Informationssicherheit
Erfahren Sie alles über IT-Notfallmanagement nach BSI und ISO: Strategien zur Erkennung, Reaktion und Sicherstellung der Geschäftskontinuität bei IT-Notfällen.
Zum Blog Wissen kompakt
Die digitale Transformation hat die Geschäftswelt grundlegend verändert. Informationstechnologie ist heute das zentrale Nervensystem vieler Unternehmen. Störungen können ihre Handlungsfähigkeit aber massiv beeinträchtigen und schlimmstenfalls sogar die Existenz eines Betriebs gefährden. Ein durchdachtes Notfallmanagement ist daher keine Option mehr.
Wir haben uns mit Dr. Christoph Thiel, freier Berater im Bereich Informationssicherheit, daher über folgende Themen unterhalten:
Das IT-Notfallmanagement ist ein zentraler Bestandteil des Business Continuity Managements (BCM). Während das BCM auf die Wiederherstellung des gesamten Geschäftsbetriebs zielt, fokussiert sich das IT-Notfallmanagement auf zeitkritische Systeme und Daten. „Es handelt sich um ein geplantes Vorgehen, um die Widerstandsfähigkeit dieser Systeme zu erhöhen und im Ernstfall den Betrieb schnell wiederherzustellen“, erläutert Dr. Christoph Thiel.
Ein funktionierendes IT-Notfallmanagement ist entscheidend für die Geschäftskontinuität: Ausfälle können nicht nur hohe finanzielle Schäden verursachen, sondern auch Vertrauen und Reputation gefährden. Professionell bewältigte Notfälle hingegen stärken das Ansehen bei Kund:innen und Partner:innen. Organisationen und Betreiber kritischer Infrastrukturen wie Energieversorgung, Finanzwesen oder Transport sind zudem gesetzlich zu umfassenden Maßnahmen verpflichtet.
Schäden können sowohl durch interne Fehler und Nachlässigkeiten als auch durch externe Angriffe entstehen. Häufige Vorfälle sind:
Unternehmen sollten die Folgen solcher Ereignisse nicht unterschätzen: Während manche nur kleinere Störungen verursachen, können andere existenzbedrohend sein.
Der Schutz vor diesen IT-Risiken ist herausfordernd. Standards wie der BSI-Standard 200-4 oder die ISO 22301 unterstützen Unternehmen dabei, ihre Business-Continuity-Strategien zu strukturieren. Welcher Standard passt, hängt von den jeweiligen Zielen und Anforderungen ab.
Beide verfolgen dasselbe Ziel: die Resilienz von Organisationen zu stärken und die Auswirkungen von Störungen zu minimieren. Sie betonen systematische Planung, Dokumentation, Tests und kontinuierliche Verbesserungen – bekannt aus dem PDCA-Zyklus für das Lernen und die Optimierung innerhalb einer Organisation.
Die ISO 22301:2019 ist der weltweit anerkannte Standard für Business-Continuity-Management-Systeme (BCMS) und ist unabhängig von der Größe, Art oder Branche einsetzbar. „Ein wesentlicher Vorteil ist ihre Zertifizierbarkeit, die Vertrauen schafft und die Wettbewerbsfähigkeit stärkt“, erklärt Dr. Christoph Thiel. Zur besseren Kombinierbarkeit mit anderen Managementsystemen wie der ISO 27001 folgt die Norm der Harmonised Structure (HS), die für eine einheitliche Grundstruktur für integrierte Managementsysteme sorgt. Die ISO 22301 eignet sich besonders für international agierende Unternehmen oder Organisationen, die bereits ISO-Managementsysteme nutzen.
Zentrale Anforderungen umfassen:
Kontextanalyse: interne/externe Faktoren und Stakeholder-Erwartungen, um den Geltungsbereich und die spezifischen Anforderungen des Managementsystems zu bestimmen
Der BSI-Standard 200-4 ist ein praxisnaher Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Aufbau und zur Weiterentwicklung des Business Continuity Managements. Als Nachfolger des BSI-Standards 100-4 bietet dieser eine flexiblere Struktur für aktuelle Bedrohungsszenarien.
„Ein Alleinstellungsmerkmal ist das dreistufige Modell – Reaktiv-, Aufbau- und Standard-BCMS –, das eine schrittweise Anpassung an Ressourcen und Reifegrad ermöglicht. Zudem betont der BSI 200-4 die Integration von BCM, Informationssicherheit und Krisenmanagement“, so Dr. Christoph Thiel.
Der Standard selbst ist nicht zertifizierbar, doch ein vollständig implementiertes Standard-BCMS erfüllt die Anforderungen der ISO 22301 und schafft damit die Zertifizierungsreife. Besonders nützlich ist er für deutsche Organisationen, KMU, Behörden und kritische Infrastrukturen, die einen praxisnahen Leitfaden sowie ein Sprungbrett zur ISO 22301 suchen.
Neben BSI- und ISO-Standards beeinflussen auch andere Frameworks und gesetzliche Vorgaben das IT-Notfallmanagement und BCM. „Die zunehmende Dichte an Richtlinien und Gesetzen wie NIS2 und CER macht das Business Continuity Management von einer Best Practice oder bewährten Praxis zu einer Compliance-Notwendigkeit. Ein BCM muss nahtlos in andere Managementsysteme integriert werden, um eine kohärente und effiziente Resilienzstrategie zu gewährleisten“, erläutert Dr. Christoph Thiel.
ITIL ist ein weltweit anerkanntes Framework für IT Service Management (ITSM). Ein zentraler Bestandteil ist das IT Service Continuity Management (ITSCM), das durch die Planung, Risikoanalysen und Wiederherstellungsstrategien die Serviceverfügbarkeit sicherstellt. Es unterstützt das übergeordnete BCM mit Prozessen für Prävention, Reaktion, Wiederherstellung und kontinuierliches Lernen aus Störungen.
Der internationale Standard für ICT Readiness for Business Continuity (IRBC) bietet spezifische Leitlinien zur Sicherstellung der Geschäftskontinuität. Er unterstützt IT- und BCM-Expert:innen bei der Planung von Kontinuität und Wiederherstellung der IT innerhalb eines BCMS. Die Norm hilft, Anforderungen an die Informations- und Kommunikationstechnologie (IKT) zu bestimmen sowie Strategien zur Risikoreduktion, Reaktion und Wiederherstellung umzusetzen. Wie die ISO 22301 nutzt sie den PDCA-Zyklus und ergänzt diesen gezielt in einem IKT-Kontext.
COBIT ist ein Framework für IT-Governance und -Management, das IT- und Geschäftsziele aufeinander abstimmt sowie ITIL durch Kontrollmechanismen und Risikomanagement ersetzt.
Das NIST Cybersecurity Framework unterstützt Organisationen beim Verstehen und Verbessern ihres Cyber-Risikomanagements. Es umfasst fünf Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Ein wirksames BCM-Programm kann alle diese Bereiche abdecken.
Das aktualisierte EU-Rahmenwerk für Cybersicherheit erweitert den Geltungsbereich auf mehr Sektoren und Unternehmen. Es schreibt strengere Vorgaben für Risikomanagement, Vorfallmeldungen und Mindeststandards vor. Der „All Hazards“-Ansatz verlangt die Vorbereitung auf ein breites Spektrum von Bedrohungen, zudem sieht die Richtlinie eine persönliche Haftung der Geschäftsleitung vor.
Die CER-Richtlinie stärkt die Widerstandsfähigkeit kritischer Entitäten gegenüber Risiken, die die Bereitstellung wesentlicher Dienste gefährden. Im Gegensatz zu NIS2, das sich auf Cyber-Risiken fokussiert, adressiert CER alle Gefahren für physische Infrastrukturen.
Die BaFin-Verwaltungsvorschriften definieren die Mindestanforderungen an das Risikomanagement von Finanzinstituten in Deutschland. Sie verpflichten die Institute, alle relevanten Risiken – einschließlich operationeller und IT-Risiken – zu bewerten und zu steuern.
Das Kompendium bietet praxisnahe Bausteine für Informationssicherheits-, Notfall- und Risikomanagement und eignet sich besonders für deutsche Organisationen.
Ein wirksames IT-Notfallmanagement gliedert sich in drei Phasen: Vorbereitung, akute Reaktion und Nachbereitung.
Ein wirksames IT-Notfallmanagement erfordert eine strukturierte Einführung. Wichtige Schritte sind:
1. Management-Engagement: Strategische Ziele festlegen und Ressourcen bereitstellen
2. Kontextanalyse: Definition der einzubeziehenden Geltungsbereiche, Prozesse und Systeme sowie Analyse interner und externer Faktoren
3. BIA- und Risikoanalyse: Identifizierung kritischer Prozesse, Bewertung von Abhängigkeiten und Risiken, Festlegung von RTO/RPO
4. Leitlinie: Organisatorische Rahmenbedingung feststecken, Rollen und Verantwortlichkeiten verteilen
5. Notfallorganisation (BAO): Aufbau von Krisenstab und Notfallteams
Betriebe oder KMU, die keine entsprechende interne Expertise besitzen, können von externer Unterstützung profitieren. Folgende Anlaufstellen bieten Hilfestellung:
· Berater:innen: Unterstützung bei der Implementierung, Business-Impact-Analysen und Notfallplänen
· IT-Dienstleister: Back-up-Lösungen und Disaster Recovery as a Service (DRaaS) – Sicherung essenzieller Daten und IT-Infrastruktur in einer Cloud-Computing-Umgebung eines Drittanbieters
· Zertifizierungsstellen: Audits und ISO-22301-Zertifizierungen
· Softwarelösungen: Automatisierung, Dokumentation und Risikomanagement
· Behörden und Initiativen: z. B. BSI (Allianz für Cyber-Sicherheit) und „Mittelstand Digital“.
Zentrale Rollen übernehmen BCM-Praktiker:innen. Sie koordinieren alle BCM-Aktivitäten und verantworten den Aufbau, die Aufrechterhaltung bzw. Pflege aller BCM-Aktivitäten. Darüber hinaus fallen die Dokumentation, Schulungen, Überwachung und kontinuierliche Verbesserung des Business Continuity Managements in ihren Aufgabenbereich. Letztendlich sind sie Ansprechpartner:innen für alle BCM-Fragen.
Weitere Schlüsselrollen sind:
· Krisenstab/Notfallstab: Strategische Leitung und Gesamtverantwortung für die Krisenbewältigung
· Notfallkoordination: Lokale Steuerung in den Fachbereichen, Informationsweitergabe und Kontrolle über die Umsetzung der Maßnahmen
· IT-Notfallteams: Wiederanlauf und Wiederherstellung betroffener IT-Systeme und -Anwendungen
· IT-Sicherheitsbeauftragte: Prävention und Risikoidentifizierung in enger Zusammenarbeit mit den Notfallbeauftragten
· Geschäftsführung: Gesamtverantwortung sowie aktive Einbindung in die BCMS-Planung und Überprüfung
Zielführend ist eine klare Festlegung dieser Verantwortlichkeiten z. B. in unternehmensinternen Rollenbeschreibungen oder einer übersichtlichen Darstellung in einer RACI-Matrize
Mit neuen Technologien wie Künstlicher Intelligenz entstehen sowohl Risiken als auch Chancen für das IT-Notfallmanagement.
Wenn es um KI geht, stehen auf der Bedrohungsseite automatisierte Cyberangriffe, Verfälschungen von Trainingsdaten („Data Poisoning“), Angriffe auf bereits trainierte Modelle („Evasion Attacks“) oder Social Engineering zur Täuschung und Beeinflussung von Mitarbeitenden. Möglich sind auch Deepfake-Angriffe, bei denen gefälschte Stimmen, Texte, Bilder oder Videos zur gezielten Manipulation eingesetzt werden. Auch das sogenannte „Black Box“-Problem und die damit einhergehende Undurchsichtigkeit bei der Entscheidungsfindung dieser Modelle sowie voreingenommene Trainingsdaten (Bias) können zu Fehlentscheidungen führen. Unternehmen, die stark von KI-Systemen abhängen, sind besonders anfällig.
Gleichzeitig bietet KI enorme Möglichkeiten: Durch die Echtzeitanalyse großer Datenmengen lassen sich Bedrohungen schneller erkennen, Katastrophen präventiv vorhersagen und Ressourcen effizienter einsetzen. KI kann zudem Falschinformationen identifizieren, Kommunikation beschleunigen und realistische Trainingssimulationen ermöglichen. „Das IT-Notfallmanagement muss KI-Systeme schützen – und KI zugleich als Werkzeug nutzen“, betont Dr. Christoph Thiel.
Quantencomputer sind noch nicht marktreif, können aber in Zukunft klassische Verschlüsselungsverfahren wie RSA und ECC knacken. „Harvest now, decrypt later“-Angriffe, bei denen verschlüsselte Daten heute gesammelt und später entschlüsselt werden, gelten jetzt schon als reale Bedrohung. Weitere Risiken betreffen digitale Signaturen und kritische Infrastrukturen. Praktische, fehlerresistente Quantencomputer werden jedoch erst gegen Ende des Jahrzehnts erwartet.
Unternehmen sollten sich jedoch vorbereiten, etwa durch den Einsatz quantenresistenter Algorithmen (Post-Quantum Cryptography, PQC). Wahrscheinlich wird der Übergang zunächst über Hybridansätze erfolgen, die klassische und quantensichere Verfahren kombinieren. Auch hier gibt es Chancen: Quantencomputing könnte Cyberangriffe schneller aufdecken und mit Quanten-Schlüsselverteilung (QKD) extrem sichere Kommunikationsnetze ermöglichen: „Das IT-Notfallmanagement muss sich stetig weiterentwickeln und neue Technologien frühzeitig in Risikoanalysen und Strategien einbeziehen“, rät der Experte.
„IT-Notfallmanagement ist ein strategischer Prozess, der die Widerstandsfähigkeit eines Unternehmens sichert. Ein Ausfall kann die Existenz bedrohen, Vertrauen untergraben und rechtliche Konsequenzen nach sich ziehen. KI und Quantencomputing bringen neue Herausforderungen und Chancen mit sich“, erklärt Dr. Christoph Thiel. Ob BSI 200-4 oder ISO 22301, die Wahl des richtigen Resilienzrahmens hängt von den Bedürfnissen des jeweiligen Unternehmens ab, beide seien jedoch lebendige Leitlinien. Zugleich machen gesetzliche Vorgaben wie NIS2 und CER das Notfallmanagement zu einer rechtlichen Verpflichtung.
Unternehmen sollten deshalb in Maßnahmen und Notfallpläne investieren, diese regelmäßig testen und simulieren sowie Ressourcen und Abhängigkeiten ganzheitlich betrachten. In einer dynamischen IT-Welt ist außerdem kontinuierliche Anpassung unverzichtbar. Externe Expert:innen, Berater:innern oder Dienstleister:innen können dabei unterstützen. „Ein robustes IT-Notfallmanagement ist eine Investition in die Zukunft und die Stabilität. Es ist ein Kompass, der Unternehmen sicher durch stürmische Zeiten navigiert“, fasst der Experte abschließend zusammen.
Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.
Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.
Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.
