IKT-Sicherheit für Business Continuity – Control 5.30 in ISO 27001

INHALT

• IKT-Sicherheit im Unternehmen: Relevanz für heutige Geschäftsprozesse
• Business Continuity Management
• Business-Impact-Analyse
• ISO 27001:2022 als Rückgrat der Business Continuity
• Auswirkungen des Controls 5.30 auf die Zertifizierung
• IKT-Sicherheit für Business Continuity – Fazit
• DQS: Ihr verlässlicher Partner

IKT-Sicherheit im Unternehmen: Relevanz für heutige Geschäftsprozesse

Nicht erst seit der Corona-Pandemie gehören Collaboration-Tools wie Microsoft Teams, Cloud-Anwendungen auf den Plattformen der großen Hyperscaler, die Nutzung von Cloud Diensten oder die vernetzte Produktion (Industrie 4.0) häufig zum Alltag moderner Unternehmen. Zeitgemäße Informations- und Kommunikationstechnologien ermöglichen schnelle und effiziente Arbeitsabläufe und sind quer durch alle Branchen zu unersetzlichen Werkzeugen für die Aufrechterhaltung der Geschäftsprozesse geworden.

Das bedeutet im Umkehrschluss, dass die Sicherheit und Verfügbarkeit der IKT einen sehr hohen Stellenwert besitzt – und systematisch überwacht und durch geeignete Maßnahmen und Prozesse vor Störungen geschützt werden muss, um reibungslose Abläufe zu garantieren und mögliche Schäden so gering wie möglich zu halten. Gerade in Zeiten verschärfter, durch geopolitische Konflikte befeuerter Cyberbedrohungen wird dies immer wichtiger. Dafür steht den Unternehmen eine Reihe von Werkzeugen zur Verfügung, die nachfolgend allgemein erklärt und anschließend im Kontext der Control 5.30 in ISO 27001 betrachtet werden.

Business Continuity Management

Das Business Continuity Management (BCM) zum Beispiel nach ISO 22301 ist ein Managementprozess, der durch die Erstellung, Umsetzung und Prüfung von (Notfall-)Plänen und Strategien sicherstellt, dass kritische Geschäftsfunktionen während und nach einer Störung nicht lange unterbrochen werden beziehungsweise möglichst schnell wieder anlaufen können.

Die Norm beschreibt präventive Vorkehrungen im Sinne einer (Notfall-)Vorsorgeorganisation und Notfallplanung, um die Ausfallsicherheit der Geschäftsprozesse zu erhöhen. Außerdem werden im Rahmen der (Notfall-) Bewältigungsorganisation reaktive Maßnahmen (diaster recovery) geplant und ergriffen, um ein schnelles und zielgerichtetes Reagieren im Fall einer Störung der IT-Prozesse zu ermöglichen und die Ausfallzeiten zum Beispiel durch hohe IKT-Sicherheit im Unternehmen zu reduzieren.

Das BCM als Bestandteil strategischer Planungen umfasst die Identifizierung potenzieller Risiken und Schwachstellen, die Bewertung der Kritikalität von Geschäftsprozessen, die Entwicklung von Plänen zur Reaktion auf Störungen und die Erprobung dieser Pläne durch regelmäßige Übungen und Simulationen. Ziel des betrieblichen Kontinuitätsmanagements ist es, sicherzustellen, dass ein Unternehmen schnell und effektiv auf eine Störung reagieren kann und dass sich das Vertrauen seiner Stakeholder hinsichtlich der Liefer- und Betriebsfähigkeit verbessert.

Business-Impact-Analyse

Die Business-Impact-Analyse (BIA) ist im Business Continuity Management die Methode, um kritische Prozesse und Geschäftsfunktionen innerhalb einer Organisation zu erfassen und wechselseitige Abhängigkeiten zwischen ihnen und ihrer zugrundeliegenden Ressourcen zu identifizieren. Damit ist sie ein strategischer Prozess, der dabei hilft, Auswirkungen von Störungen der Geschäftsaktivitäten zu ermitteln und zu beurteilen. Die BIA bildet die Grundlage, um die benötigten Wiederanlaufzeiten zu ermitteln.

Die BIA umfasst in der Regel die Bewertung der Kritikalität von Geschäftsprozessen, die Ermittlung der zur Unterstützung dieser Prozesse erforderlichen Ressourcen und die Bestimmung der Auswirkungen von Störungen auf diese Prozesse und Ressourcen. Die Analyse hilft Unternehmen, die potenziellen Folgen von Störungen zu verstehen und ihre Reaktions- und Wiederherstellungsbemühungen entsprechend zu priorisieren.

Die Ergebnisse einer BIA können in die Entwicklung eines Business Continuity Plans (BCPs) und anderer Risikomanagementstrategien einfließen, um sicherzustellen, dass das Unternehmen durch die Hochverfügbarkeit von Systemen und Strukturen besser darauf vorbereitet ist, unerwartete Ereignisse zu bewältigen und deren Auswirkungen zu minimieren.

Weitere Empfehlungen zur Durchführung einer Business-Impact-Analyse (BIA) findet man auch in dem Leitfaden ISO/TS 22317.

ISO 27001:2022 als Rückgrat der Business Continuity

Die Informations- und Kommunikationstechnologie (IKT) hat im Unternehmen einen erheblichen Einfluss auf die Geschäftskontinuität. Störungen können erhebliche Auswirkungen verursachen, insbesondere zum Beispiel im Bereich der Kritischen Infrastrukturen (KRITIS). Aus diesem Grund hat das Control 5.30 „IKT-Bereitschaft für Business Continuity“ (Englisch: ICT readiness for business continuity) im Anhang A der neuen ISO/IEC 27001:2022 eine hohe Bedeutung.

