Strategy. Den Super-Gau im Hinterkopf. Detecon Management Report 1 / 2012

Größe: px
Ab Seite anzeigen:

Download "Strategy. Den Super-Gau im Hinterkopf. Detecon Management Report 1 / 2012"

Transkript

1 Strategy Den Super-Gau im Hinterkopf 20 Detecon Management Report 1 / 2012

2 Den Super-Gau im Hinterkopf Andrej Demko, Dr. Laura Georg, Frank Hebestreit, Beate Meiß Business Continuity Management steigert die Überlebensfähigkeit im Krisenfall Auf die kölschen Weisheiten Et kütt wie et kütt und Et hät noch immer joot jejange können sich Unternehmen nicht berufen, wenn es um die Notfallplanung geht. Sie sind gut beraten, das Kerngeschäft auch vor wenig wahrscheinlichen und unvorhersehbaren Ereignissen mit negativen Folgen für den Geschäftsbetrieb abzusichern. Stromausfall legt Geldautomatennetz von 150 Sparkassen lahm, so die Meldung vom aus Hannover. Ein Marder hatte in der Nacht ein nicht ausreichend vor Tierverbiss geschütztes 110-Kilovolt-Kabel in einem Umspannwerk durchgenagt, das daraufhin durch einen Kurzschluss ausfiel. Damit war die Stromzufuhr zum zentralen Rechenzentrum eines IT- Dienstleisters der Sparkassen gekappt. Der Stromausfall wurde durch einen Dominoeffekt zu einem Rechnerausfall: Die Geldautomaten und das Online-Banking von 150 Sparkassen in den nördlichen Bundesländern fielen bis zum Mittag aus. Was ist schief gelaufen? Offensichtlich gab es keine Notfall planung, die den Betrieb bei Stromausfall sicherstellte. Notfallpläne für Krisensituationen zu erstellen ist die Aufgabe des Business Continutity Management (BCM). Unter nehmen müssen vor katastrophalen Szenarien und der damit oft einhergehenden Existenzbedrohung geschützt werden. Hierzu zählen beispielsweise Überflutungen, Pandemien, Naturkatastrophen oder auch Terroranschläge. Je nach Betrachtung innerhalb des Unternehmens können hierunter aber auch durchaus wahrscheinlichere Ereignisse wie eben Stromausfälle und Feuer fallen, welche den Geschäftsbetrieb empfindlich stören und damit eine Notfallplanung erfordern. Die große Unsicherheit hinsichtlich des Eintritts BCMrelevanter Szenarien konfrontiert auch die Bewertung der Aufwände für das Notfallmanagement mit der Ungewissheit, ob der geleistete Aufwand im richtigen Verhältnis zum Risiko steht. Was aber sicher benötigt wird ist eine klare und strukturierte Herangehensweise, um die wirklich schützenswerten Bereiche des Unternehmens zu identifizieren und Maßnahmen zum Schutz vor wenig wahrscheinlichen, aber katastrophalen Ereignissen zu gewährleisten oder eben bewusst zu unterlassen. BCM gehört zum operationellen Risikomanagement. Ziel ist es, präventiv mögliche Gefahren für den Geschäftsbetrieb zu identifizieren, zu bewerten und Maßnahmen zur Verringerung des Risikos zu treffen oder das Restrisiko zu akzeptieren. BCM bildet hierbei den Sonderfall ab, bei dem es um Notfallmaßnahmen für Geschäftsfunktionen geht, die ab einer bestimmten zeitlichen Nichtverfügbarkeit zu existenzbedrohlichen Folgen für das Unternehmen führen würden. Dabei berücksichtigt man vor allem die Worst Case -Szenarien, zum Beispiel den kompletten Verlust des Betriebsstandorts, und setzt Notfallmaßnahmen in allen Bereichen des Unternehmens um: von der (Notfall)Organisation über Beschäftigte, die IT und Technik, bis hin zu Gebäuden und Standorten. 21 Detecon Management Report 1 / 2012

3 Strategy Business Impact Analyse identifiziert kritische Bereiche Das Vorgehen für die Ableitung der richtigen Kontinuitätsmaßnahmen lässt sich in zahlreichen Standards und Rahmen werken nachvollziehen, so zum Beispiel im meistzitierten Standard BS25999 Business Continuity Management. Code of Practice oder im anschaulich geschriebenen Grundschutz-Standard BSI Notfallmanagement des Bundesamt für Sicherheit in der Informationstechnik. Welches Rahmenwerk man auch zugrunde legt, charakteristisch bleibt das Vorgehen entsprechend eines strengen Top-Down- Ansatzes: Im ersten Schritt, der sogenannten Business Impact Analyse (BIA), besteht die Aufgabe darin, das Unternehmen zu verstehen und die Kernprodukte und Leistungen zu identifizieren und hinsichtlich maximaler Ausfallzeiten oder Störungen zu bewerten. Hintergrund dieses Vorgehens ist, dass man die Aufwände für Kontinuitätsmaßnahmen auf die Bereiche beschränken möchte, deren mangelnde Verfügbarkeit bedeutende Einschnitte für das Unternehmen zur Folge hätte und somit dessen Existenz gefährden könnte. Je nach Handhabung des Themas können aber auch durchaus nicht so kritische Bereiche für Notfallmaßnahmen vorgesehen werden. Die BIA dient damit zur Identifikation derjenigen Unternehmensbereiche, die zu den definierten Zeiten unter allen Umständen verfügbar sein müssen. Die Inhalte der BIA ähneln auf den ersten Blick der klassischen Risikoanalyse, da sie zur Begründung aller Folgemaßnahmen und zur anschließenden Priorisierung der untersuchten Bereiche immer auch nach den möglichen negativen Auswirkungen, also dem Business Impact, einer Nichtverfügbarkeit des jeweiligen Geschäftsbereichs, Prozesses oder Services fragen. Die Kriterien für die Bewertung des negativen Einflusses einer Nichtverfügbarkeit sind typischerweise finanzielle Auswirkungen, Reputation, vertragliche oder gesetzliche Auswirkungen. Je nach Unternehmensumfeld können diese speziell gewichtet werden, um deren Bedeutung auszudrücken. Die beschriebene Einschätzung der möglichen Schäden dient beim BCM jedoch nicht dem reinen Reporting, um zum Beispiel die finanziellen Auswirkungen im Worst Case abschätzen zu können, sondern zur Ableitung der für die verschiedenen Unternehmensbereiche kritischen Ausfallzeiten, ab welchen die Abbildung: Einordnung der BCM-Risiken Auswirkungen Hohe Bedeutung BCM- Risiken Allgemeine Risiken Keine Bedeutung Gering Sehr hoch Wahrscheinlichkeit Quelle: Detecon 22 Detecon Management Report 1 / 2012

4 Den Super-Gau im Hinterkopf verursachten Auswirkungen die Existenz der Unternehmung gefährden würden. Im Fall der IT Services sind dies beispielsweise die angestrebte Wiederanlaufzeit (Recovery Time Objectives) und die maximal tolerierbare Datenverlustzeit (Recovery Point Objectives). Darüber hinaus werden in der BIA auch die für die geforderte Leistungserbringung benötigten Assets und Ressourcen identifiziert und sowohl für den Normalbetrieb als auch für den vorübergehenden Ausnahmebetrieb definiert. Dies kann zum Beispiel die Anzahl speziell qualifizierter Mitarbeiter sein, welche eine bestimmte Abteilung samt Computer-Arbeitsplatz für die Erbringung einer Leistung braucht. BCM-Strategie sieht differenzierten Maßnahmeneinsatz vor Im Idealfall erhält man nach der Durchführung einer BIA eine Übersicht über alle kritischen Geschäftsfunktionen des Unternehmens und den zugehörigen Assets und Ressourcen. Es empfiehlt sich, nach diesem Schritt eine grundlegende BCM- Strategie für die analysierten Geschäftsbereiche festzulegen. Allgemein zielt dies auf die Beantwortung der Frage, wo man Risiken vermeiden, mindern, akzeptieren oder versichern soll. Im Speziellen bedeutet das, Geschäftsfunktionen zu priorisieren und Maßnahmen für bestimmte Szenarien zu definieren oder aber bestimmte Szenarien bewusst außen vor zu lassen, weil etwa der Aufwand zur Risikoverminderung in keinem Verhältnis zum Nutzen steht. In diesem Kontext unterscheidet man folgende Maßnahmen: Disaster Recovery umfasst IT-bezogene Maßnahmen, um im Fall eines vollständigen Betriebsstandortverlusts IT Services aus anderen Quellen und Standorten weiterbetreiben zu können. Disaster Recovery-Pläne sind detaillierte Anleitungen, um bei Wegfall eines Betriebsstandorts die Weiterführung der IT Services im gesetzten zeitlichen Rahmen durch deren Bereitstellung von einem Ausweichstandort zu gewährleisten. Zu den organisatorischen Maßnahmen zählt die Einrichtung eines Krisenmanagements samt Kommunikationskanälen. Das Krisenmanagement-Team besteht zumeist aus dem oberen Management sowie Fachexperten aus verschiedenen Bereichen und Sicherheitsbeauftragten. Im Fall einer Krise wird das Krisenmanagement-Team aktiv und übernimmt die operative Steuerung des Unternehmens. Hierfür müssen die Kommunikationskanäle sowohl zum Krisenmanagement-Team hin definiert werden, um Vorfälle adäquat adressieren zu können, als auch vom Krisenmanagement-Team zu den Beschäftigten, um diese im Notfall mit Informationen und Anweisungen versorgen zu können. Zu den Business Continuity-Plänen können beispielsweise die vom Arbeitsschutz geforderten Evakuierungspläne gezählt werden. Diese haben jedoch keinen Bezug zur Aufrechterhaltung des Geschäftsbetriebs, sondern dienen in erster Linie der Sicherheit der Mitarbeiter. Daneben sind die eigentlichen Business Continuity-Pläne dafür gedacht, die Abläufe für die Wiederaufnahme der Geschäftsprozesse sicherzustellen, und zwar unmittelbar nach dem Ereignis in einem möglicherweise reduzierten Umfang und ebenfalls zur Wiederherstellung des Normalbetriebs. Austausch von Fachseite, IT und Sicherheitsbeauftragten unabdingbar In der Theorie sollten Verantwortliche für Geschäftsprozesse oder Produkte, also Abteilungs-, Bereichsleiter oder Produktmanager, dafür Sorge tragen, dass die Verfügbarkeit den Bedarfen entsprechend gegeben ist und dabei auch Extremsituationen berücksichtigten. In der Praxis jedoch haben diese Personengruppen aufgrund des ohnehin fordernden Tagesgeschäfts meist wenig Zeit und Muße, sich in die komplett fremde Materie der Notfallvorsorge und -planung einzuarbeiten. Anders sieht es hingegen bei den Geschäftsbereichen Sicherheit und IT aus. Die ersteren sind für die Ausgestaltung von Sicherheitsthemen im Unternehmen verantwortlich und müssen sich auch mit diesen Aspekten befassen. Sie haben andererseits nicht die volle Einsicht in die Geschäftsprozesse oder die Funktionsweise von Services für Kunden, um die tatsächliche Notfallplanung selbst durchzuführen, und sind somit auf die Mitarbeit oder gar Durchführung der operativen Unternehmensbereiche angewiesen. 23 Detecon Management Report 1 / 2012

5 Strategy Die IT steht wiederum in der Pflicht, Service Continuity Management für ihre bereitgestellten Anwendungen und Services zu betreiben, benötigt somit Anforderungen der Fachseiten zur Ausfallsicherheit in Form von Recovery Time und Point Objectives und darin abzudeckende Szenarien. Für die IT-Organisation ist es daher zweckmäßig, die Fachseiten bezüglich deren Anforderungen im Rahmen von BIA- Workshops an einen Tisch zu holen und die Notwendigkeit der Verfügbarkeit der Systeme und Aktualität der Daten abzufragen. Diese Daten reichen dann für die Ausarbeitung von alternativen technischen Konzepten aus, welche, je nach verfügbaren Mitteln, allen oder einem Teil der Anforderungen genügen. Die nicht-it bezogenen Maßnahmen konzentrieren sich neben der Einrichtung und des Betriebs einer Krisenmanagementorganisation im Allgemeinen auf die Verfügbarkeit von Mitarbeitern, so zum Beispiel bei der Pandemieplanung, und anderen Business Continuity-Plänen für die Aufrechterhaltung von Geschäftsprozessen. Für die Anforderungen an die Verfügbarkeit von Mitarbeitern können ebenfalls zentral initiierte Abfragen an alle Unternehmensbereiche, zumeist entlang der Organisation, durchgeführt werden. Bei den Business Continuity-Plänen hingegen müssen als kritisch eingestufte Abteilungen selbst Konzepte überlegen, wie sie den Geschäftsbetrieb im Rahmen der an sie gestellten Anforderungen auch in Krisensituation aufrechterhalten oder wiederaufnehmen können. Hier können Sicherheitsbeauftragte lediglich bei den abzuklärenden Inhalten unterstützen, die eigentlichen Konzepte jedoch müssen durch die Fachabteilungen selber erbracht werden. Zusammenfassend kann man sagen, dass die Mitarbeit der Fachseiten bei der Konzipierung der BC-Maßnahmen immer unabkömmlich ist. Für den Fall der Erstellung von Business Continuity-Plänen gilt, dass diese nur durch die Fachseiten selbst erstellt werden können. Idealfall: Notfallplanung für ein mittelständisches Unternehmen Das folgende Projektbeispiel schildert, wie ein umfassendes BCM-Projekt bei einem mittelständischen Unternehmen im Dienstleistungssektor mit zirka 1000 Mitarbeitern und einem Unternehmensstandort durchgeführt werden kann. Das Unternehmen war angehalten, eine Sicherheitszertifizierung nach ISO zu erreichen. Für dieses Ziel wurde ein eigenes Projektteam mit internen Mitarbeitern und externen Beratern aufgestellt. Ein internes Voraudit ergab, dass insbesondere das Notfallmanagement den Anforderungen an die Zertifizierung nicht standhalten würde. Die zertifizierungsfähige Erweiterung des Notfallmanagements wurde somit als Projektziel definiert. Das Unternehmen hatte in der Vergangenheit bereits einige Notfallmaßnahmen umgesetzt, kontinuierlich weiterentwickelt und betrieben. So ist zum Beispiel ein Backup-Rechenzentrum vorhanden, redundante Strom- und Kommunikations leitungen sind verlegt, eine redundante Klimaanlage, eine unterbrechungsfreie Stromversorgung und Notstromdiesel aufgebaut und Einbruchs- sowie Branderkennungsanlagen im Einsatz. Als Ausgangssituation in der organisatorischen Umsetzung des Notfallmanagements wurden ein rudimentäres Notfallhandbuch, -richtlinien und -rollenkonzepte vorgefunden. Die neugeschaffene Rolle des Notfallbeauftragten wurde besetzt. Im Projekt wurde zunächst ein neues Notfallmanagementkonzept erstellt, das sich im Wesentlichen an den BSI Standard anlehnt, gleichfalls die Vorgaben für das BCM aus der ISO Norm abdeckt und die Eigenheiten des Unternehmens adressiert. Das Notfallhandbuch wurde überarbeitet. Schwerpunkt war die Straffung der Kommunikationswege und Eskalationsprozeduren sowie die Aufbereitung der einzelnen Notfallpläne nach einem einheitlichen Template. Darüber hinaus wurden neue Notfallpläne für Pandemie, für Kontamination und für die Königsdisziplin Auslagerung der gesamten Produktion und Verwaltung bei totalem Ausfall des Hauptstandortes erstellt. Der neue Notfallbeauftragte wurde eingewiesen und unterstützt, der Krisenstab auf das Verhalten in der Notfallbewältigung geschult und Notfallübungen geplant und durchgeführt. Wesentliche Voraussetzung für die weitere Notfallmanagementkonzeption war die Erstellung einer BIA: Es existierte im Unternehmen eine mehrere Jahre alte BIA. Die detaillierte Betrachtung der Anforderungen der einzelnen Geschäftsprozesse wurde hierin jedoch nicht durchgeführt. Die Priorität für den Wiederanlauf war für alle Geschäftsprozesse gleich hoch eingestuft worden, die alte BIA ging von einer Wiederanlaufzeit von vier 24 Detecon Management Report 1 / 2012

6 Den Super-Gau im Hinterkopf Stunden für alle Geschäftsprozesse aus. Schnell war klar: Dieser Wert ist für diese Art von Unternehmen nicht realistisch. Hier gibt es deutliche Unterschiede in den offensichtlichen Anforderungen, im Gegensatz beispielsweise zu einem Unternehmen aus der Finanzbranche. Zunächst galt es also, die tatsächlich kritischen Geschäftsprozesse mit realistischen Anforderungen an die Wiederanlaufzeiten zu ermitteln. Zuerst wurde ein Überblick über die verschiedenen Geschäftsprozesse und deren zugrundeliegende Services hergestellt. Eine Geschäftsprozessdokumentation mit Beschreibungen der Abhängigkeiten zwischen Geschäftsprozessen, den Serviceprozessen und den zugrundeliegenden Ressourcen, wie zum Beispiel IT-Infrastruktur, Anwendungen, Personal, Arbeitsplätze, war im Unternehmen nicht vorhanden. Für eine Übersicht der Geschäfts- und Serviceprozesse wurde deshalb der Geschäftsbericht herangezogen sowie die Geschäftsführung und einzelne Geschäftsprozesseigner befragt. Weitere Informationen ergaben sich aus Gesprächen mit der Abteilung Geschäftssteuerung, Risiko- und Assetmanagement. Für jeden Geschäftsprozess wurden die folgenden Daten erfasst: die Geschäftscharakteristik, die Spitzenlastzeiten mit besonderen Terminen oder Ereignissen, der qualitative Schaden für Personen, Imageverlust, Kosten und Umsatz über die Zeit, der quantitative Schaden für Kosten und Umsatz über die Zeit, die aus dem Schadensverlauf absehbare Wiederanlaufzeit, die maximal tolerierbare Datenverlustzeit, die Abhängigkeiten zu anderen Geschäfts- oder Serviceprozessen, die Anforderungen an Personal, Infrastruktur, Anwendungen und die verwendeten Daten. Die Interviews wurden mit den jeweiligen Geschäftsprozesseignern, den Verantwortlichen für die Serviceprozesse, gegebenenfalls hinzugezogenes Fachpersonal und der Geschäftsführung durchgeführt. In den Interviews wird ein Worst Case-Schadensszenario angenommen. Die tatsächliche Schadensursache ist dabei nicht ausschlaggebend. Wesentlich wichtiger ist der zeitliche Schadensverlauf, der nach dem Schadenseintritt zu erwarten ist, zum Beispiel: Welchen Umsatzausfall hat das Unternehmen, wenn der gesamte Geschäftsprozess für vier Stunden, einen Tag, drei Tage oder gar eine Woche ausfällt? Bei den Interviews ist außerdem darauf zu achten, dass möglichst realistische Angaben eingeholt werden können. Oft halten manche Geschäftsprozesseigner ihren Geschäftsprozess für den wichtigsten im Unternehmen und sehen nach einer Stunde Ausfall schon katastrophale Auswirkungen für das gesamte Unternehmen oder sogar dessen Existenz bedroht. Hier hilft es, nach bereits zurückliegenden Ausfällen nachzufragen zum Beispiel Da war doch vor einem Jahr dieser Stromausfall für einen Tag welche Auswirkungen hatte dieser Vorfall? oder auf eingerichtete Wartungsfenster zu verweisen. Sehr gut ist es, wenn konkrete Zahlen für mögliche Umsatzausfälle und daraus resultierende Zusatzkosten für die quantitative Schadensermittlung vorliegen. Diese Zahlen werden später in der Notfallmanagementstrategie benötigt, um geeignete Notfallmaßnahmen und deren Business Cases zu errechnen: Natürlich sollten die Notfallmaßnahmen nicht teurer werden als der mögliche Schaden, den man versucht abzudecken. Ein BIA-Dokument fasst die Ergebnisse für alle Geschäftsprozesse zusammen, so dass sie vergleichbar sind. Daraus resultiert eine Abstufung der einzelnen Geschäftsprozesse. Man erkennt die sehr kritischen und die weniger kritischen Geschäftsprozesse. Weniger kritisch bedeutet in diesem Zusammenhang nicht, dass sie für das Unternehmen unwichtig wären, sondern dass sie in der Notfallbewältigung eine geringere Priorität haben. In der Notfallbewältigung sind die sehr kritischen Geschäftsprozesse mit höchster Priorität zu behandeln, um sehr schnell einen hohen Schaden für das Unternehmen abzuwenden. 25 Detecon Management Report 1 / 2012

7 Strategy Die Ergebnisse werden mit der Geschäftsführung nochmals besprochen und hierbei wird identifiziert, welcher Schaden für die Geschäftsführung maximal noch akzeptabel wäre. Aus dieser Aussage und den Interviewdaten kann dann die benötigte Wiederanlaufzeit festgelegt werden. Aus der Wiederanlaufzeit für den Geschäftsprozess lässt sich die Wiederanlaufzeit für die Serviceprozesse und die einzelnen Ressourcen ableiten. Hierbei sind jedoch die jeweiligen Abhängigkeiten untereinander zu beachten. Die geschäftlichen Anforderungen an die Wiederanlaufzeiten, die in der BIA dokumentiert sind, sind die Grundlage für die weitere Konzeption der Notfallvorsorge- und -bewältigungsmaßnahmen. Es sind geeignete Maßnahmen auszuwählen, die die benötigten Wiederanlaufzeiten ermöglichen. Dadurch wird zum Beispiel auf technischer Ebene vorgeschlagen, welche Art von Hochverfügbarkeit das Unternehmen benötigt. Als Beispiel wird hier auf Hot- oder Cold-Backup-Rechenzentren, Datenspiegelung oder Datentransfer per Bandsicherung verwiesen. Diese Maßnahmen sind unterschiedlich teuer und in einem Business Case zu evaluieren. Aus den BIA-Ergebnissen beziehungsweise Anforderungen lassen sich gleichfalls Service Level Agreements mit externen Dienstleistern oder Operational Level Agreements zwischen den Fachabteilungen und der internen IT ableiten. Ausfall von Online-Diensten eines internationalen Automobilherstellers im Zero-Tolerance -Bereich Die Vielschichtigkeit eines BCM-Projekts verdeutlicht auch das nächste Beispiel eines internationalen Automobilherstellers: Dieser musste sich nach einer starken Wachstumsphase in einem Emerging Market auch um die Ausfallsicherheit seiner Prozesse und Services Gedanken machen. Gerade vor dem Hintergrund einer bevorstehenden Produkteinführung, dem Connected Car Service, der Telefonie und Online-Dienste für das Navigationssystem im Auto bietet, war der Zeitpunkt für die Umsetzung genau richtig gewählt. Auf Grundlage einer BIA wurden schnell besonders wichtige Services identifiziert, die für den Endkunden immer verfügbar sein müssen. Hierunter fiel an erster Stelle der Telefonie- und Online-Service Connected Car. Die Kunden, die den Connected Car-Dienst nutzen, können über ihr Navigationssystem nicht nur aktuelle Wetter- und Verkehrsinformationen abrufen, der Dienst umfasst auch die automatische Benachrichtigung von Angehörigen und Notrufzentralen im Fall eines Unfalls und die Benachrichtigung von Servicezentren im Fall einer Autopanne. Dazu kommt die Möglichkeit der telefonischen Kontaktaufnahme mit Auskunftsdiensten, Servicepersonal und medizinisch ausgebildetem Fachpersonal auf Knopfdruck. Insbesondere die unter allen Umständen zu gewährleistende Verfügbarkeit der Notfalldienste wurde als besonders bedeutend für das Image der Marke gewertet, weshalb man ihr die geringstmögliche Ausfallzeit zugewiesen hat. Deutlich wurde bei dieser Entscheidung der qualitative Unterschied zwischen den Anforderungen von internen Geschäftsprozessen und denen der Online-Services für Endkunden: Während bei den ersteren durchweg Ausfallzeiten von Tagen akzeptabel schienen, wurde den Online-Services lediglich eine mögliche Ausfallzeit im Stundenbereich eingeräumt, für die besonders kritischen Notfallservices gar eine im Nullbereich, da es hier im Extremfall um Leben und Tod gehen kann. Der technischen Konzeption der Ausfallsicherheit für die IT wurde entsprechend viel Aufmerksamkeit zuteil: Hierfür wurden sämtliche Abhängigkeiten, Schnittstellen und Verbindungen zwischen den für die Serviceerbringung notwendigen Systemen analysiert und eine technische Architektur konzipiert, die den Anforderungen selbst bei Eintritt eines vollständigen Standortverlusts Rechnung trägt. Doch nicht nur technische IT-Maßnahmen standen im Fokus. Vielmehr mussten auch mit Lieferanten, in diesem Fall den Betreibern der für die Annahme von Notfallanrufen verantwortlichen Call Center, entsprechende Vereinbarungen getroffen werden. Diese wurden als Anforderungen formuliert und hatten 26 Detecon Management Report 1 / 2012

8 Den Super-Gau im Hinterkopf beispielsweise zur Folge, dass die Call Center-Betreiber einen weiteren Standort für ihre Mitarbeiter planen mussten, um im Falle eines Ausfalls des Hauptstandortes sofort auf den zweiten umschalten zu können und von diesem weiterhin Notfallanrufe entgegennehmen zu können. Zudem wurde auch das eigene Krisenmanagement weiter a usgebaut: Neben der Definition der Rollen im Krisenteam und deren Besetzung wurde ein Kommunikationskonzept entwickelt. Hierzu gehörte zum einen die Definition der Kommunikationswege für das Reporting von Sicherheitsvorfällen (Incident reporting) als auch die Konzeption einer Smartphone App für die Kommunikation zwischen dem Krisenmanagementteam und den Führungskräften. Die Entscheidung für dieses junge Medium basierete vor allem auf zwei Überlegungen: Zum einen sollen die Führungskräfte gerne die App benutzen und sich damit über aktuelle Meldungen auf dem Laufenden halten. Zum anderen bietet die App die Möglichkeit, gezielt Personengruppen zu kontaktieren und von diesen schnell Feedback zur aktuellen Situation zu bekommen. So würde man zum Beispiel bei einem Brand zügig Informationen zum Stand der Evakuierung, Anzahl der Vermissten und Verletzten erhalten können. Die vielseitigen Maßnahmen wurden getroffen, um den Geschäftsbetrieb und die Servicebereitstellung für Kunden vor Ausfällen schützen zu können. Ob die Maßnahmen im Ernstfall ausreichen, wird jedoch erst die Zukunft zeigen. Andrej Demko arbeitet als Consultant bei der Detecon (Schweiz) AG. Internationale Projekterfahrung sammelte er im Umfeld von IT- und Security Management sowie BCM. Seine thematische Ausrichtung umfasst das operationelle Risikomanagement und die Analyse von Geschäftsprozessen. Dr. Laura Georg leitet die Group IT Risk & Security, Energy & Sustainability Management und IT Compliance bei der Detecon (Schweiz) AG. Sie hat sich darauf spezialisiert, einen Mehrwert in Unternehmen zu schaffen, indem Sicherheitsgovernance, Prozessmanagement und Technologie effektiv und effizient aufeinander abgestimmt werden. Tätig war sie hierbei insbesondere im öffent lichen Sektor sowie in der Finanz- und Telekommunikationsbranche. Frank Hebestreit ist Senior Consultant im Bereich Risk & Security Management bei Detecon. Neben zahlreichen Projekten im Umfeld der Security Governance und Cloud Security gehört das Notfallmanagement ebenfalls zu seinen Kompetenzen. Beate Meiß arbeitet seit 2006 als Managing Consultant bei Detecon. Zu ihren Kernthemen zählen Projekt-, Prozess- und Qualitätsmanagement, die kundenspezifische Umsetzung von Frameworks und Best Practices wie COBIT, CMMI, ITIL sowie Business Continuity Management. Existenzsicherung im Fokus BCM ist ein interdisziplinäres Thema, was der Vielfalt der möglichen Anwendungsbereiche, betroffenen Unternehmensteile und resultierenden Notfallmaßnahmen geschuldet ist. Dennoch lässt sich ein Mindestmaß an Notfallvorsorge mit vertretbarem Aufwand umsetzen und somit die Wahrscheinlichkeit für das Überleben eines Unternehmens im Krisenfall erheblich steigern. 27 Detecon Management Report 1 / 2012

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

(IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301

(IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301 Smart Compliance Solutions Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke)

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management) Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-

Mehr

Kochbuch für eine Business Impact Analyse. von bcm-news.de

Kochbuch für eine Business Impact Analyse. von bcm-news.de Kochbuch für eine Business Impact Analyse von bcm-news.de Phasen zur Durchführung einer Business Impact Analyse Scope und Konzeption Erhebung Analyse und Entscheidung Festlegung des Umfangs der BIA Konzeption

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik Notfallmanagement Einführung & Überblick Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag Bremen / 13.06.2012 Sind Ihre Informationen sicher? Beispiel wichtiger

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Wissensmanagement in der Notfallplanung

Wissensmanagement in der Notfallplanung 1 5. FIT-ÖV V am 9.2. in Bochum Wissensmanagement in der Notfallplanung Hans-Jörg Heming CHG-MERIDIAN Agenda Vorstellung Das Unternehmen Wissensmanagement in der Notfallplanung Ausfallszenario Organisatorische

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Supply Risk Managements

Supply Risk Managements Frühwarnsysteme als Bestandteil eines effektiven Supply Risk Managements Dr. Andreas Wels BME-/IHK-Forum Risikomanagement im Einkauf, Chemnitz, 25ster September 2008 Dr. Andreas Wels Frühwarnsysteme als

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen

Mehr

pco IT Notfall Management Praxisworkshop am 12. April 2016

pco IT Notfall Management Praxisworkshop am 12. April 2016 pco IT Notfall Management Praxisworkshop am 12. April 2016 Einleitung Alle Geschäftsprozesse sind heute abhängig von der Verfügbarkeit der IT Services. Ein Teil- oder auch Komplettausfall der notwendigen

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

(IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren.

(IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren. (IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren. Smart Compliance Solutions Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke)

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte - Ganzheitlich ein anderer Ansatz 1 Was ist das? Unvorhergesehen Wie konnte das passieren? Alles läuft gut Bei Ihrem Auto sorgen Sie durch rechtzeitigen Kundendienst vor 2 Was ist das? Kerngesunde, liquide

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Best Practices Ansätze Strukturierte Vorgehensweise im Continuity Management

Best Practices Ansätze Strukturierte Vorgehensweise im Continuity Management IBM CIO Club of Excellence Strukturierte Vorgehensweise im Continuity Management 2. März 2010 Nik Christ, Managing Consultant Agenda 1 Best Practices Ansatz 2 Gelebtes und Erlebtes 2 Agenda 1 Best Practices

Mehr

Sicherheit ist unser Auftrag. Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH stellt sich vor

Sicherheit ist unser Auftrag. Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH stellt sich vor Sicherheit ist unser Auftrag Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH stellt sich vor Vernetzte Sicherheit für vernetzte Strukturen Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren Methodik für, und von Ausfallrechenzentren Das Lebenszyklus-Modell der Networkers AG Inf.-sw. Christoph Haas Senior Consultant 30.09.2010 I Networkers AG I Seite 1 Vorgehen mit Methode Wieso, weshalb,

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Risiken auf Prozessebene

Risiken auf Prozessebene Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse

Mehr

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus

Mehr

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE von Maja Pavlek 1 GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE EIN INTEGRIERTER ANSATZ Die TIBERIUM AG ist ein Beratungsunternehmen,

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

INS Engineering & Consulting AG

INS Engineering & Consulting AG INS Engineering & Consulting AG INS Präsentation «Auslagerung von Dienstleistungen im KMU-Umfeld» 11. Juni 2015 Seite 0 Agenda Begrüssung & Vorstellung Was macht KMUs einzigartig? Was sind Gründe für eine

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

COBIT 5/ITIL-Convergence?

COBIT 5/ITIL-Convergence? IT-Tagung 2012 COBIT 5/ITIL-Convergence? Massood Salehi 1 Agenda Ursachen für den fehlenden Gorvernance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb Parallelen und Unterschiede

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! MEET SWISS INFOSEC! 27.01.2016 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Reinhard Obermüller, lic. iur., emba, Managing Consultant Strom die Primärenergie http://www.patriotnetdaily.com/wp-content/uploads/2014/10/2003-northeast-blackout1.jpg

Mehr

FACILITY SERVICES CONTINUITY MANAGEMENT (FCM)

FACILITY SERVICES CONTINUITY MANAGEMENT (FCM) FACILITY SERVICES CONTINUITY MANAGEMENT (FCM) BEST PRACTICE GUIDELINE - EIN LEITFADEN ZUM KONTINUITÄTSMANAGEMENT IM GEBÄUDEMANAGEMENT Dirk K. Pollnow, Managing Consultant 1 AGENDA AGENDA 1 Kurzvorstellung

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr

Sandra Klinkenberg. SILPION SolutionCamp in Hamburg am Freitag den, 13.09.2013

Sandra Klinkenberg. SILPION SolutionCamp in Hamburg am Freitag den, 13.09.2013 Sandra Klinkenberg SILPION SolutionCamp in Hamburg am Freitag den, 13.09.2013 Notfallmanagement Was ist ein Notfall? Unerwartete Situation Zeit und prozesskritisch > verlassen des normalen Arbeitsablaufes

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

BUSINESS CONTINUITY MANAGEMENT (BCM)

BUSINESS CONTINUITY MANAGEMENT (BCM) BUSINESS CONTINUITY MANAGEMENT (BCM) Notfall-Management Solvency II - 2. Säule Delivering Transformation. Together. In einer zunehmend technologisierten und globalen Welt sind Unternehmen genauso wie Privatpersonen

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Die Neue Revision der ISO 9001:2015

Die Neue Revision der ISO 9001:2015 Die Neue Revision der ISO 9001:2015 Qualitätsmanagementsystem - Anforderungen Akkreditiert durch Akkreditierung Austria Parkstraße 11 A-8700 Leoben Tel.: +43 (3842) 48476 Fax: DW 4 e-mail: office@systemcert.at

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Integrale Sicherheit. Umsetzung in der Praxis. Fachtagung Netzwirtschaft, 17. Juni 2014

Integrale Sicherheit. Umsetzung in der Praxis. Fachtagung Netzwirtschaft, 17. Juni 2014 Integrale Sicherheit Umsetzung in der Praxis Fachtagung Netzwirtschaft, 17. Juni 2014 Werner Meier, Leiter Security & BCM Dr. Adrian Marti, Bereichsleiter Informationssicherheit AWK Group www.awk.ch Blackout

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 Übersicht 1. Risikomanagement - Hintergrund 2. Risikomanagement ISO 9001: 2015 3. Risikomanagement Herangehensweise 4. Risikomanagement Praxisbeispiel

Mehr

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, 19.12.2012. Antonio Gelardi IT - Sicherheitsbeauftragter

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, 19.12.2012. Antonio Gelardi IT - Sicherheitsbeauftragter CosmosDirekt Theorie und Praxis der IT - Sicherheit Ort: Saarbrücken, 19.12.2012 Autor: Antonio Gelardi IT - Sicherheitsbeauftragter Agenda Die Versicherung, CosmosDirekt Der IT Sicherheitsbeauftragte,

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

ITIL Foundation 2011 Eine Zusammenfassung von Markus Coerdt

ITIL Foundation 2011 Eine Zusammenfassung von Markus Coerdt Service Strategy ITIL Foundation 2011 Service Strategy ist der Entwurf einer umfassenden Strategie für IT Services und IT Service Management. Komponenten der Wertschöpfung Geschäfts- Ergebnisse WERT Präferenzen

Mehr

Die IT-Service AG. Beratung, Technologie, Outsourcing

Die IT-Service AG. Beratung, Technologie, Outsourcing Die IT-Service AG Beratung, Technologie, Outsourcing QUALITÄT B e r a t u n g Erfahrungen aus der Praxis. Aus unzähligen Projekten. Spezialwissen und objektive Analysen. Mit uns überwinden Sie Hindernisse

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze

Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze Ronny Jorysch Senior Consultant BCM (Business Continuity Management) IBM Schweiz Vulkanstrasse 106 Postfach CH-8010 Zürich +41 58

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen Juni 2015 2 Impressum Empfänger: Alle von der Finma beaufsichtigten Versicherungsunternehmen

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

Mai 2009. Wissenschaftliche Begleitung der Prozessoptimierung im Programm SuBITI-II. Handlungsempfehlungen aus dem Zwischenbericht

Mai 2009. Wissenschaftliche Begleitung der Prozessoptimierung im Programm SuBITI-II. Handlungsempfehlungen aus dem Zwischenbericht Mai 2009 Wissenschaftliche Begleitung der Prozessoptimierung im Programm SuBITI-II Handlungsempfehlungen aus dem Zwischenbericht Seite ii Projekt: Wissenschaftliche Begleitung der Prozessoptimierung im

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

WENDIA ITSM EXPERT TALK

WENDIA ITSM EXPERT TALK WENDIA ITSM EXPERT TALK DIE ABBILDUNG VON SERVICES IN DER CMDB: LEITFADEN ZUR KONZEPTION VON SERVICEMODELLEN LOTHAR BUHL FCS CONSULTING GMBH Die Abbildung von Services in der CMDB: Leitfaden zur Konzeption

Mehr

(Qualitätsmanagement-Richtlinie vertragszahnärztliche Versorgung - ZÄQM-RL)

(Qualitätsmanagement-Richtlinie vertragszahnärztliche Versorgung - ZÄQM-RL) Richtlinie des Gemeinsamen Bundesausschusses über grundsätzliche Anforderungen an ein einrichtungsinternes Qualitätsmanagement in der vertragszahnärztlichen Versorgung (Qualitätsmanagement-Richtlinie vertragszahnärztliche

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

Security Reporting. Security Forum FH Brandenburg 18.01.2012. Guido Gluschke g.gluschke@viccon.de. 2012 VICCON GmbH

Security Reporting. Security Forum FH Brandenburg 18.01.2012. Guido Gluschke g.gluschke@viccon.de. 2012 VICCON GmbH Security Reporting Security Forum FH Brandenburg 18.01.2012 Guido Gluschke g.gluschke@viccon.de Agenda Vorstellung VICCON GmbH Anforderungen an ein Security Reporting Beispiele für Umsetzungen Managementberatung

Mehr

Umsetzung des ISMS bei DENIC

Umsetzung des ISMS bei DENIC Umsetzung des ISMS bei DENIC Boban Krsic, DENIC eg Berlin, den 16.09.2015 Agenda Kurzvorstellung ISMS bei DENIC Risikomanagement im Rahmen des ISMS Business Continuity Management Ausblick 2 DENIC eg Agenda

Mehr

DIE UNSTERBLICHE PARTIE 16.04.2010 2

DIE UNSTERBLICHE PARTIE 16.04.2010 2 Manfred Bublies Dynamisches Risikomanagement am Beispiel des BOS Digitalfunkprojekts in Rheinland-Pfalz Wo 16.04.2010 1 DIE UNSTERBLICHE PARTIE 16.04.2010 2 DEFINITION RISIKOMANAGEMENT Risikomanagement

Mehr