Top-Themen: War(n) da was? Cell-Broadcast in der Dauerprobe | LÜKEX und AlpenTex: „Dies ist eine Übung!“ | DORA und KRITIS-Dachgesetz: Es bleibt kritisch | Bis der Arzt kommt? Telematik-Infrastruktur offline
Liebe Leserinnen und Leser,
das Sommerloch ist überwunden – in vielen Bereichen der BCM-Welt nehmen die Ereignisse die altbekannte Dynamik auf. Während Bund, Länder und Bundeswehr wieder groß angelegte Ernstfälle üben, meldet sich auch die Regulatorik zurück aus der Sommerpause: mit DORA und dem KRITIS-Dachgesetz kommen in naher Zukunft weitere Anforderungen hinzu, die auch Bestandteile des BCM einschließen.
Der feuchte Sommer sorgte in den vergangenen Monaten auch in Deutschland für Starkregen und kurzzeitige Überschwemmungen, die u. a. die Betreiber von Flughäfen vor Herausforderungen stellten. Ganz ohne Wasser mussten hingegen die Menschen aus Lüneburg auskommen, als die Trinkwasserversorgung für mehrere Stunden unterbrochen war.
Aber auch eine prominente IT-Störung bei Toyota sorgte jüngst für gravierende Probleme, sprich Produktionsausfälle. Der Grund: fehlender Speicherplatz auf den Servern.
Das in Deutschland erst jüngst eingeführte Handy-Warnsystem Cell-Broadcast wird bereits viel genutzt. Achtmal kam es in den ersten sechs Monaten zum Einsatz und warnte dabei beispielsweise vor Hochwassergefahr. Das Warnsystem wurde nach der Flutkatastrophe im Ahrtal 2021 nun deutschlandweit eingeführt. Es warnt vor Großbränden, Kriegsbomben, heftigen Gewittern und weiteren Bedrohungen. Zudem werden regelmäßig Probealarme durchgeführt, die an mehr als 50 Millionen Mobiltelefone in Deutschland gesendet werden. Der jüngste Probealarm fand letzte Woche, genauer am 14. September statt – auch Sie wird der laute Warnton wahrscheinlich aufgeschreckt haben.
Eine besonders umfangreiche Krisenübung haben im Juli die Bundeswehr, die Polizei und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) durchgeführt. Das Szenario lautete: Terroranschlag nahe des Allgäus. Unter anderem wurden mit Anschlägen auf die Strom- und Wasserversorgung gedroht und ein Schusswechsel zwischen Polizei und Terroristen mit Schwerverletzten simuliert. Die Übung war Teil der Übungsreihe Terror-Exercise, die in Bayern bereits seit 2017 existiert. Insbesondere die Zusammenarbeit und Kommunikation zwischen der Polizei, der Bundeswehr und den Hilfsorganisationen sollte eingeübt werden. Das BBK hat den gesamten Verlauf beobachtet.
https://www.bbk.bund.de/SharedDocs/Kurzmeldungen/DE/2023/08/om-09-alpentex.html
Es bleiben nur wenige Wochen, bis im Rahmen der länder- und ressortübergreifenden Krisenmanagementübung (LÜKEX) die nächste großangelegte Krisenübung stattfindet. Die zweitägige Übung soll am 27. September starten und in diesem Jahr einen Cyberangriff simulieren. Regierung und Verwaltung sollen von dem Szenario betroffen sein – neben dem Bundesinnenministerium sind auch die Bundesländer beteiligt.
www.bbk.bund.de/DE/Themen/Krisenmanagement/LUEKEX/LUEKEX-23/luekex-23_node.html (Beitrag offline)
Cohesity, eine amerikanische Datensicherheitsfirma und Back-up-Software-Hersteller, hat in einer neuen Studie viele interessante und gleichermaßen beängstigende Zahlen zum Thema IT-Sicherheit in Unternehmen veröffentlicht. Grundsätzlich wurden die Wehrhaftigkeit und die Cyber-Strategien der Unternehmen als nicht zeitgemäß bewertet.
Weiteren Grund zur Sorge bieten die folgenden Zahlen: 93 % der befragten Unternehmen fühlen sich von Ransomware-Angriffen bedroht, 45 % wurden bereits in den vergangenen sechs Monaten Opfer einer Ransomware-Attacke. Im Falle eines Wiederanlaufs brauchen 95 % der Unternehmen über 24 Stunden, um Daten und Geschäftsprozesse wiederherzustellen, 71 % sogar mehr als vier Tage. Ein etabliertes Business Continuity Management kann dabei helfen, die Wiederanlauf- und Wiederherstellungsprozesse zu optimieren, um im Ernstfall wertvolle Zeit zu sparen.
Im Juli erschien ein frei zugängliches Paper, das die Unterschiede zwischen Business Continuity Management, betrieblicher Belastbarkeit und organisatorischer Belastbarkeit herausarbeiten soll. Es werden drei paarweise Beziehungen präsentiert, die die Schnittmengen und Unterscheidungen zwischen jeweils zwei der Themen aufzeigen. Laut der Autoren soll diese Arbeit für die strategische Planung eine bessere Kontinuität und Widerstandsfähigkeit nach einer Betriebsstörung ermöglichen.
https://link.springer.com/article/10.1007/s13753-023-00494-x
Der Finanzsektor wird im Zuge der Digitalisierung zukünftig weitere Vorgaben erfüllen müssen. Die Europäische Kommission hat mit dem Digital Operational Resilience Act (DORA) ein neues Rahmenwerk für Cybersicherheit verabschiedet: Im Fokus stehen überarbeitete Dokumentationsvorgaben und Meldepflichten, ein umfangreiches Management von Risiken und Kommunikation im IT-Bereich sowie die Miteinbindung von Drittanbietern von IT-Services. Auch Penetrationstests, Schwachstellenüberwachung sowie die Sicherstellung und Aufrechterhaltung des Betriebs im Falle einer gravierenden Unterbrechung sind Themen. Derzeit werden noch technische Regulierungs- und Implementierungsstandards (RTS/ITS) erarbeitet und abgestimmt, auch ein öffentlicher Austausch soll durchgeführt werden. Ab 2025 wird DORA europaweit Geltung erhalten, und die ca. 22.000 betroffenen Unternehmen werden von internationalen Behörden auf die Einhaltung der Vorgaben geprüft.
Das Bundesministerium des Innern und für Heimat (BMI) hat einen Entwurf für das KRITIS-Dachgesetz veröffentlicht, nachdem zuvor eine zur Abstimmung an die Ressorts übersendete Fassung bekannt geworden war.
Neuerdings werden Mindeststandards für physische Resilienzmaßnahmen über mehrere Sektoren hinweg normiert. Auch die Einbindung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) in die Meldepflichten der Betreiber solcher Anlagen zählt zu den Neuerungen. Branchenverbände (u. a. der Verband kommunaler Unternehmen VKU) äußerten bereits Kritik, da viele Fragen nach wie vor ungeklärt bleiben.
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html
Der Messenger-Dienst WhatsApp hat Mitte Juli für ca. eine Stunde am Abend nicht funktioniert. Es kam zu vermehrten Störungsmeldungen und entsprechenden Twitter/X-Beiträgen der Nutzer. Mehrere Länder und ebenso die Web-Version von WhatsApp waren von dem Ausfall betroffen. Auch wenn es sich um einen relativ kurzen Ausfall handelte, war dieser Vorfall angesichts der Zahl von rund 2 Milliarden Nutzern keine kleine Angelegenheit.
https://www.heise.de/news/Stoerung-beim-Messenger-Dienst-Whatsapp-9221549.html
In Berlin fiel für ca. einen halben Tag die TI (Telematik-Infrastruktur) aus – das digitale Netzwerk für das Gesundheitswesen. Darüber werden beispielsweise elektronische Patientenakten und E-Rezepte verschickt. Der Grund für den Ausfall war eine Störung beim IT-Dienstleister Arvato. Die Gematik, die das Netz betreibt, veröffentlichte regelmäßige Mitteilungen zum Zwischenstand der Störung.
https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/am-wochenende-totalausfall-bei-ti/
In Japan kam es zum Stillstand bei den Produktionslinien des Automobilherstellers Toyota in gleich 14 Montagewerken. Der Grund für den Ausfall war ein Fehler im System für die Verwaltung der Teilebestellung. Vermutungen deuten darauf hin, dass es sich um eine Störung bei der Aktualisierung des Systems handelte, die im Zusammenspiel mit einer fehlenden Kapazitätsplanung in der IT zum Ausfall führte. Bei Toyota kam es innerhalb der letzten zwei Jahre vermehrt zu größeren Stillständen der Produktion. Ob die BCM-Verantwortlichen bei Toyota aus den Vorfällen lernen werden?
Aufgrund von heftigem Starkregen musste der Frankfurter Flughafen zwischenzeitlich den gesamten Betrieb unterbrechen. Teilweise fielen bis zu 60 Liter pro Quadratmeter, das Rollfeld wurde komplett überschwemmt. Passagiere konnten teilweise nicht mehr aus den Maschinen aussteigen. Zusätzlich strandeten viele Reisende am Frankfurter Flughafen bzw. warteten vergeblich auf ihre Flüge. Auch am Folgetag gab es noch zahlreiche Verspätungen und gestrichene Flüge. Dass durch ein Unwetter Flüge ausfallen, ist nicht zu verhindern, doch viele Gäste fühlten sich von der Flughafenorganisation im Stich gelassen und übernachteten notgedrungen am Flughafen. Unternehmen und Betreiber Kritischer Infrastrukturen müssen sich angesichts von Klimaveränderungen zunehmend auf Extremwetterereignisse dieser Art einstellen und diese entsprechend in ihrer Notfallplanung berücksichtigen.
Wenn in einem Tunnel der Strom ausfällt, fährt man lieber nicht mehr hinein. Diese Erfahrung mussten die Autofahrer auf der A17 bei Dresden machen, als dort in einem Tunnel für über zwei Stunden kein Strom floss. Laut einem Sprecher der Autobahngesellschaft gab es einen Defekt, der dazu führte, dass das Tunnelsystem nicht auf einen zweiten Stromkreis umschalten konnte – und daher wurde es dunkel. In der Folge kam es zur Vollsperrung in beiden Richtungen und zu einer großen Umleitungsaktion des Verkehrs durch die Polizei. Stundenlange Staus waren an diesem Punkt bereits nicht mehr abzuwenden. Dieser Vorfall zeigt, dass man sich nicht immer auf die Notsysteme verlassen kann und besser im Vorfeld entsprechende Vorkehrungen zur Verkehrsumleitung parat haben sollte.
Die Selbstverständlichkeit von Trinkwasser aus dem Hahn werden einige betroffene Hausbewohner nun sicherlich wieder sehr zu schätzen wissen: Nachdem in mehreren Ortschaften südlich von Lüneburg für fast einen Tag die Trinkwasserversorgung ausfiel, suchte der Versorger lange nach dem Leck in der Leitung. Die Anwohner konnten zwar tagsüber mit Brauchwasser aus mobilen Tanks versorgt werden, dieses musste jedoch zur weiteren Nutzung erst abgekocht werden. Durchs Umschalten auf eine zweite Leitung wurde die Wasserversorgung am Abend wiederhergestellt.
Die nächsten HiSolutions BCM-News erscheinen Mitte November 2023!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!