Im Rahmen der konsultierten BAIT-Fassung (Oktober 2020) ist das Kapitel 10 IT-Notfallmanagement als komplett neues Kapitel hinzugekommen. Darin ist geregelt, wie das Thema IT-Notfallmanagement ganzheitlich in Instituten einzuführen ist. Die folgenden Themenfelder innerhalb des IT-Notfallmanagements finden dabei Anwendung:
- Definition von abgeleiteten Notfallmanagementprozessen
- Festlegung von zeitkritischen Aktivitäten und Prozessen als Vorsorge mittels Notfallkonzepten
- Die Notfallkonzepte müssen vorab festgelegte Maßnahmen enthalten
Institute müssen gewährleisten, dass IT-Notfallmanagementkonzepte einerseits etabliert sind, sich diese aber andererseits aus den Zielen des generellen Notfallmanagements im Institut ableiten. Die Definition von IT-Notfallmanagementkonzepten spiegelt hierbei die Kernanforderung der BAIT an die Institute wider. Sie sollen dabei u. a. auf organisatorische Aspekte wie Schnittstellen zu anderen Bereichen und angrenzenden Prozessen wie dem IT-Risikomanagement oder dem Informationssicherheitsmanagement eingehen. Die Herausforderungen liegen bei der Informationssicherheit der Institute, das IT-Notfallmanagementkonzept aus Governance–Sicht einzuführen, falls ein etwaiger Prozess noch nicht existieren sollte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht beim aktuellen Informationsstand in Ausgabe 3 des BSI Standards 200-4 von einer stufenweisen Anpassung. Während zu Beginn noch ein eingeschränkter Umfang mit einer vereinfachten Methodik implementiert sein soll, sollte in der letzten Ausbaustufe ein kompletter Umfang mit vollständiger Methodik implementiert sein.
Als weitere wesentliche Anforderung ist hierbei die Festlegung von zeitkritischen Aktivitäten und Prozessen zu definieren. Dabei fordert die konsultierte BAIT-Fassung ein risikoorientiertes Vorgehen, weshalb sich gängige risikoorientierte Prozesse wie die Business Impact Analyse (BIA) – als das vom BSI vorgeschlagene Mittel –empfehlen. Die BIA liefert wesentliche Informationen hinsichtlich des Schutzziels Verfügbarkeit, welches das wichtigste der vier Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität) für das BCM darstellt. Die Durchführung der BIA wird durch die Fachabteilungen auf Prozessebene durchgeführt. Die Fachabteilungen bewerten dabei, welchen möglichen Schaden ihr Geschäft nehmen würde, wenn ein Prozess an einer bestimmten Stelle ausfällt. Die Bewertung spiegelt sich im nächsten Schritt auf allen zugehörigen Stellen wieder. Dieses Vorgehen ist entscheidend, um individuell zugeschnittene Umsetzungsmaßnahmen im Falle eines Schadens veröffentlichen zu können. Die Ergebnisse dieser zugeschnittenen Maßnahmen sollen hierbei in den Notfallkonzepten Anwendung finden. Die First Line–of–Defense kann mit diesen Vorgaben schneller den Betrieb samt Prozessen und Anwendungen wiederherstellen und somit den Schaden um ein Vielfaches reduzieren. Um die Anwendbarkeit von (IT-)Notfallkonzepten und ihren Maßnahmen gewährleisten zu können, schreibt nun die BAIT (Kapitel 10.4) vor, diese im Rahmen von angekündigten Tests in jährlichen Abständen zu prüfen. Diese müssen entsprechend eines vordefinierten Ablaufplans dokumentiert und sicher abgelegt werden. Auffälligkeiten dieser Tests müssen behandelt werden.
Die Aufnahme des IT-Notfallbetriebs in die schriftlich fixierte Ordnung als maßgebliche Vorgabe für Institute ist ein Ansatz zur stetigen Verbesserung. Die nun in der BAIT spezifisch geregelte Struktur zur Gestaltung entsprechender Konzepte ist ein wesentlicher Schritt zur stetigen Aufrechterhaltung des Betriebs. Institute sind nun verpflichtet, dies als elementaren Teil der Second Line–of–Defense mit in ihren täglichen Arbeitsalltag zu integrieren.
Wie ADVISORI Ihnen hilft
ADVISORI hat weitreichende Kenntnisse im Bereich BCM und im speziellen im IT-Notfallmanagement und kann dabei unterstützen, den Bedarf bei Ihnen frühzeitig zu erkennen. Auch kann durch die jahrelange Projekterfahrung im Bereich der Second Line-of-Defence und der zukunftsfähigen Anpassung Ihrer schriftlich fixierten Ordnung auf diesem Gebiet mit der Unterstützung von ADVISORI ein deutlicher Mehrwert für Sie und Ihr Unternehmen angeboten werden.
Über den Autor
Rajeev Panesar ist als Unternehmensberater mit seinen Schwerpunkten Informations- und Cybersicherheit sowie Governance, Risk & Compliance (GRC) für ADVISORI für unsere Kunden tätig. Mit seiner mehr als 10-jährigen Berufserfahrung als Fachexperte in verschiedenen Rollen hat er dabei sowohl in der 1st als auch in der 2nd Line-of-Defence weitreichende Erfahrungen im Umfeld von ISMS, IT-Risikomanagement, IT-Schwachstellenmanagement sowie Audit & Compliance unter Betrachtung regulatorischer und prozessualer Anforderungen erlangen können.
Erfahren Sie mehr zur Konsultion der BAIT in unserer Artikelserie.
