/60© R. Grimm / N. Meletiadou 1
IT-Risk-Management
V5: Business Continuity Management
R. Grimm / N. MeletiadouInstitut für Wirtschafts- und Verwaltungsinformatik
Universität Koblenz
/60© R. Grimm / N. Meletiadou 2
Inhaltsübersicht
1. Motivation2. Begriffe 3. Business Continuity Planning4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage (ATT, CISCO, 2005)
/60© R. Grimm / N. Meletiadou 3
Motivation
• Gründe für das Unterbrechen von Geschäftsprozesse– mehr als 20% IT-Systemausfälle, davon
– 22% Naturkatastrophe
– 12% menschliches Verhalten
– andere Unterbrechungen z.B. Materialengpass, Maschinenausfall, Kundenabsage
• Ursachen sind schwer vorherzusehen z.B.– Terrorismus, Sabotage
– menschliches Versagen
[v.Rössing 2005]
/60© R. Grimm / N. Meletiadou 4
Motivation
• Association of Britisch Insurers– alle 2,8 Jahre unternehmenskritische Ereignisse
– 88% dieser Ereignisse in einem Bereich ohne BCP
– die Wiederherstellung dauerte in 43% der Fälle länger als 2 Mon.
• Maus im Allianz Zentrum für Technik– 135.000 Euro Brandschäden
• 43% of U.S. businesses never reopen after a disaster --and 29% close within two years
[v.Rössing 2005]
/60© R. Grimm / N. Meletiadou 5
Ausfallzeiten und Verluste Meta Group 2009
[Weber/Rosselet/Waser 2009]
/60
Ursachen für Ausfälle
© R. Grimm / N. Meletiadou 6
[Weber/Rosselet/Waser 2009]
/60© R. Grimm 7
Gründe für Ausfälle 2009
© 2009 FRANK Robin Linux-Systems, FRANK Robin Linux -Systems [24.3.2015]
/60© R. Grimm / N. Meletiadou 8
Inhaltsübersicht
1. Motivation
2. Begriffe3. Business Continuity Planning4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage
/60© R. Grimm / N. Meletiadou 9
Notfall
• Notfall ist ein Ereignis,– das dauerhaft
– schwerwiegende negative Einflüsse
– auf unternehmensentscheidende oder bedeutende Tätigkeiten
– eines Geschäftsbereiches
– oder der Infrastruktur am Standort zur Folge hat
• Unterscheide– vorhergesehene und nicht vorhergesehene Notfälle
– versicherbare und nicht versicherbare Notfälle
[Naujocks 2003a]
/60© R. Grimm / N. Meletiadou 10
Notfall vs. Störung
• Notfall– Ausfall des Gesamtgebäudes samt RZ
– Ausfall einer Filiale
– Ausfall der TK-Anlage über einen festgelegten Zeitraum hinaus
• Störung– kurzer Stromausfall
– Ausfall der Heizungsanlage
/60© R. Grimm / N. Meletiadou 11
Anteile des IT-Risikomanagements
• Sicherung der Werte (s.o.)
• Sicherung der Verlässlichkeit der IT• Verhinderung/Beherrschung eines Notfalls
– Widerstandskraft und Robustheit des Unternehmens gegen bekannte oder unbekannte Ereignisse
• Wiederherstellung des Betriebes• Fortführung des Betriebs
Informationssicherheit
Notfallplanung
/60© R. Grimm / N. Meletiadou 12
Informationssicherheit und Notfallplanung eingebettet in IT-Risk-Management
IT-Sicherheit(Security und Safety)
BeherrschbarkeitVerlässlichkeit
IT-Risk-Management
Information Security Notfallplanung
/60© R. Grimm / N. Meletiadou 13
Zeitliche Anordnung der Notfallplanung
Business Continuity Planning
Incident Response
Disaster Recovery
Proaktive Maßnahmen Sofortige Maßnahmen Wiederherstellungsmaßnahmen
/60© R. Grimm / N. Meletiadou 14
Business Continuity Planning (BCP)
• „BCP is defined as:• the identification and protection• of critical business processes and resources required
– to maintain an acceptable level of business,
– protecting those resources
– and preparing procedures
• to ensure the survival of the organization• in times of business disruption .“
[Hiles/Barnes P. 2001]
/60© R. Grimm / N. Meletiadou 15
Incident Response
• „Incident response is a set of activities taken– to plan for,
– detect,
– and correct
– the impact of an incident on information assets.
• IR is more a reactive, than a proactive,• with the exception of the planning
– that must occur to prepare the IR teams
– to be ready to react on an incident“
[Whitman/Mattord 2009]
/60© R. Grimm / N. Meletiadou 16
Disaster Recovery
• „Disaster recovery is the process that takes place– during and
– after an organizational crisis
• to minimize business interruption • and return the organization as quickly as possible to a
pre-crisis state“
[Smart 2002]
/60© R. Grimm / N. Meletiadou 17
IT-Risk-Management vs. BCP
• IT-Risk-Management– Identifikation von Gefährdung
– Vermeidung von Schadensfällen (Verlässlichkeit)
– Beherrschbarkeit
• Notfallplanung, besonders BCP – nutzt die Ergebnisse des IT-Risk-Managements
– nach Schadenseintritt
– Minimierung der Schadensauswirkung
/60© R. Grimm / N. Meletiadou 18
IT-Risk-Management vs. BCP
RiskManagement
IT-Security
Financial RiskManagement
IT-RiskManagement
Business Continuity Planning
Incident Response
DisasterRecovery
ContingencyPlanning
/60© R. Grimm / N. Meletiadou 19
Inhaltsübersicht
1. Motivation2. Begriffe
3. Business Continuity Planning4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage
/60© R. Grimm / N. Meletiadou 20
Ziele des BCP
• Sicherstellung der Weiterführung von unternehmenskritischen Tätigkeiten
• Wiederaufbau der Infrastruktur• Wiederaufnahme der Geschäftsaktivitäten• Weiterführung der Erbringung der Dienste an die
Kunden auf einem akzeptablen Niveau
[Hiles/Barnes P. 2001] [Naujocks 2003a]
/60
P+D+CA!
© R. Grimm / N. Meletiadou 21
BCP-Prozess
Analyse des Unternehmens
Implementierung
des Planes
Entwicklung
des Planes
Testen und
Warten des
Planes
Projekt-
initialisierung
/60© R. Grimm / N. Meletiadou 22
Projektinitialisierung
• BCP als eine Kernaufgabe des Unternehmens• Bewusstseinsschaffung über:
– die Notwendigkeit eines BCP
– die entstehenden Kosten
• Überzeugung des Top-Managements
/60© R. Grimm / N. Meletiadou 23
Projektinitiierung
• strategisch– Ziel festlegen
– Mitgliedern des Top-Managements
– strategische Entscheidungen in Richtung auf Ziel
• taktisch– Middle-Management und BCP-Experten einbinden
– Entscheidungen koordinieren und Aufgaben verteilen
– korrekte Implementierung und Ausführung des Planes zuweisen
• Operational (in Krise)– Verantwortliche Mitarbeiter aktivieren
– die im Krisenfall speziell zugeteilten operativen Aufgaben durchführen
[Naujocks 2003a]
/60© R. Grimm / N. Meletiadou 24
BCP-Prozess
/60© R. Grimm / N. Meletiadou 25
Analyse des Unternehmens
• Business Impact Analysis (BIA)– Schadensabschätzung
• Risk Assessment (RA)– Wahrscheinlichkeitsberechnung
/60© R. Grimm / N. Meletiadou 26
Business Impact Analysis (BIA)
• Monetäre Auswirkungen– Verlust von Einnahmen oder Aktienwert
– vertraglich geregelte Geldstrafen aufgrund von nicht erbrachter Leistung
• Nicht-monetäre Auswirkungen– Verlust von öffentlichem Ansehen
– Verlust von Vertrauen (sowohl Kunden als auch Zulieferer)
– Verlust von Marktanteilen und Produktivität
[Naujocks 2003a]
/60© R. Grimm / N. Meletiadou 27
Business Impact Analysis (BIA)
• Wiederherstellungsprofil– höchstzulässige Ausfallzeiten
– Mindestkapazität
– Bestimmung des Wiederanlaufpunktes
• IT-Abhängigkeit definieren– Abbildung IT-Funktionen auf Geschäftsprozesse
– Berechnung der Wirkung des IT-Funktionsausfalls auf Beeinträchtigung der Geschäftsprozesse
• Identifizierung des Funktionsausfalls• Kosten des Ausfalls
/60© R. Grimm / N. Meletiadou 28
Business Impact Analysis (BIA)
• Standorte, Gebäude, Anlagen, Maschinen– technische maximal Kapazität
– Kapazität unter Berücksichtigung von Gesetzen und Auflagen
• Kunden- und Lieferantenbeziehungen– Top-30-Kunden, Konzentration auf bestimmte
Kundenbeziehungen
– Top-5-Märkte und -Lieferanten
– gegebenenfalls Erwirtschaftung eines bedeutenden Anteils mit Produkten aus einem bestimmten Markt
• IT-Infrastruktur und Versorgungseinrichtungen– Erhebung ertragskritischer Daten und Anwendungen
– Verfügbarkeit von Daten und Anwendungen
– Analyse der Datensicherungsstrategie[Engel 2005]
/60© R. Grimm / N. Meletiadou 29
Business Impact Analysis (BIA)
• Durchführung– Entwicklung eines Fragebogens
– Identifizierung von geeigneten Personen
– Erstellung einer Auswertung
• Auswertung– Beschreibung von Schlüsselprozessen
– Interdependenzen der Unternehmenseinheit mit anderen Unternehmenseinheiten, Zulieferern, Kunden
– Konsequenzen eines Ausfalls der Unternehmensfunktion für verschiedene Zeitperioden
– entstehende Kosten durch Ausfall der Unternehmensfunktion
– minimal benötigte Ressourcen, um Schlüsselprozesse wieder aufzunehmen
[AudiNet 2001]
/60© R. Grimm / N. Meletiadou 30
BIA einer Bank [Naujocks 2003b]
/60© R. Grimm / N. Meletiadou 31
BIA einer Bank [Naujocks 2003b]
/60© R. Grimm / N. Meletiadou 32
Typen von Risiken
[Pow99]
/60© R. Grimm / N. Meletiadou 33
Risk Assessment
„Risk Assessment is the term used to describethe probability of occurrence of an incident/ disaster“
[Elliott/Swartz/Herbane 2002]
/60© R. Grimm / N. Meletiadou 34
Risk Assessment
• Ursachenanalyse• (Wirkung als Teil des BCP oben abgehandelt)• Umfeld der Mechanismen bedenken• Wahrscheinlichkeit zuordnen
/60© R. Grimm / N. Meletiadou 35
Risk Assessment
• Wahrscheinlichkeiten, zum Beispiel (grob granuliert):– sehr gering (weniger als in 100 Jahren)
– gering (mehr als einmal in 100 Jahren,aber weiniger als einmal in 25 Jahren)
– mittel (mehr als einmal in 25 Jahren)
– hoch (mehr als einmal in 5 Jahren)
– sehr hoch (mehr als einmal im Jahr)
/60© R. Grimm / N. Meletiadou 36
Zusammenführung von BIA und RA
Aus
wirk
ung
(Im
pact
)
Wahrscheinlichkeit
IT-Fehler
Wirtschaftskriminalität
Bedienungsfehler an ...-AnlageTerroranschlag
Sabotage
Kunden-Konkurs
Zulieferer-Konkurs
Feuer
Überschwemmung
Börse-Crash
Industrie-Unfall
Stromausfall
IT-Zusammenbruch
Denial-of-Service-Angriff
hochniedrig
groß
gering
(Beispielhafte Belegung)
/60© R. Grimm / N. Meletiadou 37
BCP-Prozess
Analyse des Unternehmens
Implementierung
des Planes
Entwicklung
des Planes
Testen und
Warten des
Planes
Projekt-
initialisierung
/60© R. Grimm / N. Meletiadou 38
Entwicklung eines BCPs
• Soll der Plan alle oder nur besonders kritische Unternehmenseinheiten abdecken?
• Soll der Plan sich ausschließlich auf Informationstechnologie konzentrieren?
• Wie weit soll die sofortige Wiederherstellung der Unternehmensprozesse im Falle eines Ausfalls gehen?
• Zurück zum „business as usual“ oder nur „operation in survival mode“?
• Welche finanziellen Mittel stehen zur Verfügung?
/60© R. Grimm / N. Meletiadou 39
Entwicklung eines BCPs
• Welche Organisation steuert alle relevanten Aktivitäten für den Wiederanlauf?
• Wer sind die Ansprechpartner und mit welchen Kompetenzen ist das BC-Team ausgestattet?
• Wer ist verantwortlich für die Krisenkommunikation, etwa gegenüber Kunden und Lieferanten?
[Schmidt H. 2005]
/60© R. Grimm / N. Meletiadou 40
BCP-Strategie
• Vorbeugung oder genügt Spontan-Reaktion?• Schnelle Wiederversorgung• Alternativer Standort
– kalte Lösung
– warme Lösung
– heiße Lösung
• Alternative Kundenversorgung• Versicherung
/60© R. Grimm / N. Meletiadou 41
Beispiel einer BCP-StrategieB
SI-
Sta
ndar
d 10
0-4
Not
fall-
Man
agem
ent
MTPD = Maximum Tolerable Period of DisruptionRTO = Return To Operations
/60© R. Grimm / N. Meletiadou 42
Business-Continuity-Plan
• Beschreibung der BC-Strategie
• Beschreibung des Szenarios und der erwarteten funktionalen Auswirkungen
• Ziel des (konkreten) Planes, Beschreibung von Minimalanforderungen
• Geltungsbereich des BC-Planes und Prozesseigner
• Definition der Rolle betroffener Organisationseinheiten
• Beschreibung der operativen Maßnahmen
• Ergänzende Informationen, etwa Standortinformationen, Lagepläne, Sicherheitseinrichtungen, etc.
• Hinweise auf notwendige Übungen und Übungsrhythmen
[Engel 2005]
/60© R. Grimm / N. Meletiadou 43
Realisierung von BCP
Analyse des Unternehmens
Implementierung
des Planes
Entwicklung
des Planes
Testen und
Warten des
Planes
Projekt-
initialisierung
/60© R. Grimm / N. Meletiadou 44
Implementierung
• Abschluss von Verträgen• Verteilung von Rollen und Aufgaben• Entwicklung von Prozessen, Vorgehensweise
– Benachrichtigungsprozedur• Eskalation
– Wiederherstellung• sofortige Reaktion• sofortige Wiederherstellung• langfristige Wiederherstellung
• Ausarbeiten der endgültigen Lösung
/60© R. Grimm / N. Meletiadou 45
Implementierung
• Dokumentation des Planes– Ziele und Umfang des Business Continuity-Planes
– Rollen, Verantwortlichkeiten, Aufgaben der Mitarbeiter
– Darstellung strukturierter Vorgehensweisen im Katastrophenfall
– Kontakte (interne und externe Schlüsselpersonen)
– jedem Mitarbeiter verdeutlichen, welche Aufgaben er in einem Katastrophenfall wie zu erfüllen hat
– Information der Stakeholder
• Anpassung des Plans an realistische Gegebenheiten
/60© R. Grimm / N. Meletiadou 46
BCP-Prozess
Analyse des Unternehmens
Implementierung
des Planes
Entwicklung
des Planes
Testen und
Warten des
Planes
Projekt-
initialisierung
/60© R. Grimm / N. Meletiadou 47
Test und Wartung
• Ausarbeiten eines Testplans– Theoretische Überprüfung des Planes durch das Top-
Management
• Praktischer Test einzelner Komponenten– Benachrichtigungsketten
– Großangelegter Test Durchführen
• Dokumentieren• Auswerteten• Revidieren• Verbessern und Umsetzen• Schulung• Weiterentwicklung
/60© R. Grimm / N. Meletiadou 48
Inhaltsübersicht
1. Motivation2. Begriffe 3. Business continuity planning
4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage
/60© R. Grimm / N. Meletiadou 49
Fallbeispiel BSL – Banking Services Luxembourg
• Banking Services Luxembourg S.A.• Unterstützung des IT Recovery Planning der Kunden• Gegründet von einer Luxemburger Bankenkooperation
– zunächst zwei Gründungsmitglieder
– später Gewinnung weiterer Banken,die die Dienstleistungen nutzen wollen
• Ziel:– Cost Sharing, d.h.
– Senkung der Business-Continuity-Kostendurch gemeinsames Notfallzentrum
[Velenz/Weil 2003]
/60© R. Grimm / N. Meletiadou 50
Fallbeispiel BSL
• BSL garantiert Wiederanlauf innerhalb einer Stunde• BSL stellt eine Workplace Recovery Site zur Verfügung
– Platz für maximal zwei Banken zur selben Zeit
• maximal sechs Kunden• die Hauptsitze zweier Kunden dürfen nicht zu nahe
beieinander liegen
/60© R. Grimm / N. Meletiadou 51
Ergebnis der BIA einer Bank (Beispiel)
Priorität Zeitrahmen der Wiederherstellug
Geschäftsprozesse
1 bis 1 Stunde Handel, Private Banking,
Kasse
2 1 – 6 Stunden Abwicklung Wertpapiere,
Service Private Banking,
Poststelle
3 6 Stunden – 4 Tage Wertpapierverwaltung,
Risikocontrolling,
Rechnungswesen
4 mehr als 4 Tage Revision, Recht,
Personalwirtschaft,
Steuerung/Organisation
/60© R. Grimm / N. Meletiadou 52
Risiken am Bankenstandort Luxemburg
• allgemeine Risiken (Bsp.) – Flugzeugabsturz (Stadt Luxemburg befindet sich in
Einflugschneise des Flughafens)
– Überschwemmung, Großbrand etc. (Luxemburg ist aufgrund seiner geringen Größe insgesamt stärker von Naturkatastrophen betroffen)
– Verkehrsunfälle (Gebäude befinden sich in der Innenstadt mit hohem Verkehrsaufkommen, auch Lkw und Gefahrguttransporte)
/60© R. Grimm / N. Meletiadou 53
Risiken am Bankenstandort Luxemburg
• branchenspezifische Risiken (Bsp.)– Diebstahl (hohe materielle Werte in Gebäuden)
– Vandalismus (Gebäude öffentlich zugänglich)
– Hacking (Bank verfügt über viele vertrauliche Daten)
• geographisch bedingte Risiken– hohe Anzahl von Banken auf engstem Raum, dadurch bei
großflächigen Zwischenfällen Versorgungsengpässe möglich
• IT-Risiken– DDoS
– Virenbefall
– Spionage
– … usw.
/60© R. Grimm / N. Meletiadou 54
Ausstattung der Recovery Site
• 24 Arbeitsplätze mit Network Computer, Telefon,USV (unterbrechungsfreie Stromversorgung)
• 2 Reuters-Terminals, 1 Bloomberg-Terminal• Kopierer, Fax und Aktenvernichter• ISDN-Primärmultiplexanschluss oder Standleitung• Server-Raum
– limitierter Zugang
– Closed Shop
– USV (unterbrechungsfreie Stromversorgung)
– Feuerschutz
/60© R. Grimm / N. Meletiadou 55
Recovery Prozedur einer Bank
• Im Vorfeld:– Anzahl und Art der Arbeitsplätze bestimmen
– Installation notwendiger Applikationen auf dem Terminalserver
• Bei Eintritt des Notfalls:1. BSL (Banking Service Luxemburg) informieren
2. BSL stellt Wachpersonal und IT-Spezialisten
3. Telekommunikationsdienstleister informieren (Umleiten der Rufnummern)
4. Beschaffung der Backup-Platten
5. Booten des Systems
/60© R. Grimm / N. Meletiadou 56
Inhaltsübersicht
1. Motivation2. Begriffe 3. Business continuity planning4. Fallbeispiel BSL
5. Firmenumfrage (ATT, CISCO, 2005)
/60© R. Grimm / N. Meletiadou 57
„Musste Ihre Firma je wichtige betriebliche Prozess e aufgrund einer Katastrophe einstellen?“
/60© R. Grimm / N. Meletiadou 58
„Wann wurden Ihre BCP-Pläne zum letzten Mal erprobt ?“
[ATT und Cisco 2005]
/60© R. Grimm / N. Meletiadou 59
„Welche Gefährdung ist am schwierigsten vorherzuseh en und vorzubeugen? “
[ATT und Cisco 2005]
/60© R. Grimm / N. Meletiadou 60
„Was sind die Hauptrisiken im Fall einer Geschäftsunterbrechung in Ihrer Firma?“
[ATT und Cisco 2005]
/60© R. Grimm / N. Meletiadou 61
Literaturverzeichnis (1)
ATT und Cisco: Business Continuity Notfallplanung für Geschäftsprozesse. ATT, Cisco und Economist Intelligence Unit, White Paper 2005.
AudiNet: Business Impact Analysis - Business Unit/Cost Center Questionnaire. AuditNethttp://www.auditnet.org/audit_programs/business-impact-analysis-questionnaire [24.3.2015]
BSI, Bundesamt für Sicherheit in der Informationstechnik: BSI-Standard 100-4, Notfall-Management. Version 1.0, 2008. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards /ITGrundschutzStandards_node.html [124.3.2015]
Engel H.: Gesprengte Ketten- Absicherung der Supply Chain durch ein unternehmensweites Business Continuity Management in RISKNEWS 05/2005
Elliott D., Swartz E., Herbane B: Business Continuity Management - A crisis managementapproach, 2002. London, New York: Routledge
Gibb, F.; and Buchanan, S.: A framework for business continuity management. International Journal of Information Management 26 (2006), Elsevier, 128–141.
Hiles A., Barnes P. (2001). The Definitive Handbook of Business Continuity Management, Chichester, New York, Weinheim: JohnWiley and Sons.
Moser, Keye (2012), SIZ Informatikzentrum Bonn: Risiken im Fokus – Umfassendes Notfallmanagement. W&S Sicherheitsmagazin, Wirtschaftsschutz und Sicherheitstechnik, 2/2012, I.G.T. Verlag München, S. 20-21.http://www.sicherheit.info/si/cms.nsf/si.ArticlesByDocID/1123065?Open [24.3.2015](guter Überblicksartikel!)
/60
Literaturverzeichnis (2)
Naujoks U.(2003a): Notfallplanung in einer globalisierten Bank, in Business Continuity, Wieczorek M., Naujoks U., Bartlett B., Springer Verlag 2003.
Naujoks U.(2003b): Der Business Continuity Plan, Keine Schrankware, sondern sehr„lebendig“, Computas Fachkonferenz „IT-Risk-Management”.
von Rössing R.: Betriebliche Kontinuität als Teil eines integriertes Risikomanagement. In RISKNEWS 05/2005. http://onlinelibrary.wiley.com/doi/10.1002/risk.v2:5/issuetoc [24.3.2015]
Schmidt H.: Rüsten für den Notfall – Business Continuity Management und Risikovorsorge. In RISKNEWS 05/2005. http://onlinelibrary.wiley.com/doi/10.1002/risk.v2:5/issuetoc [24.3.2015]
Smart R. (2002): What is the difference between business continuity and disasterrecovery? globalcontinuity.com
Velenz U., Weil F.J.: Erstellen eines vollständigen Umfeldes für das Überleben einer Bank, in Business Continuity, Wieczorek M., Naujoks U., Bartlett B., Springer Verlag 2003.
Weber, Thomas; Rosselet, Olivier; und Waser, Fabian: Business Continuity und DisasterRecovery. Itris Computer Services, vmware. Spreitenbach, 3.3.2009. http://www.itris.ch/
Whitman M., Mattord H.: Principles of Information Security, Thomson course technology, 3rd Edition, Boston, MA, 2009, 570 pages.
© R. Grimm / N. Meletiadou 62
/60© R. Grimm / N. Meletiadou 63
Prüfungsfragen
1. Anhand der Definition für den Begriff Notfall definieren Sie den Begriff Störung.
2. Definieren Sie den Begriff Business Continuity Planning und grenzen Sie diesen von dem Begriff IT-Risk-Management ab.
3. Erläutern Sie die Begriffe Business Impact Analysis und Risk Assessment: in welcher Beziehung stehen die beide Begriffe?
4. Erläutern Sie den Business Continuity Planning-Prozess und geben Sie für jeden Schritt ein Beispiel.