IT-Risk-Management. V5: Business Continuity Management

Transkript

1 IT-Risk-Management V5: Business Continuity Management R. Grimm / N. Meletiadou Institut für Wirtschafts- und Verwaltungsinformatik Universität Koblenz R. Grimm / N. Meletiadou 1 /60 1. Motivation Inhaltsübersicht 2. Begriffe 3. Business Continuity Planning 4. Fallbeispiel: Banking Services Luxemburg S.A. 5. Firmenumfrage (ATT, CISCO, 2005) R. Grimm / N. Meletiadou 2 /60

2 Motivation Gründe für das Unterbrechen von Geschäftsprozesse mehr als 20% IT-Systemausfälle, davon 22% Naturkatastrophe 12% menschliches Verhalten andere Unterbrechungen z.b. Materialengpass, Maschinenausfall, Kundenabsage Ursachen sind schwer vorherzusehen z.b. Terrorismus, Sabotage menschliches Versagen [v.rössing 2005] R. Grimm / N. Meletiadou 3 /60 Motivation Association of Britisch Insurers alle 2,8 Jahre unternehmenskritische Ereignisse 88% dieser Ereignisse in einem Bereich ohne BCP die Wiederherstellung dauerte in 43% der Fälle länger als 2 Mon. Maus im Allianz Zentrum für Technik Euro Brandschäden 43% of U.S. businesses never reopen after a disaster -- and 29% close within two years [v.rössing 2005] R. Grimm / N. Meletiadou 4 /60

3 Ausfallzeiten und Verluste Meta Group 2009 [Weber/Rosselet/Waser 2009] R. Grimm / N. Meletiadou 5 /60 Ursachen für Ausfälle [Weber/Rosselet/Waser 2009] R. Grimm / N. Meletiadou 6 /60

4 Gründe für Ausfälle FRANK Robin Linux-Systems, FRANK Robin Linux-Systems [ ] R. Grimm 7 /60 1. Motivation 2. Begriffe Inhaltsübersicht 3. Business Continuity Planning 4. Fallbeispiel: Banking Services Luxemburg S.A. 5. Firmenumfrage R. Grimm / N. Meletiadou 8 /60

5 Notfall ist ein Ereignis, Notfall das dauerhaft schwerwiegende negative Einflüsse auf unternehmensentscheidende oder bedeutende Tätigkeiten eines Geschäftsbereiches oder der Infrastruktur am Standort zur Folge hat Unterscheide vorhergesehene und nicht vorhergesehene Notfälle versicherbare und nicht versicherbare Notfälle [Naujocks 2003a] R. Grimm / N. Meletiadou 9 /60 Notfall Notfall vs. Störung Ausfall des Gesamtgebäudes samt RZ Ausfall einer Filiale Ausfall der TK-Anlage über einen festgelegten Zeitraum hinaus Störung kurzer Stromausfall Ausfall der Heizungsanlage R. Grimm / N. Meletiadou 10 /60

6 Anteile des IT-Risikomanagements Sicherung der Werte (s.o.) Sicherung der Verlässlichkeit der IT Verhinderung/Beherrschung eines Notfalls Informationssicherheit Widerstandskraft und Robustheit des Unternehmens gegen bekannte oder unbekannte Ereignisse Wiederherstellung des Betriebes Fortführung des Betriebs Notfallplanung R. Grimm / N. Meletiadou 11 /60 Informationssicherheit und Notfallplanung eingebettet in IT-Risk-Management IT-Risk-Management IT-Sicherheit (Security und Safety) Verlässlichkeit Beherrschbarkeit Information Security Notfallplanung R. Grimm / N. Meletiadou 12 /60

7 Zeitliche Anordnung der Notfallplanung Business Continuity Planning Incident Response Disaster Recovery Proaktive Maßnahmen Sofortige Maßnahmen Wiederherstellungsmaßnahmen R. Grimm / N. Meletiadou 13 /60 Business Continuity Planning (BCP) BCP is defined as: the identification and protection of critical business processes and resources required to maintain an acceptable level of business, protecting those resources and preparing procedures to ensure the survival of the organization in times of business disruption. [Hiles/Barnes P. 2001] R. Grimm / N. Meletiadou 14 /60

8 Incident Response Incident response is a set of activities taken to plan for, detect, and correct the impact of an incident on information assets. IR is more a reactive, than a proactive, with the exception of the planning that must occur to prepare the IR teams to be ready to react on an incident [Whitman/Mattord 2009] R. Grimm / N. Meletiadou 15 /60 Disaster Recovery Disaster recovery is the process that takes place during and after an organizational crisis to minimize business interruption and return the organization as quickly as possible to a pre-crisis state [Smart 2002] R. Grimm / N. Meletiadou 16 /60

9 IT-Risk-Management vs. BCP IT-Risk-Management Identifikation von Gefährdung Vermeidung von Schadensfällen (Verlässlichkeit) Beherrschbarkeit Notfallplanung, besonders BCP nutzt die Ergebnisse des IT-Risk-Managements nach Schadenseintritt Minimierung der Schadensauswirkung R. Grimm / N. Meletiadou 17 /60 IT-Risk-Management vs. BCP Risk Management IT-Risk Management Financial Risk Management IT-Security Contingency Planning Business Continuity Planning Incident Response Disaster Recovery R. Grimm / N. Meletiadou 18 /60

10 Inhaltsübersicht 1. Motivation 2. Begriffe 3. Business Continuity Planning 4. Fallbeispiel: Banking Services Luxemburg S.A. 5. Firmenumfrage R. Grimm / N. Meletiadou 19 /60 Ziele des BCP Sicherstellung der Weiterführung von unternehmenskritischen Tätigkeiten Wiederaufbau der Infrastruktur Wiederaufnahme der Geschäftsaktivitäten Weiterführung der Erbringung der Dienste an die Kunden auf einem akzeptablen Niveau [Hiles/Barnes P. 2001] [Naujocks 2003a] R. Grimm / N. Meletiadou 20 /60

11 BCP-Prozess Projektinitialisierung Analyse des Unternehmens P+D+CA! Testen und Warten des Planes Entwicklung des Planes Implementierung des Planes R. Grimm / N. Meletiadou 21 /60 Projektinitialisierung BCP als eine Kernaufgabe des Unternehmens Bewusstseinsschaffung über: die Notwendigkeit eines BCP die entstehenden Kosten Überzeugung des Top-Managements R. Grimm / N. Meletiadou 22 /60

12 strategisch Projektinitiierung Ziel festlegen Mitgliedern des Top-Managements strategische Entscheidungen in Richtung auf Ziel taktisch Middle-Management und BCP-Experten einbinden Entscheidungen koordinieren und Aufgaben verteilen korrekte Implementierung und Ausführung des Planes zuweisen Operational (in Krise) Verantwortliche Mitarbeiter aktivieren die im Krisenfall speziell zugeteilten operativen Aufgaben durchführen [Naujocks 2003a] R. Grimm / N. Meletiadou 23 /60 BCP-Prozess R. Grimm / N. Meletiadou 24 /60

13 Analyse des Unternehmens Business Impact Analysis (BIA) Schadensabschätzung Risk Assessment (RA) Wahrscheinlichkeitsberechnung R. Grimm / N. Meletiadou 25 /60 Business Impact Analysis (BIA) Monetäre Auswirkungen Verlust von Einnahmen oder Aktienwert vertraglich geregelte Geldstrafen aufgrund von nicht erbrachter Leistung Nicht-monetäre Auswirkungen Verlust von öffentlichem Ansehen Verlust von Vertrauen (sowohl Kunden als auch Zulieferer) Verlust von Marktanteilen und Produktivität [Naujocks 2003a] R. Grimm / N. Meletiadou 26 /60

14 Business Impact Analysis (BIA) Wiederherstellungsprofil höchstzulässige Ausfallzeiten Mindestkapazität Bestimmung des Wiederanlaufpunktes IT-Abhängigkeit definieren Abbildung IT-Funktionen auf Geschäftsprozesse Berechnung der Wirkung des IT-Funktionsausfalls auf Beeinträchtigung der Geschäftsprozesse Identifizierung des Funktionsausfalls Kosten des Ausfalls R. Grimm / N. Meletiadou 27 /60 Business Impact Analysis (BIA) Standorte, Gebäude, Anlagen, Maschinen technische maximal Kapazität Kapazität unter Berücksichtigung von Gesetzen und Auflagen Kunden- und Lieferantenbeziehungen Top-30-Kunden, Konzentration auf bestimmte Kundenbeziehungen Top-5-Märkte und -Lieferanten gegebenenfalls Erwirtschaftung eines bedeutenden Anteils mit Produkten aus einem bestimmten Markt IT-Infrastruktur und Versorgungseinrichtungen Erhebung ertragskritischer Daten und Anwendungen Verfügbarkeit von Daten und Anwendungen Analyse der Datensicherungsstrategie [Engel 2005] R. Grimm / N. Meletiadou 28 /60

15 Durchführung Business Impact Analysis (BIA) Entwicklung eines Fragebogens Identifizierung von geeigneten Personen Erstellung einer Auswertung Auswertung Beschreibung von Schlüsselprozessen Interdependenzen der Unternehmenseinheit mit anderen Unternehmenseinheiten, Zulieferern, Kunden Konsequenzen eines Ausfalls der Unternehmensfunktion für verschiedene Zeitperioden entstehende Kosten durch Ausfall der Unternehmensfunktion minimal benötigte Ressourcen, um Schlüsselprozesse wieder aufzunehmen [AudiNet 2001] R. Grimm / N. Meletiadou 29 /60 BIA einer Bank [Naujocks 2003b] R. Grimm / N. Meletiadou 30 /60

16 BIA einer Bank [Naujocks 2003b] R. Grimm / N. Meletiadou 31 /60 Typen von Risiken [Pow99] R. Grimm / N. Meletiadou 32 /60

17 Risk Assessment Risk Assessment is the term used to describe the probability of occurrence of an incident/ disaster [Elliott/Swartz/Herbane 2002] R. Grimm / N. Meletiadou 33 /60 Risk Assessment Ursachenanalyse (Wirkung als Teil des BCP oben abgehandelt) Umfeld der Mechanismen bedenken Wahrscheinlichkeit zuordnen R. Grimm / N. Meletiadou 34 /60

18 Risk Assessment Wahrscheinlichkeiten, zum Beispiel (grob granuliert): sehr gering (weniger als in 100 Jahren) gering (mehr als einmal in 100 Jahren, aber weiniger als einmal in 25 Jahren) mittel (mehr als einmal in 25 Jahren) hoch (mehr als einmal in 5 Jahren) sehr hoch (mehr als einmal im Jahr) R. Grimm / N. Meletiadou 35 /60 Zusammenführung von BIA und RA (Beispielhafte Belegung) Sabotage IT-Zusammenbruch Terroranschlag Industrie-Unfall Börse-Crash niedrig groß Auswirkung (Impact) Feuer Kunden-Konkurs Wirtschaftskriminalität Bedienungsfehler an...-anlage Wahrscheinlichkeit hoch Denial-of-Service-Angriff IT-Fehler Überschwemmung Stromausfall Zulieferer-Konkurs gering R. Grimm / N. Meletiadou 36 /60

19 BCP-Prozess Projektinitialisierung Analyse des Unternehmens Testen und Warten des Planes Entwicklung des Planes Implementierung des Planes R. Grimm / N. Meletiadou 37 /60 Entwicklung eines BCPs Soll der Plan alle oder nur besonders kritische Unternehmenseinheiten abdecken? Soll der Plan sich ausschließlich auf Informationstechnologie konzentrieren? Wie weit soll die sofortige Wiederherstellung der Unternehmensprozesse im Falle eines Ausfalls gehen? Zurück zum business as usual oder nur operation in survival mode? Welche finanziellen Mittel stehen zur Verfügung? R. Grimm / N. Meletiadou 38 /60

20 Entwicklung eines BCPs Welche Organisation steuert alle relevanten Aktivitäten für den Wiederanlauf? Wer sind die Ansprechpartner und mit welchen Kompetenzen ist das BC-Team ausgestattet? Wer ist verantwortlich für die Krisenkommunikation, etwa gegenüber Kunden und Lieferanten? [Schmidt H. 2005] R. Grimm / N. Meletiadou 39 /60 BCP-Strategie Vorbeugung oder genügt Spontan-Reaktion? Schnelle Wiederversorgung Alternativer Standort kalte Lösung warme Lösung heiße Lösung Alternative Kundenversorgung Versicherung R. Grimm / N. Meletiadou 40 /60

21 Beispiel einer BCP-Strategie BSI-Standard Notfall-Management MTPD = Maximum Tolerable Period of Disruption RTO = Return To Operations R. Grimm / N. Meletiadou 41 /60 Business-Continuity-Plan Beschreibung der BC-Strategie Beschreibung des Szenarios und der erwarteten funktionalen Auswirkungen Ziel des (konkreten) Planes, Beschreibung von Minimalanforderungen Geltungsbereich des BC-Planes und Prozesseigner Definition der Rolle betroffener Organisationseinheiten Beschreibung der operativen Maßnahmen Ergänzende Informationen, etwa Standortinformationen, Lagepläne, Sicherheitseinrichtungen, etc. Hinweise auf notwendige Übungen und Übungsrhythmen [Engel 2005] R. Grimm / N. Meletiadou 42 /60

22 Realisierung von BCP Projektinitialisierung Analyse des Unternehmens Testen und Warten des Planes Entwicklung des Planes Implementierung des Planes R. Grimm / N. Meletiadou 43 /60 Implementierung Abschluss von Verträgen Verteilung von Rollen und Aufgaben Entwicklung von Prozessen, Vorgehensweise Benachrichtigungsprozedur Eskalation Wiederherstellung sofortige Reaktion sofortige Wiederherstellung langfristige Wiederherstellung Ausarbeiten der endgültigen Lösung R. Grimm / N. Meletiadou 44 /60

23 Implementierung Dokumentation des Planes Ziele und Umfang des Business Continuity-Planes Rollen, Verantwortlichkeiten, Aufgaben der Mitarbeiter Darstellung strukturierter Vorgehensweisen im Katastrophenfall Kontakte (interne und externe Schlüsselpersonen) jedem Mitarbeiter verdeutlichen, welche Aufgaben er in einem Katastrophenfall wie zu erfüllen hat Information der Stakeholder Anpassung des Plans an realistische Gegebenheiten R. Grimm / N. Meletiadou 45 /60 BCP-Prozess Projektinitialisierung Analyse des Unternehmens Testen und Warten des Planes Entwicklung des Planes Implementierung des Planes R. Grimm / N. Meletiadou 46 /60

24 Test und Wartung Ausarbeiten eines Testplans Theoretische Überprüfung des Planes durch das Top- Management Praktischer Test einzelner Komponenten Benachrichtigungsketten Großangelegter Test Durchführen Dokumentieren Auswerteten Revidieren Verbessern und Umsetzen Schulung Weiterentwicklung R. Grimm / N. Meletiadou 47 /60 Inhaltsübersicht 1. Motivation 2. Begriffe 3. Business continuity planning 4. Fallbeispiel: Banking Services Luxemburg S.A. 5. Firmenumfrage R. Grimm / N. Meletiadou 48 /60

25 Fallbeispiel BSL Banking Services Luxembourg Banking Services Luxembourg S.A. Unterstützung des IT Recovery Planning der Kunden Gegründet von einer Luxemburger Bankenkooperation zunächst zwei Gründungsmitglieder später Gewinnung weiterer Banken, die die Dienstleistungen nutzen wollen Ziel: Cost Sharing, d.h. Senkung der Business-Continuity-Kosten durch gemeinsames Notfallzentrum [Velenz/Weil 2003] R. Grimm / N. Meletiadou 49 /60 Fallbeispiel BSL BSL garantiert Wiederanlauf innerhalb einer Stunde BSL stellt eine Workplace Recovery Site zur Verfügung Platz für maximal zwei Banken zur selben Zeit maximal sechs Kunden die Hauptsitze zweier Kunden dürfen nicht zu nahe beieinander liegen R. Grimm / N. Meletiadou 50 /60

26 Ergebnis der BIA einer Bank (Beispiel) Priorität Zeitrahmen der Wiederherstellug Geschäftsprozesse 1 bis 1 Stunde Handel, Private Banking, Kasse Stunden Abwicklung Wertpapiere, Service Private Banking, Poststelle 3 6 Stunden 4 Tage Wertpapierverwaltung, Risikocontrolling, Rechnungswesen 4 mehr als 4 Tage Revision, Recht, Personalwirtschaft, Steuerung/Organisation R. Grimm / N. Meletiadou 51 /60 Risiken am Bankenstandort Luxemburg allgemeine Risiken (Bsp.) Flugzeugabsturz (Stadt Luxemburg befindet sich in Einflugschneise des Flughafens) Überschwemmung, Großbrand etc. (Luxemburg ist aufgrund seiner geringen Größe insgesamt stärker von Naturkatastrophen betroffen) Verkehrsunfälle (Gebäude befinden sich in der Innenstadt mit hohem Verkehrsaufkommen, auch Lkw und Gefahrguttransporte) R. Grimm / N. Meletiadou 52 /60

27 Risiken am Bankenstandort Luxemburg branchenspezifische Risiken (Bsp.) Diebstahl (hohe materielle Werte in Gebäuden) Vandalismus (Gebäude öffentlich zugänglich) Hacking (Bank verfügt über viele vertrauliche Daten) geographisch bedingte Risiken hohe Anzahl von Banken auf engstem Raum, dadurch bei großflächigen Zwischenfällen Versorgungsengpässe möglich IT-Risiken DDoS Virenbefall Spionage usw. R. Grimm / N. Meletiadou 53 /60 Ausstattung der Recovery Site 24 Arbeitsplätze mit Network Computer, Telefon, USV (unterbrechungsfreie Stromversorgung) 2 Reuters-Terminals, 1 Bloomberg-Terminal Kopierer, Fax und Aktenvernichter ISDN-Primärmultiplexanschluss oder Standleitung Server-Raum limitierter Zugang Closed Shop USV (unterbrechungsfreie Stromversorgung) Feuerschutz R. Grimm / N. Meletiadou 54 /60

28 Im Vorfeld: Recovery Prozedur einer Bank Anzahl und Art der Arbeitsplätze bestimmen Installation notwendiger Applikationen auf dem Terminalserver Bei Eintritt des Notfalls: 1. BSL (Banking Service Luxemburg) informieren 2. BSL stellt Wachpersonal und IT-Spezialisten 3. Telekommunikationsdienstleister informieren (Umleiten der Rufnummern) 4. Beschaffung der Backup-Platten 5. Booten des Systems R. Grimm / N. Meletiadou 55 /60 Inhaltsübersicht 1. Motivation 2. Begriffe 3. Business continuity planning 4. Fallbeispiel BSL 5. Firmenumfrage (ATT, CISCO, 2005) R. Grimm / N. Meletiadou 56 /60

29 Musste Ihre Firma je wichtige betriebliche Prozesse aufgrund einer Katastrophe einstellen? R. Grimm / N. Meletiadou 57 /60 Wann wurden Ihre BCP-Pläne zum letzten Mal erprobt? [ATT und Cisco 2005] R. Grimm / N. Meletiadou 58 /60

30 Welche Gefährdung ist am schwierigsten vorherzusehen und vorzubeugen? [ATT und Cisco 2005] R. Grimm / N. Meletiadou 59 /60 Was sind die Hauptrisiken im Fall einer Geschäftsunterbrechung in Ihrer Firma? [ATT und Cisco 2005] R. Grimm / N. Meletiadou 60 /60

31 Literaturverzeichnis (1) ATT und Cisco: Business Continuity Notfallplanung für Geschäftsprozesse. ATT, Cisco und Economist Intelligence Unit, White Paper AudiNet: Business Impact Analysis - Business Unit/Cost Center Questionnaire. AuditNet [ ] BSI, Bundesamt für Sicherheit in der Informationstechnik: BSI-Standard 100-4, Notfall- Management. Version 1.0, /ITGrundschutzStandards_node.html [ ] Engel H.: Gesprengte Ketten- Absicherung der Supply Chain durch ein unternehmensweites Business Continuity Management in RISKNEWS 05/2005 Elliott D., Swartz E., Herbane B: Business Continuity Management - A crisis management approach, London, New York: Routledge Gibb, F.; and Buchanan, S.: A framework for business continuity management. International Journal of Information Management 26 (2006), Elsevier, Hiles A., Barnes P. (2001). The Definitive Handbook of Business Continuity Management, Chichester, New York, Weinheim: JohnWiley and Sons. Moser, Keye (2012), SIZ Informatikzentrum Bonn: Risiken im Fokus Umfassendes Notfallmanagement. W&S Sicherheitsmagazin, Wirtschaftsschutz und Sicherheitstechnik, 2/2012, I.G.T. Verlag München, S [ ] (guter Überblicksartikel!) R. Grimm / N. Meletiadou 61 /60 Literaturverzeichnis (2) Naujoks U.(2003a): Notfallplanung in einer globalisierten Bank, in Business Continuity, Wieczorek M., Naujoks U., Bartlett B., Springer Verlag Naujoks U.(2003b): Der Business Continuity Plan, Keine Schrankware, sondern sehr lebendig, Computas Fachkonferenz IT-Risk-Management. von Rössing R.: Betriebliche Kontinuität als Teil eines integriertes Risikomanagement. In RISKNEWS 05/ [ ] Schmidt H.: Rüsten für den Notfall Business Continuity Management und Risikovorsorge. In RISKNEWS 05/ [ ] Smart R. (2002): What is the difference between business continuity and disaster recovery? globalcontinuity.com Velenz U., Weil F.J.: Erstellen eines vollständigen Umfeldes für das Überleben einer Bank, in Business Continuity, Wieczorek M., Naujoks U., Bartlett B., Springer Verlag Weber, Thomas; Rosselet, Olivier; und Waser, Fabian: Business Continuity und Disaster Recovery. Itris Computer Services, vmware. Spreitenbach, Whitman M., Mattord H.: Principles of Information Security, Thomson course technology, 3rd Edition, Boston, MA, 2009, 570 pages. R. Grimm / N. Meletiadou 62/60

32 Prüfungsfragen 1. Anhand der Definition für den Begriff Notfall definieren Sie den Begriff Störung. 2. Definieren Sie den Begriff Business Continuity Planning und grenzen Sie diesen von dem Begriff IT-Risk-Management ab. 3. Erläutern Sie die Begriffe Business Impact Analysis und Risk Assessment: in welcher Beziehung stehen die beide Begriffe? 4. Erläutern Sie den Business Continuity Planning-Prozess und geben Sie für jeden Schritt ein Beispiel. R. Grimm / N. Meletiadou 63/60