Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen seines dritten IT-Grundschutz-Tages 2023 den finalen BSI-Standard 200-4 Business Continuity Management (BCM) vorgestellt. Unter BCM wird ein ganzheitlicher Prozess verstanden, der Unterbrechungen des IT-Betriebs minimieren soll. Im IT-Grundschutz ist das Thema BCM bereits seit Jahren fest verankert und bietet mit dem bisherigen BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung.
Ziele dieser Modernisierung waren unter anderem, den Standard praxisnah, handhabbar und adaptierbar zu gestalten. So spricht der Standard insbesondere unerfahrene Anwenderinnen und Anwender durch ein Stufenmodell und umfangreiche Hilfsmittel an. Auch erfahrene Anwenderinnen und Anwender erhalten nützliche Informationen. Somit ist der neue BSI-Standard 200-4 auf Institutionen beliebiger Art, Branche und Größe zugeschnitten. Dabei soll er weiterhin – wie sein Vorgänger – als alleinstehender Standard anwendbar sein. Jedoch zeigt er als große Neuerung Synergiepotentiale zu weiteren Managementsystemen wie dem IT–SCM, dem ISMS oder den weiteren BSI-Standards 200-1 bis 200-3 auf.
Dazu BSI-Vizepräsident Dr. Gerhard Schabhüser: Institutionen sind einer stetig wachsenden Gefährdungslage ausgesetzt, die zu einer existenzbedrohenden Unterbrechung des Geschäftsbetriebes führen kann: Ob etwa einem Cloud-Anbieter der Ausfall seines Rechenzentrums droht, ein Mittelstandsbetrieb infolge eines Naturereignisses die Zerstörung seiner Produktionsstätte fürchten muss oder eine Behörde einer Cyber-Attacke zum Opfer fällt, die sich auf ihre gesamte IT-Infrastruktur auswirkt: Der BSI-Standard 200-4 BCM hilft, sich bestmöglich auf Schadensereignisse jeglicher Art vorzubereiten und trägt somit zu ganzheitlicher organisatorischer Resilienz bei.
Vor der Veröffentlichung hat der BSI-Standard 200-4 BCM zwei „Community-Draft-Phasen“ durchlaufen, in denen alle interessierten Anwenderinnen und Anwender ihr Feedback geben konnten. So wurde sichergestellt, dass Ansätze und Methodik des Standards sowohl den eigenen Ansprüchen und den aktuellen, theoretischen Entwicklungen im Bereich BCM genügen, als auch den ersten Praxistest bestanden hat.
Schabhüser weiter: Dieser Standard bietet eine praxisnahe Anleitung, um ein BCM-System in der eigenen Institution aufzubauen und zu etablieren. Wir wollen so den Einstieg in die Business Continuity als elementaren Bestandteil der Cyber-Sicherheit niederschwellig, praxisnah und effektiv ermöglichen.
Detailliertere Fragen zur neuen Struktur des Standards, Veränderungen der Methodik oder wie ein ISMS (Managementsystem für Informationssicherheit) und ein BCMS (Business Continuity Management System) in eine übergreifende, ganzheitliche organisatorische Resilienz eingebettet werden können, sind Programm des IT-Grundschutz-Tages. Abwechslungsreiche Vorträge aus Theorie und Praxis beantworten diese Fragen und stellen weitere Infos zum Standard vor. Diese hybride Veranstaltung findet sowohl online, als auch in der Stadthalle Limburg (Lahn) in Präsenz statt. Das BSI veranstaltet vier Mal im Jahr IT-Grundschutz-Tage mit wechselnden Themen und an wechselnden Orten.