Top-Themen: DORA: Ergänzung des Fragenkatalogs | Zweiter BMI-Referentenentwurf zum KRITIS-Dachgesetz | Verkehrschaos in München nach schweren Schneefällen | Hochwasser in Norddeutschland | Beeinträchtigungen des Onlinebankings der VR-Banken in Süddeutschland | Der Wilde Westen: Ein (T)raum für Verbrecher? Cyberangriff auf Computersysteme legt Gerichte im US-Bundesstaat Kansas für fünf Wochen lahm
Liebe Leserinnen und Leser,
das neue Jahr beginnt, die Feiertage liegen hinter uns – doch nicht für alle gab es eine entspannte Auszeit. Schneechaos und Überschwemmungen sorgten in Deutschland vielerorts nicht nur verkehrstechnisch für erhebliche Probleme. Diese Ereignisse sowie der zweite Referentenentwurf des BMI zum KRITIS-Dachgesetz und ein Fragenkatalog der BaFin zur DORA Regelung zeigen auf, worauf wir uns in diesem Jahr BCM-technisch einstellen können.
Unwetter und andere Folgen des Klimawandels werden uns auch weiter zunehmend beschäftigen, wenn es um Betriebsfortführung und Resilienzmaßnahmen geht. Auch die im Oktober diesen Jahres in Kraft tretenden Gesetze wie das KRITIS-Dachgesetz, das NIS2-Umsetzungsgesetz und die bis Anfang nächsten Jahres auslaufende Umsetzungsfrist der DORA-Regelung bedürfen einer detailreichen Vorbereitung. Viel Zeit dazu verbleibt nicht angesichts der umfassenden Verpflichtungen, die auf die Betroffenen zukommen.
Auch Cybersicherheit ist nach wie vor ein wichtiges Thema. Eine großflächige Störung der Volksbanken und ein gehacktes Gericht im US-Bundesstaat Kansas hinterließen aufgebrachte Kunden und Bürger.
Immer mehr Unternehmen sind bereit, Lösegeldforderungen nach Ransomwareangriffen nachzukommen – so eine Studie des IT-Unternehmens Cohesity. Fast die Hälfte der befragten deutschen Unternehmen gab an, in den letzten sechs Monaten mit Ransomware konfrontiert worden zu sein, 93 % nahmen solche Angriffe als zunehmende Bedrohung wahr. Trotz dieser alarmierenden Zahlen und der wachsenden Awareness in der Industrie würden knapp drei Viertel aller Unternehmen den Forderungen der Angreifer nachkommen. Viele Organisationen scheinen sich aufgrund von Cyberversicherungen in (falscher) Sicherheit zu wähnen und zu wenig Vertrauen in die eigenen Fähigkeiten zu haben, nach einem Cyberangriff Daten schnell wiederherstellen zu können. Dabei warnt auch das BSI davor, dass eine Zahlung des Lösegelds keine Wiederherstellung der Daten garantiert. Ganz im Gegenteil: Weitere Angriffe werden hierdurch sogar noch wahrscheinlicher.
Es zeigt sich also, dass man sich nicht allein auf Versicherungen verlassen kann, sondern zusätzlich in robuste Verteidigungsmaßnahmen investieren sollte. Technische Absicherung, solide Notfallpläne, regelmäßige Datenspeicherung sowie ein effektiver Incident Response sind heutzutage unerlässlich.
Das BCI hat erstmalig einen Jahresbericht veröffentlicht, der die sonst monatlich erstellten Reports zusammenfasst. Daraus entstanden ist nicht nur ein Kompendium der Themen, die die Branche in 2023 am meisten bewegt haben, sondern auch ein Vorgeschmack darauf, was wir dieses Jahr erwarten dürfen.
Top-Thema war das Verhältnis des oberen Managements zu Resilienz und Cybersicherheit. Dabei ist positiv festzustellen, dass Cyber- und operationelle Resilienz in Führungskreisen vermehrt als Priorität wahrgenommen wurden. Zu wenig Beachtung erfuhr leider nach wie vor die Lieferketten-Resilienz. Hier gab es aufgrund der Corona Pandemie und dem versperrten Suezkanal zwar zeitweise einen Anstieg in der Wahrnehmung, der jedoch mittlerweile im oberen Management wieder rückläufig war. Weiterhin auf dem Vormarsch ist das Thema Artificial Intelligence. Hier sind jedoch noch einige Organisationen unsicher, wie AI in ihre Abläufe passen wird – sowohl im Bereich von Business Continuity als auch in anderen betrieblichen Bereichen. Die finanzielle Prognose für 2024 fällt gut aus: Die meisten Unternehmen gaben an, ihr Budget für Resilienz mindestens auf demselben Niveau wie im Vorjahr zu halten. 64,8 % planen mit einem höheren Budget für Cybersicherheit, knapp die Hälfte wird mehr in allgemeines BCM und operationelle Resilienz investieren.
Ein leichter Anstieg für die Anerkennung der Themen BCM und Cyberresilienz ist hier zwar zu erkennen. Dennoch ist nach wie vor mehr Beachtung notwendig, um mit dem Wandel der Zeit zu gehen.
https://www.thebci.org/resource/bci-a-year-in-the-world-of-resilience-report-2023.html
In einer Notfallübung demonstrierte der Flughafen Wien, wie eine effiziente Kooperation zwischen Behörden, Blaulicht-, Rettungsorganisationen und Unternehmen in einer Krise aussehen kann. In dem fiktiven Szenario, bei dem eine hochinfektiöse Erkrankung bei einem Fluggast auf dem Weg Richtung Wien festgestellt wurde, sollten die Meldekette und der taktische Ablauf im Umgang mit einem medizinischen Notfall an Bord eines Flugzeuges geübt werden. Beeindruckend ist vor allem die Realitätsnähe der Übung: Vier Stunden übten etwa 80 Personen, darunter 30 Passagiere und eine Vielzahl von staatlichen sowie privatwirtschaftlichen Akteuren an Bord eines Flugzeugs, dem Flughafen-Vorfeld und einem speziell abgegrenzten Terminalbereich, wie im Ernstfall mit einer solchen Situation umgegangen wird.
Die Übung, die von den Verantwortlichen als voller Erfolg gewertet wird, ist ein gutes Beispiel dafür, wie sich Unternehmen und Behörden auf Krisen vorbereiten können. Eine effiziente Kommunikation zwischen vielen verschiedenen Institutionen ist eine der größten Herausforderungen im Krisenmanagement – praktisches Trainieren dieser Abläufe ist die beste Vorbereitung.
Mittlerweile wird immer öfter über DORA berichtet – und das zu Recht. Das Gesetz trat bereits vor ca. einem Jahr in Kraft und die Übergangsfrist läuft am 17. Januar 2025 aus. Betroffen sein werden nahezu alle beaufsichtigten Unternehmen aus Europas Finanzsektor. Für die Umsetzungen wird es also höchste Zeit, zumal das Gesetz umfangreiche Anforderungen wie neue Meldewege, Resilienztests, IKT-Risikomanagement und Notfallübungen beinhaltet. Auch die BaFin weist in Form eines Fragekatalogs darauf hin, der mit sowohl grundlegenden als auch spezifischen Fragen und Antworten Orientierung geben soll.
https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
Neue Pflichten auch für Betreiber kritischer Infrastrukturen: Kürzlich wurde ein zweiter Referentenentwurf für das im Oktober in Kraft tretende KRITIS-Dachgesetz vorgestellt. Es führt erweiterte Pflichten für Betreiber kritischer Infrastrukturen ein, darunter Meldepflichten, das Einrichten eines Business Continuity Managements, physische Sicherheit und Personalmanagement.
Im Vergleich zum ersten Entwurf gibt es einige wesentlichen Veränderungen. So wurden diverse Schlüsselbegriffe neu definiert und die behördlichen Zuständigkeiten, insbesondere hinsichtlich der Abgrenzung zwischen Bund- und Länderkompetenzen in der Gefahrenabwehr neu geregelt. Ebenfalls angepasst wurden der Anwendungsbereich des Gesetzes, die Anforderungen an den Bund sowie Schwellenwerte und die von KRITIS-Betreibern zu ergreifenden Maßnahmen.
Der aktuelle Entwurf vom Dezember 2023 ist ein weiterer wichtiger Schritt in der Entwicklung des Gesetzes. Nachdem der erste Entwurf sowohl Lob als auch Kritik erhielt, wurden in der zweiten Version nun einige dieser Punkte adressiert. Über weitere Anpassungen und Konkretisierungen des Gesetzes bis zur Verabschiedung im Oktober halten wir Sie hier auf dem Laufenden.
https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html
Gleich zu Anfang des Jahres kam es landesweit zu Protesten der Bauern, die mit ihren Traktoren den Verkehr blockierten und die bis heute anhalten. Dies führte im ostfriesischen Emden bei einem Volkswagen-Werk zum Produktionsstopp, da die Belegschaft nicht die Arbeit antreten konnte. Der Start ins neue Jahr wurde für VW direkt mit einem Betriebsausfall eingeläutet. Auch Autobahnen in der Umgebung waren gesperrt und sollten auf Anraten der Polizei vermieden werden.
Witterungsbedingungen und Streiks sind nicht die einzigen Gründe, warum Mitarbeitende am Arbeitsplatz ausfallen können. So zeigt sich, dass auch angekündigte Proteste zu Ausfällen in den Betriebsabläufen großer Unternehmen führen können.
Pünktlich zum ersten Advent wurde die bayrische Landeshauptstadt mit einer Menge Neuschnee beschert. Was sich zunächst wie ein Weihnachtswunder anhört, entwickelte sich für Reisende und Pendler schnell zu einem Albtraum: Ein knapper halber Meter Neuschnee, der Höchstwert in einem Dezember seit Beginn der Wetteraufzeichnungen, sorgte dafür, dass fast der gesamte Münchner Verkehr für mehrere Tage zum Erliegen kam. Auch der Flugverkehr von und nach MUC wurde über mehrere Tage komplett eingestellt. Die Folgen: Tausende Reisende strandeten in München, andere waren nicht in der Lage, ihrem Alltag und ihrer Arbeit nachzugehen.
https://www.sueddeutsche.de/muenchen/muenchen-flughafen-eisregen-sperrung-1.6314235
Während der Süden diesen Winter mit Schneemassen zu kämpfen hatte, sieht sich der Norden mit einem anderen Aggregatszustand von Schnee konfrontiert: Hochwasser. Statt weißer Weihnacht und erholsamer Feiertage wurden im deutschen Teil des europäischen Flachlands vielerorts die Füße nass. Es kam zu Sturmfluten, überfluteten Ortsteilen und Einschränkungen im öffentlichen Nahverkehr.
Das Hochwasser und die Schneemassen machen deutlich, dass ein modernes BCM zunehmend auch Umweltrisiken und die Folgen des Klimawandels berücksichtigen muss. Es ist unbestreitbar, dass solche „Jahrhundertereignisse“ auch in Deutschland zukünftig wohl deutlich öfter auftreten werden. Daher wurden berechtigte Stimmen laut, die mehr Geld und einen „massiven Ausbau“ für den Katastrophenschutz fordern.
https://www.zeit.de/gesellschaft/2023-12/hochwasser-nrw-hamburg-bayern-sturmflut
https://www.tagesschau.de/inland/innenpolitik/hochwasserschutz-104.html
In einem beispiellosen Ausmaß hat ein Totalausfall des zweitgrößten Mobilfunkanbieters Australiens das öffentliche Leben auf den Kopf gestellt. Ab den frühen Morgenstunden waren Mobilfunk und Internet für Millionen von Menschen nicht mehr erreichbar. In Folge stand nicht nur der öffentliche Verkehr still, auch Zahlungssysteme waren betroffen. Schlimmer noch: Teilweise waren sogar die Notfalldienste nicht mehr erreichbar. Auf seiner Website empfahl der Konzern seinen Kunden im Notfall „ein Familienmitglied oder einen Nachbarn mit einem alternativen Gerät zu finden“. Inwiefern dieser Tipp Anwendung gefunden hat, bleibt fraglich.
Optus, der australische Ableger von Singapore Telecommunications, zählt mehr als zehn Millionen Kunden und versorgt damit knapp 40 % aller Australier mit Mobilfunk, Festnetz und Internet. Die dadurch getragene Verantwortung muss durch ein krisensicheres BCMS abgesichert sein, welches in diesem Fall offensichtlich nicht gegriffen hat. Als Konsequenz sollte eine Überarbeitung des BCMS erfolgen.
https://www.tagesschau.de/ausland/ozeanien/internet-australien-100.html
Ende November mussten sich viele Kunden der Volks- und Raiffeisenbanken im süddeutschen Raum in Geduld üben: Onlinebanking und die digitalen Kontofunktionen waren aufgrund einer Störung teilweise nicht abrufbar, wie der IT-Dienstleister Atruvia mitteilte. Betroffen waren hiervon etwa 520 der 700 Banken, die von der Atruvia betreut werden. Zwar wurde direkt betont, dass die Sicherheit der Kundendaten zu jedem Zeitpunkt gewährleistet war, jedoch bleibt neben verärgerten Kunden auch ein beschädigtes Vertrauen.
Störungen wie diese sind leider kein Einzelfall und stehen symptomatisch für die Herausforderungen im Bankenwesen. Wenn Hunderte von Banken gleichzeitig von einem Ausfall betroffen sein können, muss das Finanzsystem bessere Schutzmechanismen etablieren. Es bleibt zu hoffen, dass die Finanzbranche im Rahmen des bereits seit Januar 2023 und bis Anfang 2025 zu implementierenden Digital Operational Resilience Act (DORA) selbst proaktiv Schritte unternimmt, um die Ausmaße solcher Vorfälle deutlich einzudämmen und das Vertrauen der Kunden zu wahren.
Durch einen „raffinierten ausländischen Cyberangriff“ gelang es Cyberkriminellen, die elektronische Datenverarbeitung des Justizsystems von Kansas zu infiltrieren und sensible gerichtliche Daten zu stehlen. Bereits Mitte Oktober stellte die Behörde Unregelmäßigkeiten fest und trennte daraufhin vorsorglich das Informationssystem von externen Zugängen, was den Betrieb der Berufungsgerichte in fast allen Bezirken beeinträchtigte. Anträge mussten per Papier und Post an die Gerichte geleitet werden.
Einer der Gründe für Ausfälle dieser Art – in diesem Fall über einen Zeitraum von fünf Wochen – wird anhand von zwei Audits im Behördenkreis in der Managementebene vermutet. Demnach seien Führungskräfte von US-Behörden „sich ihrer Verantwortlichkeit gegenüber IT-Sicherheit entweder nicht bewusst oder priorisieren diese nicht angemessen“. Es ist naheliegend, dass es im Behördenumfeld nicht nur in den USA oft aktiver Aufklärung im Bereich Business Continuity Management bedarf.
Und noch eine Meldung aus den USA: Staples, der größte Händler für Bürobedarf in den Vereinigten Staaten, wurde Opfer einer Cyberattacke, in deren Folge die Kundenhotlines ausfielen. Der Angriff, pünktlich zur Vorweihnachtszeit, also der wichtigsten Jahreszeit für Einzelhändler, wurde womöglich durch eine Ransomware verschuldet. Das Unternehmen gab an, dass die Sicherung der Kundendaten höchste Priorität habe und proaktive Schritte unternommen worden seien, um die Auswirkungen des Angriffs zu mitigieren. Obwohl offenbar nur der Kundenservice betroffen war und maximal mit „leicht verspäteten Lieferungen“ zu rechnen sei, zeigt sich, dass Cyberkriminelle ihre Opfer zunehmend gezielter angreifen und beispielsweise in kritischen Zeiten wie etwa dem Vorweihnachtsgeschäft aktiv werden, um damit den Druck auf die Unternehmen zu erhöhen und ihre Position in einer Erpressung zu stärken.
https://www.infosecurity-magazine.com/news/staples-hit-disruption-cyberattack/
"Da läuft gar nichts mehr!": In Irland führte ein Hackerangriff auf ein regionales Wasserwerk dazu, dass hunderte Haushalte für mehrere Tage von der Wasserversorgung abgeschnitten waren. Die Täter, selbst ernannte Hacktivisten, manipulierten ein Eurotronics-Wasserpumpensystem und hinterließen eine anti-israelische Botschaft – als Reaktion auf die israelische Herkunft der Wasserpumpe. Tatsächlich aber nehmen Hacker zurzeit gezielt internetverbundene Steuerungssysteme mit leicht zu erratenden Passwörtern ins Visier, wie aus einer Warnung der US-Regierung vor Angriffen auf amerikanische Wasserwerke durch die Gruppe "Cyber Av3ngers" hervorgeht.
Solche Ereignisse sind leider nicht mehr nur ein Tropfen auf dem heißen Stein, sondern zeigen, welche Auswirkungen regionale Konflikte haben können. In Zeiten moralistischer Hackergruppen hat der Schutz kritischer Infrastrukturen höchste Priorität.
https://www.securityweek.com/cyberattack-on-irish-utility-cuts-off-water-supply-for-two-days/
Die Mitglieder eines Krisenstabs sehen sich in Krisenlagen besonderen und zum Teil individuellen Herausforderungen gegenüber, die im Arbeitsalltag selten anzutreffen sind. Unklare Informationslagen, hohes Kommunikationsaufkommen und enormer Entscheidungs-druck sind dabei ebenso typische Gegebenheiten wie das anspruchsvolle Zusammenarbeiten verschiedener Persönlichkeiten in einer besonderen Bewältigungsorganisation. Diese Umstände erfordern neben organisatorischen Maßnahmen des Krisenmanagements auch gesonderte Kompetenzen der Stabsmitglieder. Ebendiese lassen sich schulen, indem die Funktionsträger aus ihrem Alltag herausgezogen und in simulierte Krisenlagen versetzt werden. So können sie wertvolle, praxisnahe Erfahrungen sammeln und sich auf den konkreten Ereignisfall vorbereiten.
In der Veranstaltung „Kompetenztraining Stabsarbeit“ kommen die Funktionsträger besonderer Aufbauorganisationen verschiedener Institutionen zusammen, um unabhängig vom eigenen beruflichen Umfeld die persönlichen Fähigkeiten zu verbessern.
https://www.hisolutions.com/security-consulting/academy#c12565
Nach dem Prinzip „Learning by doing“ wenden die Teilnehmer im Rahmen von Workshops die Mittel und Methoden des BCM anhand von Fallbeispielen selbst an. Die jeweiligen Kerninhalte des Tages werden in Einzel- oder Gruppenarbeit erprobt.
Die angehenden Business Continuity Manager lernen die BCM-relevanten Standards und ihre Komponenten, BCM-relevante Gesetze und Good Practice Guides kennen. Sie erhalten einen umfassenden Blick auf den BCM-Lebenszyklus inklusive Business Impact und Risikoanalyse, Strategie & Maßnahmen, Tests & Übungen, Pflege & Qualitätssicherung. Gleichzeitig lernen die Teilnehmer die BCM-Organisation, ihre Rollen und Schnittstellen kennen. Sie erlangen darüber hinaus Grundlagenkenntnisse über die Business Continuity-relevanten Themenfelder wie IT-Service Continuity Management, ISMS und Notfallmanagement.
Die Schulung wird remote durchgeführt.
https://www.hisolutions.com/security-consulting/academy#c4868
Der praxisorientierte Workshop zum BCM-Parcours bietet den Teilnehmenden die Gelegenheit, wesentliche Schritte auf dem Weg zur Implementierung von Geschäftskontinuität nach BSI 200-4 zu erlernen. Hierbei werden unter anderem BIA-Vorfilter und BIA behandelt, wobei die Teilnehmenden geschickt Hindernisse überwinden können.
06.03.2024, 14-17 Uhr
07.03.2024, 10-13 Uhr
Die nächsten HiSolutions BCM-News erscheinen Mitte März 2024!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!