Donnerstag, 10. Februar 2022

Notfallmanagement 2.0

Die Anforderungen an das (IT-)Notfallmanagement wurden in den aktuellen MaRisk- und BAIT-Novellen deutlich ausgeweitet, um die Wirksamkeit zu verbessern

Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH

Managementrahmen zum Notfallkonzept

Abgeleitet aus der ISO 22301 werden in den neuen MaRisk und BAIT künftig zahlreiche Managementaufgaben erwartet. Hierbei geht es einerseits um konzeptionelle Aufgaben wie die Festlegung von Zielen, Rahmenbedingungen, eines Notfallmanagementprozesses sowie risikoorientieren Notfallszenarien, anderseits um wiederkehrende Aufgaben wie eine jährliche Aktualisierung des Notfallkonzepts, jährliche Übungen zu den relevanten Szenarien sowie einer quartalsweisen Berichterstattung über den Zustand des Notfallmanagements.

Business Impact- und Risikoanalysen

Zur Identifikation der zeitkritischen Geschäftsprozesse sowie der potenziellen Gefährdungen sind gem. MaRisk AT 7.3 nachvollziehbare Auswirkungs- und Risikoanalysen durchzuführen.

In den Auswirkungsanalysen (Business Impact) wird über abgestufte Zeiträume untersucht, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäfts-betrieb haben kann. Entscheidend hierfür ist u. a. der Zeitpunkt des Ausfalls (z. B. während den Hauptgeschäftszeiten) sowie Art und Umfang des (im-)materiellen Schadens.

In den Risikoanalysen (Risk Impact) werden die potenziellen Gefährdungen identifiziert und hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß bewertet.

Zeitkritisch sind per Definition grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für die definierten Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist.

Notfallszenarien

Nachdem auf Basis der Prozesslandkarte die zeitkritischen Geschäftsprozesse (MaRisk) identifiziert sowie die hierfür notwendigen IT-Systeme (BAIT) erhoben wurden, werden für die relevanten Gefährdungen konkrete Notfallszenarien erwartet.

Diese Notfallszenarien betreffen u. a. den Ausfall des Standorts (z. B. durch einen Großbrand), den Ausfall von IT-Systemen und der Kommunikationsinfrastruktur (z. B. durch Hackerangriffe), den Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie) oder den Ausfall von Dienstleistern.

Insofern ist bereits im allgemeinen Notfallmanagement nach MaRisk AT 7.3 eine gewisse Verzahnung mit dem operativen IT-Betrieb, dem Gebäudemanagement sowie der Auslagerungssteuerung zu erkennen. Dies betrifft dabei nicht nur die Reaktion (nach Eintritt eines Notfalls), sondern auch zahlreiche präventive Maßnahmen, um das Eintreten eines Notfalls zu verhindern oder das Schadensausmaß möglichst gering zu halten.

Notfallkonzepte

Für das allgemeine Notfallmanagement sind für die zeitkritischen Geschäftsprozesse entsprechende Notfallkonzepte zu erstellen, die prozessorientierte Geschäftsfortführungs- und Wiederherstellungspläne berücksichtigen.

Gem. MaRisk sind in den Notfallkonzepten die Verantwortlichkeiten, Ziele und Maßnahmen zur (eingeschränkten) Fortführung bzw. Wiederherstellung der zeitkritischen Aktivitäten und Prozesse inkl. der Kriterien für die Einstufung und das Auslösen der Pläne zu dokumentieren.

Neu ist, dass gem. den BAIT auch für die IT-Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, eigenständige IT-Notfallpläne mit Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen festzulegen sind. Dabei sind auch notfallrelevante Parameter (z. B. RTO und RPO) sowie die Abhängigkeiten (z. B. zu vor- und nachgelagerten Prozessen) zu berücksichtigten.

Notfallübungen und Tests

Wie bisher ist die Angemessenheit und Wirksamkeit des Notfallkonzepts regelmäßig zu überprüfen. Viele Institute hatten hierzu einen Mehrjahres-Übungsplan mit abgestuften Übungsarten und Intervallen vorgesehen. Obwohl sich die Häufigkeit und der Umfang „grundsätzlich an der Gefährdungslage“ orientieren soll, sehen die neuen MaRisk einen „mindestens jährlichen Nachweis“ für alle relevanten Gefährdungen in den zeitkritischen Geschäftsprozessen vor. Neben der nachvollziehbaren Protokollierung sind auch Dienstleister angemessen einzubeziehen, die Ergebnisse hinsichtlich notwendiger Verbesserungen zu analysieren und die Risiken angemessen zu steuern.

Auch für das IT-Notfallkonzept werden in den BAIT „mindestens jährliche Notfalltests“ erwartet. Die Tests müssen IT-Systeme, welche zeitkritische Geschäftsprozesse unterstützen, vollständig abdecken, was in der Praxis zu einem deutlichen Anstieg der durchzuführenden Übungen führt.

PRAXISTIPPS

Nutzen Sie bereits vorliegende Daten aus dem Informationsrisikomanagement (z. B. Informationsverbund, Schnittstellen, Schutzbedarfsanalysen) und Auslagerungs-management (z. B. Exit-Strategien, Notfallkonzepte der Dienstleister), um die erweiterten Anforderungen an das allgemeine und IT-spezifische Notfallmanagement zu erfüllen.
Führen Sie für die in den MaRisk genannten Notfallszenarien Auswirkungs- und Risikoanalysen durch und dokumentieren Sie für die relevanten Szenarien ein risikoorientiertes Notfallkonzept.
Künftig müssen zwar jährliche (IT-)Notfallübungen durchgeführt werden; Übungsart und Intensität können je nach Risikogehalt („Gefährdungslage“) abgestuft und mit weniger Aufwand justiert werden.

Beitragsnummer: 20596

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Cybersicherheit im Fokus: DORA und BCM als Säulen der Resilienz

In einer Welt, die zunehmend von digitalen Technologien geprägt ist, rücken Cybersicherheit und Resilienz immer stärker in den Mittelpunkt der strategischen U

02.05.2024

Die Bank als Hauptangriffsziel von Cyberkriminellen

Die Angriffsvektoren, die Cyberkriminelle vor allem im Hinblick auf Banken nutzen, sind vielfältig - Ein Überblick

20.03.2024

DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024

DORA umsetzen: So gelingt effizientes Management der IKT-Dienstleister

Um DORA-Berichtspflichten nachweislich und ressourcenschonend zu erfüllen, gilt es, Auslagerungsprozesse durchdacht zu digitalisieren.