Neuer BSI-Standard zu Business Continuity Management
Das BSI hat den finalen BSI-Standard 200-4 Business Continuity Management (BCM) vorgestellt. Unter BCM wird ein ganzheitlicher Prozess verstanden, der Unterbrechungen des IT-Betriebs minimieren soll. Im IT-Grundschutz ist das Thema BCM bereits seit Jahren fest verankert und soll mit dem bisherigen BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung bieten.
Ziele dieser Modernisierung waren unter anderem, den Standard praxisnah, handhabbar und adaptierbar zu gestalten. So soll der Standard insbesondere unerfahrene Anwender durch ein Stufenmodell und umfangreiche Hilfsmittel ansprechen. Aber auch erfahrene Anwender erhalten laut BSI nützliche Informationen. Somit sei der neue BSI-Standard 200-4 auf Institutionen beliebiger Art, Branche und Größe zugeschnitten. Dabei soll er weiterhin – wie sein Vorgänger – alleinstehend anwendbar sein. Jedoch zeige er als große Neuerung Synergiepotenziale zu weiteren Managementsystemen wie dem IT-SCM, dem ISMS oder den weiteren BSI-Standards 200-1 bis 200-3 auf.
Dr. Gerhard Schabhüser, Vizepräsident des BSI, erläutert dazu: "Institutionen sind einer stetig wachsenden Gefährdungslage ausgesetzt, die zu einer existenzbedrohenden Unterbrechung des Geschäftsbetriebes führen kann: Ob etwa einem Cloud-Anbieter der Ausfall seines Rechenzentrums droht, ein Mittelstandsbetrieb infolge eines Naturereignisses die Zerstörung seiner Produktionsstätte fürchten muss oder eine Behörde einer Cyber-Attacke zum Opfer fällt, die sich auf ihre gesamte IT-Infrastruktur auswirkt: Der BSI-Standard 200-4 BCM hilft, sich bestmöglich auf Schadensereignisse jeglicher Art vorzubereiten und trägt somit zu ganzheitlicher organisatorischer Resilienz bei."
Vor der Veröffentlichung hat der BSI-Standard 200-4 BCM zwei "Community-Draft-Phasen" durchlaufen, in denen interessierte Anwender ihr Feedback geben konnten. Das sollte sicherstellen, dass Ansätze und Methodik des Standards sowohl den eigenen Ansprüchen und den aktuellen, theoretischen Entwicklungen im Bereich BCM genügen, als auch den ersten Praxistest bestanden hat. Schabhüser weiter: "Dieser Standard bietet eine praxisnahe Anleitung, um ein BCM-System in der eigenen Institution aufzubauen und zu etablieren. Wir wollen so den Einstieg in die Business Continuity als elementaren Bestandteil der Cyber-Sicherheit niederschwellig, praxisnah und effektiv ermöglichen."