KRITIS Business Continuity
Business Continuity Management (BCM) und IT-Notfallmanagement mindern Ausfallrisiken in KRITIS-Anlagen. Ein Management-System für BCM schützt den Betrieb, die Prozesse und Assets von KRITIS-Anlagen, IT-Notfallmanagement mindert die Auswirkungen von Krisen und IT-Notfällen.
Die KRITIS-Regulierung selbst macht wenig normative Vorgaben zu Kontinuitätsmanagement — ein geregeltes BCM und IT-Notfallmanagement kann Betreibern jedoch viel Aufwand in der KRITIS-Vorbereitung und bei Vorfällen sparen, durch Analysen, Methoden und geübte (!) Pläne.
Standards wie ISO 22301 und BSI 200-4 helfen beim Aufbau von BCM und Notfallmanagement. In den KRITIS-Anforderungen des BSI für KRITIS-Prüfungen gibt es fünf Kontrollen zu Kontinuität:
Bereich | BSI-ID | Anforderung |
---|---|---|
Management-System | 17 | Funktionierende Governance und Verantwortung für BCM |
Richtlinien | 15-16 | Normatives Regelwerk für BCM und IT-Notfallmanagement |
Pläne | 18 | Rahmenwerk zur Kontinuitätsplanung |
Übungen | 19 | Tests, Übungen und Überwachung der Kontinuität |
Business Continuity Management
Der Case für BCM in KRITIS
Obwohl BCM keine zentrale Rolle in den Vorgaben der KRITIS-Regulierung spielt, sind BCM-Methodiken ein hilfreiches Werkzeug für Betreiber in der Umsetzung von KRITIS-Pflichten.

DE Webinar: Notfallmanagement in Kritischen Infrastrukturen
Welche Lücken BCM in Kritischen Infrastrukturen schliesst.
Webinar ∙ Registrierung über LinkedIn ∙ 29. April 2022
Anforderungen
- IT-Sicherheitsgesetz 2.0: Im Gesetz selbst spielt BCM (außer der Versorgungssicherheit) keine Rolle. In den KRITIS-Prüfungen und den Nachweisen wird der Reifegrad abgefragt.
- EU-Regulierung: Die kommenden EU-Direktiven EU NIS2 und EU RCE fordern in Kritische Infrastrukturen zukünftig deutlich mehr BCM, Pläne und Krisenmanagement.
- KRITIS-Standards: BCM und Notfallmanagement spielt in KRITIS-relevanten Cyber Security Standards (ISO 27001, BSI C5) meist eine Rolle in der Vorsorge und der Bearbeitung von Vorfällen. Das NIST Cybersecurity Framework (CSF) legt größeres Augenmerk auf BCM in den eigenen Respond (RS) und Recover (RE) Kernfunktionen.
BCM-Werkzeuge
- Analysen: Werkzeuge und Methoden zur Analyse von Risiken und Kritikalität von Geschäftsprozessen und Assets wie BIA und RIA.
- Pläne: Aufrechterhaltung des Betriebs durch Notfallpläne, Wiederanlaufpläne und Wiederherstellungspläne (WAP, WHP) und Übungen.
- Reaktion: Definierte Prozesse und eingeübte Abläufe zur Bewältigung von Vorfällen, Notfällen und Krisen mit besetzten Rollen und Stäben, IT-Tools.
- IT-Notfälle: Organisation für das Management von IT-Notfällen mit Reaktionsfähigkeiten und Präventionsmaßnahmen für resiliente IT.
Einsatz in KRITIS
BCM-Methoden können in den Pflichten von KRITIS-Betreibern wie folgt unterstützen.
KRITIS | Pflicht | BCM-Unterstützung |
---|---|---|
Identifikation | Feststellung der eigenen Betroffenheit im Betrieb als Kritische Infrastruktur | a Analysen: BIA zur Analyse der kritischen Dienstleistung und Ermittlung von KRITIS-Schwellenwerten im Betrieb und Prozessen |
Registrierung | KRITIS-Anlagen beim BSI registrieren | - |
Meldungen | IT-Störungen, Angriffe und Vorfälle ans BSI melden | c Reaktion: Organisation zur betrieblichen Behandlung und Meldung von Ereignissen d IT-Notfälle: Prozesse zur Bewältigung von IT-Notfällen nach der Detektion |
Geltungsbereich | KRITIS-Anlagen und Scope im Unternehmen | a Analysen: BIA zur Bewertung und Auswahl kritischer Prozesse und IT-Assets für die kDL |
Cyber Security | Angemessene Maßnahmen nach Stand der Technik umsetzen | a Analysen: Vollständige betriebliche Risikoanalyse eigentlich nur mit BCM-Risiken möglich b Pläne: Notfallpläne in der KRITIS-Anlage durch BCM erstellen und vervollständigen |
Prüfungen | Nachweis der Umsetzung von KRITIS-Maßnahmen | a Analysen: BCM stellt aktuelle Analysen als Nachweise für Prüfungen sicher b Pläne: Aktuelle BCM-Pläne als Nachweis |
Management-System
Für die Behandlung von Ausfallrisiken in KRITIS-Anlagen sind klare Verantwortlichkeiten und Prozesse notwendig — unterstützt durch ein Management-System für Betriebskontinuität (BCMS), das im KRITIS-Geltungsbereich die Resilienz der Geschäftsprozesse und IT erhöht.
BSI-ID | Anforderung |
---|---|
BSI-17 | Verantwortung der gesetzlichen Vertreter des Betreibers der Kritischen Infrastruktur |
Rollen
Das BCMS legt dazu Rollen und Aufgaben für Kontinuität im Geltungsbereich fest:
- Leiter BCMS: Leitung BCMS und Verantwortung für Vorgaben der Betriebskontinuität
- Leiter IT-Notfallmanagement: Leitung der Vorsorge und Reaktion auf IT-Notfälle
- Asset-Verantwortliche: Schutz der eigenen Assets durch Vorsorge-Maßnahmen
Verantwortlichkeiten
Die Verantwortungen in den KRITIS-Anlagen für Betriebskontinuität müssen verbindlich festgelegt werden — eindeutig (A
und R
) und getrennt in Vorgaben, Umsetzung und Kontrolle (Funktionstrennung).
Mögliche Orte für die Festlegungen durch das BCMS sind:
- Rollenbeschreibungen
- RACI-Matrizen
- Prozessbeschreibungen
- Funktionsbeschreibungen
- Ernennungsurkunden
Prozesse
Das BCMS steuert die betriebliche Kontinuität in den KRITIS-Anlagen durch Prozesse, u.a.:
- Steuerung: Betrieb des Management-Systems — Ausübung der BCM-Governance
- Risikoanalyse: Analyse der Ausfallrisiken von Assets und der IT, Durchführung der Business Impact Analyse (BIA), Feststellung von Risiken (RIA)
- Risikobehandlung: Entscheidung und Auswahl von Optionen in der Risikobehandlung, primär durch Business Continuity Pläne (BCP) und Maßnahmen
- Übungen und Tests: Durchführen von realistischen Tests der Pläne (BCPs), Ableiten von Maßnahmen und Lessons Learned
Nachweise
Artefakte als Nachweis für ein laufendes und funktionierendes Management-System sind u.a.:
- Protokolle
- Entscheidungen
- Business Impact Analysen
- Maßnahmen
- Pläne
Richtlinien
Die Ziele des BCM zur betrieblichen Kontinuität bei etwaigen Störungen
in KRITIS-Anlagen werden durch das BCMS in einer zentralen Leitlinie (Policy) verankert.
Die Leitlinie legt für das BCMS gültige Analysemethoden, Parameter, Szenarien und Auswirkungen fest.
BSI-ID | Anforderung |
---|---|
BSI-15 | Richtlinien zur Folgeabschätzung |
BSI-16 | Richtlinien zur Maßnahmenableitung |
Rahmenwerk
Basierend auf der Leitlinie legt das BCMS in weiteren Richtlinien die Methoden, Hilfsmittel und Tools fest, die bei Analysen (BIA/RIA) und Maßnahmen in KRITIS-Anlagen zu nutzen sind.
Nachweise
Nachweise für effektive Vorgaben und Richtlinien im BCMS sind u.a.:
- Aktuelle Richtlinien
- Freigaben
- Revisionhistorien
- Änderungen
- Entscheidungen
Pläne und Maßnahmen
Die Ergebnisse eines BCMS sind in erster Linie Analysen und Transparenz über Ausfallrisiken in den KRITIS-Anlagen. Für die Behandlung dieser Risiken hat das BCMS mehrere Optionen:
- Maßnahmen: Präventive oder korrektive Maßnahmen in den KRITIS-Anlagen oder Prozessen können Ausfallrisiken mindern.
- Pläne: Dokumentation von Business Continuity Plänen (BCPs), die für Aus- und Notfälle einzelner Assets und Prozesse die notwendigen Schritte zum Wiederanlauf dokumentieren.
- Andere: Bestimmte Risiken oder Situationen kann das BCMS an weitere Disziplinen verweisen — wie das Krisen-Management, IT-Notfallmanagement oder auch das ISMS.
BSI-ID | Anforderung |
---|---|
BSI-18 | Planung der Betriebskontinuität |
Nachweise
Artefakte als Nachweis für effektive Maßnahmen sind u.a.:
- BCPs
- Notfallpläne
- Umgesetzte Maßnahmen
- Verminderte Risiken
Übungen und interne Audits
Zur Verbesserung des BCMS und Weiterentwicklung der betrieblichen Kontinuität müssen regelmäßig Tests und Übungen der definierten Pläne und Maßnahmen durchgeführt werden. Dies umfasst Krisenübungen, Notfalltests, Durchspielen einzelner Pläne oder Übungen zu Kommunikation und Meldewegen. Die Übungen sollten geregelt ausgewertet und vom Betrieb und BCMS in der kontinuierlichen Verbesserung berücksichtigt werden.
BSI-ID | Anforderung |
---|---|
BSI-19 | Verifizierung, Aktualisierung und Test der Betriebskontinuität |
Nachweise
Nachweise für effektive Übungen und Verbesserung des BCMS sind u.a.:
- Übungsberichte
- Auditberichte
- Lessons Learned
- Umgesetzte Maßnahmen
IT-Notfallmanagement
Für IT-Risiken in der betrieblichen Kontinuität ist IT-Notfallmanagement eine der möglichen Behandlungsoptionen. Die Anforderungen für IT-Notfallmanagement sind in den Kontrollen BSI-15 bis 19 im BCMS enthalten. Das IT-Notfallmanagement besteht aus zwei Prozessen:
- IT-Notfallvorsorge: Präventive Maßnahmen zur Vorsorge und Vermeidung von IT-Notfällen durch resiliente IT-Architektur und SLAs, Listen zur IT-Priorisierung und Wiederanlauf.
- IT-Notfallbewältigung: Reaktionsorganisation zur operativen Bewältigung von IT-Notfällen mit geübten Abläufen und Hilfsmitteln zur Bewältigung — zusammen mit der IT.
Nachweise
Nachweise für effektives IT-Notfallmanagement im BCMS sind u.a.:
- Besetzte IT-Rollen
- SLAs und Servicelevel
- Priorisierungslisten
- Wiederanlaufpläne
Integration im Unternehmen
Das BCMS muss für das Management von Ausfallrisiken im Betrieb mit weiteren Management-Systemen vernetzt sein.
- Risiko-Management: Meldung von Risiken und Maßnahmen an das Unternehmens-Risiko-Management, Austausch zu Methoden und Definitionen
- Asset-Management: Abgleich von Asset-Informationen der Assets in Scope der Anlage
- IT-Betrieb und IT-Sicherheit: Definition und Begleitung der Maßnahmen-Umsetzung im Betrieb; Austausch zu operativen Risiken und Bedrohungen
- ISMS: Behandlungsoption für Maßnahmen zur Ausfallsicherheit; gemeinsame Sicht auf IT-Assets und deren Risiken
- KRITIS-Organisation: Abgleich Geltungsbereich ISMS und Geltungsbereich KRITIS; Definition der IT-Systeme und Prozesse im Scope; Zusammenarbeit im Meldewesen
Weitere Informationen
Literatur
- Business Continuity Planning Suite, Ready.gov - DHS National Protection and Programs Directorate, März 2021
- IT Disaster Recovery Plan, Ready.gov, Februar 2021
- IT-Grundschutz-Baustein (200-1): DER.4: Notfallmanagement, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021
Standards
- BSI-Standard 200-4, Business Continuity Management (Community Draft), Bundesamt für Sicherheit in der Informationstechnik, o.D.
- ISO 22301:2019, Security and resilience - Business continuity management systems - Requirements, International Organization for Standardization
- ISO 27031:2011, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity, International Organization for Standardization
Quellen
- Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist