (Fiege), Thomas Jager (Stadtwerke Saarbrücken), Jürgen Neuhuber (Zalando). Neben BCMS war ein weiterer oft benutzter Begriff die operative Resilienz (die Anpassungsfähigkeit eines Unternehmens an veränderte Bedingungen), da sich bei eintretenden Krisen oder Notfällen i.d.R. die Rahmenbedingungen ändern und das Unternehmen auf die neue Situation reagieren muss. Was alle Redner vereinte, war der immer höhere Stellenwert ihres BCMS um bei einem Ausfall v.a. die zeitkritischen Geschäftsprozesse schnellstmöglich wieder abwickeln zu können. Während bei der DZ Bank ein fester Krisenstab im Notfall die Kontrolle und Entscheidungen übernimmt, wird bei Zalando oder den Stadtwerken Saarbrücken eine agilere Zusammensetzung dieses Gremiums verfolgt (wer sich des Problems annehmen will, kann am Krisenstab teilnehmen). In beiden Fällen hat man sich aber bereits im Vorfeld Gedanken darüber gemacht, was bei einem Notfall passieren soll! Wird ein solcher erkannt, setzt sich ein Gremium mit entsprechenden Entscheidungsbefugnissen zusammen und versucht schnellstmöglich die zeitkritischen Prozesse wieder zum Laufen zu bekommen. Ebenso ist vorbereitet über welche Kommunikationsmöglichkeiten dieses Gremium untereinander und mit dem Rest der Mitarbeiter in Kontakt treten kann - idealerweise gibt es gleich mehrere Kanäle, damit auch bei Ausfall eines Dienstes weiterhin die Handlungsfähigkeit gegeben ist. Im Grunde also wie eine große Risikoanalyse „Was passiert wenn…?“ mit konkreten Zuständigkeiten und Notfallplänen mit Fokus auf Wiederherstellung der wichtigsten Prozesse. Ein BCMS beschäftigt sich im Gegensatz zu einem ISMS besonders mit der reaktiven Seite des Problems: also wie kann man schnellstmöglich ein Problem in den Griff und die Firma am Leben erhalten, nachdem ein Schaden entstanden ist / Geschäftsprozesse nicht mehr normal ablaufen können.

Fazit:

Wieder mal ein sehr gelungener IT-Grundschutz-Tag! Nach der Überarbeitung der Bausteine 200-1, 200-2, 200-3, kam jetzt auch der 200-4 hinzu – erstmal als Community-Draft. Der Versuch so nah wie möglich an der Praxis zu sein und jetzt auch Community-Feedback dazu einzuholen gefällt mir sehr. Das Highlight waren aus meiner Sicht aber doch die Erfahrungsberichte aus der Praxis bezüglich Einsatzes eines BCMS. Es ist unglaublich wie viel Zeit und Stress man sich sparen kann, wenn man sich bereits im Vorfeld mit möglichen Gefährdungsszenarien auseinandersetzt und Notfallpläne etc. erstellt. Jetzt in der Corona-Krise kann man es auch wieder sehen: ein naheliegendes Szenario wäre, dass es einen weiteren harten Lockdown gibt. Im Zuge eines BCMS würde man sich überlegen, was in diesem Fall zu tun wäre, wie die geschäftskritischen Systeme weiterhin gewährleistet werden können etc. Obwohl es ein so naheliegendes Szenario ist, sind trotzdem die meisten Firmen nicht darauf vorbereitet, wären erstmal überrascht und würden ggfs. ungünstige ad hoc Entscheidungen treffen.

Euer Andreas

Zurück zur Übersicht

Mehr Infos zu:

> IT News

netGoose GmbH

Flößerstr. 17

86415 Mering

Telefon: 08233 21493-0

Telefax: 08233 21493-91

Mail: info@netgoose.de

Besuche uns auch hier: