Schlagwortarchiv für: Risikomanagement

,

BCM bei einem Cyber-Angriff auf eine öffentliche Einrichtung

– Business Continuity Management (BCM) nach BSI-Grundschutz bei einem Cyber-Angriff auf eine öffentliche Einrichtung –

Wer in den letzten Tagen und Wochen die Berichterstattung verfolgt hat wird auch vom Angriff auf die Stadt und den Landkreis Fürth gelesen haben. Sogenannte DDos-Angriffe von verschiedenen IP-Adressen aus unterschiedlichen Ländern haben zu einer starken Belastung des Servers geführt. Die Angriffe konnten bisher aber erfolgreich abgewehrt werden.

In einer zunehmend digitalisierten Welt sind öffentliche Einrichtungen und Behörden verstärkt Cyber-Angriffen ausgesetzt. Diese Angriffe können erhebliche Auswirkungen auf den Betrieb und die Sicherheit dieser Institutionen haben. Daher ist es von entscheidender Bedeutung, dass sie über robuste Business Continuity Management (BCM)-Maßnahmen verfügen, um sich gegen solche Angriffe zu verteidigen und im Falle eines Vorfalls schnell wieder handlungsfähig zu werden.

BCM nach BSI IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinem Grundschutzkonzept eine bewährte Methode, um die Informationssicherheit in öffentlichen Einrichtungen zu gewährleisten. Business Continuity Management ist ein integraler Bestandteil dieses Konzepts und umfasst Maßnahmen, um die Auswirkungen von Cyber-Angriffen zu minimieren und die Kontinuität des Betriebs sicherzustellen.

Ein entscheidender Schritt im BCM ist die Risikoanalyse, bei der potenzielle Bedrohungen und Schwachstellen identifiziert werden. Im Falle eines Cyber-Angriffs kann dies bedeuten, die Anfälligkeiten der IT-Infrastruktur und der verwendeten Software zu untersuchen sowie potenzielle Angriffsvektoren zu identifizieren. Auf dieser Grundlage können dann gezielte Sicherheitsmaßnahmen ergriffen werden, um die Risiken zu minimieren.

Ein weiterer wichtiger Aspekt des BCM ist die Erstellung eines Notfallplans. Dieser Plan sollte detaillierte Verfahren enthalten, die im Falle eines Cyber-Angriffs umgesetzt werden müssen. Damit soll der Betrieb aufrecht erhalten und die Auswirkungen des Vorfalls minimiert werden. Dazu gehört beispielsweise die Einrichtung eines Krisenreaktions-Teams, das für die Koordination der Reaktion auf den Vorfall verantwortlich ist. Des weiteren ist die Festlegung von Kommunikationsverfahren wichtig, um die betroffenen Parteien zu informieren.

Ein zentraler Bestandteil des BCM nach BSI-Grundschutz ist auch die regelmäßige Schulung und Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit. Indem die Mitarbeiter über die Risiken von Cyber-Angriffen informiert und für die Erkennung verdächtiger Aktivitäten sensibilisiert werden, können sie dazu beitragen, Sicherheitsvorfälle frühzeitig zu erkennen und angemessen darauf zu reagieren.

Darüber hinaus ist es wichtig, dass öffentliche Einrichtungen und Behörden über ein angemessenes Incident-Response-Management verfügen.

Dies umfasst:

  • die schnelle Reaktion auf Sicherheitsvorfälle
  • die Untersuchung des Vorfalls
  • die Wiederherstellung der betroffenen Systeme und Daten
  • sowie die Durchführung einer umfassenden Nachanalyse, um Lehren aus dem Vorfall zu ziehen und zukünftige Angriffe zu verhindern.

Insgesamt ist Business Continuity Management nach BSI-Grundschutz ein entscheidender Bestandteil der Informationssicherheitsstrategie öffentlicher Einrichtungen und Behörden. Indem sie proaktiv Maßnahmen ergreifen, um sich gegen Cyber-Angriffe zu verteidigen und im Falle eines Vorfalls schnell wieder handlungsfähig zu werden, können sie die Kontinuität ihrer Dienstleistungen sicherstellen und das Vertrauen der Bürger in die Institutionen wahren.

Hinweis für die Abfallwirtschaft

Interessant wird es an dieser Stelle zukünftig für die Abfallwirtschaft, da diese als kritischer Sektor eingestuft ist und jetzt auch verpflichtet ist ein Informationssicherheits-Managementsystem einzuführen. Da kommt einiges an Arbeit auf die öffentlichen Einrichtungen zu.

Was Sie auch zum BCM interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Risikobetrachtung am Beispiel Hochwasser

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die notwendige Risikobetrachtung bzw. Notfallplanung in einem ISMS oder BCM erscheint oftmals wie ein riesiger, unübersichtlicher und schwer zu bezwingender Berg – wo soll man anfangen, auf was muss man achten, wie schafft man es vor lauter Risiken den Kopf nicht in den Sand zu stecken?

Am Beispiel des Risikos „Hochwasser“ wollen wir in diesem Podcast einmal Schritt für Schritt durchgehen, wie ein Risiko betrachtet und im BCM bestmöglich damit umgeht.

Dieser Podcast richtet sich an Informationssicherheitsbeauftragte, BCM-Manager und alle, die sich im Unternehmen mit der Notfallplanung oder dem Business Continuity Management beschäftigen.

In unserer Folge „Risikobetrachtung am Beispiel Hochwasser“ gehen wir auf folgende Aspekte ein:

  • Identifikation kritischer Geschäftsprozesse und definieren
  • Bewertung von Risiken und die Notwendigkeit einer Business Impact Analyse
  • Wo finde ich Hilfe, um Risiken zu identifizieren und Maßnahmen zu planen?
  • Die Wichtigkeit von Übungen und Kommunikationsplanung

Hier ein Paar Links zum Thema Risikobetrachtung am Beispiel Hochwasser

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 3

Im vorherigen Beitrag wurde der Zusammenhang zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement aufgezeigt, wobei das Risikomanagement nur kurz angerissen wurde. Wie an dieser Stelle erwähnt wurde, hat der VDA auch zum Risikomanagement ein Whitepaper mit einigen Handreichungen und Vorschlägen herausgegeben.

Wie bei den meisten Methodiken zum Risikomanagement werden auch beim VDA zur Berechnung eines Risikowertes die Eintrittswahrscheinlichkeit und die Schadenshöhe des jeweiligen Risikos miteinander multipliziert. Der VDA unterscheidet hier bei der Schadenshöhe nicht weiter nach spezielleren Schadensarten, wie z.B. Imageschäden oder Personenschäden. Vielmehr orientiert sich der VDA an der Klassifizierung des betroffenen Informationswertes: bei einem Schutzbedarf „sehr hoch“ wird auch von einem „sehr hohen“ Schaden ausgegangen. Ergänzt wird in Anlehnung an die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch die Schutzklasse „niedrig“, sodass sich insgesamt vier mögliche Schadenshöhen ergeben.

Priorisierung und Behandlungsoptionen

Sinn eines Risikomanagements ist es, die betrachteten Risiken sortieren zu können. Die „wichtigsten“ Risiken sollen natürlich zuerst behandelt werden – das sind solche, bei denen das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe am größten ist, die also häufig eintreten und bei jedem Eintreten einen sehr hohen Schaden verursachen. Andere Risiken, bei denen das Produkt kleiner ist (die also entweder seltener eintreten oder aber geringere Schäden hervorrufen), werden natürlich ebenfalls betrachtet. Die Übersicht über alle Risiken, die betrachtet wurden, kann nach dem Ergebnis der Risikoberechnung sortiert werden und liefert so gleich die Reihenfolge der Behandlung der einzelnen Risiken.

Rein intuitiv nehmen die meisten Menschen an, dass es bei der Behandlung eines Risikos zwingend um die Verminderung des Risikos gehen muss, sprich: dass entweder Eintrittswahrscheinlichkeit oder Schadenshöhe verringert werden müssen. Die meisten Risikomethodiken sehen jedoch neben der Verminderung eines Risikos noch weitere sogenannte Behandlungsoptionen vor: Risikovermeidung, Risikotransfer und Risikoakzeptanz. Die Bezeichnungen für diese vier Behandlungsoptionen variieren in den verschiedenen Methodiken zum Risikomanagement zumeist, die zugrundeliegende Idee ist aber ähnlich.

Natürlich kann und muss die genutzte Risikomethodik in einem ISMS an das jeweilige Unternehmen angepasst werden. Der VDA ISA Katalog, der für eine Prüfung nach TISAX® genutzt wird, stellt nur allgemeine Anforderungen an ein Risikomanagement. Allerdings bietet es sich an, bei einer angestrebten Konformität die Handreichungen des VDA zum Risikomanagement zumindest in Betracht zu ziehen.

Neben den großen Themen Asset Management, Risikomanagement und Klassifizierungsschema finden sich noch viele weitere Elemente eines ISMS im VDA ISA Katalog. Einige dieser Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

TISAX® – Informationssicherheit in der Automobilindustrie

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Ein Notfallmanagement systematisch einführen

Ein effektives Notfallmanagement ist in der heutigen digitalen Welt unerlässlich, um die Betriebskontinuität von Unternehmen sicherzustellen. Insbesondere in der IT, wo Ausfälle und Sicherheitsverletzungen häufig auftreten oder auch Angriffe von außen immer mehr zu nehmen, ist es von entscheidender Bedeutung, über die richtigen Vorkehrungen und Erkenntnisse zu verfügen, um auf Notfälle angemessen reagieren zu können.

Ein Unternehmen sollte sein Notfallmanagement aufbauen, indem es die folgenden Schritte beachtet:

  1. Risikoanalyse: Identifizieren Sie potenzielle Risiken und Bedrohungen, denen Ihr Unternehmen ausgesetzt sein könnte
  2. Notfallplanung: Entwickeln Sie einen umfassenden Notfallplan, der klare Anweisungen und Verantwortlichkeiten für den Umgang mit verschiedenen Arten von Notfällen enthält.
  3. Kommunikation: Stellen Sie sicher, dass alle Mitarbeiter über den Notfallplan informiert sind und wissen, wie sie im Falle eines Notfalls handeln sollen.
  4. Ressourcenmanagement: Identifizieren Sie die notwendigen Ressourcen, die für den Umgang mit Notfällen benötigt werden
  5. Schulung und Übung: Führen Sie regelmäßige Schulungen und Übungen durch, um sicherzustellen, dass Ihre Mitarbeiter mit dem Notfallplan vertraut sind und wissen, wie sie in einem Notfall reagieren sollen.
  6. Bewertung und Verbesserung: Überprüfen Sie regelmäßig Ihr Notfallmanagement und führen Sie Bewertungen durch, um festzustellen, ob Verbesserungen möglich sind.

Wichtig ist dabei zu beachten, dass jedes Unternehmen individuelle Risiken und Bedürfnisse hat. Es ist daher sinnvoll, sich externe Unterstützung zu holen.

Durchaus ratsam sind auch einige grundlegende Vorkehrungen zu treffen, um im Notfall weiterarbeiten zu können.

Erfahren Sie in unserem BCM Seminar anhand von konkreten Beispielen und Übungen, die zu Ihrem Unternehmen passen, wie Sie effektive Notfallpläne erstellen, Schwachstellen in Ihrer aktuellen Notfallvorsorge erkennen und Gegenmaßnahmen einleiten.

Was Sie noch interessieren könnte…

Seminar:

“BUSINESS CONTINUITY MANAGEMENT (BCM) NACH ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Risikomanagement im ISMS (Teil 4)

Informationssicherheitsbehandlung – Risikobehandlungsoptionen

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken.

In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen.

Informationssicherheitsoptionen

Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste.

Die üblichen Risiokobehandlungsoptionen sind:

  • Risikovermeidung
  • Risikoverminderung
  • Risikoverlagerung
  • Risikoübernahme

Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen:

Risikovermeidung (risk avoidance)

Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl.

Beispiel:

  • Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen.

Risikoverminderung (risk modifikation)

Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff “risk modification” weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen.

Beispiele:

  • Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können.
  • Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren.

Risikoverlagerung oder -abwälzung (risk sharing)

Der deutsche Begriff  Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff “risk sharing” (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen.

Beispiele:

  • Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens.
  • Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet.

Risikoübernahme oder Risikobeibehaltung (risk retention)

Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet.

Beispiel:

  • Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen.

Maßnahmen zur Umsetzung der gewählten Optionen

Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Die Risikoanalyse im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Für ein zertifiziertes und funktionierendes ISMS nach ISO 27001 ist eine Risikobewertung und Risikobehandlung unverzichtbar. Im Anhang A werden viele Punkte aufgegriffen, die Risiken bergen können. Aber reicht es, diese Controls einfach abzuarbeiten? Und wie schafft man es bei der Fülle an Risiken nicht zu verzweifeln?

In unserer Folge „Die Risikoanalyse im ISMS – identifizieren, beurteilen, behandeln“ gehen wir auf folgende Aspekte ein:

  • Normvorgaben der ISO 27001
  • Wie werden Unternehmensrisiken gesammelt?
  • Wie werden Risiken priorisiert und Maßnahmen geplant?
  • Hilfestellungen aus dem IT-Grundschutz
  • Die Wichtigkeit von Asset-Owner und der Führung bei der Risikoanalyse

Hier ein Paar Links zum Thema Risikoanalyse im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Wie ein effektives Business Continuity Management auch bei Naturkatastrophen hilft

Business Continuity Management (BCM) bezieht sich auf den Prozess der Identifizierung potenzieller Bedrohungen für ein Unternehmen und die Entwicklung eines Rahmens, um sicherzustellen, dass wesentliche Geschäftsfunktionen im Falle einer Störung fortgesetzt werden können.

Das Ziel von BCM ist es, einen Plan zu erstellen, der es dem Unternehmen ermöglicht, schnell auf eine Krise zu reagieren, die Auswirkungen der Krise zu minimieren und sich letztendlich davon zu erholen. Dies beinhaltet die Identifizierung kritischer Geschäftsfunktionen, die Bewertung der Risiken, die diese Funktionen stören könnten, und die Entwicklung von Strategien zur Minderung dieser Risiken.

Ein BCM-Plan umfasst in der Regel einen umfassenden Satz von Verfahren und Protokollen, die im Falle einer Störung, z. B. einer Naturkatastrophe, eines Cyberangriffs oder einer anderen Krise, aktiviert werden können. Der Plan kann Verfahren für die Evakuierung von Mitarbeitern, die Einrichtung von Kommunikationskanälen mit Stakeholdern, die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie das Management von Lieferkettenunterbrechungen umfassen.

Ein effektiver BCM-Plan kann Unternehmen helfen, ihren Ruf zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren. Es kann Unternehmen auch dabei helfen, regulatorische Anforderungen und Industriestandards einzuhalten.

BCM ist ein fortlaufender Prozess, der regelmäßige Überprüfungen und Aktualisierungen erfordert, um sicherzustellen, dass er relevant und effektiv bleibt. Für Unternehmen ist es wichtig, ihre Risiken und Schwachstellen kontinuierlich zu bewerten und ihre BCM-Pläne entsprechend anzupassen.

Ein Beispiel zur Anwendung des Business Continuity Management

Business Continuity Management (BCM) hätte beispielsweise eine wichtige Rolle dabei gespielt, die türkische Bevölkerung bei der Vorbereitung, Reaktion auf und die Erholung von Erdbeben zu unterstützen. Die Türkei ist ein Land, das sich in einer seismisch aktiven Region befindet und in der Vergangenheit zahlreiche Erdbeben erlebt hat, darunter verheerende Erdbeben in den Jahren 1999 und 2020. Hier sind einige Möglichkeiten, wie BCM der türkischen Bevölkerung bei Erdbeben helfen kann:

  1. Bereitschaft: Ein BCM-Plan kann Unternehmen und Organisationen in der Türkei helfen, sich auf Erdbeben vorzubereiten, indem potenzielle Risiken und Schwachstellen identifiziert und Strategien zu deren Eindämmung entwickelt werden. Dies kann die Durchführung regelmäßiger Erdbebenübungen, die Einrichtung von Kommunikationsprotokollen und die Sicherstellung umfassen, dass wichtige Vorräte und Ausrüstung leicht verfügbar sind.
  2. Reaktion: Wenn ein Erdbeben eintritt, kann BCM Unternehmen und Organisationen helfen, schnell und effektiv zu reagieren. Dies kann die Aktivierung von Notfallverfahren, die Evakuierung von Gebäuden und die Einrichtung von Kommunikationskanälen mit den Stakeholdern umfassen. BCM kann auch dazu beitragen, dass kritische Geschäftsfunktionen auch im Katastrophenfall weiter funktionieren.
  3. Wiederherstellung: Nach einem Erdbeben kann BCM Unternehmen und Organisationen in der Türkei helfen, sich so schnell wie möglich zu erholen und den normalen Betrieb wieder aufzunehmen. Dies kann die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie die Entwicklung von Strategien zum Management von Lieferkettenunterbrechungen umfassen. BCM kann auch dazu beitragen, den Ruf von Unternehmen und Organisationen zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren.

Insgesamt kann BCM der Bevölkerung helfen, sich besser auf Naturkatastrophen vorzubereiten, effektiv zu reagieren, wenn sie auftreten, und sich schneller und effizienter zu erholen. Es kann auch dazu beitragen, Leben zu retten, Eigentum zu schützen und die Auswirkungen von Naturkatastrophen auf Unternehmen und Gemeinden zu minimieren.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 2 Teile gewidmet. Alle Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website..

/von
, ,

BCM: Strassensperrungen, Fahrverbote, Flugausfälle

So titelte die Tagesschau am 22.November 2022 über den Schneesturm an der Ostküste der USA.

Dieses Wetterereignis übertraf alles, was die sturmerprobten Amerikaner bisher kannten. Sogar Rettungskräfte konnten keine Einsätze mehr fahren und der Fahrer eines Schneeräumfahrzeuges kam ums Leben. Schreckliche Szenarien die wir uns alle nicht wünschen.

Aber nicht nur auf der anderen Atlantik-Seite wird das Thema BCM immer relevanter, auch bei uns hier in Europa. Ukraine-Krieg, Energiekrise und immer ausgefeiltere Cyber-Angriffe machen den Unternehmen und besonders den kritischen Infrastrukturen zu schaffen. Auch das Bundesamt für Bevölkerungsschutz macht jetzt im Fernsehen „Werbung“ zu den empfohlenen Notfallmaßnahmen für Privathaushalte. Das bringt uns schon zum Nachdenken, oder?

Wir sollten uns davon aber nicht in Panik versetzen lassen, sondern überlegte und gut vorausgeplante Maßnahmen etablieren, die solche Szenarien abmildern könnten. Das gilt für den Privathaushalt genauso wie für jedes Unternehmen.

Während die einen mit Vorräten, Taschenlampen und Wasserflaschen eine kleine Vorsorge betreiben können, sollten Unternehmen sich auf ihre kritischen Prozesse konzentrieren und hier sorgfältig überlegen welche Szenarien diese in Gefahr bringen könnten und wie vorbeugende Maßnahmen aussehen und vor allem auch dokumentiert werden können, um im Ernstfall vorbereitet zu sein. Ein gut aufgestelltes Business Continuity Management System kann hier Vieles abfedern.

Damit Sie nicht „Auf der grünen Wiese“ anfangen müssen, oder erst im Ernstfall feststellen welche Szenarien für Sie relevant sein könnten und welche Maßnahmen geholfen hätten, bieten wir Ihnen unser BCM- Seminar oder auch individuelle Workshops als Vorbereitung an.

Sie möchten gern mehr über ein BCM erfahren?

Dann besuchen Sie doch unser Seminar Business Continuity Management (BCM) nach ISO 22301

In unserem Seminar erfahren Sie wie Sie ein erfolgreiches BCM in ihrem Unternehmen etablieren und für mögliche Notfälle besser gerüstet sind. Sie bekommen Tipps zur Vorgehensweise, Übungen und für eine Szenarien basierte Vorgehensweise.

/von
,

Podcast – Security on Air – Heute IT-Grundschutz vs. ISO 27001

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Zum besseren Schutz unternehmenseigener Werte und Informationen ist die Einführung eines Informationssicherheits-Managementsystems ratsam. Dieses kann nach unterschiedlichsten Standards aufgebaut und zertifiziert werden, die wohl am weitest verbreiteten in Deutschland sind die Implementierung eines ISMS nach ISO 27001 oder nach IT-Grundschutz vom BSI.

In unserer Folge „IT-Grundschutz vs. ISO 27001“ gehen wir auf folgende Aspekte ein:

  • Inhaltliche Unterschiede zwischen der ISO 27001 und dem IT Grundschutz
  • Vorgehensweisen der jeweiligen Standards
  • Externe und interne Faktoren für die Entscheidung
  • Zertifizierbarkeit der Verfahren

Hier ein Paar Links zum Thema Aufgaben des Informationssicherheitsbeauftragten:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Vorgehen und Szenarien im BCM

Die Identifizierung der eigenen geschäftskritischen Prozesse ist der erste Start für ein BCM -Management und die daraus resultierenden notwendigen Maßnahmen zur Aufrechterhaltung der kritischen Prozesse. Für die einzelnen Prozesse werden abhängig von der Kritikalität maximal tolerierbare Ausfallzeiten und mögliche Wiederanlaufprozeduren definiert.

Notfallkonzepte sehen in der Regel koordinierte Vorgehensweisen vor:

  • Sofortmaßnahmen (Ausrufen des Notfalls – aktivieren der Notfallkette)
  • Notfallprozesse anlaufen lassen (Umschaltung auf Notbetrieb)
  • Durchführung des Notbetriebs (Notfallumsetzung)
  • Rückführung des Notfallbetriebs in den Normalbetrieb (Wiederanlaufplanung)
  • Nachbearbeitung des Vorfalls (Forensik)

Für alle fünf diese verschiedenen Phasen sollten dann entsprechende Pläne existieren, die die erfolgreiche Durchführung beschreiben und unterstützen. Neben diesen Notfallplänen ist auch das Krisenmanagement Bestandteil der Business Continuity.
Für Krisenfälle sind ebenfalls entsprechende Konzepte zu etablieren, um schnell und effizient zu reagieren. Die Strukturen definieren Rollen, Verantwortlichkeiten und Meldewege im Krisenfall und ermöglichen die Steuerung und Überwachung.
Regelmäßige Tests und Notfallübungen sind dann zu planen und durchzuführen, um die eigenen Pläne und Konzepte auf ihre Wirksamkeit zu überprüfen und ggf. erkannte Schwachstellen und Defizite zu erkennen. Die Erkenntnisse der Übungen werden anschließend zur Optimierung in die Notfallpläne integriert.

Mögliche Szenarien für den Business-Continuity-Krisenfall

Ein BCM Notfall kann durch unterschiedliche Ereignisse ausgelöst oder auch eine Verkettung mehrerer zuerst voneinander unabhängige Vorkommnisse ausgelöst werden. Solche Störungen oder Notfälle lassen sich in verschiedene Kategorien aufgliedern.

  • Ausfall von Hardware oder von Software
  • Ausfall von IT-Prozessen oder Störungen/Ausfall des Netzwerks
  • Stromausfall oder sogar Ausfall eines oder mehrerer Standorte
  • Hackerangriff oder Malwareinfektion
  • Naturkatastrophen
  • usw.

Je nach Ereignis sind sinnvolle Maßnahmen für die Business Continuity erforderlich. Technische Ereignisse wie der Ausfall von Hardware, Netzwerken oder des Stroms lassen sich beispielsweise durch redundante Anlagen und Systeme abfangen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Schlagwortarchiv für: Risikomanagement

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen