Heimat der Akademie
Blogs
Kontinuitätsmanagement in NIS2: Benchmark-Maßnahmen für Geschäftskontinuität und Backups mit ISO 27001
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Kontinuitätsmanagement in NIS2: Benchmark-Maßnahmen für Geschäftskontinuität und Backups mit ISO 27001

ISO 27001-Sammlung
Kontinuitätsmanagement in NIS2: Benchmark-Maßnahmen für Geschäftskontinuität und Backups mit ISO 27001
NIS2-Sammlung
Kontinuitätsmanagement in NIS2: Benchmark-Maßnahmen für Geschäftskontinuität und Backups mit ISO 27001
Cyberday Blog
Kontinuitätsmanagement in NIS2: Benchmark-Maßnahmen für Geschäftskontinuität und Backups mit ISO 27001

Als Entscheidungsträger in der heutigen hochdigitalen Welt sind Sie sich der Bedeutung der Cybersicherheit nur allzu bewusst. Ein wichtiger Aspekt jedes Informationssicherheitsprogramms ist die Vorbereitung auf ungünstige Ereignisse mit einer guten Kontinuitätsplanung und Backups. Dieses Thema ist in der NIS2-Richtlinie der EU vorgeschrieben und wird in der Norm ISO 27001 ausführlich behandelt.

Wir sind hier, um Hilfestellung zu geben und dieses Sicherheitsthema zu entmystifizieren. Dieser Artikel hilft Ihnen bei der Erstellung der für NIS2 erforderlichen Verfahren für Geschäftskontinuität und Backups, indem er die bewährten Verfahren von ISO 27001 nutzt.

Kurze Einführung in Business Continuity und Backups

Was ist Kontinuitätsplanung?

Kontinuitätsplanung ist der Prozess der Entwicklung von Präventions- und Wiederherstellungssystemen, die sicherstellen, dass wichtige Geschäftsabläufe nicht unterbrochen werden oder nach widrigen Ereignissen schnell wieder aufgenommen werden können. Ein effizienter Plan hilft, die Auswirkungen möglicher Szenarien wie Stromausfälle, Cyberangriffe oder Naturkatastrophen zu minimieren.

Im Bereich der Informationssicherheit bezieht sich Kontinuität auch auf die Aufrechterhaltung der Informationssicherheit auf einem angemessenen Niveau bei Störungen oder anderen ungünstigen Ereignissen.

Was bedeuten Backups?

Unter Backups versteht man im Rahmen der Geschäftskontinuität die Erstellung von Kopien Ihrer Daten, Systeme und Software, die sicher an einem anderen Ort als dem Hauptgeschäftssitz aufbewahrt werden. Damit soll sichergestellt werden, dass Ihr Unternehmen im Falle von Katastrophen, Datenschutzverletzungen, Betriebsstörungen oder Systemausfällen in der Lage ist, seine Systeme schnell wieder in Betrieb zu nehmen, wodurch die Ausfallzeiten und die mit solchen Vorfällen verbundenen potenziellen Verluste erheblich reduziert werden.

Kontinuitätsplanung vs. Backups

In der NIS2-Richtlinie wurden Kontinuitätsplanung und Backups in einem Abschnitt zusammengefasst. Dies ist logisch, da beide Ansätze ein ähnliches Ziel verfolgen - eine effiziente Wiederherstellung nach ungünstigen Ereignissen. In vielen anderen Sicherheitsrahmenwerken werden sie jedoch als getrennte Themen betrachtet, da Backups eine sehr daten- und technologieorientierte Sicht auf die Kontinuität einnehmen. Es ist wichtig, die Verbindung zwischen diesen beiden Themen zu verstehen, unabhängig davon, wie separat Sie sie in Ihren eigenen Abläufen umsetzen.

Kontinuitätsplanung 101

Bei der Planung der Geschäftskontinuität im Bereich der Informationssicherheit geht es nicht nur darum, einen Backup-Plan für den Fall eines Systemzusammenbruchs oder eines Cyberangriffs zu haben. Es geht darum, proaktiv dafür zu sorgen, dass Ihre Prozesse und Systeme widerstandsfähig sind und sich nach jeder Art von Störung schnell wieder erholen können.

Verstehen Sie die Anforderungen an die Kontinuität Ihres Betriebs

Die Kontinuität Ihres Betriebs hängt von der Verfügbarkeit vieler verschiedener Dinge ab: Menschen, Technologie, Partner, physische Standorte, Daten...

Die Kontinuitätsplanung beginnt mit dem Verständnis der Kontinuitätsanforderungen für die verschiedenen Teile Ihrer Datenverarbeitungsumgebung. Können Sie 2 Stunden ohne ein Datensystem auskommen? Für einige ist das sicher möglich, für andere könnte es sehr schädlich sein.

Bevor Sie sich an die Erstellung von Kontinuitätsplänen machen, sollten Sie Prioritäten für Ihre Anlagen und andere wichtige Datenverarbeitungsumgebungen setzen, um sicherzustellen, dass Sie die richtigen Dinge einplanen.

Was sind Beispiele für unerwünschte Ereignisse, auf die Sie sich vorbereiten sollten?

Sie sollten Kontinuitätspläne z. B. für diese Art von Zwischenfällen erstellen (die Ihre Kontinuität gefährden könnten):

  • Externe Katastrophen: Biologische/chemische/Naturkatastrophen, kriminelle Aktivitäten/Terroranschläge, Pandemien
  • Interne technische Katastrophen: Datenleck / Datenschutzverletzung, Datenbankausfall, andere Cyberangriffe
  • Interne physische Katastrophen: Feuer in einer Einrichtung mit kritischen Ressourcen, Schlüsselperson für längere Zeit unerreichbar  
  • Partnerbezogene Katastrophen: Konkurs eines wichtigen Partners, Ausfall anderer Partnerdienste, längerer Ausfall eines wichtigen Datensystems, Stromausfall in einem wichtigen Rechenzentrum

Was sollte in Ihren Kontinuitätsplänen enthalten sein?

Kontinuitätspläne sind die konkrete Ebene der Kontinuitätsplanung. Ihre Kontinuitätspläne sollten Folgendes umfassen:

  • Ziele des Plans: Durch eine BIA (Business Impact Analysis) können Sie die erforderlichen Reaktions- und Wiederherstellungszeiten bestätigen, indem Sie die Auswirkungen von Unterbrechungen auf die entsprechenden Geschäftsfunktionen und -prozesse ermitteln. Ihr Unternehmen sollte den zeitempfindlichsten oder kritischsten Geschäftsfunktionen in Kontinuitätsplänen Priorität einräumen.
  • Verantwortliche Personen und Partner: Wer ist verantwortlich und wer wird für die Durchführung des Plans benötigt?
  • Sofortige Reaktionsmaßnahmen: Ihr Plan muss Schritt für Schritt aufzeigen, welche Maßnahmen sofort ergriffen werden, um die Auswirkungen des unerwünschten Ereignisses zu verringern und die meisten katastrophalen Schäden zu verhindern.
  • Schritte zur Wiederherstellung: Ihr Plan muss spezifische Taktiken für die Wiederherstellung kritischer Systeme, Ressourcen und Prozesse enthalten. Dazu können Vorkehrungen wie die Beauftragung von Drittanbietern, alternative Arbeitsorte oder alternative Arbeitsweisen erforderlich sein.
  • Tests, Übungen und Schulungen: Mit simulierten Störungsszenarien können Sie die Bereitschaft Ihres Unternehmens und die Wirksamkeit des Plans testen. Anschließend sollte die Belegschaft entsprechend geschult werden, um sicherzustellen, dass sie für den Fall einer Störung gut gerüstet ist.

Sie bauen einen entscheidenden Teil der Widerstandsfähigkeit Ihres Unternehmens auf. Durch die Einbeziehung dieser Elemente wird sichergestellt, dass Ihr Unternehmen geschickt navigieren und sich schnell von einer Störung erholen kann.

Backups 101

In der digitalen Welt der Informationstechnologie sind Backups so etwas wie Sicherheitsnetze. Sie stellen Kopien Ihrer wertvollen und sensiblen Daten dar, die sicher an verschiedenen Orten aufbewahrt werden und eine narrensichere Möglichkeit bieten, diese Daten wiederherzustellen, falls sie verloren gehen oder gefährdet sind. Backups sind für jeden Plan zur Aufrechterhaltung des Geschäftsbetriebs von entscheidender Bedeutung, da sie sicherstellen, dass die Ausfallzeiten Ihres Unternehmens bei ungünstigen Ereignissen auf ein Minimum reduziert werden und der Betrieb ohne nennenswerte Informationsverluste umgehend wieder aufgenommen werden kann.

Welches sind die Schlüsselfragen für jeden Sicherungsprozess?

Um sicherzustellen, dass Ihre Backup-Prozesse angemessen sind, sollten Sie einige wichtige Aspekte bedenken. Vergewissern Sie sich, dass Sie die folgenden Fragen beantworten können:

  • Welche Daten müssen gesichert werden? Die Antwort hängt weitgehend von Ihrem spezifischen Unternehmen ab, aber als Faustregel gilt, dass alle Daten, die zur Wiederherstellung des Geschäftsbetriebs benötigt werden, gesichert werden sollten.
  • Wo werden die Backups gespeichert? Es hat sich bewährt, die Sicherungen an einem von den Primärdaten getrennten Ort zu speichern. Dies kann in einem externen Bereich oder möglicherweise in einem Cloud-basierten Speichersystem sein. Denken Sie daran, dass der gewählte Ort den einschlägigen Anforderungen an die Datenaufbewahrung und den Zusagen, die Sie Ihren Kunden gegeben haben, entsprechen sollte.
  • Wie oft sollten Backups durchgeführt werden? Die Häufigkeit der Sicherungen richtet sich danach, wie oft sich die Daten ändern und wie hoch das Risiko eines Datenverlusts ist. Wenn keine Daten verloren gehen können, müssen Sie über eine Echtzeit-Datenbankreplikation nachdenken. In einigen Fällen können z. B. wöchentliche Sicherungen ausreichend sein.
  • Wie lange sollten die Backups aufbewahrt werden? Insbesondere personenbezogene Daten sollten nicht ohne triftigen Grund aufbewahrt werden. Was ist ein realistischer Zeitrahmen für den Bedarf an Sicherungskopien?
  • Wer ist für die Verwaltung von Backups zuständig? Es müssen klare Verantwortlichkeiten festgelegt werden, wer für die Einrichtung, Überwachung und Wiederherstellung von Backups bei Bedarf zuständig ist. Je nach Größe und Komplexität Ihres Unternehmens kann dies ein spezielles Team oder eine Einzelperson sein.
  • Wie werden die Backups getestet? Regelmäßige Tests von Sicherungskopien sind wichtig, um sicherzustellen, dass sie bei Bedarf erfolgreich wiederhergestellt werden können. Es muss ein Plan vorhanden sein, aus dem hervorgeht, wie und wann diese Tests durchgeführt werden.

Gemeinsame Herausforderungen bei der Implementierung von Kontinuitätsplanung und Backups

Hier sind einige Probleme, die Sie im Zusammenhang mit der Kontinuitätsplanung und der Datensicherung vermeiden können.

Mangelnde Einbindung und Unterstützung durch das Management: Sie sollten Ihr Bestes tun, um das Bewusstsein für die Vorteile der Kontinuitätsplanung zu schärfen und die Zusammenarbeit zu fördern, damit wichtige unerwünschte Ereignisse aus allen Blickwinkeln erkannt werden können.

Begrenzte Ressourcen (Zeit, Budget, Personal) und Teamarbeit: Wenn Sie verstehen, welche Katastrophen die Kontinuitätsplanung zu bekämpfen versucht, wird ihre Bedeutung deutlich. Entscheiden Sie gesondert über ausreichende Ressourcen und die für die Arbeit benötigten Personen - mit Unterstützung des Topmanagements.

Gefühl der Komplexität der IT-Infrastruktur: Eine komplexe Umgebung kann das Gefühl vermitteln, dass es schwierig ist, z. B. Ihre Sicherungsprozesse in den Griff zu bekommen. Aber wenn Sie Schritt für Schritt vorgehen - zuerst die Backup-Prozesse dokumentieren, dann die Backup-Verantwortlichkeiten für die Datensysteme kategorisieren - werden Sie stetig Fortschritte machen und bald wird das Thema nicht mehr so komplex erscheinen.

Unzureichende Prüfung und Pflege von Kontinuitätsplänen: Ein Plan ist nicht sehr wirksam, wenn er zum ersten Mal in einer realen Situation umgesetzt wird. In allen Sicherheitsrahmenwerken wird erwähnt, dass Kontinuitätspläne und die Wiederherstellung von Sicherungskopien regelmäßig geübt werden müssen, damit die Umsetzung in einer stressigen realen Situation erfolgreich sein kann.

ISO 27001: Best Practices für die Kontinuitätsplanung

ISO 27001 befasst sich mit der Kontinuität in mehreren Kontrollen, die sich auf Aspekte wie die Sicherung von Informationen bei Störfällen, die Bereitschaft der IKT der Organisationen für die Kontinuität und die Redundanz der Informationsverarbeitungseinrichtungen beziehen.

Es gibt noch eine weitere ISO-Norm, ISO 22301, die sich ausschließlich mit dem Management der Geschäftskontinuität befasst. Diese Norm unterstützt die Planung für, die Reaktion auf und die Wiederherstellung nach störenden Vorfällen, indem sie einen übergreifenden Rahmen für die Kontinuitätsplanung bietet. Wenn Sie dies als einen Kernaspekt Ihres Informationssicherheitsprogramms betrachten, sollten Sie sich auch mit dieser Norm vertraut machen.

5.29: Informationssicherheit bei Unterbrechungen

Diese Kontrolle unterstreicht die Notwendigkeit, Kontinuitätspläne zu erstellen, um sicherzustellen, dass die Informationssicherheit auch bei Störungen auf einem angemessenen Niveau bleibt, um Informationen und damit verbundene Vermögenswerte unter schwierigen Umständen zu schützen.

Diese Kontinuitätspläne sollten klare Verantwortliche haben und getestet und regelmäßig überprüft werden, um die Informationssicherheit in kritischen Geschäftsprozessen nach einer Unterbrechung aufrechtzuerhalten oder wiederherzustellen.

5.30: IKT-Bereitschaft für die Geschäftskontinuität

Diese Kontrolle stellt sicher, dass die IKT-Bereitschaft der Organisation hoch genug ist, um die Ziele der Geschäftskontinuität und die IKT-Kontinuitätsanforderungen zu erfüllen. Im Wesentlichen bedeutet dies, dass z. B. Datensysteme, die für kritische Vorgänge benötigt werden, in demselben Zeitrahmen wiederhergestellt werden können müssen, wie dies für den Hauptprozess erforderlich ist.

Die Organisation muss ermitteln, welche Wiederherstellungszeiten und Wiederherstellungspunkte die verschiedenen IKT-Dienste erreichen können müssen, wobei die definierten Wiederherstellungsziele für die entsprechenden Prozesse zu berücksichtigen sind, und sicherstellen, dass diese erreicht werden können. Im Zusammenhang mit der vorangegangenen Kontrolle sollten speziell für IKT-Dienste Kontinuitätspläne erstellt, genehmigt und regelmäßig getestet werden.

8.6: Kapazitätsmanagement

Unternehmen müssen die Nutzung ihrer IKT und anderer wichtiger Ressourcen überwachen. Auf diese Weise können sie sicherstellen, dass sie unter Berücksichtigung der geschäftskritischen Bedeutung der betreffenden Systeme und Prozesse über genügend Informationsverarbeitungsanlagen, Personal, Büros und andere Einrichtungen verfügen. Es ist von Vorteil, über Früherkennungs- und Warnsysteme zu verfügen, damit Probleme erkannt werden können und die Prognosen für die künftige Kapazität z. B. mit dem Geschäftswachstum und den technologischen Trends in Einklang gebracht werden können.

8.14: Redundanz der Informationsverarbeitungsanlagen

Diese Kontrolle unterstreicht die Notwendigkeit von Ersatzsystemen für wichtige Datenverarbeitungsressourcen, um den Verfügbarkeitsanforderungen gerecht zu werden und den Betrieb aufrechtzuerhalten. Die Organisation sollte Verfahren für die Nutzung redundanter Teile und Einrichtungen planen und einrichten. In den Verfahren sollte festgelegt werden, ob die redundanten Teile immer aktiv sind oder in Notfällen automatisch oder manuell aktiviert werden. Es ist wichtig, dass die redundanten Teile und Einrichtungen das gleiche Sicherheitsniveau haben wie die primären Teile und Einrichtungen.

ISO 27001: Best Practices für die Datensicherung umsetzen

Die ISO-Norm 27001 befasst sich mit der Datensicherung hauptsächlich in einer einzigen Kontrolle 8.13. Diese Kontrolle verlangt regelmäßig gewartete und getestete Backups, gibt aber auch viele wichtige Tipps für die Umsetzung, z. B. in Bezug auf das Verständnis der geschäftlichen Anforderungen an Backups, Speicherorte für Backups, angemessenen Schutz für Backups und Verschlüsselung.

8.13: Informationssicherung

Die Organisation sollte sicherstellen, dass Sicherungskopien von Informationen, Software und Systemen regelmäßig gewartet und getestet werden, und zwar gemäß den festgelegten Richtlinien für Sicherungskopien. Diese Praxis ist wichtig für die Wiederherstellung von Daten oder Systemen im Falle eines Verlustes.

Sie sollten Ihre derzeitigen Sicherungsprozesse aufzeichnen und sicherstellen, dass Sie angemessene Antworten auf die wichtigsten Fragen haben: Welche Daten werden gesichert? Wo werden die Backups gespeichert? Wie oft werden die Sicherungen durchgeführt? Wie lange sollten die Sicherungen aufbewahrt werden? Wer ist verantwortlich?

Wenn Sie mit der Beschreibung Ihres Sicherungsprozesses zufrieden sind, ist der schwierigste Teil geschafft. Dann müssen Sie nur noch sicherstellen, dass die Backups funktionieren, ihre Vollständigkeit überprüfen und die Wiederherstellung regelmäßig testen.

8.24: Einsatz von Kryptographie

Diese Kontrolle bezieht sich eher auf die sichere Konfiguration im Allgemeinen, aber die Festlegung und Durchsetzung klarer Regeln für die Verschlüsselung und Schlüsselverwaltung im Zusammenhang mit Backups ist ein wichtiger Bestandteil einer starken Backup-Strategie.

5.23: Informationssicherheit bei der Nutzung von Cloud-Diensten

Bei der Nutzung von Cloud-Diensten muss das Unternehmen für eine klare Aufteilung der sicherheitsrelevanten Verantwortlichkeiten sorgen. Für die Datensicherung ist oft der Dienstanbieter zuständig, aber Dinge wie der gewählte Plan und der Hosting-Typ können sich auf die Details der Sicherung auswirken. Stellen Sie sicher, dass Sie sich über den Umfang der für wichtige Systeme bereitgestellten Backups im Klaren sind.

Schlussfolgerung

Um die NIS2 in Bezug auf Geschäftskontinuität und Backups zu erfüllen, müssen Sie über angemessene, klar dokumentierte und umgesetzte Maßnahmen für diese Sicherheitsthemen verfügen. Wenn Sie Ihre Maßnahmen an den bewährten Praktiken der ISO 27001 ausrichten, können Sie sicher sein, dass Sie das Thema angemessen umgesetzt haben und dabei Ihre allgemeine Widerstandsfähigkeit und Bereitschaft verbessern.

Denken Sie daran, dass es bei der Kontinuitätsplanung nicht nur um das Abhaken einer Liste geht. Es geht darum, eine robuste Struktur zu schaffen, die widrigen Ereignissen standhält und einen reibungslosen Betrieb gewährleistet. Dinge können schief gehen; der Schlüssel dazu ist eine gut durchdachte Strategie zur Wiederherstellung und Fortführung. Auch wenn es unterschiedlich komplexe Sicherungsmethoden gibt, sollte das Hauptaugenmerk auf einem zuverlässigen und sicheren System liegen, das gewährleistet, dass Ihre wichtigen Daten auch in kritischen Zeiten zugänglich bleiben.

Im Wesentlichen sind Kontinuitätsplanung und Backups also Maßnahmen zur Verhinderung und Kontrolle der schlimmsten Katastrophen im Zusammenhang mit Ihren Aktivitäten! Unter diesem Gesichtspunkt könnte man durchaus argumentieren, dass es sich um einen der Schlüsselbereiche eines jeden robusten Informationssicherheitsprogramms handelt.

Geschrieben von
Aleksi Pulkkanen
12.4.2024
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

Die 10 häufigsten Nichtkonformitäten bei ISO 27001-Audits

Audits und Nichtkonformitäten treiben Organisationen zu kontinuierlichen Verbesserungen an. Vor Ihrer ersten ISO 27001-Zertifizierung ist es jedoch gut, einige der häufigsten Nichtkonformitäten zu kennen, damit Sie diese bei Ihrem Zertifizierungsaudit vermeiden können.
18.2.2025

Ich habe eine Anfrage für ein Interview zum ISO 27001-Audit erhalten - was sollte ich erwarten?

In diesem Blog werden wir über die Bedeutung der Teilnahme von Mitarbeitern am Audit-Interview-Prozess sprechen, warum Auditoren Einblicke von Mitarbeitern schätzen, und uns mit möglichen Fragen beschäftigen, die in einem ISO 27001-Interview gestellt werden.
13.2.2025

Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

Möchten Sie sicherstellen, dass Sie die Anforderungen von ISO 27001 erfüllen? Diese Checkliste enthält klar geordnete Schlüsselschritte, die Ihre Organisation beim Aufbau eines ISMS und bei der Einhaltung der ISO 27001-Norm unterstützen.
6.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit