Strategy. Den Super-Gau im Hinterkopf. Detecon Management Report 1 / 2012

Größe: px
Ab Seite anzeigen:

Download "Strategy. Den Super-Gau im Hinterkopf. Detecon Management Report 1 / 2012"

Transkript

1 Strategy Den Super-Gau im Hinterkopf 20 Detecon Management Report 1 / 2012

2 Den Super-Gau im Hinterkopf Andrej Demko, Dr. Laura Georg, Frank Hebestreit, Beate Meiß Business Continuity Management steigert die Überlebensfähigkeit im Krisenfall Auf die kölschen Weisheiten Et kütt wie et kütt und Et hät noch immer joot jejange können sich Unternehmen nicht berufen, wenn es um die Notfallplanung geht. Sie sind gut beraten, das Kerngeschäft auch vor wenig wahrscheinlichen und unvorhersehbaren Ereignissen mit negativen Folgen für den Geschäftsbetrieb abzusichern. Stromausfall legt Geldautomatennetz von 150 Sparkassen lahm, so die Meldung vom aus Hannover. Ein Marder hatte in der Nacht ein nicht ausreichend vor Tierverbiss geschütztes 110-Kilovolt-Kabel in einem Umspannwerk durchgenagt, das daraufhin durch einen Kurzschluss ausfiel. Damit war die Stromzufuhr zum zentralen Rechenzentrum eines IT- Dienstleisters der Sparkassen gekappt. Der Stromausfall wurde durch einen Dominoeffekt zu einem Rechnerausfall: Die Geldautomaten und das Online-Banking von 150 Sparkassen in den nördlichen Bundesländern fielen bis zum Mittag aus. Was ist schief gelaufen? Offensichtlich gab es keine Notfall planung, die den Betrieb bei Stromausfall sicherstellte. Notfallpläne für Krisensituationen zu erstellen ist die Aufgabe des Business Continutity Management (BCM). Unter nehmen müssen vor katastrophalen Szenarien und der damit oft einhergehenden Existenzbedrohung geschützt werden. Hierzu zählen beispielsweise Überflutungen, Pandemien, Naturkatastrophen oder auch Terroranschläge. Je nach Betrachtung innerhalb des Unternehmens können hierunter aber auch durchaus wahrscheinlichere Ereignisse wie eben Stromausfälle und Feuer fallen, welche den Geschäftsbetrieb empfindlich stören und damit eine Notfallplanung erfordern. Die große Unsicherheit hinsichtlich des Eintritts BCMrelevanter Szenarien konfrontiert auch die Bewertung der Aufwände für das Notfallmanagement mit der Ungewissheit, ob der geleistete Aufwand im richtigen Verhältnis zum Risiko steht. Was aber sicher benötigt wird ist eine klare und strukturierte Herangehensweise, um die wirklich schützenswerten Bereiche des Unternehmens zu identifizieren und Maßnahmen zum Schutz vor wenig wahrscheinlichen, aber katastrophalen Ereignissen zu gewährleisten oder eben bewusst zu unterlassen. BCM gehört zum operationellen Risikomanagement. Ziel ist es, präventiv mögliche Gefahren für den Geschäftsbetrieb zu identifizieren, zu bewerten und Maßnahmen zur Verringerung des Risikos zu treffen oder das Restrisiko zu akzeptieren. BCM bildet hierbei den Sonderfall ab, bei dem es um Notfallmaßnahmen für Geschäftsfunktionen geht, die ab einer bestimmten zeitlichen Nichtverfügbarkeit zu existenzbedrohlichen Folgen für das Unternehmen führen würden. Dabei berücksichtigt man vor allem die Worst Case -Szenarien, zum Beispiel den kompletten Verlust des Betriebsstandorts, und setzt Notfallmaßnahmen in allen Bereichen des Unternehmens um: von der (Notfall)Organisation über Beschäftigte, die IT und Technik, bis hin zu Gebäuden und Standorten. 21 Detecon Management Report 1 / 2012

3 Strategy Business Impact Analyse identifiziert kritische Bereiche Das Vorgehen für die Ableitung der richtigen Kontinuitätsmaßnahmen lässt sich in zahlreichen Standards und Rahmen werken nachvollziehen, so zum Beispiel im meistzitierten Standard BS25999 Business Continuity Management. Code of Practice oder im anschaulich geschriebenen Grundschutz-Standard BSI Notfallmanagement des Bundesamt für Sicherheit in der Informationstechnik. Welches Rahmenwerk man auch zugrunde legt, charakteristisch bleibt das Vorgehen entsprechend eines strengen Top-Down- Ansatzes: Im ersten Schritt, der sogenannten Business Impact Analyse (BIA), besteht die Aufgabe darin, das Unternehmen zu verstehen und die Kernprodukte und Leistungen zu identifizieren und hinsichtlich maximaler Ausfallzeiten oder Störungen zu bewerten. Hintergrund dieses Vorgehens ist, dass man die Aufwände für Kontinuitätsmaßnahmen auf die Bereiche beschränken möchte, deren mangelnde Verfügbarkeit bedeutende Einschnitte für das Unternehmen zur Folge hätte und somit dessen Existenz gefährden könnte. Je nach Handhabung des Themas können aber auch durchaus nicht so kritische Bereiche für Notfallmaßnahmen vorgesehen werden. Die BIA dient damit zur Identifikation derjenigen Unternehmensbereiche, die zu den definierten Zeiten unter allen Umständen verfügbar sein müssen. Die Inhalte der BIA ähneln auf den ersten Blick der klassischen Risikoanalyse, da sie zur Begründung aller Folgemaßnahmen und zur anschließenden Priorisierung der untersuchten Bereiche immer auch nach den möglichen negativen Auswirkungen, also dem Business Impact, einer Nichtverfügbarkeit des jeweiligen Geschäftsbereichs, Prozesses oder Services fragen. Die Kriterien für die Bewertung des negativen Einflusses einer Nichtverfügbarkeit sind typischerweise finanzielle Auswirkungen, Reputation, vertragliche oder gesetzliche Auswirkungen. Je nach Unternehmensumfeld können diese speziell gewichtet werden, um deren Bedeutung auszudrücken. Die beschriebene Einschätzung der möglichen Schäden dient beim BCM jedoch nicht dem reinen Reporting, um zum Beispiel die finanziellen Auswirkungen im Worst Case abschätzen zu können, sondern zur Ableitung der für die verschiedenen Unternehmensbereiche kritischen Ausfallzeiten, ab welchen die Abbildung: Einordnung der BCM-Risiken Auswirkungen Hohe Bedeutung BCM- Risiken Allgemeine Risiken Keine Bedeutung Gering Sehr hoch Wahrscheinlichkeit Quelle: Detecon 22 Detecon Management Report 1 / 2012

4 Den Super-Gau im Hinterkopf verursachten Auswirkungen die Existenz der Unternehmung gefährden würden. Im Fall der IT Services sind dies beispielsweise die angestrebte Wiederanlaufzeit (Recovery Time Objectives) und die maximal tolerierbare Datenverlustzeit (Recovery Point Objectives). Darüber hinaus werden in der BIA auch die für die geforderte Leistungserbringung benötigten Assets und Ressourcen identifiziert und sowohl für den Normalbetrieb als auch für den vorübergehenden Ausnahmebetrieb definiert. Dies kann zum Beispiel die Anzahl speziell qualifizierter Mitarbeiter sein, welche eine bestimmte Abteilung samt Computer-Arbeitsplatz für die Erbringung einer Leistung braucht. BCM-Strategie sieht differenzierten Maßnahmeneinsatz vor Im Idealfall erhält man nach der Durchführung einer BIA eine Übersicht über alle kritischen Geschäftsfunktionen des Unternehmens und den zugehörigen Assets und Ressourcen. Es empfiehlt sich, nach diesem Schritt eine grundlegende BCM- Strategie für die analysierten Geschäftsbereiche festzulegen. Allgemein zielt dies auf die Beantwortung der Frage, wo man Risiken vermeiden, mindern, akzeptieren oder versichern soll. Im Speziellen bedeutet das, Geschäftsfunktionen zu priorisieren und Maßnahmen für bestimmte Szenarien zu definieren oder aber bestimmte Szenarien bewusst außen vor zu lassen, weil etwa der Aufwand zur Risikoverminderung in keinem Verhältnis zum Nutzen steht. In diesem Kontext unterscheidet man folgende Maßnahmen: Disaster Recovery umfasst IT-bezogene Maßnahmen, um im Fall eines vollständigen Betriebsstandortverlusts IT Services aus anderen Quellen und Standorten weiterbetreiben zu können. Disaster Recovery-Pläne sind detaillierte Anleitungen, um bei Wegfall eines Betriebsstandorts die Weiterführung der IT Services im gesetzten zeitlichen Rahmen durch deren Bereitstellung von einem Ausweichstandort zu gewährleisten. Zu den organisatorischen Maßnahmen zählt die Einrichtung eines Krisenmanagements samt Kommunikationskanälen. Das Krisenmanagement-Team besteht zumeist aus dem oberen Management sowie Fachexperten aus verschiedenen Bereichen und Sicherheitsbeauftragten. Im Fall einer Krise wird das Krisenmanagement-Team aktiv und übernimmt die operative Steuerung des Unternehmens. Hierfür müssen die Kommunikationskanäle sowohl zum Krisenmanagement-Team hin definiert werden, um Vorfälle adäquat adressieren zu können, als auch vom Krisenmanagement-Team zu den Beschäftigten, um diese im Notfall mit Informationen und Anweisungen versorgen zu können. Zu den Business Continuity-Plänen können beispielsweise die vom Arbeitsschutz geforderten Evakuierungspläne gezählt werden. Diese haben jedoch keinen Bezug zur Aufrechterhaltung des Geschäftsbetriebs, sondern dienen in erster Linie der Sicherheit der Mitarbeiter. Daneben sind die eigentlichen Business Continuity-Pläne dafür gedacht, die Abläufe für die Wiederaufnahme der Geschäftsprozesse sicherzustellen, und zwar unmittelbar nach dem Ereignis in einem möglicherweise reduzierten Umfang und ebenfalls zur Wiederherstellung des Normalbetriebs. Austausch von Fachseite, IT und Sicherheitsbeauftragten unabdingbar In der Theorie sollten Verantwortliche für Geschäftsprozesse oder Produkte, also Abteilungs-, Bereichsleiter oder Produktmanager, dafür Sorge tragen, dass die Verfügbarkeit den Bedarfen entsprechend gegeben ist und dabei auch Extremsituationen berücksichtigten. In der Praxis jedoch haben diese Personengruppen aufgrund des ohnehin fordernden Tagesgeschäfts meist wenig Zeit und Muße, sich in die komplett fremde Materie der Notfallvorsorge und -planung einzuarbeiten. Anders sieht es hingegen bei den Geschäftsbereichen Sicherheit und IT aus. Die ersteren sind für die Ausgestaltung von Sicherheitsthemen im Unternehmen verantwortlich und müssen sich auch mit diesen Aspekten befassen. Sie haben andererseits nicht die volle Einsicht in die Geschäftsprozesse oder die Funktionsweise von Services für Kunden, um die tatsächliche Notfallplanung selbst durchzuführen, und sind somit auf die Mitarbeit oder gar Durchführung der operativen Unternehmensbereiche angewiesen. 23 Detecon Management Report 1 / 2012

5 Strategy Die IT steht wiederum in der Pflicht, Service Continuity Management für ihre bereitgestellten Anwendungen und Services zu betreiben, benötigt somit Anforderungen der Fachseiten zur Ausfallsicherheit in Form von Recovery Time und Point Objectives und darin abzudeckende Szenarien. Für die IT-Organisation ist es daher zweckmäßig, die Fachseiten bezüglich deren Anforderungen im Rahmen von BIA- Workshops an einen Tisch zu holen und die Notwendigkeit der Verfügbarkeit der Systeme und Aktualität der Daten abzufragen. Diese Daten reichen dann für die Ausarbeitung von alternativen technischen Konzepten aus, welche, je nach verfügbaren Mitteln, allen oder einem Teil der Anforderungen genügen. Die nicht-it bezogenen Maßnahmen konzentrieren sich neben der Einrichtung und des Betriebs einer Krisenmanagementorganisation im Allgemeinen auf die Verfügbarkeit von Mitarbeitern, so zum Beispiel bei der Pandemieplanung, und anderen Business Continuity-Plänen für die Aufrechterhaltung von Geschäftsprozessen. Für die Anforderungen an die Verfügbarkeit von Mitarbeitern können ebenfalls zentral initiierte Abfragen an alle Unternehmensbereiche, zumeist entlang der Organisation, durchgeführt werden. Bei den Business Continuity-Plänen hingegen müssen als kritisch eingestufte Abteilungen selbst Konzepte überlegen, wie sie den Geschäftsbetrieb im Rahmen der an sie gestellten Anforderungen auch in Krisensituation aufrechterhalten oder wiederaufnehmen können. Hier können Sicherheitsbeauftragte lediglich bei den abzuklärenden Inhalten unterstützen, die eigentlichen Konzepte jedoch müssen durch die Fachabteilungen selber erbracht werden. Zusammenfassend kann man sagen, dass die Mitarbeit der Fachseiten bei der Konzipierung der BC-Maßnahmen immer unabkömmlich ist. Für den Fall der Erstellung von Business Continuity-Plänen gilt, dass diese nur durch die Fachseiten selbst erstellt werden können. Idealfall: Notfallplanung für ein mittelständisches Unternehmen Das folgende Projektbeispiel schildert, wie ein umfassendes BCM-Projekt bei einem mittelständischen Unternehmen im Dienstleistungssektor mit zirka 1000 Mitarbeitern und einem Unternehmensstandort durchgeführt werden kann. Das Unternehmen war angehalten, eine Sicherheitszertifizierung nach ISO zu erreichen. Für dieses Ziel wurde ein eigenes Projektteam mit internen Mitarbeitern und externen Beratern aufgestellt. Ein internes Voraudit ergab, dass insbesondere das Notfallmanagement den Anforderungen an die Zertifizierung nicht standhalten würde. Die zertifizierungsfähige Erweiterung des Notfallmanagements wurde somit als Projektziel definiert. Das Unternehmen hatte in der Vergangenheit bereits einige Notfallmaßnahmen umgesetzt, kontinuierlich weiterentwickelt und betrieben. So ist zum Beispiel ein Backup-Rechenzentrum vorhanden, redundante Strom- und Kommunikations leitungen sind verlegt, eine redundante Klimaanlage, eine unterbrechungsfreie Stromversorgung und Notstromdiesel aufgebaut und Einbruchs- sowie Branderkennungsanlagen im Einsatz. Als Ausgangssituation in der organisatorischen Umsetzung des Notfallmanagements wurden ein rudimentäres Notfallhandbuch, -richtlinien und -rollenkonzepte vorgefunden. Die neugeschaffene Rolle des Notfallbeauftragten wurde besetzt. Im Projekt wurde zunächst ein neues Notfallmanagementkonzept erstellt, das sich im Wesentlichen an den BSI Standard anlehnt, gleichfalls die Vorgaben für das BCM aus der ISO Norm abdeckt und die Eigenheiten des Unternehmens adressiert. Das Notfallhandbuch wurde überarbeitet. Schwerpunkt war die Straffung der Kommunikationswege und Eskalationsprozeduren sowie die Aufbereitung der einzelnen Notfallpläne nach einem einheitlichen Template. Darüber hinaus wurden neue Notfallpläne für Pandemie, für Kontamination und für die Königsdisziplin Auslagerung der gesamten Produktion und Verwaltung bei totalem Ausfall des Hauptstandortes erstellt. Der neue Notfallbeauftragte wurde eingewiesen und unterstützt, der Krisenstab auf das Verhalten in der Notfallbewältigung geschult und Notfallübungen geplant und durchgeführt. Wesentliche Voraussetzung für die weitere Notfallmanagementkonzeption war die Erstellung einer BIA: Es existierte im Unternehmen eine mehrere Jahre alte BIA. Die detaillierte Betrachtung der Anforderungen der einzelnen Geschäftsprozesse wurde hierin jedoch nicht durchgeführt. Die Priorität für den Wiederanlauf war für alle Geschäftsprozesse gleich hoch eingestuft worden, die alte BIA ging von einer Wiederanlaufzeit von vier 24 Detecon Management Report 1 / 2012

6 Den Super-Gau im Hinterkopf Stunden für alle Geschäftsprozesse aus. Schnell war klar: Dieser Wert ist für diese Art von Unternehmen nicht realistisch. Hier gibt es deutliche Unterschiede in den offensichtlichen Anforderungen, im Gegensatz beispielsweise zu einem Unternehmen aus der Finanzbranche. Zunächst galt es also, die tatsächlich kritischen Geschäftsprozesse mit realistischen Anforderungen an die Wiederanlaufzeiten zu ermitteln. Zuerst wurde ein Überblick über die verschiedenen Geschäftsprozesse und deren zugrundeliegende Services hergestellt. Eine Geschäftsprozessdokumentation mit Beschreibungen der Abhängigkeiten zwischen Geschäftsprozessen, den Serviceprozessen und den zugrundeliegenden Ressourcen, wie zum Beispiel IT-Infrastruktur, Anwendungen, Personal, Arbeitsplätze, war im Unternehmen nicht vorhanden. Für eine Übersicht der Geschäfts- und Serviceprozesse wurde deshalb der Geschäftsbericht herangezogen sowie die Geschäftsführung und einzelne Geschäftsprozesseigner befragt. Weitere Informationen ergaben sich aus Gesprächen mit der Abteilung Geschäftssteuerung, Risiko- und Assetmanagement. Für jeden Geschäftsprozess wurden die folgenden Daten erfasst: die Geschäftscharakteristik, die Spitzenlastzeiten mit besonderen Terminen oder Ereignissen, der qualitative Schaden für Personen, Imageverlust, Kosten und Umsatz über die Zeit, der quantitative Schaden für Kosten und Umsatz über die Zeit, die aus dem Schadensverlauf absehbare Wiederanlaufzeit, die maximal tolerierbare Datenverlustzeit, die Abhängigkeiten zu anderen Geschäfts- oder Serviceprozessen, die Anforderungen an Personal, Infrastruktur, Anwendungen und die verwendeten Daten. Die Interviews wurden mit den jeweiligen Geschäftsprozesseignern, den Verantwortlichen für die Serviceprozesse, gegebenenfalls hinzugezogenes Fachpersonal und der Geschäftsführung durchgeführt. In den Interviews wird ein Worst Case-Schadensszenario angenommen. Die tatsächliche Schadensursache ist dabei nicht ausschlaggebend. Wesentlich wichtiger ist der zeitliche Schadensverlauf, der nach dem Schadenseintritt zu erwarten ist, zum Beispiel: Welchen Umsatzausfall hat das Unternehmen, wenn der gesamte Geschäftsprozess für vier Stunden, einen Tag, drei Tage oder gar eine Woche ausfällt? Bei den Interviews ist außerdem darauf zu achten, dass möglichst realistische Angaben eingeholt werden können. Oft halten manche Geschäftsprozesseigner ihren Geschäftsprozess für den wichtigsten im Unternehmen und sehen nach einer Stunde Ausfall schon katastrophale Auswirkungen für das gesamte Unternehmen oder sogar dessen Existenz bedroht. Hier hilft es, nach bereits zurückliegenden Ausfällen nachzufragen zum Beispiel Da war doch vor einem Jahr dieser Stromausfall für einen Tag welche Auswirkungen hatte dieser Vorfall? oder auf eingerichtete Wartungsfenster zu verweisen. Sehr gut ist es, wenn konkrete Zahlen für mögliche Umsatzausfälle und daraus resultierende Zusatzkosten für die quantitative Schadensermittlung vorliegen. Diese Zahlen werden später in der Notfallmanagementstrategie benötigt, um geeignete Notfallmaßnahmen und deren Business Cases zu errechnen: Natürlich sollten die Notfallmaßnahmen nicht teurer werden als der mögliche Schaden, den man versucht abzudecken. Ein BIA-Dokument fasst die Ergebnisse für alle Geschäftsprozesse zusammen, so dass sie vergleichbar sind. Daraus resultiert eine Abstufung der einzelnen Geschäftsprozesse. Man erkennt die sehr kritischen und die weniger kritischen Geschäftsprozesse. Weniger kritisch bedeutet in diesem Zusammenhang nicht, dass sie für das Unternehmen unwichtig wären, sondern dass sie in der Notfallbewältigung eine geringere Priorität haben. In der Notfallbewältigung sind die sehr kritischen Geschäftsprozesse mit höchster Priorität zu behandeln, um sehr schnell einen hohen Schaden für das Unternehmen abzuwenden. 25 Detecon Management Report 1 / 2012

7 Strategy Die Ergebnisse werden mit der Geschäftsführung nochmals besprochen und hierbei wird identifiziert, welcher Schaden für die Geschäftsführung maximal noch akzeptabel wäre. Aus dieser Aussage und den Interviewdaten kann dann die benötigte Wiederanlaufzeit festgelegt werden. Aus der Wiederanlaufzeit für den Geschäftsprozess lässt sich die Wiederanlaufzeit für die Serviceprozesse und die einzelnen Ressourcen ableiten. Hierbei sind jedoch die jeweiligen Abhängigkeiten untereinander zu beachten. Die geschäftlichen Anforderungen an die Wiederanlaufzeiten, die in der BIA dokumentiert sind, sind die Grundlage für die weitere Konzeption der Notfallvorsorge- und -bewältigungsmaßnahmen. Es sind geeignete Maßnahmen auszuwählen, die die benötigten Wiederanlaufzeiten ermöglichen. Dadurch wird zum Beispiel auf technischer Ebene vorgeschlagen, welche Art von Hochverfügbarkeit das Unternehmen benötigt. Als Beispiel wird hier auf Hot- oder Cold-Backup-Rechenzentren, Datenspiegelung oder Datentransfer per Bandsicherung verwiesen. Diese Maßnahmen sind unterschiedlich teuer und in einem Business Case zu evaluieren. Aus den BIA-Ergebnissen beziehungsweise Anforderungen lassen sich gleichfalls Service Level Agreements mit externen Dienstleistern oder Operational Level Agreements zwischen den Fachabteilungen und der internen IT ableiten. Ausfall von Online-Diensten eines internationalen Automobilherstellers im Zero-Tolerance -Bereich Die Vielschichtigkeit eines BCM-Projekts verdeutlicht auch das nächste Beispiel eines internationalen Automobilherstellers: Dieser musste sich nach einer starken Wachstumsphase in einem Emerging Market auch um die Ausfallsicherheit seiner Prozesse und Services Gedanken machen. Gerade vor dem Hintergrund einer bevorstehenden Produkteinführung, dem Connected Car Service, der Telefonie und Online-Dienste für das Navigationssystem im Auto bietet, war der Zeitpunkt für die Umsetzung genau richtig gewählt. Auf Grundlage einer BIA wurden schnell besonders wichtige Services identifiziert, die für den Endkunden immer verfügbar sein müssen. Hierunter fiel an erster Stelle der Telefonie- und Online-Service Connected Car. Die Kunden, die den Connected Car-Dienst nutzen, können über ihr Navigationssystem nicht nur aktuelle Wetter- und Verkehrsinformationen abrufen, der Dienst umfasst auch die automatische Benachrichtigung von Angehörigen und Notrufzentralen im Fall eines Unfalls und die Benachrichtigung von Servicezentren im Fall einer Autopanne. Dazu kommt die Möglichkeit der telefonischen Kontaktaufnahme mit Auskunftsdiensten, Servicepersonal und medizinisch ausgebildetem Fachpersonal auf Knopfdruck. Insbesondere die unter allen Umständen zu gewährleistende Verfügbarkeit der Notfalldienste wurde als besonders bedeutend für das Image der Marke gewertet, weshalb man ihr die geringstmögliche Ausfallzeit zugewiesen hat. Deutlich wurde bei dieser Entscheidung der qualitative Unterschied zwischen den Anforderungen von internen Geschäftsprozessen und denen der Online-Services für Endkunden: Während bei den ersteren durchweg Ausfallzeiten von Tagen akzeptabel schienen, wurde den Online-Services lediglich eine mögliche Ausfallzeit im Stundenbereich eingeräumt, für die besonders kritischen Notfallservices gar eine im Nullbereich, da es hier im Extremfall um Leben und Tod gehen kann. Der technischen Konzeption der Ausfallsicherheit für die IT wurde entsprechend viel Aufmerksamkeit zuteil: Hierfür wurden sämtliche Abhängigkeiten, Schnittstellen und Verbindungen zwischen den für die Serviceerbringung notwendigen Systemen analysiert und eine technische Architektur konzipiert, die den Anforderungen selbst bei Eintritt eines vollständigen Standortverlusts Rechnung trägt. Doch nicht nur technische IT-Maßnahmen standen im Fokus. Vielmehr mussten auch mit Lieferanten, in diesem Fall den Betreibern der für die Annahme von Notfallanrufen verantwortlichen Call Center, entsprechende Vereinbarungen getroffen werden. Diese wurden als Anforderungen formuliert und hatten 26 Detecon Management Report 1 / 2012

8 Den Super-Gau im Hinterkopf beispielsweise zur Folge, dass die Call Center-Betreiber einen weiteren Standort für ihre Mitarbeiter planen mussten, um im Falle eines Ausfalls des Hauptstandortes sofort auf den zweiten umschalten zu können und von diesem weiterhin Notfallanrufe entgegennehmen zu können. Zudem wurde auch das eigene Krisenmanagement weiter a usgebaut: Neben der Definition der Rollen im Krisenteam und deren Besetzung wurde ein Kommunikationskonzept entwickelt. Hierzu gehörte zum einen die Definition der Kommunikationswege für das Reporting von Sicherheitsvorfällen (Incident reporting) als auch die Konzeption einer Smartphone App für die Kommunikation zwischen dem Krisenmanagementteam und den Führungskräften. Die Entscheidung für dieses junge Medium basierete vor allem auf zwei Überlegungen: Zum einen sollen die Führungskräfte gerne die App benutzen und sich damit über aktuelle Meldungen auf dem Laufenden halten. Zum anderen bietet die App die Möglichkeit, gezielt Personengruppen zu kontaktieren und von diesen schnell Feedback zur aktuellen Situation zu bekommen. So würde man zum Beispiel bei einem Brand zügig Informationen zum Stand der Evakuierung, Anzahl der Vermissten und Verletzten erhalten können. Die vielseitigen Maßnahmen wurden getroffen, um den Geschäftsbetrieb und die Servicebereitstellung für Kunden vor Ausfällen schützen zu können. Ob die Maßnahmen im Ernstfall ausreichen, wird jedoch erst die Zukunft zeigen. Andrej Demko arbeitet als Consultant bei der Detecon (Schweiz) AG. Internationale Projekterfahrung sammelte er im Umfeld von IT- und Security Management sowie BCM. Seine thematische Ausrichtung umfasst das operationelle Risikomanagement und die Analyse von Geschäftsprozessen. Dr. Laura Georg leitet die Group IT Risk & Security, Energy & Sustainability Management und IT Compliance bei der Detecon (Schweiz) AG. Sie hat sich darauf spezialisiert, einen Mehrwert in Unternehmen zu schaffen, indem Sicherheitsgovernance, Prozessmanagement und Technologie effektiv und effizient aufeinander abgestimmt werden. Tätig war sie hierbei insbesondere im öffent lichen Sektor sowie in der Finanz- und Telekommunikationsbranche. Frank Hebestreit ist Senior Consultant im Bereich Risk & Security Management bei Detecon. Neben zahlreichen Projekten im Umfeld der Security Governance und Cloud Security gehört das Notfallmanagement ebenfalls zu seinen Kompetenzen. Beate Meiß arbeitet seit 2006 als Managing Consultant bei Detecon. Zu ihren Kernthemen zählen Projekt-, Prozess- und Qualitätsmanagement, die kundenspezifische Umsetzung von Frameworks und Best Practices wie COBIT, CMMI, ITIL sowie Business Continuity Management. Existenzsicherung im Fokus BCM ist ein interdisziplinäres Thema, was der Vielfalt der möglichen Anwendungsbereiche, betroffenen Unternehmensteile und resultierenden Notfallmaßnahmen geschuldet ist. Dennoch lässt sich ein Mindestmaß an Notfallvorsorge mit vertretbarem Aufwand umsetzen und somit die Wahrscheinlichkeit für das Überleben eines Unternehmens im Krisenfall erheblich steigern. 27 Detecon Management Report 1 / 2012

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik Notfallmanagement Einführung & Überblick Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag Bremen / 13.06.2012 Sind Ihre Informationen sicher? Beispiel wichtiger

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Moderne Konzepte für Krisen- und Notfallsmanagement BCM, BBS & Co! Business Continuity Management als moderne Methodik für ein sicheres Unternehmen

Moderne Konzepte für Krisen- und Notfallsmanagement BCM, BBS & Co! Business Continuity Management als moderne Methodik für ein sicheres Unternehmen Moderne Konzepte für Krisen- und Notfallsmanagement BCM, BBS & Co! Was macht Krisenmanagement erfolgreich? 20. & 21. Juni 2006 Wien Business Continuity Management als moderne Methodik für ein sicheres

Mehr

Notfallmanagement-Forum 2009

Notfallmanagement-Forum 2009 Notfallmanagement-Forum 2009 Business und IT-Service Continuity Management (BCM) Aktuelle Herausforderungen und Erfolgsfaktoren Nürnberg 14. Oktober 2009 Lothar Goecke Lothar Goecke Selbstständig seit

Mehr

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen Juni 2015 2 Impressum Empfänger: Alle von der Finma beaufsichtigten Versicherungsunternehmen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze

Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze Ronny Jorysch Senior Consultant BCM (Business Continuity Management) IBM Schweiz Vulkanstrasse 106 Postfach CH-8010 Zürich +41 58

Mehr

Business Continuity Management Systeme

Business Continuity Management Systeme Business Continuity Management Systeme Q_PERIOR AG 2014 www.q-perior.com Einführung Verschiedene Gefahren bzw. Risiken bedrohen die wirtschaftliche Existenz eines Unternehmens. Terrorismus: Anschläge auf

Mehr

Business Continuity Management (BCM) für Versicherungsunternehmen. Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. Schweiz Mindeststandards und Empfehlungen Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen Juni 2015 2 Impressum Empfänger Alle von der Finma beaufsichtigten Versicherungsunternehmen

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Eco Verband & PRIOR1 GmbH. Notfallmanagement für ihr Rechenzentrum. 12. November 2014 in Köln

Eco Verband & PRIOR1 GmbH. Notfallmanagement für ihr Rechenzentrum. 12. November 2014 in Köln Eco Verband & PRIOR1 GmbH Notfallmanagement für ihr Rechenzentrum 12. November 2014 in Köln Vorstellung Curt Meinig Managementberater Rechenzentrumssicherheit und Energieeffizienz im Rechenzentrum TÜV

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Best Practices Ansätze Strukturierte Vorgehensweise im Continuity Management

Best Practices Ansätze Strukturierte Vorgehensweise im Continuity Management IBM CIO Club of Excellence Strukturierte Vorgehensweise im Continuity Management 2. März 2010 Nik Christ, Managing Consultant Agenda 1 Best Practices Ansatz 2 Gelebtes und Erlebtes 2 Agenda 1 Best Practices

Mehr

RZ - Lifecycle. RZ planen betreiben - prüfen. Stefan Maier

RZ - Lifecycle. RZ planen betreiben - prüfen. Stefan Maier RZ - Lifecycle RZ planen betreiben - prüfen Stefan Maier Energiebedarf: im Ruhestand 25% des menschlichen Bedarfes Temperatur: 35,0-40,5 C Raum: ausreichend dimensioniert Sicherheit: harte Schale Verfügbarkeit

Mehr

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH Notfallmanagement & Business Continuity Management SILA Consulting GmbH Notfallvorsorge Alle Menschen sind klug, die einen vorher, die anderen nachher. Eine alltägliche Situation Sie befinden sich auf

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management) Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-

Mehr

Security Forum 2014. Notfallmanagement. nach BSI-Standard 100-4. Hagenberg, 9. April 2014. katmakon Katastrophen Management Konzepte

Security Forum 2014. Notfallmanagement. nach BSI-Standard 100-4. Hagenberg, 9. April 2014. katmakon Katastrophen Management Konzepte Security Forum 2014 Notfallmanagement nach BSI-Standard 100-4 Hagenberg, 9. April 2014 katmakon Katastrophen Management Konzepte Was: Erstellen und optimieren des Notfall- und Katastrophenmanagements Für

Mehr

Die intelligente Disaster Recovery-Strategie für Desktops: Desktops as a Service (DaaS) WHITE PAPER

Die intelligente Disaster Recovery-Strategie für Desktops: Desktops as a Service (DaaS) WHITE PAPER Die intelligente Disaster Recovery-Strategie für Desktops: Desktops as a Service (DaaS) WHITE PAPER Inhalt Zusammenfassung.... 3 Katastrophen wahrscheinlicher denn je.... 3 Disaster Recovery für Desktops

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Band M, Kapitel 7: IT-Dienste

Band M, Kapitel 7: IT-Dienste Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: Hochverfuegbarkeit@bsi.bund.de Internet: https://www.bsi.bund.de Bundesamt für Sicherheit

Mehr

Business Continuity Leitlinie. Software, Beratung und Services für Außenwirtschaft und Logistik

Business Continuity Leitlinie. Software, Beratung und Services für Außenwirtschaft und Logistik Business Continuity Leitlinie Software, Beratung und Services für Außenwirtschaft und Logistik Business Continuity Leitlinie Unternehmen, die zur Steuerung und Überwachung ihrer logistischen und außenwirtschaftlichen

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden

Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden Bedarf und die Anforderungen des Business anzupassen.

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2014: Business Continuity Management

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2014: Business Continuity Management und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2014: Business Continuity Management 6.1 Datensicherung Aufgabe: Welche Regelungen sollte eine Richtlinie zur Datensicherung beinhalten? 2 6.1 Datensicherung

Mehr

PRÄSENTATION ZUR BACHELORARBEIT

PRÄSENTATION ZUR BACHELORARBEIT PRÄSENTATION ZUR BACHELORARBEIT THEMA: Katastrophenmanagement im Rahmen von ITSCM am Beispiel der Sparkasse Hildesheim AUTOREN: Christian Heber & Daniela Baehr GLIEDERUNG 1 Einleitung 2 Der ITSCM-Lifecycle

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Secure your business & success 16:00 16:20

Secure your business & success 16:00 16:20 Secure your business & success 16:00 16:0 Eugen Leibundgut Member of the Executive Board Dipl. Ing. ETH, dipl. Wirtsch.-Ing. STV RM Risk Management AG eugen.leibundgut@rmrisk.ch Phone 0041 (0)44 360 40

Mehr

Wissensmanagement in der Notfallplanung

Wissensmanagement in der Notfallplanung 1 5. FIT-ÖV V am 9.2. in Bochum Wissensmanagement in der Notfallplanung Hans-Jörg Heming CHG-MERIDIAN Agenda Vorstellung Das Unternehmen Wissensmanagement in der Notfallplanung Ausfallszenario Organisatorische

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Integration of business continuity management in corporate structures. Matthias Rosenberg, MBCI Director BCM Academy, Germany

Integration of business continuity management in corporate structures. Matthias Rosenberg, MBCI Director BCM Academy, Germany Integration of business continuity management in corporate structures Matthias Rosenberg, MBCI Director BCM Academy, Germany Agenda Faktoren zur erfolgreichen Integration eines BCMS BCM Organisation Ausbildung

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

Business Continuity Policy

Business Continuity Policy Business Continuity Policy Document Name EMIR* Article RTS** Article Document Class Business Continuity Policy Art 34, Art 17-23 Approved by Management *EMIR = Regulation (EU) 648/2012, ** RTS = *Regulation

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Notfallplanung in der Praxis

Notfallplanung in der Praxis Bochum, 09.02.2010 Notfallplanung in der Praxis Stadtwerke Düsseldorf AG Uwe Bergfeld - Leiter Systemmanagement / Rechenzentrumsbetrieb Agenda Vorstellung Stadtwerke Düsseldorf (EnBW) Das Rechenzentrum

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren Methodik für, und von Ausfallrechenzentren Das Lebenszyklus-Modell der Networkers AG Inf.-sw. Christoph Haas Senior Consultant 30.09.2010 I Networkers AG I Seite 1 Vorgehen mit Methode Wieso, weshalb,

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass?

Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass? Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass? 8. Swiss Business- & IT-Servicemanagement & Sourcing Forum 2014 Zürich, 25.03.2014 Seite 1 MASTERS Consulting GmbH Konzeptionen umsetzen IT Strategy

Mehr

White Paper GRC Reihe:

White Paper GRC Reihe: White Paper GRC Reihe: Thema: IT-Dokumentation Buchauszug Projektmeilenstein IT-Verbund (IT-) Notfallmanagement im Unternehmen und in der Behörde Planung, Umsetzung und Dokumentation gemäß BSI-Standard

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Vertragliche Regelungen

Vertragliche Regelungen Vertragliche Regelungen BCM als Bestandteil von IT-Outsourcing Verträgen Udo Steger Heymann & Partner Rechtsanwälte 2. Deutschsprachiger BCI Kongress 2007 Frankfurt am Main, 19. September 2007 Übersicht

Mehr

Umsetzung des ISMS bei DENIC

Umsetzung des ISMS bei DENIC Umsetzung des ISMS bei DENIC Boban Krsic, DENIC eg Berlin, den 16.09.2015 Agenda Kurzvorstellung ISMS bei DENIC Risikomanagement im Rahmen des ISMS Business Continuity Management Ausblick 2 DENIC eg Agenda

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

Simulations- und Krisentraining für Rechenzentren ÖV-Symposium NRW

Simulations- und Krisentraining für Rechenzentren ÖV-Symposium NRW Simulations- und Krisentraining für Rechenzentren ÖV-Symposium NRW Autor: Dr. Johannes Neubauer Dr. Michael Neubauer Version: 1.2 Freigegeben Motivation Anforderungen für Herstellung, Einführung, Betrieb,

Mehr

Empfehlungen für das Business Continuity Management (BCM)

Empfehlungen für das Business Continuity Management (BCM) Business Continuity Management 2007 D-01.12 Schweizerische Bankiervereinigung Empfehlungen für das Business Continuity Management (BCM) Vom : 18.06.2007 Stand : November 2007 Siehe Zirkular 7541 vom 14.11.2007.

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen 20.03.2015 Cyber Risiken Bedeutung für Ihr Unternehmen Nicht erreichbar? Erpressung Quelle: Palo Alto Networks Essen 20.03.2015 Sony Pictures

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

7. GS1 Forum Logistics & Supply Chain Business Continuity Planning (BCP) als Mittel zur Logistiksicherheit

7. GS1 Forum Logistics & Supply Chain Business Continuity Planning (BCP) als Mittel zur Logistiksicherheit 7. GS1 Forum Logistics & Supply Chain Business Continuity Planning (BCP) als Mittel zur Logistiksicherheit 7. März 2012 in der Trafohalle Baden Dr. Michael Hartschen aus dem Alltag Seite 2 / 19 aus dem

Mehr

ISO 27001 für das Internet

ISO 27001 für das Internet ISO 27001 für das Internet ISMS-Einführung bei nic.at Datum: 04.06.2014 Christian Proschinger CISO ISO/IEC 27001:2013 Implementierung 2 Das Domain Name System. com at ch wien meinefirma www mail mail.meinefirma.at

Mehr

Präsentation beim 13. Kommunalen IuK-Forum Niedersachsen, Stuhr, 29.08.2013. Landkreis Heidekreis -IT-Notfallmanagement

Präsentation beim 13. Kommunalen IuK-Forum Niedersachsen, Stuhr, 29.08.2013. Landkreis Heidekreis -IT-Notfallmanagement Brand, Salpetersäure, Stromausfall und Co. - Anforderungen an ein IT-Notfallmanagement in der öffentlichen Verwaltung am Beispiel des Landkreises Heidekreis Präsentation beim 13. Kommunalen IuK-Forum Niedersachsen,

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

August 2013 Empfehlungen für das Business Continuity Management (BCM)

August 2013 Empfehlungen für das Business Continuity Management (BCM) August 2013 Empfehlungen für das Business Continuity Management (BCM) 1 Ausgangslage und Zielsetzung... 2 2 Grundlagen... 3 3 Anwendungsbereich bzw. Bedrohungen... 4 4 Empfehlungen... 6 4.1 Definition

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Methodische, softwaregestützte Risikobeurteilung

Methodische, softwaregestützte Risikobeurteilung Methodische, softwaregestützte Risikobeurteilung Ziel der Risikobeurteilung ist es, die von einem Produkt ausgehenden Gefährdungspotenziale möglichst vollständig zu erfassen und Schutzmaßnahmen gegen sie

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Business SLA (Service Level Agreement) Information

Business SLA (Service Level Agreement) Information Business SLA (Service Level Agreement) Information V1.4 12/2013 Irrtümer und Änderungen vorbehalten Inhalt 1. Begriffe und Definitionen... 3 2. Allgemein... 4 2.1. Rechenzentren... 4 2.2. Service und Support...

Mehr

IT- (Risiko) Management

IT- (Risiko) Management IT-SECURITY COMMUNITY XCHANGE 2011 IT- (Risiko) Management SIMPLIFY COMPLEXITY Markus Müller markus.mueller@calpana.com calpana business consulting ist Entwickler und Hersteller der Risikomanagement- bzw.

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Pressemeldung Frankfurt, 24. April 2013 IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Unternehmen verlassen sich für das Management ihrer Cloud Services auf IT

Mehr

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I undco. Servicekonzepte/IT-Servicemanagement Servicemanagement Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I IT Infrastructure Library Entstehung und Definition: Bestehende Best-Practices-Sammlung

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System IT-Sicherheit mit System Stefanie Lang, Senior IT Consultant Fujitsu Technology Solutions GmbH 0 Copyright 2014 FUJITSU Inhalt Kurzvorstellung Fujitsu Grundlagen Informationssicherheit Bedrohungen, Versäumnisse,

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Initiale Gründe für die Einführung von Risiko Management

Initiale Gründe für die Einführung von Risiko Management Risiko Management Kleine Geheimnisse aus erfolgreichen Einführungsprojekten DGQ Regionalkreis Kongressmesse MEiM - Mehr Erfolg im Mittelstand in Paderborn am 29.10.2014 Initiale Gründe für die Einführung

Mehr

IT Service Management

IT Service Management IT Service Management Die IT Infrastructure Library (ITIL) Frank Klapper, CIO-IT IT,, Universität t Bielefeld München, 08.03.2006 IT Service Management: Notwendigkeit und Definition Informationen haben

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Der neue Standard BSI 100-4 Notfallmanagement

Der neue Standard BSI 100-4 Notfallmanagement Der neue Standard BSI 100-4 Notfallmanagement Timo Kob ISO27001-Auditor auf Basis IT-Grundschutz, Vorstand 1 AGENDA 1 Einleitung und Ausgangslage 2 Was verlangt der BS25999, was der Grundschutz bisher

Mehr

F&H. Krisenkommunikation. Werkzeuge der Krisenkommunikation COMMUNICATION ARCHITECTS. www.f-und-h.de. Many Minds. Singular Results.

F&H. Krisenkommunikation. Werkzeuge der Krisenkommunikation COMMUNICATION ARCHITECTS. www.f-und-h.de. Many Minds. Singular Results. Many Minds. Singular Results. COMMUNICATION Krisenkommunikation Werkzeuge der Krisenkommunikation www.f-und-h.de Reflex ein Tool für die Krisenkommunikation von Porter Novelli Einzigartiger Krisenmanagement-Service

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Security Reporting. Security Forum FH Brandenburg 18.01.2012. Guido Gluschke g.gluschke@viccon.de. 2012 VICCON GmbH

Security Reporting. Security Forum FH Brandenburg 18.01.2012. Guido Gluschke g.gluschke@viccon.de. 2012 VICCON GmbH Security Reporting Security Forum FH Brandenburg 18.01.2012 Guido Gluschke g.gluschke@viccon.de Agenda Vorstellung VICCON GmbH Anforderungen an ein Security Reporting Beispiele für Umsetzungen Managementberatung

Mehr

Handlungsempfehlung zum Aufbau eines Security-Incident Management

Handlungsempfehlung zum Aufbau eines Security-Incident Management Handlungsempfehlung zum Aufbau eines Security-Incident Management Arbeitskreis IT-Security des bvh was sind ein Security-Incident und ein Security-Incident Management Aufbau eines Security-Incident Management

Mehr

OASIS on-call Contact Center aus der Cloud

OASIS on-call Contact Center aus der Cloud OASIS on-call Contact Center aus der Cloud OASIS on-call Contact Center Die perfekte ACD für Ihr Geschäft Medienübergreifend und leistungsstark Medienübergreifend, schnell im Einsatz und direkt aus der

Mehr

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter 29.5. V1.0_2006 Seite 1 Agenda Die

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance hilft, Ihre Kunden besser zu verstehen

Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance hilft, Ihre Kunden besser zu verstehen Fakultät Informatik und Wirtschaftsinformatik Sanderheinrichsleitenweg 20 97074 Würzburg Folie 1 Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance

Mehr

Modul 1: Grundbegriffe und Einführung in ITIL

Modul 1: Grundbegriffe und Einführung in ITIL Modul 1: Grundbegriffe und Einführung in ITIL 1. Was ist ein Service? 2. Was ist ein Asset? 3. Was ist Servicemanagement? 4. Was ist eine Rolle? 5. Was ist ein Service Provider? 6. Was ist ein Prozess?

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr