Daniel Schnetzke kam 2019 zur TÜV TRUST IT. Nach abgeschlossenem BWL-Studium brachten ihn persönliche Motivation und eine hohe Affinität zu IT-Themen ins Unternehmen, wo er heute als Consulter mit dem Schwerpunkt Business Continuity Management arbeitet. Im Interview spricht er mit uns über seinen Job, die Bedeutung eines BCMS im Unternehmensalltag und die Auswirkungen der neuen EU-Richtlinie NIS2.
Herr Schnetzke, Sie verantworten den Bereich Business Continuity Management bei der TÜV TRUST IT – wie sieht Ihr Aufgabenbereich aus?
Der Schwerpunkt liegt in Beratung innerhalb eines Projektes für Unternehmen quer durch alle Marktsegmente. Das Thema BCM wird aktuell verstärkt nachgefragt. Sowohl von KRITIS-Unternehmen, die die Auflagen des BSIG erfüllen müssen, als auch von Start-ups mit wenigen Mitarbeitern, die sich Gedanken um die Absicherung ihrer wichtigsten Geschäftsprozesse und Ressourcen machen. Der grobe Ablauf eines BCM-Projektes ist grundsätzlich bei allen Kunden ähnlich und orientiert sich am BSI Standard IT-Grundschutz 200-4. Im ersten Schritt identifizieren wir die Ziele und den Geltungsbereich sowie die relevanten, zeitkritischen Prozesse. Dann folgt die Überführung in eine Notfallplanung, die Erstellung von Notfallplänen und deren Übung, also Anwendung unter simulierten Schadensbedingungen, im weiteren Verlauf und schließlich eine jährliche Aktualisierung des BCM-Prozesses.
Sie sprechen die Relevanz des BCM an. Warum gewinnt das mehr und mehr an Bedeutung?
Es ist so, dass die Zeitfenster, in denen auf Ausfälle reagiert werden kann und Prozesse wieder ans Laufen gebracht werden können, sehr viel kleiner geworden sind. Das liegt unter anderem daran, dass Unternehmen zunehmend einer Effizienzsteigerung unterworfen sind und dadurch Leer- und Pufferzeiten schmelzen. Dazu kommen die Einflüsse der Cyberkriminalität, vor allem Schäden durch Ransomware und gezielte Cyberangriffe. Laut dem Allianz Risk Barometer 2023 zählen Betriebsunterbrechungen und gezielte oder ungezielte Cybervorfälle zu den größten Ängsten von Unternehmen. Vor diesem Hintergrund sind die Geschäftsstrukturen abhängig von einem Notfallmanagement, mithilfe dessen zeitnah reagiert werden kann. Das BCM fungiert also wie eine Art Schutzhelm und profitiert hierbei von einem Informationssicherheitsmanagementsystem (ISMS). Letzteres sichert die Verfügbarkeit von Ressourcen im Normalbetrieb und das BCM beantwortet die Frage: Wie reagieren wir effizient, wenn etwas passiert und wie halten wir unsere essenziellen Prozesse aufrecht?
Anfang des Jahres trat die neue EU-Richtlinie NIS2 in Kraft. Was kommt dadurch auf Unternehmen zu?
Zunächst haben die EU-Mitgliedsstaaten noch Zeit die NIS2 Direktive in nationales Recht zu überführen. In Deutschland werden viele Inhalte dieser Richtlinie bereits über das IT-Sicherheitsgesetz abgebildet, bei dem es vermutlich in absehbarer Zeit auch eine Novelle (IT-Sicherheitsgesetz 3.0) geben wird. Die Umsetzung von NIS2, welche die Mindestsicherheitsstandards für Unternehmen der kritischen Infrastruktur setzen soll, wird im letzten Quartal 2024 erwartet. In Bezug auf ein BCMS besteht nach wie vor keine explizite Pflicht, ein solches zu etablieren oder zu zertifizieren, allerdings sehen auch die neuen ISMS-Normen ISO 27001:2022 im Verbund mit ISO 27002:2022 die Anwendung von BCM-Methodiken vor. Das heißt, auch ohne die konkrete Verpflichtung, ein BCM zu etablieren, müssen Unternehmen dennoch im verstärkten Maße als bisher Notfallmaßnahmen einführen, um die ISMS-Zertifizierung zu erreichen. Die EU-Regulierung ist also nur einer der Treiber für das BCM. Die Sorge vor Cyberkriminalität spielt hier ebenso mit ein wie auch die Frage des Umgangs mit Geschäftsunterbrechungen und last but not least natürlich auch die intrinsische Motivation der Unternehmen, sich gegen wachsende Bedrohungen zu wappnen und auch dann noch handlungsfähig zu sein, wenn ein negatives Ereignis eintritt.
Welche Unternehmen werden denn von den Änderungen betroffen sein?
Da das IT-Sicherheitsgesetz den KRITIS-Sektor regelt, werden entsprechend auch diese Unternehmen vorwiegend betroffen sein. Allerdings wird die Zahl der KRITIS-Betreiber ansteigen, da zum Beispiel auch kleinere Unternehmen über NIS2 in den KRITIS-Scope gelangen werden, die bislang außen vor sind. Und innerhalb des KRITIS-Sektors gibt es im Hinblick auf das Notfallmanagement auch noch mal Unterschiede. Der Finanz- oder Energiesektor ist in aller Regel zeitkritischer in ihrer Aufgabenerfüllung als Bereiche der Forschung und Entwicklung. Mit der parallel entwickelten RCE (Resilience of Critical Entities) Direktive der EU wird der Fokus auf die Betriebssicherheit gesetzt, wohingegen NIS2 die Informationssicherheit beinhaltet. Ich erwarte, dass die Anforderungen aus der RCE das BCMS mehr tangieren werden als NIS2.
Und wie kann die TÜV TRUST IT diese Unternehmen unterstützen?
Wie schon angesprochen, gehen BCM und ISMS meist Hand in Hand bzw. profitieren voneinander, weshalb wir natürlich beide Themen in Unternehmen ansprechen, um den Ansprüchen unserer Kunden möglichst gerecht zu werden. Im Bereich Technik bieten wir zudem u.a. Penetrationstests an, mithilfe derer z.B. IT-Infrastrukturen auf Resilienz getestet werden. Dies kann auch mobile Apps oder das Verhalten der Mitarbeiter umschließen, beispielsweise bei fragwürdigen Emails. Für das BCMS gibt uns der aktuelle BSI-Standard 200-4 auch attraktive Umsetzungsformen vor: So lässt sich über ein sog. Reaktiv-BCMS ein Notfallmanagement in einem Unternehmen organisieren, welches zwar lediglich die wichtigsten Geschäftsprozesse umfasst, dafür aber relativ zeitnah etabliert werden kann.
Das Notfallmanagement kann auch neue Türen aufstoßen, denn dabei zeigt sich nicht selten, dass zu viele Ressourcen in weniger wichtige Geschäftsprozesse investiert werden. Wir können also auch dabei helfen, effizienter mit Ressourcen umzugehen und ein Over-Engineering zu vermeiden. Umgekehrt trifft dies natürlich auch zu, wenn die Analyse der Auswirkungen von Ressourcenausfällen zu dem Schluss führt, dass bestehende Ersatzprozeduren nicht im genügenden Maße ausreichend sind, um hohe Schäden abzuwenden. An dieser Stelle sollte nachinvestiert werden oder die Geschäftsführung akzeptiert vorerst dieses Risiko.
Und nicht zuletzt beraten wir Unternehmen auch bis zur Zertifizierungsreife für Business Continuity gemäß ISO 22301. Denn wenngleich es nicht zwingend erforderlich ist, zeigt eine solche Zertifizierung in der Außenwirkung, dass sich ein Unternehmen mit dem Thema fundiert beschäftigt, was einen Wettbewerbs- und Imagevorteil mit sich bringen kann.
Wer sich intensiver über die Vorteile des Aufbaus und einer Zertifizierung eines BCMS informieren möchte, kann sich gerne jederzeit unverbindlich bei uns melden – das gilt selbstverständlich nicht nur für KRITIS-Unternehmen.
Vielen Dank für das Interview, Herr Schnetzke!