28

Feb

2020

Business Continuity Management: Coronavirus, Cybersicherheit und Pandemiepläne

Die Ausbreitung des Coronavirus (Covid-19) und die Auswirkung auf die global vernetzte Gesellschaft und Wirtschaft nehmen merklich zu. Wissenschaftler gehen zunehmend von einer bevorstehenden Pandemie aus. Reisebeschränkungen werden erlassen, Geschäftsstellen geschlossen und Fabriken stehen weltweit aufgrund von Unterbrechungen in der Lieferkette still. Doch was hat all dies mit Informationssicherheit zu tun? Ein Vergleich zeigt die Analogie zur Entstehung, Verbreitung und Bekämpfung von Schadsoftware. Mit Business Continuity Management (BCM) als gesamtheitlicher Lösungsansatz wird ein für öffentliche und private Organisationen wirkungsvolles Instrument zur systematischen Vorbereitung auf Cybervorfälle und eine Pandemie.

Die Pandemie als gesundheitlicher Ausnahmezustand

Die Weltgesundheitsorganisation (WHO) definiert Pandemie als die interkontinentale Ausbreitung einer oftmals durch Mutation entstandenen, neuartigen Krankheit, wie beispielsweise dem Grippevirus SARS in den Jahren 2002 und 2003. Die wenigsten Menschen können hierfür eine Immunität vorweisen, bisher bekannte Medizin und Behandlungsmethoden versagen. Bereits vor dem Auftreten erster Symptome können betroffene Menschen ansteckend sein, wodurch sich das Virus unbemerkt verbreitet. Je nach Ausprägungen der Erkrankung befinden sich die Menschen und ihr Immunsystem in einem Ausnahmezustand mit potenziell lebensbedrohlichen Folgen. Jüngster Kandidat mit Pandemie-Potenzial ist der in China ausgebrochene Covid-19. Erstmals im Dezember 2019 entdeckt breitet sich das Virus nun weltweit aus. Auch in Deutschland und Europa nehmen die Infektionen zu.

COVID-19 als gesellschaftlich-wirtschaftliche Bedrohung

Die Folgen sind jetzt schon international spürbar. Mit dem Ziel, die Verbreitung einzudämmen, wurden mittlerweile stark betroffene Regionen unter Quarantäne gestellt, Flug- und Schiffshäfen sowie Bahnhöfe geschlossen. Infolgedessen brechen die internationalen Lieferketten ein, es drohen Versorgungsengpässe. Betroffene Unternehmen stehen ohne Abnehmer da, vielen droht der Bankrott. Auch in Deutschland ist die Wirtschaft sichtlich angeschlagen, das Bruttoinlandsprodukt stagniert. Im Rahmen der Nationalen Katastrophenvorsorgeplanung wurde eine durch das RKI veröffentlichte Pandemieplanung entwickelt. Diese beinhaltet konkrete Maßnahmen für die Pandemiebewältigung auf unterschiedlichen Planungs- und Handlungsebenen, insbesondere für kritische Infrastrukturen wie Krankenhäuser und Flughäfen.

Malware als IT-Ausnahmezustand

Die Analogie der Dynamik eines biologischen Virus zu der Ausbreitung einer Schadsoftware im Cyberraum ist eindeutig – nicht ohne Grund spricht man auch in der Computertechnik oft von einem Virus. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) veröffentlicht jährlich einen Bericht über die Lage der IT-Sicherheit in Deutschland. Allein im Jahr 2019 wurden täglich 320.000 neue Schadcode-Varianten identifiziert. Diese hohe „Mutationsrate“ führt dazu, dass regelmäßig neuartige Schadsoftware mit unterschiedlichsten Funktionen entsteht und daher zunächst unentdeckt bleibt. Auch hier findet sich mit dem Schadprogramm Emotet ein Beispiel, welches uns in der jüngeren Vergangenheit immer wieder beschäftigt hat. Erstmals im Jahr 2014 entdeckt, hat sich Emotet konstant weiterentwickelt, sowohl zur Umgehung der Erkennungsmethoden als auch zur Integration neuer Funktionalitäten.

Emotet als Existenzbedrohung für Unternehmen und Behörden

Dabei zielen die Entwickler solcher Software oft auf Behörden und Unternehmen ab, um sich wirtschaftliche Vorteile zu verschaffen. Typische Methoden hierfür sind das Ausspähen von Bankkonto-Daten sowie die Verschlüsselung der Daten Betroffener mit anschließender Erpressung von Lösegeld. Nicht selten kommt es hierbei zu einer vollständigen Kompromittierung und damit zum Totalausfall der gesamten IT-Infrastruktur, wie jüngst beim Berliner Kammergericht. Die Folgen können schwerwiegend sein oder sogar zum kompletten Erliegen des Geschäftsbetriebs führen. Um genau solche Szenarien bestmöglich zu verhindern, ist die Entwicklung einer Strategie zur Aufrechterhaltung des Geschäftsbetriebes unter Krisenbedingungen notwendig. Es braucht also ein Konzept, welches unternehmensseitig die Katastrophenvorsorgeplanung beinhaltet.

Das Business Continuity Management als gesamtheitlicher Lösungsansatz

Betriebskontinuitätsmanagement bzw. Business Continuity Management (BCM) beschreibt alle Aktivitäten zur Vorbereitung und Reaktion auf Störungen von Tätigkeiten und Prozessen einer Organisation. Durch eine umfangreiche Analyse der vorhandenen Bedrohungen und deren mögliche Auswirkungen auf den Geschäftsbetrieb lassen sich konkrete Maßnahmenpläne zur effektiven Behandlung solcher Szenarien entwickeln. Dazu benötigt es aber genauer Kenntnis über die kritischen Geschäftsprozesse der eigenen Organisation. Mithilfe einer Business Impact Analyse (BIA) lassen sich diese Prozesse sowie weitere relevante Informationen, wie z. B. die maximal tolerierbare Ausfallzeit (MTA), identifizieren. Doch was lernen wir hieraus für die Vorbereitung auf eine drohende sowie die Behandlung einer stattfindenden (Cyber-)Pandemie? Hierbei muss man, sowohl beim Computervirus als auch dem biologischen Pendant, zwischen zwei Kategorien von Maßnahmen unterscheiden – präventiv und reaktiv.

 

Präventive Maßnahmen als Vorbeugung einer Pandemie

Präventive Maßnahmen verfolgen dabei hauptsächlich das Ziel, eine Infektion sowie Ausbreitung des Virus zu verhindern. Dazu zählen vor allem Sensibilisierungsmaßnahmen potenzieller Opfer sowie die Umsetzung von konkreten Maßnahmen zur Verhinderung einer (Erst-)Infektion. Gerade den Sensibilisierungsmaßnahmen ist eine hohe Wichtigkeit beizumessen, da aufgrund der Entstehung neuartiger Viren die Wirkung bisher umgesetzter Maßnahmen nicht garantiert werden kann. Infolgedessen kann nur noch der Mitarbeiter selbst eine Infektion verhindern. Ein sensibilisierter Mitarbeiter ist eher in der Lage, eine informierte Entscheidung zu treffen und damit das Infektionsrisiko zu verringern. Dies gilt auch für Informationssicherheit, die maßgeblich durch das Handeln der Menschen in einer Organisation beeinflusst wird.

Reaktive Maßnahmen als Bekämpfung einer Pandemie

Aber was tun, wenn eine Infektion bereits erfolgt ist? Auch hier hat die Medizin eine Antwort, welche wir uns ebenso im Cyberraum zunutze machen können: Quarantäne sowie die Nutzung alternativer Betriebsmittel zur Aufrechterhaltung eines Notbetriebs. In der Informationstechnologie empfiehlt es sich sogar, einen Schritt weiterzugehen und bereits vorbeugend mittels Segmentierung von IT-Netzen eine Trennung von Systemen mit unterschiedlichem Schutzbedarfen vorzunehmen.

Der Pandemieplan als Schlüsseldokument zur Betrieblichen Pandemiebewältigung

Im Falle einer Pandemie müssen innerhalb weniger Stunden bis Tage erste Maßnahmen ergriffen werden können. Dies ist nur durch eine vorausgegangene Planung der präventiven und reaktiven Maßnahmen möglich. Der Pandemieplan als Teil des BCM stellt hier das Rahmenwerk für eine effektive Pandemiebewältigung dar. Dieser sollte sich aus konkreten und eindeutigen Handlungsanweisungen sowie notwendiger Instrumente, wie z.B. Checklisten zur Umsetzungsüberprüfung, zusammensetzen. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe hat für die Betriebliche Pandemieplanung ein Handbuch entworfen. Auch das amerikanischen Center for Disease Control (CDC) bietet eine Checkliste für Unternehmen und dem Umgang mit Pandemien.

Hierzu gehören Aspekte wie:

  • Bestimmung eines Pandemieverantwortlichen
  • Monitoring öffentlicher Informationen und Anpassung der Aktivitäten der Organisation
  • Überprüfung der Abhängigkeit des eigenen Unternehmens von Lieferketten, zentralen Mitarbeitern/funktionen, Kunden, Reisebeschränkungen, usw.
  • Finanzanalyse
  • Umgang mit Infektionensfällen in der eigenen Belegschaft
  • Etablieren eines Notfallkommunikationsplans
  • Schutzmaßnahmen für Organisation und Mitarbeiter (z.B. Hygienemaßnahmen am Arbeitsplatz)

Warum sich so viele Unternehmen vor dem BCM scheuen – und damit einen Fehler begehen

Wichtig ist, den Pandemieplan stets in ein ganzheitlich geplantes BCM zu integrieren. Somit lassen sich neben der Pandemie auch weitere Bedrohungsszenarien berücksichtigen. Der Aufwand für ein wirksames BCM mag zwar hoch erscheinen, stellt aber nur einen Bruchteil der drohenden Kosten im Schadensfall dar. Gerade im Bereich der Informationssicherheit belegen dies Umfragen, wonach 81% der Befragten mit etabliertem BCM angeben, dass die Kosten für die Implementierung die Vorteile für das Unternehmen rechtfertigen. Und sind die BCM-Prozesse erstmal etabliert, lassen diese sich mit wenig Aufwand um weitere Bedrohungsszenarien erweitern.

Über die Autor:innen
Burkhard Gerlach

Cybersecurity Consultant, infodas