Skip to main content

SECURING YOUR BUSINESS ASSETS

Klassifizierung von Penetrationstests

Mehr zum Thema

Penetrationstest ist nicht gleich Penetrationstest

Penetrationstests dienen dazu, die Sicherheit einer IT-Infrastruktur zu analysieren. Die konkrete Zielsetzung kann dabei jedoch variieren. Dementsprechend sind Aspekte wie Umfang der zu prüfenden Systeme, Vorsicht bzw. Aggressivität beim Testen usw. der jeweiligen Testsituation anzupassen, um eine effektive und effiziente Durchführung mit kalkulierbarem Risiko sicherzustellen. Um Ihnen einen Überblick über Ihre Entscheidungsmöglichkeiten zu geben, haben wir die sechs Kriterien eines Penetrationstests sowie die jeweils möglichen Optionen für Sie zusammengestellt:

Informationsbasis

Von welchem Wissensstand über das anzugreifende Netz bzw. Objekt geht der Penetrationstester aus?

Hier unterscheidet man grundlegend zwischen sog. Black-Box-Testing ohne jegliches Insiderwissen, dem White-Box-Testing mit Insiderwissen sowie der Mischform Grey-Box-Testing:

  • Black Box: Ein Black-Box-Test simuliert den Angriff eines typischen Internet-Hackers auf realistische Art und Weise. Der Hacker muss die benötigten Informationen in öffentlich zugänglichen Datenbanken recherchieren oder von außen als Unternehmensfremder erfragen.
  • White Box: Bei einem White-Box-Test wird ein Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit bestimmten Detailkenntnissen simuliert. Der Umfang der Kenntnisse kann dabei variieren, angefangen von geringen Kenntnissen, wie sie z. B. ein Mitarbeiter besitzt, der nur kurze Zeit im Unternehmen beschäftigt war, bis hin zu tief gehenden Systemkenntnissen, wie sie z. B. ein externer IT-Dienstleister durch die Installation von sicherheitsrelevanten Systemen erlangt. Bei dieser Art des Tests erhält der Penetrationstester Zugriff auf die zu prüfenden Systeme.
  • Grey Box: Ein Grey-Box-Test stellt eine Mischform des Black-Box- und des White-Box-Tests dar. Dort werden dem Penetrationstester die IP-Adressen der zu prüfenden Systeme vor dem Beginn der Tests mitgeteilt. Er erhält jedoch keinen Zugriff auf die Systeme selbst.

Aggressivität

Wie aggressiv geht der Penetrationstester beim Testen vor?

Hier werden folgende vier Aggressivitätsstufen unterschieden:

  • Passiv: Die Testobjekte werden nur passiv untersucht, d. h., gefundene Schwachstellen werden nicht ausgenutzt.
  • Vorsichtig: Gefundene Schwachstellen werden nur ausgenutzt, wenn nach bestem Wissen eine Beeinträchtigung des untersuchten Systems ausgeschlossen werden kann. Hierzu gehört z. B. die Benutzung von bekannten Default-Passwörtern oder das Ausprobieren von Verzeichniszugriffen bei einem Webserver.
  • Abwägend: Gefundene Schwachstellen werden auch ausgenutzt, wenn dies unter Umständen zu Systembeeinträchtigungen führen kann. Darunter fällt z. B. das automatische Durchprobieren von Passwörtern oder das Ausnutzen von bekannten Buffer-Overflows bei genau identifizierten Zielsystemen. Allerdings wird vorher die Erfolgswahrscheinlichkeit gegen die Auswirkung potenzieller Konsequenzen abgewägt.
  • Aggressiv: Es wird versucht, alle potenziellen Schwachstellen auszunutzen, z. B. werden Buffer-Overflows auch bei nicht eindeutig identifizierten Zielsystemen eingesetzt, oder Sicherungssysteme werden durch gezielte Überlastung (Denial-of-Service-Angriffe) deaktiviert. Dem Auftragnehmer muss bewusst sein, dass hier neben den zu testenden Systemen auch benachbarte Systeme oder Netzkomponenten ausfallen können.

Umfang

Welche Systeme sollen getestet werden?

Bei einem erstmaligen Penetrationstest ist grundsätzlich eine vollständige Überprüfung empfehlenswert, damit keine Sicherheitslücken auf den nicht geprüften Systemen übersehen werden. Der Aufwand für einen Penetrationstest hängt üblicherweise direkt vom Umfang der zu untersuchenden Systeme ab. Zwar können identische bzw. nahezu identische Systeme teilweise automatisch in einem Arbeitsschritt untersucht werden; sobald aber eine abweichende Konfiguration gefunden wird, muss jedes System individuell behandelt werden.

  • Fokussiert: Ist vereinbart, dass nur ein bestimmtes Teilnetz, System oder ein bestimmter Dienst geprüft werden soll, so wird der Penetrationstest als fokussiert bezeichnet. Dieser Umfang bietet sich z. B. nach einer Änderung oder Erweiterung der Systemlandschaft an. Der Test kann dann aber naturgemäß nur Aussagen über das getestete System und keine allgemeinen Hinweise zur IT-Sicherheit liefern.
  • Begrenzt: Hier wird eine begrenzte Anzahl von Systemen oder Diensten untersucht. So können beispielsweise alle Systeme in der DMZ geprüft werden oder auch Systeme, die einen funktionalen Verbund bilden.
  • Vollständig: Ein vollständiger Penetrationstest prüft alle erreichbaren Systeme. Dabei ist zu beachten, dass u. U. bestimmte Systeme, z. B. ausgelagerte und extern gehostete Server, dennoch nicht geprüft werden.

Vorgehensweise

Wie „sichtbar“ geht das Team beim Testen vor?

Sollen neben den primären Sicherheitssystemen auch sekundäre Mechanismen geprüft werden (z. B. ein IDS oder organisatorische und personelle Strukturen wie Eskalationsprozesse), so muss die Vorgehensweise bei der Durchführung des Penetrationstests entsprechend angepasst werden.

  • Verdeckt: Zur Prüfung sekundärer Sicherheitssysteme und vorhandener Eskalationsprozesse sollten – zumindest am Anfang – verdeckte Penetrationstests durchgeführt werden, d. h., dass in der Erkundungsphase nur Methoden zum Einsatz kommen, die nicht direkt als Angriffsversuche erkannt werden können.
  • Offensichtlich: Falls die verdeckte Vorgehensweise keine Reaktionen ausgelöst hat oder ein White-Box-Test mit Einbeziehung der Systemverantwortlichen durchgeführt wird, so können auch offensichtliche Methoden wie z. B. umfangreiche Port-Scans mit direktem Connect angewandt werden. Bei einem offensichtlichen White-Box-Test können auch Mitarbeiter des Auftraggebers mit in das Team integriert werden, was besonders bei hochkritischen Systemen aufgrund der schnelleren Reaktionsmöglichkeiten auf unvorhergesehene Probleme ratsam ist.

Technik

Welche Techniken werden beim Testen eingesetzt?

Beim klassischen Penetrationstest werden die Systeme nur über das Netzwerk angegriffen. Ergänzend können die Systeme auch mittels sonstiger physischer Angriffe sowie Social-Engineering-Techniken attackiert werden.

  • Netzwerkzugang: Der Penetrationstest über das Netzwerk entspricht dem normalen Vorgehen und simuliert einen typischen Hackerangriff. Die meisten IT-Netzwerke verwenden das TCP/IP-Protokoll, sodass man auch von IP-basierten Penetrationstests spricht.
  • Sonstige Kommunikation: Neben TCP/IP-Netzwerken existieren auch weitere Kommunikationsnetze, die ebenfalls für Angriffe genutzt werden können. Dazu zählen neben Telefon- bzw. Fax-Netzen auch drahtlose Netze für mobile Kommunikation, z. B. auf Basis von IEEE 802.11 oder Bluetooth-Verbindungen.
  • Physischer Zugang: Mittlerweile sind Sicherheitssysteme wie Firewalls etc. weit verbreitet und die Konfigurationen dieser Systeme meist auf einem hohen Sicherheitsniveau, sodass ein Angriff unter Überwindung dieser Systeme nicht mehr oder nur mit sehr hohem Aufwand möglich ist. Oftmals ist es dann einfacher und schneller, die „gewünschten“ bzw. „gesuchten“ Daten durch Umgehung dieser Systeme durch einen direkten physischen Zugriff zu erlangen. Hierzu zählt z. B. der direkte Datenzugriff an einer nicht passwortgeschützten Arbeitsstation nach Erlangung von unberechtigtem Zugang in die Gebäude und/oder Serverräume.
  • Social Engineering: Das schwächste Glied in der Kette der Sicherungssysteme ist oftmals der Mensch. Daher sind Social-Engineering-Techniken, die unzureichende Sicherheitskenntnisse oder ein mangelndes Sicherheitsbewusstsein ausnutzen, häufig erfolgreich. Diese Tests bieten sich beispielsweise nach Einführung einer allgemeinen Sicherheitsleitlinie an, um den Grad der Umsetzung bzw. die Akzeptanz zu evaluieren. Falsche Annahmen über die vermeintliche Wirksamkeit der Richtlinien führen häufig zu Sicherheitsrisiken, die bei korrekter Einschätzung durch zusätzliche Maßnahmen abgefangen werden könnten. Wie weit diese Tests gehen dürfen, muss mit dem Auftraggeber im Vorfeld abgestimmt werden.

Ausgangspunkt

Von wo aus wird der Penetrationstest durchgeführt?

Der Ausgangspunkt des Penetrationstests, d. h. der Punkt, an dem der Penetrationstester seinen Rechner ans Netz anschließt bzw. von dem seine Angriffsversuche ausgehen, kann außerhalb oder innerhalb des Netzwerkes oder der Gebäude des Auftraggebers liegen.

  • Von außen: Die meisten Hackerangriffe erfolgen über die Netzwerkanbindung an das Internet. Daher kann ein Penetrationstest von außen die potenziellen Risiken eines solchen Angriffs erfassen und bewerten. Typischerweise werden hierbei die Firewall und Systeme in der DMZ sowie RAS-Verbindungen untersucht.
  • Von innen: Bei einem Penetrationstest von innen müssen üblicherweise keine Firewalls bzw. Eingangskontrollen überwunden werden, um Zugang zu den internen Netzen zu erhalten. Daher kann mit einem Test von innen bewertet werden, was z. B. bei einem Fehler in der Firewall-Konfiguration oder bei einem erfolgreichen Angriff auf die Firewall passieren könnte bzw. welche Zugriffsmöglichkeiten Personen mit Zugang zum internen Netzwerk erlangen könnten.

Penetrationstests von plan42

Sind Sie an der Durchführung von Penetrationstests in Ihrem Unternehmen interessiert? Unser Projektablauf zeigt Ihnen, wie plan42 Sie dabei unterstützt. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

SECURING YOUR BUSINESS ASSETS

Penetrationstest

Schwachstellen-Analyse aus Angreifersicht

Penetrationstest nach Maß

IT-Systeme, die über Verbindungen zum Internet oder anderen Netzen verfügen und damit von außen erreichbar sind, werden häufig zum Angriffsziel von Hackern, die sich so unautorisierten Zugriff zu Ihrer Infrastruktur verschaffen wollen. Ein Penetrationstest bietet hier die Möglichkeit, die Sicherheit Ihres Systems aus der Sicht eines Angreifers zu testen. So lassen sich nicht nur die technischen, sondern auch die organisatorischen und konzeptionellen Schwachstellen des Sicherheitskonzepts Ihres Unternehmens identifizieren.

Ihren Anforderungen entsprechend entwickeln wir für Sie ein passendes Testkonzept. Durch geeignete Kombination der verschiedenen Testkriterien stellen wir so einen Penetrationstest zusammen, der optimal auf die Bedürfnisse Ihres Unternehmens zugeschnitten ist. Der grundsätzliche Ablauf ist dabei immer identisch:

1 Penetrationstest vorbereiten

Zu Beginn besprechen wir mit Ihnen Ziele, und Prüfobjekte des Penetrationstests. Auf dieser Basis werden Umfang, Typen und Vorgehensweisen definiert. Dabei informieren wir Sie auch über potentielle Risiken und entsprechende Notfallmaßnahmen.

2 Informationen beschaffen und auswerten

Anschließend verschaffen wir uns eine möglichst vollständige und detaillierte Übersicht über die installierten Systeme inklusive potentieller Angriffspunkte. Die dabei zum Einsatz kommenden Methoden sind abhängig davon, welche Kriterien vom Auftraggeber für den Penetrationstest ausgewählt worden sind.

3 Risiko analysieren

Die gesammelten Informationen werden ausgewertet und dienen als Grundlage für die Auswahl der Angriffsziele.

4 Penetrationstest durchführen

Dies ist die aktive Phase des Penetrationstests. Hier greifen wir die ausgewählten Systeme, ausgehend von den Ergebnissen der vorherigen Phasen, aktiv an.

5 Ergebnis analysieren

Das Penetrationstest-Ergebnis präsentieren wir Ihnen in einem detaillierten Bericht, der auch eine Bewertung der gefundenen Schwachstellen sowie Empfehlungen zur Behebung beinhaltet.

Was können wir für Sie tun?

Sie möchten mehr über unser Angebot zum Thema Penetrationstests erfahren? Laden Sie unsere Leistungsbeschreibungen herunter:

oder nehmen Sie Kontakt mit uns auf.

SECURING YOUR BUSINESS ASSETS

IT Security Audit

Regelmäßige Prüfungen zum Schutz Ihrer Werte

IT Security Audits nach Ihren Anforderungen

Nach der Einführung eines IT-Security-Management-Systems (ISMS) in Ihrer Organisation sollten Sie dieses regelmäßigen Prüfungen unterziehen. Nur so bleiben Sie im Hinblick auf Reifegrad und Umsetzung immer auf dem aktuellen Stand und leisten einen unersetzlichen Beitrag zum Schutz Ihrer Daten und Werte. Darüber hinaus kommen Sie mit IT Security Audits auch Ihrer gesetzlichen Verpflichtung zum geeigneten Risikomanagement im Unternehmen nach.

Mit plan42 haben Sie die Möglichkeit, ein IT Security Audit ganz nach Ihren individuellen Anforderungen durchführen zu lassen: Wir bieten Prüfungen auf Basis verschiedener nationaler und internationaler Rahmenwerke, z. B. ISO 27001, IT-Grundschutz, CobiT, Sicherer IT-Betrieb, und wenden diese auf den von Ihnen ausgewählten Geschäftsbereich an.

1 Vorbesprechung

In einem Kick-off-Meeting, das dem eigentlichen Audit vorausgeht, werden Vorgehensweise, Zeitplan und Ansprechpartner im Detail festgelegt.

2 Dokumentenprüfung

Im nächsten Schritt sichten wir die von Ihnen bereitgestellten Dokumente, darunter unter anderem Benutzerhandbücher, Verantwortlichkeiten und Betriebsführungskonzepte.

3 Interviews

In Gesprächen mit Interviewpartnern aus verschiedenen Bereichen (z. B. Entwicklung, Benutzer usw.) klären wir Fragen zur Konzeption und Umsetzung.

4 Vor-Ort-Audit

Bei einer Begehung vor Ort prüfen wir stichprobenartig, ob die in der Dokumentation beschriebenen Prozesse in der Praxis zum Einsatz kommen.

5 Auditbericht

Der Auditbericht fasst die Ergebnisse der vorherigen Schritte zusammen, bewertet das Risiko der Schwachstellen und liefert Maßnahmen für die sofortige und mittelfristige Verbesserung.

6 Abschlusspräsentation

Die Ergebnisse unserer Untersuchungen sowie adäquate Maßnahmen zur Verbesserung Ihrer Strategie stellen wir Ihnen auch in einer abschließenden Präsentation vor.

Security Audit und Usability Test in Kombination

In vielen Fällen kann es sinnvoll sein, die Umsetzung von Sicherheitsmaßnahmen auch im Kontext der Benutzerfreundlichkeit zu betrachten, beispielsweise bei Online-Anwendungen, wo Sicherheitsmaßnahmen die Endanwender vor Probleme stellen können. Häufig lassen sich diese Probleme jedoch durch zielgruppengerechte Usability-Konzepte ausgleichen.

Daher bietet plan42 neben dem klassischen Security Audit auch eine Kombination aus Audit und Usability Test an. So erarbeiten wir für Sie Strategien für mehr Benutzerakzeptanz - ohne Abstriche bei der Sicherheit. Wie solche Strategien aussehen können, zeigen wir Ihnen beispielhaft in unserer Case Study "Sicherheit und Benutzerfreundlichkeit Hand in Hand" auf.

Was können wir für Sie tun?

Sie möchten mehr über unser Angebot zum Thema IT Security Audits erfahren? Nehmen Sie Kontakt mit uns auf.

DEVELOPING YOUR SERVICE STRATEGY

Business Continuity Management

Mehr zum Thema

BCM-Standards

Aufgrund der wachsenden Bedeutung, die dem Business Continuity Management (BCM) zukommt, wurden eine Reihe von Best-Practice-Leitfäden entwickelt, die einen standardisierten Ansatz für die Entwicklung einer BCM-Strategie bieten.

Eine wichtige Norm in diesem Zusammenhang ist der British Standard BS 25999. Dieser international anerkannte Standard basiert auf dem Konzept eines Management-Systems für das Notfallmanagement (Business Continuity Management System – BCMS): Im Gegensatz zu einem reinen "Notfallhandbuch", das sich ausschließlich auf die Wiederherstellung des Betriebs nach einer Unterbrechung konzentriert, beinhaltet das BCMS auch die Entwicklung und Umsetzung von Richtlinien und Abläufen zum Schutz aller Werte einer Organisation. Das BCMS bietet sowohl Instrumente, um den Risiken einer Betriebsunterbrechung vorzubeugen, als auch Empfehlungen für die sinnvolle Reaktion auf einen Ausfall. Konkrete Arbeitsschritte werden hier jedoch nicht beschrieben.

Ausgehend vom BS 25999 hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) den BSI-Standard 100-4 entwickelt. Im Gegensatz zum BS 25999 geht der deutsche Standard über abstrakte Empfehlungen hinaus und bietet konkrete Anweisungen zur Implementierung eines Notfallmanagements.

Umsetzung der Standards

Unabhängig davon, welchen Standard Sie auswählen, gilt die folgende Best-Practice-Vorgehensweise:
1. Planung
  • Definieren Sie Ihre Anforderungen, z. B. Ihre strategischen Ziele, Kernprodukte oder -dienstleistungen, Risikotoleranz und Verpflichtungen.
  • Erstellen Sie eine Leitlinie, die Ihre Anforderungen sowie die Unterstützung durch das Management dokumentiert. Planen Sie regelmäßige Reviews ein und informieren Sie alle Mitarbeiter über die Leitlinie.
  • Stellen Sie Ressourcen bereit: Entwerfen Sie Ihre BCM-Organisation und deren Rollen, und sorgen Sie für das nötige Know-how Ihres BCM-Teams.
  • Binden Sie alle Mitarbeiter ein und stellen Sie sicher, dass die gesamte Belegschaft für den Ernstfall ausreichend geschult und informiert ist.
  • Dokumentieren Sie Ihre Strategie und setzen Sie Maßnahmen zur Sicherung und Revision ein.
2. Umsetzung & Betrieb
  • Führen Sie eine Business-Impact-Analyse durch, um alle kritischen Prozesse, Abhängigkeiten zwischen Prozessen und Ressourcen, sowie das Minimum an erforderlichen Ressourcen festzustellen. Die Analyse dient dazu, die maximal tolerierbare Ausfallzeit jedes Prozesses zu bestimmen und Ziele für den Wiederanlauf zu definieren.
  • Mit einer Risikoanalyse bestimmen Sie für jeden Geschäftsbereich, mit welcher Wahrscheinlichkeit die ermittelten Bedrohungen zu einer Geschäftsunterbrechung führen. Zusätzlich wird die zu erwartende Auswirkung der Bedrohungen dokumentiert.
  • Erstellen Sie einen Risikobehandlungsplan, um den Umgang mit den ermittelten Risiken festzulegen. Dabei sind folgende Optionen möglich:
  • Risiko bewusst akzeptieren
  • Angemessene Maßnahmen implementieren
  • Risiko vermeiden, z. B. durch Verzicht auf die damit zusammenhängenden Geschäftsaktivitäten
  • Risiko übertragen, z. B. durch den Abschluss entsprechender Versicherungen oder durch vertragliche Vereinbarungen mit Geschäftspartnern
  • Planen Sie Ihr Vorgehen im Notfall: Ermitteln Sie die Ressourcen und Abläufe, die nötig sind, um angemessene Business-Continuity-Aktivitäten anzustoßen und mit Stakeholdern zu kommunizieren.
  • Erstellen Sie ein Notfallhandbuch. