Top-Themen: Dienstleistersteuerung mangelhaft: Ein Banken-CIO muss zahlen | Global Risk Impact Report 2023: Nachholbedarf beim Umgang mit physischen Bedrohungen | „Cyber-Kurzarbeit“: Der rechtliche Rahmen von Kurzarbeitergeld bei Cyberangriffen | Google macht sich nass: Wasserschaden und Brand in Pariser RZ schickt französische Cloud Zonen offline
Liebe Leserinnen und Leser,
freuen Sie sich auf diese Themen im neuen BCM Newsletter von HiSolutions:
Wasser, Brand, Stromausfall – abseits des Ransomware-Kontinuums sorgten „klassische“ Schadensszenarien in den vergangenen Monaten für erhebliche Geschäftsunterbrechungen bei Unternehmen weltweit. Passend dazu bringt eine neue Studie den Umgang mit physischen Bedrohungen in die Diskussion zurück. Und auch der Faktor Mensch (Stichwort: Innentäter) findet neue Beachtung. Ebenfalls bemerkenswert: die Nachfrage nach „vollautomatisierter“ Resilienz und ein mögliches Cyber-Kurzarbeitergeld.
Für einen groben Compliance-Verstoß im Rahmen eines IT-Auslagerungsprojekts verhängte die britische Finanzaufsichtsbehörde PRA an den ehemaligen CIO der TSB Bank (eine mittelgroße schottische Privat- und Geschäftsbank) eine Geldbuße in Höhe von umgerechnet 94.000 EUR. Als CIO hatte er dafür Sorge zu tragen, dass die Migration zum externen IT-Dienstleister reibungslos verläuft. Er versäumte es jedoch, den Outsourcing-Partner richtig zu steuern – versicherte aber gleichzeitig seinem Bankenvorstand, dass alles nach Plan läuft. Es kam, wie es kommen musste: Nach der Migration fielen wichtige IT-Plattformen aus, sodass kritische Dienste der TLB Bank zeitweise nicht verfügbar waren.
Dieses Beispiel zeigt, wie wichtig die Verzahnung zwischen zentralem, risikoorientiertem Auslagerungsmanagement, der IT und BCM ist. Denn nur, wenn die Dienstleistersteuerung weiß, welche IT-Anwendungen und Systeme kritisch sind, kann bei deren Ausfall ein effektiver Notbetrieb durch das BCM gewährleistet werden.
Der neue Global Risk Impact Report von OnSolve stellt vorrangig physische Bedrohungen ins Rampenlicht des Risikomanagements. In der breit angelegten Studie wurden in einem Zeitraum von zwei Jahren über neun Millionen physische Schadensereignisse erfasst und gleichzeitig 250 US-amerikanische CEOs von Unternehmen mit über 100 Mitarbeitenden zu ihren Mitigationsmaßnahmen befragt. Das Ergebnis: Über 60 Prozent gaben an, für gravierendste physische Bedrohungen keinen Plan vorzuhalten.
https://be.onsolve.com/2023-global-risk-impact-report/
Das Business Continuity Institute (BCI) veröffentlichte kürzlich seinen Technology in Resilience Report für 2023. Darin wird insbesondere die Rolle neuer Technologien im Kosmos der Resilienz-Disziplinen untersucht. Sicherlich keine Neuigkeit: Die COVID-19-Pandemie beschleunigte in vielerlei Hinsicht die Implementierung neuer Technologien. Über 70 Prozent der befragten Organisationen gaben zudem an, Investitionen in Cloud-Projekte getätigt zu haben.
Der Bericht erfragte aber auch Bedarfe und Wünsche im Zusammenhang mit einem technologiegestützten Ausbau organisatorischer Resilienz: Rund 73 Prozent wünschten sich eine stärker automatisierte Identifikation von kritischen Schwachstellen und Single Points of Failures. Hinzu kamen knapp 41 Prozent, die eine Automatisierung der Business Impact Analyse (BIA) wünschten.
https://www.thebci.org/resource/bci-technology-in-resilience-report-2023.html
Die achte Ausgabe des CloudBolt Industry Insights, die auf einer Umfrage unter 350 leitenden IT- und DevOps-Führungskräften in Unternehmen mit mehr als 3.000 Mitarbeitenden basiert, zeigt potenziell „lähmende Auswirkungen von Automatisierungssilos auf den Cloud-Betrieb“. Mehr als die Hälfte der befragten Organisationen behalten ihre Automatisierungen in individuellen Silos, was eine Vereinheitlichung und zentralisierte Steuerung erschwert. Im Durchschnitt verfügen Teams über 27 verschiedene Automatisierungstools. Dieser Wildwuchs behindert zusätzlich die Standarisierung und kann im Notfall wertvolle Zeit kosten – insbesondere, wenn Kopfmonopole für den Wiederanlauf fehlen.
https://resources.cloudbolt.io/industry-reports/the-truth-about-siloed-automation
Eine Fallstudie der britischen Sicherheitsbehörde NPSA ordnet das Thema des Innentäters in den Resilienz-Kanon ein. Konkret beleuchtet David Smith in seinem Artikel die Bedeutung der Personalsicherheit für das Business Continuity Management. Er betont, dass das Innentäter-Risiko eine erhebliche Bedrohung für den Geschäftsbetrieb und mitunter auch für die Geschäftsfortführung im Notfall darstellt und dass Unternehmen Maßnahmen ergreifen sollten, um dieses Risiko zu mindern. Smith veranschaulicht anhand einer Fallstudie, wie ein Mitarbeiter mit böswilligen Absichten und Zugang zu sensiblen Informationen eine nicht zu unterschätzende Bedrohung darstellen kann. Er empfiehlt daher die Einführung eines Personalsicherheitsprogramms, das Hintergrundüberprüfungen, Schulungen zum Thema Insider-Risiken und eine regelmäßige Überwachung der Mitarbeiter umfasst.
Die Ergebnisse einer Civey-Umfrage geben neue Einblicke über derzeitige Krisenmanagement-Praktiken in deutschen Unternehmen. Die Erhebung zeigt, dass die meisten Organisationen zwar über Krisenmanagement-Pläne verfügen, aber nur wenige diese gründlich getestet haben. Viele Unternehmen binden nicht alle erforderlichen Interessengruppen in ihre Krisenmanagement-Prozesse ein – und einige verfügen auch nicht über ein spezielles Krisenmanagement-Team. Zudem wird deutlich, dass ein Großteil der befragten Unternehmen keine digitalen Tools zur Unterstützung ihrer Krisenmanagement-Maßnahmen einsetzen und auch die Kommunikation während einer Krise oft eine Herausforderung darstellt.
https://f24.com/en/resilience-radar/
Die Begriffe „Permakrise“ oder „Polykrise“ werden immer inflationärer verwendet. Klar ist, dass die Geschäftswelt schon heute von multiplen Krisen geprägt ist und dies in Zukunft immer öfter sein wird. Laut der Global Crisis and Resilience Survey 2023 gewinnen daher integrierte Resilienz-Programme zunehmend an Bedeutung. Deutsche Unternehmen hinken hierhinterher: Lediglich 19 Prozent der befragten Firmen in Deutschland betreiben ein Business Continuity Management – und sind damit im internationalen Vergleich (40 Prozent) deutlich abgeschlagen.
Bei einem Cyberangriff kann es zu Produktionsausfällen und Umsatzverlusten kommen. Oft können Mitarbeitende ihrer Arbeit aufgrund ausgefallener Systeme nicht nachgehen. Die "Cyber-Kurzarbeit" ermöglicht es Unternehmen, ihre Angestellten während eines Produktionsstillstands weiter zu beschäftigen, ähnlich dem während der Corona-Pandemie ausgezahlten Kurzarbeitergeld. Der Artikel erörtert arbeitsrechtliche Rahmenbedingungen und kommt zu dem Schluss: Grundsätzlich kann im Falle eines Cyberangriffs der Anspruch von Arbeitnehmenden auf die Gewährung von Kurzarbeitergeld bestehen. Dabei gibt es jedoch einige Hürden zu beachten: So muss nachgewiesen werden, dass der Angriff unvermeidbar war und ausreichend präventive und reaktive Maßnahmen zum Schutz vor Angriffen getroffen wurden. Eine nützliche Methode, um diese Maßnahmen nachzuweisen, wäre eine ISO 27001 Zertifizierung. Darüber hinaus wird empfohlen, dass das Management ein Business Continuity Management implementiert, welches gegebenenfalls auch nach ISO 22301 zertifiziert wird.
https://www.roedl.de/themen/cyberkurzarbeit-kurzarbeitergeld-produktionsstillstand
Gegen 02.20 Uhr morgens gingen im Bettenturm-Hochhaus und in anliegenden Gebäudeteilen des Berliner Krankenhauses Charité die Lichter aus. Durch den andauernden Stromausfall wurden entsprechende Notfallpläne aktiviert und somit eine schnelle Evakuierung der Patienten ermöglicht. Zwar verfügt die Charité als Einrichtung der Kritischen Infrastruktur über Notstromaggregate – diese laufen aber nur an, wenn die externe Stromzufuhr unterbrochen wird. Bei diesem Vorfall lag jedoch ein internes Problem in der technischen Infrastruktur vor.
Der Fall verdeutlicht die Bedeutung von Business Continuity Management im Gesundheitswesen, insbesondere in Bezug auf die Fähigkeit von Krankenhäusern, auf Gebäudeausfälle in Folge von Störungen wie etwa einem Stromausfall angemessen und effektiv zu reagieren.
Auch IT-Dienstleister im Gesundheitswesen werden immer häufiger Schadensereignissen ausgesetzt. Zuletzt traf ein Cyberangriff zum wiederholten Mal die Firma Bitmarck, die eng mit deutschen Krankenkassen wie der SBK zusammenarbeitet. Entsprechende Dienste wie die SBK-App aber auch die Erreichbarkeit per E-Mail und Telefon waren zeitweise eingeschränkt. Kaskaden-Effekte traten zusätzlich bei der Gematik auf, die Einschränkungen bei der Nutzung der elektronischen Patientenakte (ePA) vermelden musste.
Dass eine Cyberattacke auf den Mutterkonzern auch entsprechende Tochtergesellschaften lahmlegen kann, beweist der Fall Pierburg. Nachdem der Dachkonzern Rheinmetall Ziel eines Cyberangriffs wurde, bekamen Mitarbeitende des niederrheinischen Automobilzulieferer Pierburg ebenfalls Auswirkungen zu spüren. Ohne das gesamte Schadensausmaß beziffern zu können, beteuerte der Pressesprecher der Muttergesellschaft, dass „nur“ das zivile Automobilzulieferergeschäft betroffen sei und die Militärsparte des Rüstungskonzerns normal weiterarbeite.
Der Hersteller von Kassensystemen NCR wurde von einer Ransomware heimgesucht und bescherte vor allem US-Kunden des NCR-Cloud-Dienstes Aloha viele Probleme. Laut NCR wurden Workarounds bereitgestellt, Forensik-Spezialisten und Ermittlungsbehörden wurden auch einbezogen. Wahrscheinlich diesmal verantwortlich: die Cybergang AlphV/Blackcat, die als besonders skrupellos gilt und zwischenzeitlich mit der Veröffentlichung der Daten im Darknet drohte. Ob Lösegeld bezahlt wurde oder nicht, ist nicht bekannt.
Mit einer DDoS-Attacke verursachten Hacker in einem orchestrierten Manöver die gezielte Überlastung von Servern, die schlussendlich zur Nicht-Verfügbarkeit verschiedener ministerieller Internetseiten des Landes Sachsen-Anhalt führte. Daten seien dabei aber nicht abgeflossen – und die Webseiten waren am Abend des Angriffs wieder erreichbar.
Eine Verkettung von Schadensereignissen in einem Pariser Rechenzentrum legte Ende April etliche Cloud-Dienste des Hyperscalers Google für User der Cloud-Zone Europe-Region-West-9, also Frankreich, lahm. Weil eine Pumpe des Kühlsystems undicht war, kam es aufgrund des auslaufenden Kühlmittels zunächst zu einem Wasserschaden. Die Flüssigkeit bahnte sich jedoch obendrein ihren Weg in einen Batterieraum und verursachte dort einen starken Brand. Zwar funktionierte die automatische Löschanlage, aber die Feuerwehr konnte aufgrund enorm hoher Temperaturen die Räumlichkeiten anfangs nicht betreten und musste mit viel Löschmittel von außen kühlen. Das führte wiederum zu neuen Überflutungen.
https://www.computerwoche.de/a/google-rz-in-paris-abgefackelt,3614356