Top Themen: Drohender Gasmangel: Wie sich die Industrie vorbereitet | Immer teurer: Kosten für Ransomware-Bewältigung enorm gestiegen | Szenario Blackout: Neue Publikation bietet interdisziplinäre Einsichten | Hochwasserrisiken: Appell zur Neubewertung angesichts der Klimakrise | Dienstleisterausfall: Weitreichende Kaskadeneffekte im Rhein-Main-Gebiet
Vorwort
Während vielerorts in Europa derzeit sommerliche Urlaubsstimmung Einzug hält, setzt der regulatorische Tatendrang in Sachen Cybersicherheit auf nationaler wie internationaler Ebene angesichts der andauernden geopolitischen Verwerfungen nicht aus. Auch im Hinblick auf die kalte Jahreszeit versuchen Politik und Wirtschaft zurzeit die richtigen Stellschrauben zu finden, um eine mögliche Gasmangellage abzuwenden. Zudem werden auch Folgewirkungen von möglichen politisch motivierten Cyberattacken, wie etwa ein Blackout, seitens Fachexperten in einer neuen Publikation aufgearbeitet. Für das BCM-Umfeld heißt es daher: Business Impact Analysen, Notfallmaßnahmen und -pläne sollten kontinuierlich auf die neue Gemengelage angepasst und aktualisiert werden.
Neuigkeiten und Wissenswertes
Alarmstufe Gas: Was die Industrie derzeit tut und wie das BCM helfen kann
Mit Ausrufen der zweiten Stufe des Notfallplans Gas spitzt sich die Versorgungslage aufgrund gedrosselter Erdgaslieferungen aus Russland weiter zu. Bundeswirtschaftsminister Habeck betonte jedoch, dass auch in der jetzigen „Alarmstufe“ Rationierungen für die Industrie nicht vorgesehen sind. Alle Maßnahmen arbeiten daraufhin, die „Marktkräfte soweit wie möglich wirksam zu halten“. Erst ab der dritten Stufe, der sogenannten „Notfallstufe“, obliegt der Bundesnetzagentur die Hoheit über eine notwendige Versorgungsverteilung zu Lasten der Industrie, um Privathaushalte und kritische Infrastrukturen weiter mit Erdgas zu beliefern.
Angesichts des bevorstehenden Winters und einer weiterhin unberechenbaren Haltung Russlands bereiten sich Unternehmen daher bereits jetzt auf einen möglichen Lieferstopp vor. So eruieren beispielsweise Pharma- und Chemiekonzerne wie Merck derzeit, wie Produktionsprozesse auf andere Ressourcen wie z. B. Biomethan umgestellt werden können. Aber auch Unternehmen, die Erdgas lediglich zur Beheizung ihrer Räumlichkeiten nutzen, suchen derzeit nach Umstellmöglichkeiten und alternativen Quellen zur Energiegewinnung. Derweil zeigt das Beispiel der Milchwerke Berchtesgadener Land, wie eine Notfallplanung für KMU aussehen könnte: Bei einem leichtverderblichen Produkt wie Milch darf der Produktionszyklus aufgrund eines potenziellen Gasmangels nicht stehen bleiben, weshalb zusätzlich Heizölvorräte aufgebaut werden, die ein eigens beschaffener LKW regelmäßig anliefert.
Alle Maßnahmen und Planungen setzen jedoch voraus, dass man seine Abhängigkeit von Erdgas zuvor systematisch erfasst und potenzielle Auswirkungen bei dessen Ausfall bewertet hat. Hierbei kann aus BCM-Sicht die Business Impact Analyse als Unterstützung dienen, um zu erheben, welche Versorgungsanforderungen bestehen. Die Methodik erlaubt es im Anschluss entsprechende Anforderungen an die Geschäftsprozesse zu verknüpfen und schafft damit die nötige Transparenz in Vorbereitung auf mögliche Gasmangellagen. Zudem sollte geprüft werden, welche Bereiche unbedingt mit Gas versorgt werden müssen und wo eventuell umgestellt werden kann. Auch die Kommunikation und Abstimmung mit den kritischen Lieferanten sollte nicht außen vor gelassen werden, um rechtzeitig auf einen möglichen Ausfall reagieren zu können.
www.handelsblatt.com/dpa/wirtschaft-prognos-studie-bei-gaslieferstopp-tiefe-rezession-in-deutschland/28461454.html (Beitrag offline)
https://lebensmittelpraxis.de/industrie-aktuell/34322-energie-engpass-molkerei-bereitet-sich-auf-gas-stopp-vor.html
https://www.produktion.de/schwerpunkte/industrie-politik/so-ruestet-sich-die-industrie-fuer-einen-gasstopp-957.html
Mehr digitale operationale Resilienz bei Versicherern notwendig
Dr. Frank Grund, Exekutivdirektor der Versicherungs- und Pensionsfondsaufsicht der BaFin, fordert mehr Resilienz in der IT‑Sicherheit bei Versicherern und Einrichtungen der betrieblichen Altersversorgung (EbAVs). Er macht auf die entstehenden Risiken aufmerksam, die im Zuge der Digitalisierung entstehen und Risiken für die Informationssicherheit bergen. Er verweist dabei auf die im März 2022 überarbeiteten Versicherungsaufsichtlichen Anforderungen (VAIT), in denen Ergänzungen zu Themen der „Operativen Informationssicherheit“ und „IT-Notfallmanagement“ hinzukamen. Durch ein neu geschaffenes Referat zur IT‑Prüfung wird die BaFin ihren aufsichtlichen Schwerpunkt vermehrt auf diese Bereiche setzen. Auch vor dem Hintergrund zunehmender Cyberrisiken ist daher ein etabliertes IT-Notfallmanagement ein wichtiger Baustein beim Aufbau digitaler operationaler Resilienz.
Kosten für Ransomware-Angriffe explodieren
Der Branchenverband Bitkom hat Schadenszahlen zu Ransomware zusammengetragen: Von 2019 bis Ende 2021 stiegen diese um 358 (!) Prozent. Der Anteil der Lösegeldzahlungen an den Gesamtkosten ist dabei noch gering. Der größte Posten bildet nach wie vor die Kosten für Ausfallzeiten und Wiederherstellung. Die Kosten für eine durchschnittliche Ausfallzeit aufgrund eines Ransomware-Angriffs können bis zu 250.000 Euro betragen, was um einiges mehr ist als die durchschnittliche Lösegeldforderung. Unumgänglich ist daher das regelmäßige Üben und Testen von erstellten Notfallplänen, welche sich als eine wirksame Maßnahme zur Reduzierung von Wiederherstellungskosten bewährt hat.
Sophos-Bericht
Im Zusammenhang mit explodierenden Kosten für Ransomware-Angriffe stellt der Sophos-Bericht 2022 fest, dass die Branchen mit der niedrigsten Erstattungsrate beim Lösegeld diejenigen sind, die ein BCM samt Notfallplanung implementiert haben und sich somit schneller von einem Vorfall erholen können als andere. Das hebt wiederholt die Bedeutung einer funktionierenden Geschäftsfortführungsplanung hervor, die Wiederanlauf- und Wiederherstellungspläne miteinschließt.
https://www.sophos.com/de-de/whitepaper/state-of-ransomware (Beitrag aktualisiert)
Neuer Blackout Fachbericht
Über 20 Expertinnen und Experten aus Kommunen, Behörden und der Wirtschaft beleuchten in diesem neuen Fachbericht die vielschichtigen Risiken und Auswirkungen eines großflächigen Stromausfalls („Blackout“). Die interdisziplinäre Betrachtungsweise trägt erstmalig die unterschiedlichen Perspektiven zusammen und beschreibt zudem, wie effektive Blackout-Vorsorge in der Praxis für die verschiedenen Akteure aussehen kann.
https://www.boorberg.de/bund/9783415071940+Haacke+%26middot%3B+Endre%C3%9F+Risiko+Blackout#
Blackout-Prävention in der Praxis: Spar macht es vor
Die österreichische Handelskette Spar bereitet sich derweil schon jetzt ganz pragmatisch auf einen möglichen großflächigen Stromausfall vor, der auch ihre Filialen betreffen könnte. Durch Sensibilisierungsmaßnahmen und der Überarbeitung ihrer unternehmerischen Sicherheitsgrundsätze schafft der Supermarktkonzern bereits jetzt einen Handlungsrahmen für den Krisenfall.
https://vorarlberg.orf.at/stories/3164439/
Barometer zeigt: Thema BCM wird immer wichtiger
Das jüngste branchenübergreifende BCM-Barometer macht auch im siebten Jahr infolge deutlich: Die Bedeutung des Business Continuity Managements nimmt weiter zu. Das zeigt sich u. a. auch an der Ressourcenfrage: rund 66 Prozent der Befragten gaben an, dass die Tätigkeiten einer Business Continuity Managerin oder eines Managers mittlerweile eine Vollzeitstelle ausfüllen. Bei der Implementierung von BCM-Systemen gaben die Organisationen an, sich nach wie vor an etablierten Standards wie der ISO 22301 oder dem BSI 100‑4 auszurichten. Sobald der neu entwickelte BSI-Standard 200‑4 seine Kommentierungsphase durchlaufen hat, wird dieser künftig ein weiteres, einsteigerfreundliches Referenzwerk zum Aufbau von BCM-Systemen darstellen.
www.3grc.de/bcm/bcm-barometer-veroeffentlicht/ (Beitrag offline)
Studie: Hochwasser oftmals unterschätztes Risiko
Forschende der Universität Wisconsin-Madison und der Colorado State University legen nahe, dass derzeitige Methoden zur Berechnung von Hochwasserrisiken überholungsbedürftig sind. Kalkulationen zur Häufigkeit und dem Auftreten von Hochwasserfluten basieren demnach auf historischen Daten, deren Aussagekraft zum Teil infrage gestellt werden. Viel wichtiger sei es daher, die Abläufe des Wasserzyklus wissenschaftlich zu durchdringen, um somit präzisere Prognosen treffen zu können. Ungeachtet dessen und angesichts der sich häufenden Extremwetterereignisse aufgrund des Klimawandels, sollten im Rahmen der BCM-Risikoanalyse und Notfallplanung Hochwasserrisiken entsprechend berücksichtigt werden.
https://agupubs.onlinelibrary.wiley.com/doi/10.1029/2022GL098855
Bericht zur operationellen Resilienz veröffentlicht
Im neusten Operational Resilience Report 2022 fasst das BCI den Status Quo und absehbare Trends zur operationellen Resilienz in Organisationen zusammen. Auffällig hierbei: Vielen der Befragten scheint die Abgrenzung zum BCM noch unklar zu sein, denn 17,1 Prozent halten Projekte und Managementsysteme zur operationellen Resilienz für überflüssig, sofern ein funktionsfähiges BCM etabliert ist.
https://www.thebci.org/news/bci-operational-resilience-report-2022.html
Standards, Richtlinien und Regulatorisches
Cyber-Resilienz in der EU: neue Forderungen aus Politik und Wirtschaft
In Anbetracht des anhaltenden Ukraine-Krieges und der geopolitischen Spannungen zu Russland gibt es neue Stimmen, die ein noch rascheres Handeln beim Thema Cybersicherheit fordern. Sowohl auf europäischer als auch auf nationaler Ebene muss eine Modernisierung der Cybersicherheits-architektur stattfinden, die mit deutlichen Investitionen und mehr Befugnissen für die Sicherheitsbehörden einhergehen muss. Auch Vertretende der Wirtschaft appellieren für eine beschleunigte Umsetzung von umfassenden IT-Sicherheitsmaßnahmen im Sinne der nationalen Sicherheit. Konkret fordert der Bundesverband IT-Sicherheit (TeleTrusT) eine „pragmatische, unbürokratische Unterstützung […] der KMUs bei der Bewältigung der IT‑Sicherheitslage“. Hierbei können der Aufbau von BCM- und ITSCM-Strukturen ein hilfreiches Grundgerüst bilden.
https://www.security-insider.de/cyber-resilienz-in-der-eu-a-007143244429d9ae2b11afd5c7e7bef1/
Aktuelle BCM-Schadensereignisse
Hackerangriff auf Energieversorger Entega sorgt für Kaskadeneffekte
Eine Cyberattacke auf den Darmstädter Energieversorger Entega verursachte spürbare Beeinträchtigungen von IT‑Systemen im gesamten Rhein-Main-Gebiet. Obwohl der Angriff ursprünglich auf den IT‑Dienstleister und Entega Tochterunternehmen Count + Care abzielte, waren ebenfalls andere Kunden betroffen. Neben mehreren kommunalen Unternehmen wie den Mainzer Stadtwerken und der Frankfurter Entsorgungs- und Service-Gruppe (FES) meldeten auch mehrere Gemeinden im Odenwald Probleme mit der Verfügbarkeit ihrer Dienstleistungen im Internet. Zwar war in diesem Fall zu keinem Zeitpunkt die Versorgung mit Strom, Gas oder Wasser gefährdet, dennoch waren einige Dienste der betroffenen Stellen nicht mehr verfügbar. Dieser Vorfall zeigt einmal mehr, wie wichtig es ist, den Ausfall eines kritischen Dienstleisters in der Notfallplanung zu berücksichtigen.
IT des Verpflegungsanbieters Apetito durch Cyberangriff lahmgelegt
Der auf Belieferung von Speisen an Seniorenheime, Schulen und Kliniken spezialisierte Großkonzern mit einem Jahresumsatz von mehr als einer Milliarde Euro wurde Ende Juni Opfer eines Cyberangriffs. Zwar konnten Essensauslieferungen in der ersten Woche noch sichergestellt werden, aber der IT-gestützte Online-Bestellprozess ist seitdem nicht mehr verfügbar und muss übergangsweise per Hand erfolgen. Auch Telefon und E-Mail seien anfangs nicht verfügbar gewesen, was die Kommunikation mit Bestellenden zusätzlich erschwerte.
www.tagesschau.de/wirtschaft/unternehmen/cyberangriff-apetito-essenslieferungen-101.html (Beitrag offline)
IT-Störung legt Schweizer Flugsicherung lahm und sperrt zeitweise Luftraum
Wie folgenreich eine IT‑Störung in einem hochtechnologisierten Bereich wie der Flugsicherung sein kann, zeigte sich im vergangenen Juni in der Schweiz. Aufgrund eines Hardwareproblems im IT‑Netzwerk der Schweizer Flugsicherung wurde aus Sicherheitsgründen der gesamte Luftraum der Eidgenossen zeitweise gesperrt – mit erheblichen Auswirkungen: Weder Ankünfte noch Überflüge waren während der morgendlichen Rush Hour möglich, sie fielen aus oder mussten umgeleitet werden.
Tagelanger Ausfall des Verifone-Kartenterminals: Erste Zahlen bekannt
Eine vom Handelsverband Deutschland (HDE) aufgegebene Umfrage zeigt, dass aufgrund des Ausfalls des noch weitverbreiteten Zahlungsterminals H5000 des Herstellers Verifone drei Viertel der befragten Unternehmen über Umsatzausfälle klagten. HDE-Chef Stefan Genth fordert daher eine transparente Aufarbeitung der Ursachen und die Implementierung von Notfallsystemen, um einen derartigen Komplettausfall zukünftig zu vermeiden. Als Unternehmen, die solche Zahlungssysteme nutzt, stellt sich die Frage, ob man für den Ausfall eines solch kritischen Dienstleisters bereits entsprechende Notfallmaßnahmen im Rahmen des BCM formuliert hat oder nicht.
Die nächsten HiSolutions BCM-News erscheinen Mitte September 2022!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!