BSI-Standard 100-4: Notfallmanagement Version 1.0                                                Kapitel 5 sein, dass gegen die zugrunde liegende Gefährdung keine wirksamen Gegenmaßnahmen bekannt sind oder dass die Gesamtkosten für wirksame Gegenmaßnahmen den zu schützenden Wert überschreiten. Risikotransfer Bei einem Risikotransfer wird das Risiko auf eine andere Institution übertragen. Das kann beispiels- weise durch das Abschließen einer Versicherung erfolgen oder durch Outsourcing. Durch das Ab- schließen einer Versicherung kann der direkte finanzielle Schaden gesenkt werden, da entstehende Schäden ganz oder zumindest teilweise ersetzt werden (z. B. bei Feuer, Wasser oder Diebstahl). Nicht ersetzt werden in der Regel jedoch die Folgeschäden, die direkt oder indirekt durch den Ausfall der betroffenen Geschäftsprozesse entstehen. Dies betrifft insbesondere Imageschäden. Bei Abschluss einer Versicherung sollten die besonderen Rahmenbedingungen und etwaige Ausschlussklauseln berücksichtigt werden. Zu beachten ist auch, dass eventuell eine längere Zeitspanne finanziell überbrückt werden muss, bis die Versicherung den Schaden ersetzt. Eine andere Möglichkeit des Risikotransfers ist das Outsourcing des betroffenen (Teil-)Geschäfts- prozesses. Dies ist beispielsweise dann sinnvoll, wenn der Outsourcing-Partner aus wirtschaftlichen oder technischen Gründen eher in der Lage ist, mit dem Risiko umzugehen. Hierbei ist zu beachten, dass Teilrisiken, wie die Rufschädigung und die Einschränkung der Handlungsfähigkeit durch abhängige Prozesse, weiterhin bei der eigenen Institution verbleiben. Außerdem entstehen zusätzliche Risiken durch die neue Abhängigkeit vom beauftragten Dienstleister. Risikovermeidung Besitzt ein Geschäftsprozess aufgrund spezieller Abläufe eine hohe Kritikalität, kann es auch eine geeignete Strategie sein, die Prozessabläufe oder die Umgebungsbedingungen so zu verändern, dass die entsprechende Gefährdung nicht mehr relevant ist. Wenn ein Geschäftsprozess aufgrund des identifizierten Risikos für die Institution nicht weiter tragbar ist, kann es sogar notwendig sein, diesen Prozess einzustellen und durch einen vollständig neuen Prozess zu ersetzen. Risikovermeidung bedeutet immer, dass die Eintrittswahrscheinlichkeit oder das Schadensausmaß des jeweils betrachteten Risikos auf Null reduziert wird. Risikoreduktion Die am häufigsten gewählte Strategieoption ist die Risikoreduktion, bei der die Eintrittswahrschein- lichkeit oder die Schadenshöhe vermindert wird. Dies kann durch die Umsetzung von Maßnahmen oder durch die Modifikation des Prozessablaufes erfolgen. Eine sehr hohe Konzentration von Risiken wird beispielsweise durch die Zentralisierung von Geschäftsprozessen in einem Rechenzentrum erzeugt, wie dies heute von vielen Institutionen praktiziert wird. Dem Gewinn durch die damit verbundenen Kosteneinsparungen ist jedoch das höhere Risiko entgegenzusetzen. Eine Maßnahme zur Risikoreduktion kann somit in einer geringeren Zentralisierung bzw. in der Verteilung des Risikos auf mehrere Rechenzentren bestehen. 5.2.5 Risikoanalyse-Bericht Der Bericht zur Risikoanalyse sollte nicht nur die Ergebnisse dokumentieren, sondern auch die verwendete Methode. Damit ergibt sich als mögliche Struktur: -    Management-Übersicht -    verwendete Methode der Risikoanalyse, -    Liste der Risiken mit eventuell vorgenommenen Gruppierungen, -    Ergebnisse der Risikobewertungen, -    Risikostrategien-Optionen für die kritischen Prozesse. -    Auswahl der Risikostrategien. Seite 52

Kapitel 5                                           BSI-Standard 100-4: Notfallmanagement Version 1.0 Die Verantwortung für die Erstellung des Risikoanalyse-Berichts trägt der Notfallbeauftragte. Der Bericht ist der Leitungsebene vorzulegen und von dieser zu genehmigen. 5.3 Aufnahme des Ist-Zustandes Mit der Business Impact Analyse wurden die kritischen Prozesse und deren (kritischen) Ressourcen identifiziert. Für die im folgenden Schritt zu entwickelnden Kontinuitätsstrategieoptionen und die Strategieentscheidungen ist die Ermittlung des aktuellen Ist-Zustandes der Notfallvorsorgemaßnahmen und der aktuell möglichen Wiederanlaufzeiten notwendig, damit zum einen für die verschiedenen Strategieoptionen der notwendige Handlungsbedarf und die damit verbundenen Investitionskosten grob abgeschätzt werden können, und zum anderen nach der Strategiefestlegung die noch umzusetzenden Maßnahmen durch eine Soll-Ist-Analyse identifiziert werden können. Die Aufnahme des Ist-Zustandes kann auf die wesentlichen Ressourcen bzw. Bereiche (z. B. die kritischen Geschäftsprozesse) beschränkt werden. Viele Informationen können aus der Strukturanalyse bei der Sicherheitskonzeption nach BSI-Standard 100-2 entnommen werden. Zu ergänzen sind die im Informationssicherheitsmanagement nicht betrachteten Ressourcen. 5.4 Kontinuitätsstrategien Die Geschäftsfortführung bzw. der Wiederanlauf kann auf unterschiedliche Weise realisiert werden. Die alternativen Lösungswege, also die Strategieoptionen, unterscheiden sich durch Parameter wie die Wiederanlaufzeit, die Kosten und die Zuverlässigkeit der Lösung. Ziel ist es nun, die wesentlichen Alternativen zu identifizieren und anschließend die für die Institution beste Vorgehensweise auszu- wählen. Dazu wird in einem „Top-Down“-Ansatz die im Rahmen der Initiierung des Notfallmanage- ments entwickelte richtungsweisende institutionsweite Notfallstrategie, die in der Leitlinie zum Notfallmanagement festgehalten ist, auf die Prozess- und Ressourcenebene übertragen und konkretisiert. 5.4.1 Entwicklung von Kontinuitätsstrategien Die Alternativen für die Kontinuitätsstrategien stellen verschiedene Möglichkeiten dar, die Lücke zwischen dem Soll und dem Ist der Notfallvorsorgemaßnahmen zu schließen. Sie müssen die folgenden Randbedingungen erfüllen: -    regulatorische Vorgaben und -    die festgelegten Wiederanlaufzeiten für die Prozesse und die Ressourcen müssen eingehalten werden, und -    die Kosten der Alternative sollten in einem akzeptablen Verhältnis zum erwartenden Schaden bei einem Ausfall pro gewählter Zeitperiode stehen und damit wirtschaftlich sinnvoll sein. Abgeleitet von den Zielen der Institution sowie dem Kerngeschäft ist eine grobe institutionsweite Not- fallstrategie festgelegt und in der Leitlinie zum Notfallmanagement festgehalten. Diese bildet den Rahmen für die weiteren Überlegungen. Auf der Institutionsebene werden dann Optionen für eine Kontinuitätsstrategie mit allgemeinen Grundsätzen festgelegt. Folgende Tabelle zeigt ein Beispiel dafür. Strategieoption                           Beschreibung                          Risikobetrachtung Minimale Lösung       Nur die Prozesse mit maximaler Kritikalität werden         Hohes Restrisiko abgesichert. Die Gesamtkosten der Maßnahmen sind auf … zu begrenzen. Die Absicherung des Schadenspotentials erfolgt weitestgehend über Versicherungen. Kleine Lösung         Die Prozesse mit hoher Priorität werden abgesichert. Die   Mittleres bis hohes Gesamtkosten der Maßnahmen sind auf … zu begrenzen.        Restrisiko Seite 53

BSI-Standard 100-4: Notfallmanagement Version 1.0                                              Kapitel 5 Strategieoption                           Beschreibung                           Risikobetrachtung Mittlere Lösung       Die wichtigsten Kernprozesse werden abgesichert. Bei        Mittleres Restrisiko den Maßnahmen ist darauf zu achten, dass weitestgehend interne Möglichkeiten genutzt werden. Große Lösung          Die kritischen Geschäftsprozesse werden umfassend           Geringes Restrisiko abgesichert. Die Einhaltung gesetzlicher Auflagen und Verträge sowie die Vorbeugung vom Imageverlust haben hohe Priorität. Tabelle 13: Beispiele für institutionsweite Strategieoptionen Ist eine institutionsweite Kontinuitätsstrategie festgelegt, so muss diese auf die Prozess- und Ressourcenebene heruntergebrochen und für die (kritischen) Geschäftsprozesse und Ressourcen in verschiedenen Handlungsmöglichkeiten konkretisiert werden. Die folgende Tabelle zeigt ein unvollständiges Beispiel für Strategieoptionen auf Prozessebene. Ausführlichere Beschreibungen möglicher Handlungsalternativen und weitere Beispiele für alternative Maßnahmen sind in Anhang A zu finden. Prozess „Rechenzentrumsbetrieb“         Prozess „Arbeitsplatz-Management“ Minimale Lösung       Dienstleistungsvertrag für den           Interne Lösung: Freisetzung von Notbetrieb                               weniger kritischen Arbeitsplätzen für die kritischen und Heimarbeitsplätze für die Arbeitsplätze mit höchster Priorität Kleine Lösung         „Cold-standby“-Ausweich-                 Lösung mit kooperierenden Rechenzentrum                            Partnerschaften Mittlere Lösung       „Warm-standby“-Ausweich-                 Kommerzieller Dienstleistungsvertrag Rechenzentrum                            „bezugfertiges Bürogebäude“ Große Lösung          „Hot-standby“-Ausweich-                  Zweites eigenes Bürogebäude Rechenzentrum Tabelle 14: Beispiele für Strategieoptionen für Prozesse 5.4.2 Kosten-Nutzen-Analyse Ein grundlegendes Ziel des Notfallmanagements ist die ausreichende Absicherung der Geschäftsfort- führung bei möglichst vertretbaren Kosten. Als Auswahlhilfe einer guten Kontinuitätsstrategie kann eine Kosten-Nutzen-Analyse der verschiedenen Strategieoptionen dienen. Dazu sind die Kosten der Kontinuitätsmaßnahmen zu betrachten und dem Nutzen gegenüberzustellen. Unzählige Einflussfak- toren materieller und nicht materieller Art (siehe auch Kapitel 5.4.3) können den Nutzen einer Strategieoption erhöhen oder auch verringern. Da nicht alle Einflussfaktoren berücksichtigt werden können, sollte die Kosten-Nutzen-Analyse der Kontinuitätsstrategien deshalb mit einem pragmati- schen Ansatz durchgeführt werden. Die folgenden Ausführungen geben eine Orientierungshilfe dafür: Schritt 1: Ermittlung des Schadens eines Prozesses durch einen Notfall Das Schadenspotential eines Prozessausfalls wurde bereits bei der BIA erhoben, wobei Schaden nicht ausschließlich als finanzieller Schaden angesehen wird, sondern, wie in der BIA festgestellt, allgemein als negative Folgen für die Institution. Der Nutzen einer Kontinuitätsstrategie kann als die Fähigkeit betrachtet werden, die Schäden für die Institution durch eine möglichst schnelle Wiederaufnahme bzw. der Aufrechterhaltung des Prozesses in einem Notfall gering zu halten. Der Nutzen einer Strategie- option ist umso höher, je niedriger der entstandene Schaden bis zum Wiederanlauf bzw. der Wiederherstellung ist. Abbildung 8 zeigt ein Beispiel für einen möglichen Schadensverlauf (gestrichelte Linie), den bei der BIA für die einzelnen Bewertungsperioden generalisierten Schadens- verlauf sowie die Wiederanlaufpunkte W Si für die unterschiedlichen Strategieoptionen. Seite 54

Kapitel 5                                           BSI-Standard 100-4: Notfallmanagement Version 1.0 Abbildung 8: Schadensverlauf und Kosten für einen Wiederanlauf Schritt 2: Ermittlung der Kosten der Kontinuitätsstrategie Im zweiten Schritt werden die Kosten der einzelnen Strategieoptionen erfasst. Kosten von Kontinui- tätsstrategien sollten unter den anerkannten Verfahren der Finanzplanung in der Institution ermittelt bzw. abgeschätzt werden. Dazu zählen neben den Anschaffungskosten auch die fortlaufenden Kosten für regelmäßige Wartungen, Schulungen, Mietkosten oder eventuelle Vertragskosten (z. B. für die Vorhaltung von Ausweicharbeitsplätzen bei einem externen Dienstleister). Eine wichtige Rolle spielen dabei der aktuelle Ist-Zustand der Notfallmaßnahmen und die gegebenenfalls zu schließenden Lücken, die durch einen Soll-Ist-Vergleich für die einzelnen Strategieoptionen zu ermitteln sind. Schritt 3: Aufarbeitung der Kosten-Nutzen-Analyse Abschließend werden die Ergebnisse der beiden vorangegangenen Schritte zu einer Entscheidungs- hilfe zusammengefasst. Diese soll darstellen, welche Kosten notwendig sind, um einen bestimmten Nutzen zu erhalten. In der Regel bedeuten kürzere Wiederanlaufzeiten geringere Schäden aber auch höhere Investitionskosten, doch können Strategieoptionen mit einschränkenden Randbedingungen diese Regel durchbrechen. Folgende Beispiele mit fiktiven Zahlen sollen einen möglichen Aufbau einer Entscheidungshilfe skizzieren. Sie decken nicht alle Möglichkeiten zur Absicherung eines Rechenzentrums bzw. von Arbeitsplätzen ab, und sind auch nicht vollständig spezifiziert. Eine ausführlichere Beschreibung alternativer Absicherungsmöglichkeiten für ein Rechenzentrum ist in Anhang A zu finden. Prozess „Rechenzentrumsbetrieb“          Wieder-       Kosten       Schaden       Zuverlässigkeit / MTA = 10 Tage                 anlauf-                   bis zum      Randbedingungen / zeit                    Wieder-       Einschränkungen anlauf S1: Stand-by-Rechenzentrum /            < 6 Std.    5 Mio. €       gering     sehr hoch „Hot“-Lösung: komplette, redundante IT-Infrastruktur S2: „Warm“-Lösung: eigenes              6-24 Std. 3 Mio. €         gering     hoch Rechenzentrum; vollständige IT                                     bis mittel vorhanden; Einspielen von Sicherungen im Notfall notwendig S3: „Cold“-Lösung: im Notfall           2-10 Tage 1-1,2 Mio. €     mittel-    Restrisiko: Hardware- teilweise Beschaffung von Hardware                                 hoch       Beschaffung; max. WAZ notwendig; Installation der Software                                          von 10 Tagen entspricht Seite 55

BSI-Standard 100-4: Notfallmanagement Version 1.0                                          Kapitel 5 Prozess „Rechenzentrumsbetrieb“        Wieder-      Kosten    Schaden        Zuverlässigkeit / MTA = 10 Tage                 anlauf-                bis zum     Randbedingungen / zeit                 Wieder-      Einschränkungen anlauf und Anwendungen und Einspielen                                          der MTA und damit kein von Sicherungskopien                                                    Restpuffer vorhanden. S4: Dienstleistungsvertrag „Notfall- 2 Tage      700.000,- €  mittel    Restrisiko: verfügbare Rechenzentrum“ mit Dienstleister A                                      Kapazitäten des Dienstleisters im Notfall 1,3 Mio €    mittel    Vertrag mit Vorrangsbehandlung S5: Dienstleistungsvertrag „Notfall- 2 Tage      500.000,- €  mittel    Restrisiko: verfügbare Rechenzentrum“ mit Dienstleister B                                      Kapazitäten des Dienstleisters im Notfall; Restrisiko: Zuverlässigkeit und Image des Anbieters nicht ausreichend Tabelle 15: Beispiel 1 Entscheidungshilfe Kosten-Nutzen-Analyse Prozess „Arbeitsplatz-          Wieder-     Kosten      Schaden       Zuverlässigkeit / Management“                   anlauf-                bis zum     Randbedingungen / zeit                 Wieder-      Einschränkungen MTA = 14 Tage anlauf S1: Angemieteter Standort             2 Tage     2000,- € /   mittel Arbeitsplatz S2: Anschaffung von Containern bei 7-12 Tage 700,- € /        hoch       Restrisiko: Aufstell- Bedarf                                           Arbeitsplatz            möglichkeit nur auf dem Betriebsgelände und damit für den Falle der Nicht-Verfügbarkeit des Betriebsgeländes keine Lösung. S3: Heimarbeitsplätze                 12 Std.    200,- € /    gering     Aktuell für maximal Arbeitsplatz            10% der Arbeitsplätze geeignet. Restrisiko: Verfügbar- keit der Internetver- bindung und des Ein- wahlknotens, Rechner und Unterlagen befinden sich am Büroarbeitsplatz und nicht am Heim- arbeitsplatz. Tabelle 16: Beispiel 2 Entscheidungshilfe Kosten-Nutzen-Analyse Achtung: Die in den Beispielen genannten Wiederanlaufzeiten und Kosten sind fiktive Zahlen, um das Vorgehen zu verdeutlichen. Jede Institution muss für ihre konkreten Anwendungsfälle und ihre Be- dürfnisse in Bezug auf die Ausgestaltung von Arbeitsplätzen geeignete Werte ermitteln oder ab- schätzen! Seite 56

Kapitel 5                                           BSI-Standard 100-4: Notfallmanagement Version 1.0 5.4.3 Konsolidierung und Auswahl der Kontinuitätsstrategien Zielsetzung der Kosten-Nutzen-Analyse ist eine zur Entscheidungsfindung geeignete Aufstellung der möglichen Kontinuitätsstrategien. Die Kosten von Kontinuitätsstrategien und der durch diese mög- licherweise verhinderten Schäden sollten aber aufgrund äußerer Faktoren und innerbetrieblicher Ab- hängigkeiten nicht als alleinige Kriterien zur Entscheidung herangezogen werden. Randbedingungen, Einschränkungen und Verfügbarkeitseinschätzungen sollten immer in die Entscheidungsfindung mit einbezogen werden. Innere Abhängigkeiten können in internen Abstimmungen identifiziert werden. So erfordert die Nutzung interner Lösungen als Kontinuitätsstrategie eine detaillierte Betrachtung. Eine ausführliche Soll-Ist-Analyse sollte dabei mindestens folgende Punkte untersuchen: -    Werden die erforderlichen Wiederanlaufzeiten im Notfall garantiert erfüllt? -    Gibt es Abhängigkeiten von Ressourcen, die gleichzeitig in mehreren Prozessen benötigt werden? Äußere Faktoren wie beispielsweise die Mehrfachnutzung von Räumlichkeiten durch benachbarte Institutionen oder die Bedeutung von besonderen Terminen mit erhöhten Wiederanlauf-Anforde- rungen für einzelne Geschäftsprozesse können eine eventuelle Neueinstufung einer Kontinuitäts- strategie nach sich ziehen. Äußere Faktoren sollten mit der Institutionsleitung besprochen und ausgearbeitet werden. So kann sich z. B. eine schlechte Reputation eines vermeintlich günstigen Dienstleisters in der Folge einer unzulänglichen Notfallbewältigung auf die eigene Institution übertragen. Die daraus resultierenden Folgekosten in diesem Fall würden dann die Entscheidung für eine kostenintensivere Lösung rechtfertigen. Zusätzlich können einzelne Kontinuitätsstrategien einen vom Notfallmanagement unabhängigen Mehrwert bieten, zum Beispiel durch die Schaffung von neuen Lagerräumen. Sobald die inneren Abhängigkeiten und äußeren Faktoren identifiziert sind, ist eine Entscheidungs- vorlage zu erstellen und der Institutionsleitung vorzulegen. Die Entscheidungsvorlage kann auch Empfehlungen enthalten. Die Leitungsebene hat die Aufgabe, die aus ihrer Sicht besten Strategien festzulegen. Diese Entscheidung ist zu dokumentieren und von der Institutionsleitung schriftlich zu bestätigen. Alle weiteren Maßnahmen im Notfallmanagement müssen sich an diesen gewählten Strategien ausrichten und sind im Notfallvorsorgekonzept zu konkretisieren. Die Strategie-Entwicklung und Strategie-Festlegung unterliegt einem regelmäßigen Überarbeitungs- prozess. Werden neue Strategie-Optionen oder etwaige Änderungen von äußeren Einflüssen identi- fiziert, sollten eine neue Kosten-Nutzen-Analyse bzw. ein Konsolidierungsgespräch durchgeführt werden. 5.5 Notfallvorsorgekonzept Das Notfallvorsorgekonzept bildet die Grundlage zur Umsetzung der Kontinuitätsstrategien. Es be- schreibt die vorliegenden Bedingungen und beinhaltet alle bei der Konzeption anfallenden Informationen. Alle organisatorischen und konzeptuellen Aspekte sowie alle Maßnahmen und Tätigkeiten des Notfallmanagements, die nicht zur direkten Bewältigung eines Notfalls beitragen, sollten im Notfallvorsorgekonzept beschrieben werden. Dazu zählen -    vorbeugende Maßnahmen, die den Schaden oder die Eintrittswahrscheinlichkeit von Risiken reduzieren und die Widerstandsfähigkeit der Institution durch Anheben der Krisenschwelle erhöhen, wie auch -    Maßnahmen, um ein schnelles und sinnvolles Reagieren auf einen Vorfall zu ermöglichen. Aus diesem Grund muss ein Notfallvorsorgekonzept sorgfältig geplant, umgesetzt sowie regelmäßig überarbeitet werden. Die direkt für die Bewältigung eines Notfalls benötigten Informationen wie beispielsweise Kontaktinformationen oder Handlungsanweisungen sind im Notfallhandbuch beschrieben (siehe Kapitel 7.4). Zusammen bilden sie das Notfallkonzept. Seite 57

BSI-Standard 100-4: Notfallmanagement Version 1.0                                            Kapitel 5 5.5.1 Feinkonzeption, Sicherheit und Kontrollen Die einzelnen Vorsorgemaßnahmen zur Prävention und Umsetzung der Kontinuitätsstrategien sind festzulegen. Neben den Lösungen für den Notbetrieb sind auch der Wechsel zurück in den Normalbetrieb und die Nacharbeitsphase nach Aufnahme des Normalbetriebs auszuarbeiten. Bei der Feinkonzeption wie auch bei der Erstellung des Notfallhandbuchs sollten die beiden Aspekte Sicherheit und Datenschutz eine wichtige Rolle spielen. Unter Sicherheit ist sowohl Informations- sicherheit, personelle Sicherheit wie auch Betriebssicherheit zu verstehen. Werden Verschlusssachen in den betroffenen Geschäftsprozessen verarbeitet, so ist auch der Geheimschutzbeauftragte zu involvieren. Es ist sicherzustellen, dass sowohl im Notbetrieb wie auch beim Wechsel zurück in den Normalbetrieb die Sicherheit gewährleistet ist, wie beispielsweise die Einhaltung der gesetzlichen Vorgaben zum Schutze der Mitarbeiter oder die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Daher ist es sinnvoll, mit den jeweils verantwortlichen Sicherheits- beauftragten (z. B. IT-Sicherheitsbeauftragter, Verantwortlicher für Betriebssicherheit) eng zusam- menzuarbeiten. Die Erstellung eines Sicherheitskonzepts für den Notbetrieb ist keine originäre Aufgabe des Notfallmanagements bzw. des Notfallbeauftragten. Für den Bereich der IT ist federführend durch den IT-Sicherheitsbeauftragten ein entsprechendes Informationssicherheitskonzept für die Prozesse, Systeme und Maßnahmen des Notfallmanagements zu erstellen und umzusetzen, sofern es nicht schon Bestandteil des aktuellen Sicherheitskonzeptes ist. In diesem werden die für den Notbetrieb vorgesehenen Notprozesse aber auch die Wiederanlaufphase, die Prozesse für die Rückführung und die Nacharbeiten betrachtet und die Vertraulichkeit und Integrität der Prozesse sowie der verarbeiteten Informationen für jeden Zwischenschritt sichergestellt. Für Wiederherstellungs- bzw. Wiederanlaufpläne kann dies beispielsweise bedeuten, dass eine bestimmte Reihenfolge der Arbeitsschritte eingehalten werden muss. So darf z. B. die Wiederherstellung vertraulicher Daten in einer Anwendung erst erfolgen, wenn die Netzsicherheit durch ein vollständig wiederhergestelltes Sicherheitsgateway und weiteren Sicherheitsmaßnahmen gewährleistet ist. Sind in den Phasen des Wiederanlaufs, des Notbetriebs oder der Rückführung in Bezug auf Informationssicherheit oder Datenschutz Abstriche oder Kompromisse zu machen, so ist dieses zu dokumentieren, die dadurch entstehenden Risiken aufzuzeigen und von der Institutionsleitung durch Unterschrift zu genehmigen. Zusätzlich sollten bei der Feinkonzeption die Vorgaben durch die Innenrevision der Institution beachtet werden. Es ist zu überprüfen, in wieweit Kontrollen, die im Normalbetrieb zur Einhaltung eines ordnungsgemäßen Betriebs, zur Abwehr von Wirtschaftsspionage oder Aufdeckung von Missbrauch etabliert sind, im Notbetrieb unabdingbar oder entbehrlich sind. Eine Zusammenarbeit mit der Innenrevision ist daher zu empfehlen, damit diese die Prozesse des Notbetriebs daraufhin überprüft und freigibt. 5.5.2 Inhalt Das Notfallvorsorgekonzept wird durch den Notfallbeauftragten in Zusammenarbeit mit den Notfallkoordinatoren und dem Notfallvorsorgeteam erstellt. Die Verantwortung für die darin festgehaltenen Strategien liegt jedoch bei der Institutionsleitung und muss daher auch von dieser genehmigt und freigeben werden. Das Notfallvorsorgekonzept sollte mindestens die folgenden Punkte beinhalten: Vorgehensmodell und Umsetzung Mit dem Notfallvorsorgekonzept wird ein klar definierter Rahmen vorgegeben, wie die Fähigkeit zur Geschäftsfortführung in einem Notfall hergestellt, aufgebaut und überwacht werden soll. Es ist genau zu beschreiben, wie die einzelnen Phasen des Notfallmanagements in die bestehenden Strukturen der Institution eingebunden und wie die Aktivitäten des Notfallmanagements gesteuert und kontrolliert werden. Das Notfallmanagement muss regelmäßig auf seine Effektivität und Effizienz hin überprüft werden. Zu diesem Zweck ist ein unabhängiges Überprüfungsverfahren vorzusehen. Seite 58

Kapitel 5                                             BSI-Standard 100-4: Notfallmanagement Version 1.0 Definition Störung – Notfall – Krise Sobald ein Notfall ausgerufen wird, werden für den betroffenen Bereich die normalen Geschäftsabläufe durch die der Notfallbewältigung abgelöst. Nicht alles, was in der ersten Aufregung als Notfall betrachtet wird, stellt jedoch tatsächlich einen Notfall dar. Es ist aber wichtig, dass jede Institution für sich selber definiert, wann eine Störung, ein Notfall oder eine Krise vorliegt und wer in der Institution autorisiert ist, dies zu entscheiden. Vorsorgemaßnahmen Die festgelegten Vorsorgemaßnahmen, wie beispielsweise die Meldetechnik, Ausweichstandorte oder im Notfall relevante Vereinbarungen mit externen Dienstleistern (siehe auch Anhang B), sind zu dokumentieren. Vorsorgemaßnahmen, welche für das Notfallmanagement relevant sind, jedoch schon durch das Informationssicherheitskonzept abgedeckt werden, sollten aufgeführt und auf die entsprechenden Dokumente des Informationssicherheits- oder auch Risikomanagements verwiesen werden. Glossar Es ist essentiell, ein gemeinsames Verständnis für die Ziele und Maßnahmen des Notfallmanagements in einer Institution herzustellen. Dazu gehört auch die Definition und Dokumentation einheitlicher und klar verständlicher Begriffe. Hierfür sollte frühzeitig ein Glossar mit den wichtigsten Begriffen rund um das Notfallmanagement erstellt werden. Inhalt des Notfallvorsorgekonzepts Das Notfallvorsorgekonzept sollte mindestens die folgenden Punkte beinhalten: Allgemeines -    Festlegung des Dokumentverantwortlichen -    Klassifizierung des Dokuments und des Genehmigungsverfahrens -    Geltungsbereich, Versionsbezeichnung -    Dokumentenempfänger und Verteilungswege -    Dokumentenstruktur und Zusammenhänge mit anderen relevanten Dokumenten -    Abkürzungsverzeichnis, Glossar Organisation und Vorgehensmodell -    Definition Störung, Notfall, Krise -    Übernahme von Verantwortung durch die Leitungsebene -    Ziele, Zuständigkeiten, Kompetenzen und Einordnung in andere Managementsysteme der Institution -    Integration des Notfallmanagements in alle relevanten Geschäftsprozesse bzw. Fachverfahren und Projekte -    Beschreibung der Notfallvorsorge- und Notfallbewältigungsorganisation -    Beschreibung der Ablauforganisation und der Umsetzung Geschäftsprozess- und Schadensanalyse -    Notfallszenarien und ihre Auswirkungen -    Kritische Geschäftsprozesse und deren Wiederanlauf-Anforderungen -    Prioritätenliste Seite 59

BSI-Standard 100-4: Notfallmanagement Version 1.0                                             Kapitel 5 -    Kontinuitätsstrategien -    Kosten für die Notfallvorsorge -    verbleibende Restrisiken Organisatorische und technische Vorsorgemaßnahmen -    Festlegung von generellen Ausweichstandorten und deren Anforderungen -    Alarmierungsverfahren -    Beschreibung risiko-reduzierender Maßnahmen -    Datensicherung -    Meldetechnik -    Vereinbarungen mit externen Dienstleistern -    … Nachhaltiges Einbinden des Notfallmanagements in die Behörden- bzw. Unternehmenskultur -    Sensibilisierung und Schulung der Mitarbeiter -    Einbindung von Wartungs-, Test- und Monitoringprozesse in die bestehende interne Prozesswert Aufrechterhaltung und Kontrolle -    Kontinuierliche Verbesserung des Notfallmanagements durch Übungen und Testläufe -    Pflege und Überarbeitung der Notfallvorsorge- und Notfallbewältigungsmaßnahmen -    Beschreibung der Steuerung und Kontrolle des Notfallmanagements Im Vorfeld der Erstellung des Notfallvorsorgekonzepts sollte über die Strukturierung und Aufteilung des Notfallvorsorgekonzeptes in einzelne Module nachgedacht werden. Bei der Aufteilung kann die jeweilige Zielgruppe betrachtet werden, die einzelne Teile für die Umsetzung benötigt. Auch kann überlegt werden, ob eine Einteilung in einen allgemeinen und in einen Hauptteil sinnvoll ist. Der allgemeine Teil enthält ausschließlich allgemeine Grundsätze des Notfallmanagements und ist somit zusätzlich für die Akquise von Kunden oder Kooperationspartnern geeignet. Der Hauptteil enthält die internen und sensiblen Detailinformationen, die für die Umsetzung notwendig sind. 5.5.3 Bekanntgabe und Verteilung des Notfallvorsorgekonzepts Das Notfallvorsorgekonzept wird durch die Leitungsebene freigegeben und durch den Notfallbeauftragten veröffentlicht sowie an den autorisierten Empfängerkreis weitergegeben. Es ist wichtig, dass alle an der Notfallvorsorge beteiligten Personen die Inhalte des Notfallvorsorgekonzepts kennen und jederzeit nachvollziehen können. Es ist zu prüfen, ob weitere Personen, beispielsweise aus der Notfallbewältigung oder Kooperationspartner, das Notfallvorsorgekonzept vollständig oder in Auszügen für ihre Arbeit benötigen. Da ein Notfallvorsorgekonzept einerseits vertrauliche Informationen enthalten kann, andererseits aber für die Absicherung vieler Geschäftsprozesse relevant ist, muss geregelt werden, an wen das Notfallvorsorgekonzept verteilt und wie es klassifiziert werden soll. Beide Punkte können je nach Institution sehr unterschiedlich ausfallen. 5.5.4 Aktualisierung des Notfallvorsorgekonzepts Der Notfallbeauftragte ist dafür verantwortlich, das Notfallvorsorgekonzept fortlaufend aktuell und vollständig zu halten. Das Notfallvorsorgekonzept sollte in regelmäßigen Abständen auf Aktualität hin überprüft und gegebenenfalls angepasst werden. Hierbei sollte auch überprüft werden, ob sich Seite 60

Kapitel 5                                         BSI-Standard 100-4: Notfallmanagement Version 1.0 Geschäftsziele oder Aufgaben und damit Geschäftsprozesse oder Produktionsverfahren geändert haben oder ob die Organisationsstruktur neu ausgerichtet wurde. Seite 61