Der Zweck der Maßnahme ist die Sicherstellung der Hochverfügbarkeit der kritischen IKT-System auf Grundlage von Geschäftskontinuitätsziele und daraus abgeleiteten, umgesetzten und überprüften IKT‑Kontinuitätsanforderungen. Dazu gehört es, innerhalb des BIA-Prozesses Auswirkungsarten und Auswirkungskriterien zu definieren.

Auf dieser Basis werden vorrangige Betriebstätigkeiten ermittelt, denen eine Wiederherstellungsdauer (RTO = Recovery Time Objective) zugewiesen wird. Die BIA legt dann fest, welche Ressourcen für diese priorisierten Aktivitäten notwendig sind und weist auch ihnen eine RTO zu. Eine Teilmenge dieser Ressourcen wird IKT-Dienste umfassen. Zusätzlich sollten für die priorisierten IKT-Ressourcen auch Wiederherstellungspunkte (RPO = Recovery Point Objective) und deren Abstände definiert werden.

Anhand der Ergebnisse all dieser Verfahren müssen Unternehmen IKT-Kontinuitätsstrategien ermitteln und auswählen, die Optionen für die Zeit vor, während und nach einer Störung berücksichtigen. Aufsetzend darauf werden Kontinuitätspläne (inkl. Reaktions- und Wiederherstellungsverfahren) entwickelt, umgesetzt und geprüft, um die erforderliche IKT-Bereitschaft zu erfüllen.

In diesem Zusammenhang sei auch auf den ISO-Standard ISO/IEC 27031, einen Leitfaden für die Bereitschaft von IKT für Business Continuity verwiesen, der Unternehmen Empfehlungen für die Sicherung der Verfügbarkeit der IKT-Systeme aufzeigt.

Auswirkungen des Controls 5.30 auf die Zertifizierung

Um sich nach der revidierten Norm ISO 27001:2022 zertifizieren zu lassen, müssen Unternehmen …

• über eine angemessene Organisationsstruktur zur Vorbereitung, Eindämmung und Reaktion auf einen Störfall verfügen. Dies erfordert auch Personal mit der erforderlichen Verantwortung, Befugnis und Kompetenz.
• verbindliche IKT-Kontinuitätspläne einschließlich Reaktions- und Wiederherstellungsverfahren erarbeitet haben, die detailliert beschreiben, wie die Organisation mit einer Störung der IKT-Dienste umzugehen gedenkt. Diese Pläne müssen von der obersten Leitung freigegeben und regelmäßig durch Übungen und Prüfungen bewertet werden.
• in ihren Kontinuitätsplänen folgende Informationen festhalten:
  - Leistungs- und Kapazitätsspezifikationen zur Erfüllung der in der BIA festgelegten Anforderungen und Ziele der Aufrechterhaltung der Betriebsfähigkeit
  - RTO der einzelnen priorisierten IKT-Dienste und die Verfahren zur Wiederherstellung dieser Komponenten
  - RPO der priorisierten IKT-Ressourcen, die als Informationen definiert sind, und Verfahren zur Wiederherstellung der Informationen

IKT-Sicherheit für Business Continuity – Fazit

Das prominente Beispiel des Verwaltungs-Hacks in Anhalt-Bitterfeld, infolgedessen kommunale Bürgerleistungen zum Teil wochen- oder monatelang nicht verfügbar waren, belegt die hohe Relevanz der Informations- und Kommunikationstechnik in der heutigen Zeit. Das Beispiel zeigt aber auch, wie wichtig Kontinuität und etablierte Notfallpläne sind.

Die Sicherheitsmaßnahme Control 5.30 „IKT-Bereitschaft für Business Continuity“ (ICT readiness for business continuity) ist daher in den überarbeiteten Informationssicherheitsnormen ISO/IEC 27001:2022 und ISO/IEC 27002:2022 ein wichtiger Aspekt, um die Widerstandsfähigkeit von Unternehmen zu stärken.

Organisationen tun sich bei der Umsetzung jedoch mitunter schwer, die Kritikalität eingesetzter Informations- und Kommunikationstechnologien sowie deren Risikopotenzial zu beurteilen, was sich wiederum direkt auf die Priorisierungskette auswirkt. BIA und Risikoanalyse sind sozusagen das Rückgrat des Business Continuity Management. Im Vorlauf einer Zertifizierung lohnt es sich daher, mit erfahrenen Spezialisten die eigenen Bemühungen für Business Continuity und der Verfügbarkeit der IKT-Lösungen auf den Prüfstand zu stellen und zu optimieren.

DQS: Ihr verlässlicher Partner für Informationssicherheitsmanagement

Unternehmen haben dank der Übergangsfristen ausreichend Zeit, um ihr Informationssicherheitsmanagement gemäß den neuen Anforderungen anzupassen und zertifizieren zu lassen. Doch die Dauer und der Aufwand des gesamten Change-Prozesses sind nicht zu unterschätzen. Wer auf Nummer sicher gehen möchte, setzt sich lieber früher als später mit den neuen Anforderungen und dem Übergang auf die neue Norm auseinander.

Als Audit- und Zertifizierungsexperten mit knapp 40 Jahren Expertise unterstützen wir Sie gerne bei der Evaluierung Ihres Ist-Zustands, zum Beispiel im Rahmen eines Delta-Audits. Informieren Sie sich bei unseren Experten über die wichtigsten Änderungen und deren Relevanz für Ihre Organisation.

Vertrauen und Expertise

Unsere Texte werden ausschließlich von unseren hausinternen Experten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an den Autor haben, senden Sie uns gerne eine E-Mail an: willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.