Liebe Leserinnen und Leser,

der Duden definiert das Wort Resilienz als die „Fähigkeit, schwierige Lebenssituationen ohne anhaltende Beeinträchtigung zu überstehen“. Es ist ursprünglich ein Begriff aus der Psychologie, der die Widerstandsfähigkeit von Menschen in Krisen beschreibt und so auch im Zentrum des Business Continuity Managements steht. Gerade in den aktuellen Zeiten von politischer und wirtschaftlicher Unsicherheit zeigt sich, wie wichtig es ist, sowohl als Einzelperson als auch als Unternehmen widerstandsfähig zu sein und flexibel auf Veränderungen reagieren zu können.

In dieser letzten Ausgabe des Jahres 2024 werfen wir daher einen Blick auf einige Publikationen und lassen das Jahr aus BCM-Perspektive Revue passieren. So können auch Sie konkrete Erkenntnisse gewinnen, die Ihnen helfen, den kommenden Herausforderungen 2025 vorbereitet entgegenzutreten. 

In diesem Sinne möchten wir uns für das Jahr 2024 von Ihnen verabschieden und wünschen alles Gute für 2025!

BCI Horizon Scan Report 2024: Ein Ausblick auf die größten Herausforderungen für Unternehmen

Das Business Continuity Institute (BCI) gibt mit dem BCI Horizon Scan Report 2024 einen umfassenden Überblick über die sich wandelnde Bedrohungslandschaft und zeigt darüber hinaus, mit welchen Herausforderungen Unternehmen im kommenden Jahr rechnen müssen. In diesem Jahr fällt der Report in eine besonders kritische Zeit, geprägt von weltweiten „Super-Wahlen“ und einer wachsenden Zahl an Naturkatastrophen, die auch auf den Klimawandel zurückzuführen sind. Diese geopolitischen und klimatischen Entwicklungen verstärken die Belastungen für Lieferketten, Cybersicherheit sowie das physische und mentale Wohlbefinden von Mitarbeitenden.

Für 2025 werden Cyberangriffe als die größte Bedrohung eingeschätzt. Unternehmen erkennen zunehmend die Notwendigkeit, ihre Widerstandsfähigkeit gegen solche Angriffe zu stärken – nicht zuletzt auch im Hinblick auf bevorstehende regulatorische Anforderungen wie die EU-Verordnung Digital Operational Resilience Act (DORA) und NIS-2. Über ein Viertel der Unternehmen plant daher, ihre Investitionen in Business Continuity und Resilienz im Jahr 2025 zu erhöhen.

Der Report zeigt aber auch, dass Unternehmen verstärkt Technologien und interne Analysen einsetzen, um potenzielle Bedrohungen zu identifizieren. 61 % der Befragten gaben an, dass sie ihre Bedrohungsanalyse in den letzten zwei Jahren ausgebaut haben. Trotzdem bleiben die traditionelle Zusammenarbeit mit Branchenkollegen und der Austausch von Best Practices ein wichtiger Bestandteil des Risikomanagements.

Der BCI Horizon Scan Report 2024 macht klar, dass die Multidimensionalität und Häufigkeit von Bedrohungen zunimmt. Unternehmen müssen umfassendere Resilienzstrategien verfolgen, um diesen Herausforderungen zu begegnen. Den vollständigen Report mit detaillierten Einblicken und Empfehlungen finden Sie hier: 

https://www.thebci.org/event-detail/event-calendar/bci-horizon-scan-report-2024---emea-launch.html

BCI Resilience Framework: Leitlinien für langfristige Widerstandsfähigkeit

Das BCI hat mit dem neuen Resilience Framework einen strategischen Leitfaden für Unternehmen veröffentlicht, der auf die nachhaltige Stärkung der organisatorischen Resilienz abzielt. Das Framework richtet sich an Führungskräfte und Management und bietet eine Grundlage für die Einführung eines Resilienz-Management-Zyklus, der die Wettbewerbsfähigkeit und Zukunftssicherheit eines Unternehmens sichern soll.

Statt spezifischer Lösungen umfasst der Ansatz des BCI acht universelle Kernprinzipien, die den Aufbau von Resilienz fördern und das Framework bilden. Diese Prinzipien – von der „Führung aus der Chefetage“ bis hin zu einem „zyklischen Ansatz“ – sind so gestaltet, dass sie für Organisationen jeder Größe und Branche universell anwendbar sind. Ein Kernelement ist die Top-Down-Strategie, bei der die Unternehmensleitung Resilienz als strategische Priorität etabliert. Die Geschäftsleitung übernimmt dabei eine Vorbildfunktion und sorgt dafür, dass Resilienz in alle Bereiche des Unternehmens Einzug hält. Führungskräfte sind dabei aber nicht nur Initiatoren, sondern auch die treibende Kraft, die sicherstellt, dass das Resilienz-Management als stetig fortlaufender Prozess verankert wird – ein Zyklus, der von Überprüfung, Anpassung und Verbesserung geprägt ist. Zudem hebt das BCI die Bedeutung eines risikobasierten Ansatzes und einer kooperativen, abteilungsübergreifenden Zusammenarbeit hervor, um langfristige Widerstandsfähigkeit zu fördern.

https://www.thebci.org/news/bci-resilience-framework-1-0-what-are-the-universal-core-principles.html

BCI Crisis Management Report 2024: Die wachsende Bedeutung von Krisenmanagement 

Der BCI Crisis Management Report 2024 zeigt eindrucksvoll, wie herausfordernd die Krisenlandschaft für Unternehmen weltweit geworden ist, und welche Bedeutung ein starkes Krisenmanagement hat. Der Bericht deckt auf, dass 75 % der befragten Organisationen im vergangenen Jahr mindestens einmal ihr Krisenteam aktivieren mussten. Die Gründe hierfür waren vor allem extreme Wetterereignisse, Dienstleister-Ausfälle und Cyberangriffe. 

Doch Unternehmen reagieren bereits: Es zeigt sich, dass immer mehr Unternehmen auf hybride Krisenmanagementstrukturen setzen, die zentrale und lokale Ebenen kombinieren. Dieser flexible Ansatz ermöglicht schnellere und zielgerichtete Reaktionen auf regionale Krisen und wird von 39 % der Organisationen als besonders effektiv eingeschätzt. Dennoch bleiben zentralisierte Strukturen beliebt, da sie klare Entscheidungswege und konsistente Reaktionen fördern.

Auch die Möglichkeiten moderner Technologien werden zunehmend implementiert: 46 % der Unternehmen nutzen Technologien wie virtuelle Krisenräume und KI-gestützte Tools für Echtzeit-Überwachung und Automatisierung. Dennoch setzen viele weiterhin auf traditionelle Methoden und vermeiden eine vollständige Umstellung.

Allgemein gehören die schnelle Mobilisierung, eine transparente Kommunikation und das Wohlbefinden der Mitarbeitenden zu den obersten Zielen im Krisenfall. Doch gerade bei der Mobilisierung zeigen sich Herausforderungen: 27 % der Unternehmen geben an, dass ihre Krisenteams nicht ausreichend geschult sind, während bei weiteren rund 30 % das generelle Bewusstsein für Krisenpläne im gesamten Unternehmen fehlt.

Bemerkenswert ist auch, dass nur 46 % der betroffenen Organisationen nach einer Krise systematische Analysen durchführen, um aus den Erfahrungen zu lernen und zukünftige Reaktionen zu verbessern. Auch der Crisis Management Report 2024 unterstreicht daher die Wichtigkeit eines kontinuierlichen Lernprozesses. 

Der Bericht macht klar: Erfolgreiches Krisenmanagement bedeutet permanente Anpassung und Optimierung. Unternehmen, die auf umfassende Krisenmanagement-Strategien setzen, sind besser aufgestellt, um schnell und effektiv auf die Risiken unserer komplexen Welt zu reagieren – eine Fähigkeit, die langfristige Stabilität und Resilienz sichert. 

https://www.thebci.org/resource/bci-crisis-management-report-2024.html

ENISA Threat Landscape 2024: Die aktuelle Cyber-Bedrohungslage 

Seit zwei Jahrzehnten überwacht die europäische Cybersicherheits-Agentur ENISA die europäische Cybersicherheitslandschaft und veröffentlicht jährlich den umfassenden ENISA-Threat-Landscape-(ETL)-Bericht. Er zeigt Entwicklungen und Bedrohungsmuster auf, um strategische Entscheidungen in der Cybersicherheit wissenschaftlich-fundiert zu unterstützen. Auch der diesjährige ETL zeigt, dass sich die Bedrohungslage im letzten Jahr wieder erheblich verschärft hat. Insbesondere die zweite Jahreshälfte 2023 und der Beginn von 2024 waren geprägt von einer Vielzahl und Vielfalt an Cyberangriffen – Auslöser war laut ENISA eine angespannte weltpolitische Lage. Als Akteure treten zunehmend staatlich geförderte Gruppen, aber auch „traditionelle“ Cyberkriminelle, hacktivistische Gruppen und „Hacker-for-Hire“ in Erscheinung. Hacktivistische Aktivitäten, angeheizt durch politische Großereignisse wie die Europawahlen, verzeichneten ein signifikantes Wachstum. Laut Bericht waren öffentliche Verwaltungen, der Infrastruktur- und der Finanzsektor besonders häufig Ziele von Cyberangriffen. 

Die ENISA identifizierte im Bericht sieben primäre Bedrohungstypen, darunter Ransomware, Malware, Social Engineering, Datenbedrohungen, Denial-of-Service-Angriffe, Informationsmanipulation und Angriffe auf Lieferketten.

Insgesamt beinhaltet der Bericht eine Vielzahl quantitativer Daten und wissenschaftliche Analysen zur aktuellen Cyber-Bedrohungslage – eine gute Grundlage, um die Methodik zur BCM-Risikoanalyse zu aktualisieren. 

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

Jetzt auch auf YouTube: „Regulatorik quo vadis?“ 

Unsere Kollegen gaben in einer Live-Veranstaltung Ende September in Berlin spannende Einblicke zu aktuellen Regulatorik-Themen – von NIS-2 über DORA bis hin zu praktischen Ansätzen im Business Continuity Management. Beleuchtet wurden die Herausforderungen und Chancen, die mit den neuen Regularien einhergehen. Jetzt können Sie die Vorträge auch bequem von zu Hause auf YouTube ansehen!

Lernen Sie, wie man komplexe Anforderungen durch pragmatische Ansätze effizient umsetzen kann! Erfahren Sie mehr über Lean-BCM und holen Sie sich wertvolle Tipps zu Third-Party-Risikomanagement und zu effektiven Übungen zur Krisenvorsorge. Den vollständigen Mitschnitt der Veranstaltung finden Sie hier.
Viel Spaß beim Anschauen!

https://www.hisolutions.com/detail/knowhow-regulatorik

Das unbekannte Wesen: Findet DORA

Ein Meinungsartikel unserer Kollegen

Mit dem Digital Operational Resilience Act soll ab Januar 2025 ein frischer Wind durch den EU-Finanzsektor wehen – ob es dann stürmt oder nur ein laues Lüftchen wird, bleibt abzuwarten. Das Ziel der Verordnung ist, die digitale Resilienz von Finanz- und Versicherungsunternehmen zu stärken. Der „Haken“? Viele Unternehmen sind bereits in groß angelegte DORA-Projekte mit Millionenbudgets eingestiegen.

Auch unsere Autoren fragen sich: Ist das wirklich notwendig? Ein Großteil der Anforderungen ist tatsächlich gar nicht so neu und wird teilweise schon durch Regelwerke wie MaRisk und BAIT abgedeckt. Allerdings bringt DORA durchaus frische Herausforderungen mit sich – und einen ziemlichen Papierkrieg obendrein. Das Schwierigste jedoch: Einige konkrete Vorgaben wie etwa neue Penetrationstests und die strengere Berichterstattung wurden erst im Juli 2024 veröffentlicht, was Unternehmen reichlich wenig Zeit zur Umsetzung lässt.
Falls Sie sich mit uns fragen, wie viel Aufmerksamkeit DORA „wirklich“ braucht und was vielleicht „zu viel des Guten“ ist, schauen Sie in die ausführliche Analyse unserer Kollegen. 

https://www.kes-informationssicherheit.de/print/titelthema-cnapp-das-unbekannte-wesen/findet-dora/

Déjà-vu? Angriffe auf Krankenhäuser: A Never Ending Story

Ein Hackerangriff hat die IT-Systeme von acht Kliniken der Johannesstift Diakonie in Berlin lahmgelegt. Die Angreifenden verschlüsselten kritische Daten von Patienten sowie OP- und Dienstpläne und forderten vier Millionen Euro in Bitcoin für die Entschlüsselung. Infolge des Angriffs waren die digitalen Systeme der Kliniken ausgefallen, der medizinische Betrieb folglich stark beeinträchtigt.

Obwohl das Klinikmanagement mit Notfallkonzepten reagierte, erlebten Patienten eine Rückkehr in längst vergangene Zeiten. Die Rettungsstellen wurden zeitweise geschlossen, viele Abläufe manuell erledigt: So wurden beispielsweise die Laborergebnisse wieder per Fax übermittelt und die Belegungen der OP-Säle nach alter Manier auf Papier organisiert. Die Situation erinnert daran, wie unverzichtbar digitale Systeme geworden sind, und wie verletzlich sie in den Händen von Cyberkriminellen sein können. Dank des Einsatzes bestehender Notfallpläne konnte aber der Klinikbetrieb weitgehend aufrechterhalten werden.

Dieser Vorfall zeigt (mal wieder), wie essenziell Resilienz und Krisenvorbereitung besonders für kritische Infrastrukturen wie das Gesundheitswesen sind. BCM-Strategien und bedrohungsorientierte Notfallpläne können die Widerstandsfähigkeit jeder Organisation erhöhen und dabei helfen, auch in Krisensituationen handlungsfähig zu bleiben. 

https://www.bz-berlin.de/berlin/hacker-fordern-vier-millionen-euro

Cyberattacke legt größten börsennotierten Wasserdienstleister der USA lahm

Am 3. Oktober entdeckte die American Water Company, die über 14 Millionen Menschen in den USA mit Wasser versorgt, verdächtige Aktivitäten in ihren Netzwerken. Der Worst-Case blieb natürlich nicht aus: Der anschließende Cyberangriff zwang das Unternehmen, zahlreiche Systeme und Services offline zu nehmen. Die Website des Unternehmens war zeitlich unerreichbar, ebenso wie das Kundenportal MyWater. Selbst das Telekommunikationssystem am Hauptsitz in Camden, New Jersey, war vom Angriff betroffen. Trotz der Schwere des Angriffs konnten die Wasser- und Abwasserversorgungseinrichtungen ohne Unterbrechung weiterarbeiten – ein Glück im Unglück.

Angriffe auf kritische Infrastrukturen gehören mittlerweile zum (traurigen) Alltag. Auch die USA bleiben von diesem besorgniserregenden Trend nicht verschont: Der prominente Ransomware-Angriff auf die Colonial Pipeline im Mai 2021 oder der Vorfall an einer Wasseraufbereitungsanlage in Florida, bei dem die Wasserversorgung fast vergiftet wurde, sind nur einige Beispiele. Obwohl US-Behörden verstärkte Maßnahmen zur Cybersicherheit bei Wasserwerken geplant hatten, wurden diese im vergangenen Jahr aufgrund rechtlicher Streitigkeiten wieder zurückgefahren.

Der Schutz kritischer Infrastrukturen ist heute keine Option mehr, sondern eine Notwendigkeit, um Versorgungssicherheit und öffentliche Gesundheit zu gewährleisten. In Europa greifen zunehmend gesetzliche Vorschriften, die eine angemessene Vorbereitung auf Krisensituationen und Cyberangriffe verlangen. Doch letztlich liegt es an den Unternehmen selbst, ihre Resilienz weiter zu stärken. Für KRITIS-Betreiber sollte das Motto lauten: Mehr und regelmäßiger ist besser – denn wann der nächste Ernstfall eintritt, ist unklar. Nur eines ist sicher: Er wird kommen.

https://www.darkreading.com/cyberattacks-data-breaches/american-water-network-disruptions-cyberattack

Cyberangriff auf Bayerische Schulen – Hacker im Klassenzimmer

In Bayern macht sich die digitale Revolution mal wieder auf ganz eigene Weise bemerkbar – dieses Mal durch einen Ransomware-Angriff, der sieben Schulen im Landkreis Kitzingen in digitale Knie zwingt. Im Oktober verschafften sich Hacker Zugriff zu den IT-Systemen der betroffenen Schulen, wobei es auch gelang, die Daten einer Einrichtung zu stehlen. Da es sich hierbei um persönliche Informationen der Schüler und Schülerinnen handelt, wartet die Schulgemeinde aktuell noch angespannt, ob diese im Internet verbreitet werden. Offiziell verkündet das Landratsamt: Bislang wurden keine Daten veröffentlicht. Einige Schüler dürften also aufatmen: Ihre Noten bleiben zumindest bis zum nächsten Elternsprechtag geheim. 

Dennoch kämpft die Schulverwaltung mit massiven Einschränkungen. Die „Notfall-IT“ arbeitet an der Wiederherstellung der Systeme, während die Sicherheitsmaßnahmen merklich aufgestockt werden – so „dürfen“ nun auch Lehrende Multifaktor-authentifizieren, bevor sie ihre E-Mails checken. Inmitten des Chaos müssen die Kinder aber weiterhin getrost die Schulbank drücken – der Unterricht ist durch den Angriff nicht eingeschränkt. Vielleicht ist das der Grund, warum das Kultusministerium auch im Jahr 2024 an jahrzehntealten Overhead-Projektoren festhält. Wahrscheinlich hoffen die Jugendlichen insgeheim, die Hacker könnten wenigstens ihre Zeugnisse aufhübschen – etwas mehr Glanz in der Notenspalte, vielleicht noch ein paar Bonuspunkte? Verübeln kann man es Ihnen nicht.