Schlagwortarchiv für: BCM

, ,

Podcast – Security on Air – Heute BCM

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ziel aller Unternehmen ist es die Produktivität, die Wettbewerbsfähigkeit und damit den Fortbestand des Unternehmens zu sichern. Damit die Geschäftstätigkeit auch im Angesicht von Notfällen und Krisen bestmöglich aufrecht erhalten bleibt, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

In unserem Podcast zum Thema BCM befassen wir uns in 2 Folgen damit, wie ein BCM aufgebaut werden sollte, was es alles zu beachten gilt und geben auch kleine Tipps und Denkanstöße, um bestmöglich auf Störungen vorbereitet zu sein.

In der Folge 1 „die ersten Schritte“ geben wir einen groben Überblick über alles was beim BCM bedacht werden muss.

Dabei gehen wir auf folgende Aspekte ein:

  • Was bedeutet BCM und welche Vorgaben gibt es?
  • Wie fängt man an ein BCM aufzubauen?
  • Die Business Impact Analyse als Teil des BCM
  • Dokumentieren aller Informationen – in welcher Form?
  • Regelmäßiges Überprüfen und Verbessern ist Pflicht

In der Folge 2 „jetzt aber richtig“ steigen wir tiefer in das Thema BCM ein – wo liegen Stolperfallen, wie sinnvoll sind Übungen und welche Aufgaben und Verantwortlichkeiten hat das BCM Team.

Hier beleuchten wir folgende Aspekte:

  • Wie definiert man Störungen, die für das Unternehmen zutreffen können?
  • Was muss bei Dienstleistern und Lieferanten beachtet werden?
  • Üben und Verbessern – wie geht man am sinnvollsten vor?
  • Wie entwickelt sich das BCM weiter?
  • Ein BCM unterstützt bei allen Prozessen, nicht nur im Fall der Fälle

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Was ist Business Continuity Management (BCM)?

Wie alle Managementsysteme kann auch das BCM an eine ISO Norm gekoppelt werden, dabei gibt die Norm dann die Anleitung wie die Abläufe und Prozesse optimiert werden und welche Schritte und Dokumentationen dafür notwendig sind.

Um die grundlegende Geschäftstätigkeit und damit die Existenz des Unternehmens auch im Angesicht von Notfällen und Krisen aufrecht zu erhalten, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

Welche Gründe haben Unternehmen ein BCM-System einzuführen?

Die Aufrechterhaltung des Geschäftsbetriebes ggf. auch vorübergehend nur in einer rudimentären Form, sowie die anschließende Wiederherstellung hat für Unternehmen oberste Priorität.

Darüber hinaus gibt es auch nationale, rechtliche Anforderungen an ein betriebliches Krisenmanagement. Dabei können unterschiedliche gesetzliche Anforderungen gelten. Die Gesetze fordern eine aktive Auseinandersetzung mit möglichen Szenarien deren Eintritt den Geschäftsbetrieb so weit, beeinträchtigen das es als Notfall oder Krise definiert und somit nicht innerhalb eines tolerierbaren Zeitraums wiederhergestellt werden kann. Dabei sind unterschiedliche Kriterien, Szenarien und Prozesse zu berücksichtigen. Insbesondere an KRITIS-Unternehmen stellt der Gesetzgeber aufgrund ihrer Bedeutung für das Gemeinwesen besondere Anforderungen.

Oft ergeben sich aber auch von anderer Seite Anforderungen an die Implementierung eines BCM z.B. durch Versicherungen, Kunden oder Geschäftspartner.

Welche Bereiche umfasst ein BCM?

Analyse:

Welche Prozesse, Anlagen oder Dienstleistung ist kritisch? Dabei kann unabhängig von möglichen Szenarien analysiert werden welche Wertschöpfungsprozesse für das eigene Unternehmen als kritisch gelten. Im zweiten Schritt wird dann auch abhängig von Szenarien (z.B. Hochwasser, Stromausfall etc.) nochmal eine Bewertung durchgeführt um z.B. Schadenshöhen, Eintrittswahrscheinlichkeiten und maximale Ausfallzeiten anhand des konkreten Szenarios zu definieren.

Bewertung:

Wie ein Notfall zu bewerten ist, welche Auswirkungen dieser auf das Unternehmen hat und wie darauf zu reagieren ist muss jedes Unternehmen für sich bestimmen. Es gibt aber Methoden, die bei der Bewertung helfen können.

Übungen:

Mit unterschiedlichen Arten von Übungen können dann die identifizierten Szenarien geübt und die Wiederherstellungsplanung oder das Krisenmanagement überprüft und verbessert werden.

Wie wird ein BCM aufgebaut?

Die Norm ISO 22301 gibt hier eine Anleitung, aber auch die Empfehlungen z.B. des Amtes für Bevölkerungsschutz, das BSI oder die UP-Kritis Kooperation geben hier eine erste Hilfestellung.

Welche Fragen sollte man sich vor der Einführung stellen?

  • Gibt es einen von der Geschäftsführung unterzeichneten, verbindlichen BCM Leistungsauftrag mit konkreten messbaren BCM Leistungszielen?
  • Ist eine Zertifizierung nach ISO 22301 das Ziel?
  • In welchen Zyklen sollten die Pläne und Vorgehensweisen geübt und überprüft werden
  • Wie setzt man die notwendigen Regeln und Dokumentationen erfolgreich durch?

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Über das drohende LOG4J-Desaster

Wenn es ein Thema schafft, in der Tagesschau, auf fast allen Nachrichtenseiten und auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) präsent zu sein, muss es sich schon um etwas Besonderes handeln – die Schwachstelle in der weit verbreiteten Javabibliothek „log4j“ hat dieses Kunststück geschafft.

Schwachstellen in Softwareprodukten sind keine Seltenheit. Sie werden entdeckt, meist schließt der Hersteller der Software die Lücke und stellt ein Update zur Verfügung, „business as usual“. Doch im Fall von „log4j“ ist es leider nicht so einfach …

Es beginnt damit, dass Java-Anwendungen meist als Paket bereitgestellt werden – und die problematische Bibliothek vom Hersteller in dem Paket mitgeliefert wird. Ein Update des betreffenden Betriebssystems allein reicht meist nicht, da die Java-Anwendung die mitgelieferte, problematische Version von log4j weiterhin nutzt und nicht etwa die aktualisierte Version des Betriebssystems. Mit anderen Worten: Betriebssystem aktualisieren allein reicht oft nicht aus, auch der Hersteller der Java-Anwendung muss eine Aktualisierung liefern.

… und zwar jeder Hersteller von Anwendungssoftware, die auf Java basiert und die „log4j“ einsetzt. Java ist weit verbreitet, und oftmals ist es für einen Anwender nicht einfach zu erkennen, ob diese Programmiersprache eingesetzt wird. Bei der enormen Masse an weltweit existierenden Anwendungen ist es schwer einzuschätzen, in wie vielen Produkten diese Schwachstelle schlummert. Und dann sind da ja noch die selbst entwickelten Java-Anwendungen, die man im Unternehmen einsetzt, … Viel Arbeit für die IT-Abteilungen.

Wenn es einem Angreifer gelingt, die Protokollinformationen auf seinen eigenen Server verweisen zu lassen, kann er bei der Interpretation des Protokolleintrags schädliche Informationen an die Java-Anwendung zurück liefern, welche dann ungefragt ausgeführt werden – und die Infektion ist geschehen. Ja, wirklich: Ohne Rückfrage, einfach so. Und vermutlich existiert diese Schwachstelle seit ca. 2016.

Was kann man gegen Log4j tun?

  • Sich informieren. Das BSI stellt den aktuellen Erkenntnisstand auf seiner Webseite zur Verfügung. Mittlerweile gibt es auch ständig wachsende Übersichten, ob oder ob nicht populäre Produkte betroffen sind. Hier mal die von Github.
  • Aufmerksam bleiben. Wir halten es für denkbar, dass die Berichterstattung und Paketaktualisierungen auch für Angriffe über Social Engineering und Phishing genutzt werden.
  • Aktualisieren. Und zwar sowohl das Betriebssystem als auch die Java-Anwendungen, die eingesetzt werden – dazu muss der Hersteller der Java-Anwendung allerdings aktiv werden.
  • Künftig die Risiken bei komplexen Softwarekonstellationen gründlicher abwägen. Aber das ist ein anderes Thema …

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Wie sieht Ihr Plan B aus?

Praktisch jeden Tag gibt es in den Medien Berichte zu Bränden, Hackerangriffen, Stromausfällen, kilometerlangen Staus auf den Straßen…oder auch die Corona-Pandemie.

Zwischenfälle, auf die wir nicht vorbereitet sind, können durchaus fatale Folgen haben. Wenn essenzielle geschäftliche Prozesse zwangsweise ruhen und somit kein oder kaum Umsatz generiert wird, kann das für ein Unternehmen finanzielle Verluste und je nach Lage u.U. massive Imageschäden zur Folge haben. Beispiele dafür sehen wir jeden Tag…Klinikum Düsseldorf, das Wasserwerk in den USA oder das Heizkraftwerk in Frankfurt…um nur einige tagesaktuelle Fälle zu nennen.
Im Frühjahr 2020 hat uns alle ein Szenario eingeholt, von dem alle dachten, dass es in der heutigen Zeit sehr unwahrscheinlich ist. COVID-19 – mit den weitreichenden Folgen der Pandemie hat kaum jemand gerechnet. In solchen Situationen ist es wichtig, richtig zu reagieren und zielgerichtet zu handeln. Jeder sollte wissen, was zu tun ist und vor allem wie der Geschäftsbetrieb aufrechterhalten werden kann. Dies wird sehr viel leichter, wenn vorab festgelegt wurde, wie ein alternativer Prozess aussehen kann und wer für welche Aufgaben zuständig ist. Hier sind die richtigen Entscheidungen zu treffen, was nicht so einfach ist. Ein Organigramm mit den entsprechenden Rollenverteilungen in der Schublade zu haben, ist da sehr hilfreich. Wer ist im Krisenstab, wie operiert das Notfall-Team und woher kommt ggf. Unterstützung. Die Geschäftsführungsebene muss die strategische Ausrichtung des Krisenmanagements und die Zusammenarbeit mit externen Interessengruppen im Blick behalten, während die Mitarbeiter „den Laden am Laufen“ halten. Neben der fachlichen Eignung ist auch auf Handlungsfähigkeit in Ausnahmesituationen zu achten. Ist der Geschäftsprozess während eines Notfalls sichergestellt, welche Änderungen ergeben sich im Ablauf und sind alle Mitarbeiter entsprechend geschult? Diese und andere Fragen stellen sich.

Ein Business Continuity Management (BCM) hilft dabei einen durchdachten Plan B zu haben. Es bereitet Unternehmen auf kritische Situationen vor, definiert die wertschöpfenden Prozesse und deren maximale Ausfall-Toleranz und sieht Maßnahmen vor, wie die Fortführung dieser Prozesse abzusichern ist. Betrachtet werden Fragen wie:

  • Wo ist unser Unternehmen am verletzlichsten?
  • Welcher Prozess darf auf keinen Fall ausfallen?
  • Welche Ressourcen brauchen wir, um den Prozess aufrechtzuerhalten?

Kurzum – Welchen Plan B haben wir?

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen