Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Managementrahmen zum Notfallkonzept
Abgeleitet aus der ISO 22301 werden in den neuen MaRisk und BAIT künftig zahlreiche Managementaufgaben erwartet. Hierbei geht es einerseits um konzeptionelle Aufgaben wie die Festlegung von Zielen, Rahmenbedingungen, eines Notfallmanagementprozesses sowie risikoorientieren Notfallszenarien, anderseits um wiederkehrende Aufgaben wie eine jährliche Aktualisierung des Notfallkonzepts, jährliche Übungen zu den relevanten Szenarien sowie einer quartalsweisen Berichterstattung über den Zustand des Notfallmanagements.
Business Impact- und Risikoanalysen
Zur Identifikation der zeitkritischen Geschäftsprozesse sowie der potenziellen Gefährdungen sind gem. MaRisk AT 7.3 nachvollziehbare Auswirkungs- und Risikoanalysen durchzuführen.
In den Auswirkungsanalysen (Business Impact) wird über abgestufte Zeiträume untersucht, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäfts-betrieb haben kann. Entscheidend hierfür ist u. a. der Zeitpunkt des Ausfalls (z. B. während den Hauptgeschäftszeiten) sowie Art und Umfang des (im-)materiellen Schadens.
In den Risikoanalysen (Risk Impact) werden die potenziellen Gefährdungen identifiziert und hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß bewertet.
Zeitkritisch sind per Definition grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für die definierten Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist.
Notfallszenarien
Nachdem auf Basis der Prozesslandkarte die zeitkritischen Geschäftsprozesse (MaRisk) identifiziert sowie die hierfür notwendigen IT-Systeme (BAIT) erhoben wurden, werden für die relevanten Gefährdungen konkrete Notfallszenarien erwartet.
Diese Notfallszenarien betreffen u. a. den Ausfall des Standorts (z. B. durch einen Großbrand), den Ausfall von IT-Systemen und der Kommunikationsinfrastruktur (z. B. durch Hackerangriffe), den Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie) oder den Ausfall von Dienstleistern.
Insofern ist bereits im allgemeinen Notfallmanagement nach MaRisk AT 7.3 eine gewisse Verzahnung mit dem operativen IT-Betrieb, dem Gebäudemanagement sowie der Auslagerungssteuerung zu erkennen. Dies betrifft dabei nicht nur die Reaktion (nach Eintritt eines Notfalls), sondern auch zahlreiche präventive Maßnahmen, um das Eintreten eines Notfalls zu verhindern oder das Schadensausmaß möglichst gering zu halten.
Notfallkonzepte
Für das allgemeine Notfallmanagement sind für die zeitkritischen Geschäftsprozesse entsprechende Notfallkonzepte zu erstellen, die prozessorientierte Geschäftsfortführungs- und Wiederherstellungspläne berücksichtigen.
Gem. MaRisk sind in den Notfallkonzepten die Verantwortlichkeiten, Ziele und Maßnahmen zur (eingeschränkten) Fortführung bzw. Wiederherstellung der zeitkritischen Aktivitäten und Prozesse inkl. der Kriterien für die Einstufung und das Auslösen der Pläne zu dokumentieren.
Neu ist, dass gem. den BAIT auch für die IT-Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, eigenständige IT-Notfallpläne mit Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen festzulegen sind. Dabei sind auch notfallrelevante Parameter (z. B. RTO und RPO) sowie die Abhängigkeiten (z. B. zu vor- und nachgelagerten Prozessen) zu berücksichtigten.
Notfallübungen und Tests
Wie bisher ist die Angemessenheit und Wirksamkeit des Notfallkonzepts regelmäßig zu überprüfen. Viele Institute hatten hierzu einen Mehrjahres-Übungsplan mit abgestuften Übungsarten und Intervallen vorgesehen. Obwohl sich die Häufigkeit und der Umfang „grundsätzlich an der Gefährdungslage“ orientieren soll, sehen die neuen MaRisk einen „mindestens jährlichen Nachweis“ für alle relevanten Gefährdungen in den zeitkritischen Geschäftsprozessen vor. Neben der nachvollziehbaren Protokollierung sind auch Dienstleister angemessen einzubeziehen, die Ergebnisse hinsichtlich notwendiger Verbesserungen zu analysieren und die Risiken angemessen zu steuern.
Auch für das IT-Notfallkonzept werden in den BAIT „mindestens jährliche Notfalltests“ erwartet. Die Tests müssen IT-Systeme, welche zeitkritische Geschäftsprozesse unterstützen, vollständig abdecken, was in der Praxis zu einem deutlichen Anstieg der durchzuführenden Übungen führt.
PRAXISTIPPS
- Nutzen Sie bereits vorliegende Daten aus dem Informationsrisikomanagement (z. B. Informationsverbund, Schnittstellen, Schutzbedarfsanalysen) und Auslagerungs-management (z. B. Exit-Strategien, Notfallkonzepte der Dienstleister), um die erweiterten Anforderungen an das allgemeine und IT-spezifische Notfallmanagement zu erfüllen.
- Führen Sie für die in den MaRisk genannten Notfallszenarien Auswirkungs- und Risikoanalysen durch und dokumentieren Sie für die relevanten Szenarien ein risikoorientiertes Notfallkonzept.
- Künftig müssen zwar jährliche (IT-)Notfallübungen durchgeführt werden; Übungsart und Intensität können je nach Risikogehalt („Gefährdungslage“) abgestuft und mit weniger Aufwand justiert werden.
Beitragsnummer: 20596