IT-Risk-Management V5: Business Continuity Management · PDF fileIT-Risk-Management V5:...

/60© R. Grimm / N. Meletiadou 1

IT-Risk-Management

V5: Business Continuity Management

R. Grimm / N. MeletiadouInstitut für Wirtschafts- und Verwaltungsinformatik

Universität Koblenz


Inhaltsübersicht

1. Motivation2. Begriffe 3. Business Continuity Planning4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage (ATT, CISCO, 2005)


Motivation

• Gründe für das Unterbrechen von Geschäftsprozesse– mehr als 20% IT-Systemausfälle, davon

– 22% Naturkatastrophe

– 12% menschliches Verhalten

– andere Unterbrechungen z.B. Materialengpass, Maschinenausfall, Kundenabsage

• Ursachen sind schwer vorherzusehen z.B.– Terrorismus, Sabotage

– menschliches Versagen

[v.Rössing 2005]


Motivation

• Association of Britisch Insurers– alle 2,8 Jahre unternehmenskritische Ereignisse

– 88% dieser Ereignisse in einem Bereich ohne BCP

– die Wiederherstellung dauerte in 43% der Fälle länger als 2 Mon.

• Maus im Allianz Zentrum für Technik– 135.000 Euro Brandschäden

• 43% of U.S. businesses never reopen after a disaster --and 29% close within two years

[v.Rössing 2005]


Ausfallzeiten und Verluste Meta Group 2009

[Weber/Rosselet/Waser 2009]

/60

Ursachen für Ausfälle

© R. Grimm / N. Meletiadou 6

[Weber/Rosselet/Waser 2009]

/60© R. Grimm 7

Gründe für Ausfälle 2009

© 2009 FRANK Robin Linux-Systems, FRANK Robin Linux -Systems [24.3.2015]


Inhaltsübersicht

1. Motivation

2. Begriffe3. Business Continuity Planning4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage


Notfall

• Notfall ist ein Ereignis,– das dauerhaft

– schwerwiegende negative Einflüsse

– auf unternehmensentscheidende oder bedeutende Tätigkeiten

– eines Geschäftsbereiches

– oder der Infrastruktur am Standort zur Folge hat

• Unterscheide– vorhergesehene und nicht vorhergesehene Notfälle

– versicherbare und nicht versicherbare Notfälle

[Naujocks 2003a]


Notfall vs. Störung

• Notfall– Ausfall des Gesamtgebäudes samt RZ

– Ausfall einer Filiale

– Ausfall der TK-Anlage über einen festgelegten Zeitraum hinaus

• Störung– kurzer Stromausfall

– Ausfall der Heizungsanlage


Anteile des IT-Risikomanagements

• Sicherung der Werte (s.o.)

• Sicherung der Verlässlichkeit der IT• Verhinderung/Beherrschung eines Notfalls

– Widerstandskraft und Robustheit des Unternehmens gegen bekannte oder unbekannte Ereignisse

• Wiederherstellung des Betriebes• Fortführung des Betriebs

Informationssicherheit

Notfallplanung


Informationssicherheit und Notfallplanung eingebettet in IT-Risk-Management

IT-Sicherheit(Security und Safety)

BeherrschbarkeitVerlässlichkeit

IT-Risk-Management

Information Security Notfallplanung


Zeitliche Anordnung der Notfallplanung

Business Continuity Planning

Incident Response

Disaster Recovery

Proaktive Maßnahmen Sofortige Maßnahmen Wiederherstellungsmaßnahmen


Business Continuity Planning (BCP)

• „BCP is defined as:• the identification and protection• of critical business processes and resources required

– to maintain an acceptable level of business,

– protecting those resources

– and preparing procedures

• to ensure the survival of the organization• in times of business disruption .“

[Hiles/Barnes P. 2001]


Incident Response

• „Incident response is a set of activities taken– to plan for,

– detect,

– and correct

– the impact of an incident on information assets.

• IR is more a reactive, than a proactive,• with the exception of the planning

– that must occur to prepare the IR teams

– to be ready to react on an incident“

[Whitman/Mattord 2009]


Disaster Recovery

• „Disaster recovery is the process that takes place– during and

– after an organizational crisis

• to minimize business interruption • and return the organization as quickly as possible to a

pre-crisis state“

[Smart 2002]


IT-Risk-Management vs. BCP

• IT-Risk-Management– Identifikation von Gefährdung

– Vermeidung von Schadensfällen (Verlässlichkeit)

– Beherrschbarkeit

• Notfallplanung, besonders BCP – nutzt die Ergebnisse des IT-Risk-Managements

– nach Schadenseintritt

– Minimierung der Schadensauswirkung


IT-Risk-Management vs. BCP

RiskManagement

IT-Security

Financial RiskManagement

IT-RiskManagement

Business Continuity Planning

Incident Response

DisasterRecovery

ContingencyPlanning


Inhaltsübersicht

1. Motivation2. Begriffe

3. Business Continuity Planning4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage


Ziele des BCP

• Sicherstellung der Weiterführung von unternehmenskritischen Tätigkeiten

• Wiederaufbau der Infrastruktur• Wiederaufnahme der Geschäftsaktivitäten• Weiterführung der Erbringung der Dienste an die

Kunden auf einem akzeptablen Niveau

[Hiles/Barnes P. 2001] [Naujocks 2003a]

/60

P+D+CA!


BCP-Prozess

Analyse des Unternehmens

Implementierung

des Planes

Entwicklung

des Planes

Testen und

Warten des

Planes

Projekt-

initialisierung


Projektinitialisierung

• BCP als eine Kernaufgabe des Unternehmens• Bewusstseinsschaffung über:

– die Notwendigkeit eines BCP

– die entstehenden Kosten

• Überzeugung des Top-Managements


Projektinitiierung

• strategisch– Ziel festlegen

– Mitgliedern des Top-Managements

– strategische Entscheidungen in Richtung auf Ziel

• taktisch– Middle-Management und BCP-Experten einbinden

– Entscheidungen koordinieren und Aufgaben verteilen

– korrekte Implementierung und Ausführung des Planes zuweisen

• Operational (in Krise)– Verantwortliche Mitarbeiter aktivieren

– die im Krisenfall speziell zugeteilten operativen Aufgaben durchführen

[Naujocks 2003a]


BCP-Prozess



• Business Impact Analysis (BIA)– Schadensabschätzung

• Risk Assessment (RA)– Wahrscheinlichkeitsberechnung


Business Impact Analysis (BIA)

• Monetäre Auswirkungen– Verlust von Einnahmen oder Aktienwert

– vertraglich geregelte Geldstrafen aufgrund von nicht erbrachter Leistung

• Nicht-monetäre Auswirkungen– Verlust von öffentlichem Ansehen

– Verlust von Vertrauen (sowohl Kunden als auch Zulieferer)

– Verlust von Marktanteilen und Produktivität

[Naujocks 2003a]



• Wiederherstellungsprofil– höchstzulässige Ausfallzeiten

– Mindestkapazität

– Bestimmung des Wiederanlaufpunktes

• IT-Abhängigkeit definieren– Abbildung IT-Funktionen auf Geschäftsprozesse

– Berechnung der Wirkung des IT-Funktionsausfalls auf Beeinträchtigung der Geschäftsprozesse

• Identifizierung des Funktionsausfalls• Kosten des Ausfalls



• Standorte, Gebäude, Anlagen, Maschinen– technische maximal Kapazität

– Kapazität unter Berücksichtigung von Gesetzen und Auflagen

• Kunden- und Lieferantenbeziehungen– Top-30-Kunden, Konzentration auf bestimmte

Kundenbeziehungen

– Top-5-Märkte und -Lieferanten

– gegebenenfalls Erwirtschaftung eines bedeutenden Anteils mit Produkten aus einem bestimmten Markt

• IT-Infrastruktur und Versorgungseinrichtungen– Erhebung ertragskritischer Daten und Anwendungen

– Verfügbarkeit von Daten und Anwendungen

– Analyse der Datensicherungsstrategie[Engel 2005]



• Durchführung– Entwicklung eines Fragebogens

– Identifizierung von geeigneten Personen

– Erstellung einer Auswertung

• Auswertung– Beschreibung von Schlüsselprozessen

– Interdependenzen der Unternehmenseinheit mit anderen Unternehmenseinheiten, Zulieferern, Kunden

– Konsequenzen eines Ausfalls der Unternehmensfunktion für verschiedene Zeitperioden

– entstehende Kosten durch Ausfall der Unternehmensfunktion

– minimal benötigte Ressourcen, um Schlüsselprozesse wieder aufzunehmen

[AudiNet 2001]


BIA einer Bank [Naujocks 2003b]


BIA einer Bank [Naujocks 2003b]


Typen von Risiken

[Pow99]


Risk Assessment

„Risk Assessment is the term used to describethe probability of occurrence of an incident/ disaster“

[Elliott/Swartz/Herbane 2002]


Risk Assessment

• Ursachenanalyse• (Wirkung als Teil des BCP oben abgehandelt)• Umfeld der Mechanismen bedenken• Wahrscheinlichkeit zuordnen


Risk Assessment

• Wahrscheinlichkeiten, zum Beispiel (grob granuliert):– sehr gering (weniger als in 100 Jahren)

– gering (mehr als einmal in 100 Jahren,aber weiniger als einmal in 25 Jahren)

– mittel (mehr als einmal in 25 Jahren)

– hoch (mehr als einmal in 5 Jahren)

– sehr hoch (mehr als einmal im Jahr)


Zusammenführung von BIA und RA

Aus

wirk

ung

(Im

pact

)

Wahrscheinlichkeit

IT-Fehler

Wirtschaftskriminalität

Bedienungsfehler an ...-AnlageTerroranschlag

Sabotage

Kunden-Konkurs

Zulieferer-Konkurs

Feuer

Überschwemmung

Börse-Crash

Industrie-Unfall

Stromausfall

IT-Zusammenbruch

Denial-of-Service-Angriff

hochniedrig

groß

gering

(Beispielhafte Belegung)


BCP-Prozess


Implementierung

des Planes

Entwicklung

des Planes

Testen und

Warten des

Planes

Projekt-

initialisierung


Entwicklung eines BCPs

• Soll der Plan alle oder nur besonders kritische Unternehmenseinheiten abdecken?

• Soll der Plan sich ausschließlich auf Informationstechnologie konzentrieren?

• Wie weit soll die sofortige Wiederherstellung der Unternehmensprozesse im Falle eines Ausfalls gehen?

• Zurück zum „business as usual“ oder nur „operation in survival mode“?

• Welche finanziellen Mittel stehen zur Verfügung?


Entwicklung eines BCPs

• Welche Organisation steuert alle relevanten Aktivitäten für den Wiederanlauf?

• Wer sind die Ansprechpartner und mit welchen Kompetenzen ist das BC-Team ausgestattet?

• Wer ist verantwortlich für die Krisenkommunikation, etwa gegenüber Kunden und Lieferanten?

[Schmidt H. 2005]


BCP-Strategie

• Vorbeugung oder genügt Spontan-Reaktion?• Schnelle Wiederversorgung• Alternativer Standort

– kalte Lösung

– warme Lösung

– heiße Lösung

• Alternative Kundenversorgung• Versicherung


Beispiel einer BCP-StrategieB

SI-

Sta

ndar

d 10

0-4

Not

fall-

Man

agem

ent

MTPD = Maximum Tolerable Period of DisruptionRTO = Return To Operations


Business-Continuity-Plan

• Beschreibung der BC-Strategie

• Beschreibung des Szenarios und der erwarteten funktionalen Auswirkungen

• Ziel des (konkreten) Planes, Beschreibung von Minimalanforderungen

• Geltungsbereich des BC-Planes und Prozesseigner

• Definition der Rolle betroffener Organisationseinheiten

• Beschreibung der operativen Maßnahmen

• Ergänzende Informationen, etwa Standortinformationen, Lagepläne, Sicherheitseinrichtungen, etc.

• Hinweise auf notwendige Übungen und Übungsrhythmen

[Engel 2005]


Realisierung von BCP


Implementierung

des Planes

Entwicklung

des Planes

Testen und

Warten des

Planes

Projekt-

initialisierung


Implementierung

• Abschluss von Verträgen• Verteilung von Rollen und Aufgaben• Entwicklung von Prozessen, Vorgehensweise

– Benachrichtigungsprozedur• Eskalation

– Wiederherstellung• sofortige Reaktion• sofortige Wiederherstellung• langfristige Wiederherstellung

• Ausarbeiten der endgültigen Lösung


Implementierung

• Dokumentation des Planes– Ziele und Umfang des Business Continuity-Planes

– Rollen, Verantwortlichkeiten, Aufgaben der Mitarbeiter

– Darstellung strukturierter Vorgehensweisen im Katastrophenfall

– Kontakte (interne und externe Schlüsselpersonen)

– jedem Mitarbeiter verdeutlichen, welche Aufgaben er in einem Katastrophenfall wie zu erfüllen hat

– Information der Stakeholder

• Anpassung des Plans an realistische Gegebenheiten


BCP-Prozess


Implementierung

des Planes

Entwicklung

des Planes

Testen und

Warten des

Planes

Projekt-

initialisierung


Test und Wartung

• Ausarbeiten eines Testplans– Theoretische Überprüfung des Planes durch das Top-

Management

• Praktischer Test einzelner Komponenten– Benachrichtigungsketten

– Großangelegter Test Durchführen

• Dokumentieren• Auswerteten• Revidieren• Verbessern und Umsetzen• Schulung• Weiterentwicklung


Inhaltsübersicht

1. Motivation2. Begriffe 3. Business continuity planning

4. Fallbeispiel: Banking Services Luxemburg S.A.5. Firmenumfrage


Fallbeispiel BSL – Banking Services Luxembourg

• Banking Services Luxembourg S.A.• Unterstützung des IT Recovery Planning der Kunden• Gegründet von einer Luxemburger Bankenkooperation

– zunächst zwei Gründungsmitglieder

– später Gewinnung weiterer Banken,die die Dienstleistungen nutzen wollen

• Ziel:– Cost Sharing, d.h.

– Senkung der Business-Continuity-Kostendurch gemeinsames Notfallzentrum

[Velenz/Weil 2003]


Fallbeispiel BSL

• BSL garantiert Wiederanlauf innerhalb einer Stunde• BSL stellt eine Workplace Recovery Site zur Verfügung

– Platz für maximal zwei Banken zur selben Zeit

• maximal sechs Kunden• die Hauptsitze zweier Kunden dürfen nicht zu nahe

beieinander liegen


Ergebnis der BIA einer Bank (Beispiel)

Priorität Zeitrahmen der Wiederherstellug

Geschäftsprozesse

1 bis 1 Stunde Handel, Private Banking,

Kasse

2 1 – 6 Stunden Abwicklung Wertpapiere,

Service Private Banking,

Poststelle

3 6 Stunden – 4 Tage Wertpapierverwaltung,

Risikocontrolling,

Rechnungswesen

4 mehr als 4 Tage Revision, Recht,

Personalwirtschaft,

Steuerung/Organisation


Risiken am Bankenstandort Luxemburg

• allgemeine Risiken (Bsp.) – Flugzeugabsturz (Stadt Luxemburg befindet sich in

Einflugschneise des Flughafens)

– Überschwemmung, Großbrand etc. (Luxemburg ist aufgrund seiner geringen Größe insgesamt stärker von Naturkatastrophen betroffen)

– Verkehrsunfälle (Gebäude befinden sich in der Innenstadt mit hohem Verkehrsaufkommen, auch Lkw und Gefahrguttransporte)


Risiken am Bankenstandort Luxemburg

• branchenspezifische Risiken (Bsp.)– Diebstahl (hohe materielle Werte in Gebäuden)

– Vandalismus (Gebäude öffentlich zugänglich)

– Hacking (Bank verfügt über viele vertrauliche Daten)

• geographisch bedingte Risiken– hohe Anzahl von Banken auf engstem Raum, dadurch bei

großflächigen Zwischenfällen Versorgungsengpässe möglich

• IT-Risiken– DDoS

– Virenbefall

– Spionage

– … usw.


Ausstattung der Recovery Site

• 24 Arbeitsplätze mit Network Computer, Telefon,USV (unterbrechungsfreie Stromversorgung)

• 2 Reuters-Terminals, 1 Bloomberg-Terminal• Kopierer, Fax und Aktenvernichter• ISDN-Primärmultiplexanschluss oder Standleitung• Server-Raum

– limitierter Zugang

– Closed Shop

– USV (unterbrechungsfreie Stromversorgung)

– Feuerschutz


Recovery Prozedur einer Bank

• Im Vorfeld:– Anzahl und Art der Arbeitsplätze bestimmen

– Installation notwendiger Applikationen auf dem Terminalserver

• Bei Eintritt des Notfalls:1. BSL (Banking Service Luxemburg) informieren

2. BSL stellt Wachpersonal und IT-Spezialisten

3. Telekommunikationsdienstleister informieren (Umleiten der Rufnummern)

4. Beschaffung der Backup-Platten

5. Booten des Systems


Inhaltsübersicht

1. Motivation2. Begriffe 3. Business continuity planning4. Fallbeispiel BSL

5. Firmenumfrage (ATT, CISCO, 2005)


„Musste Ihre Firma je wichtige betriebliche Prozess e aufgrund einer Katastrophe einstellen?“


„Wann wurden Ihre BCP-Pläne zum letzten Mal erprobt ?“

[ATT und Cisco 2005]


„Welche Gefährdung ist am schwierigsten vorherzuseh en und vorzubeugen? “



„Was sind die Hauptrisiken im Fall einer Geschäftsunterbrechung in Ihrer Firma?“



Literaturverzeichnis (1)

ATT und Cisco: Business Continuity Notfallplanung für Geschäftsprozesse. ATT, Cisco und Economist Intelligence Unit, White Paper 2005.

AudiNet: Business Impact Analysis - Business Unit/Cost Center Questionnaire. AuditNethttp://www.auditnet.org/audit_programs/business-impact-analysis-questionnaire [24.3.2015]

BSI, Bundesamt für Sicherheit in der Informationstechnik: BSI-Standard 100-4, Notfall-Management. Version 1.0, 2008. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards /ITGrundschutzStandards_node.html [124.3.2015]

Engel H.: Gesprengte Ketten- Absicherung der Supply Chain durch ein unternehmensweites Business Continuity Management in RISKNEWS 05/2005

Elliott D., Swartz E., Herbane B: Business Continuity Management - A crisis managementapproach, 2002. London, New York: Routledge

Gibb, F.; and Buchanan, S.: A framework for business continuity management. International Journal of Information Management 26 (2006), Elsevier, 128–141.

Hiles A., Barnes P. (2001). The Definitive Handbook of Business Continuity Management, Chichester, New York, Weinheim: JohnWiley and Sons.

Moser, Keye (2012), SIZ Informatikzentrum Bonn: Risiken im Fokus – Umfassendes Notfallmanagement. W&S Sicherheitsmagazin, Wirtschaftsschutz und Sicherheitstechnik, 2/2012, I.G.T. Verlag München, S. 20-21.http://www.sicherheit.info/si/cms.nsf/si.ArticlesByDocID/1123065?Open [24.3.2015](guter Überblicksartikel!)

/60

Literaturverzeichnis (2)

Naujoks U.(2003a): Notfallplanung in einer globalisierten Bank, in Business Continuity, Wieczorek M., Naujoks U., Bartlett B., Springer Verlag 2003.

Naujoks U.(2003b): Der Business Continuity Plan, Keine Schrankware, sondern sehr„lebendig“, Computas Fachkonferenz „IT-Risk-Management”.

von Rössing R.: Betriebliche Kontinuität als Teil eines integriertes Risikomanagement. In RISKNEWS 05/2005. http://onlinelibrary.wiley.com/doi/10.1002/risk.v2:5/issuetoc [24.3.2015]

Schmidt H.: Rüsten für den Notfall – Business Continuity Management und Risikovorsorge. In RISKNEWS 05/2005. http://onlinelibrary.wiley.com/doi/10.1002/risk.v2:5/issuetoc [24.3.2015]

Smart R. (2002): What is the difference between business continuity and disasterrecovery? globalcontinuity.com

Velenz U., Weil F.J.: Erstellen eines vollständigen Umfeldes für das Überleben einer Bank, in Business Continuity, Wieczorek M., Naujoks U., Bartlett B., Springer Verlag 2003.

Weber, Thomas; Rosselet, Olivier; und Waser, Fabian: Business Continuity und DisasterRecovery. Itris Computer Services, vmware. Spreitenbach, 3.3.2009. http://www.itris.ch/

Whitman M., Mattord H.: Principles of Information Security, Thomson course technology, 3rd Edition, Boston, MA, 2009, 570 pages.



Prüfungsfragen

1. Anhand der Definition für den Begriff Notfall definieren Sie den Begriff Störung.

2. Definieren Sie den Begriff Business Continuity Planning und grenzen Sie diesen von dem Begriff IT-Risk-Management ab.

3. Erläutern Sie die Begriffe Business Impact Analysis und Risk Assessment: in welcher Beziehung stehen die beide Begriffe?

4. Erläutern Sie den Business Continuity Planning-Prozess und geben Sie für jeden Schritt ein Beispiel.

IT-Risk-Management V5: Business Continuity Management · PDF fileIT-Risk-Management V5:...

Documents

Transcript of IT-Risk-Management V5: Business Continuity Management · PDF fileIT-Risk-Management V5:...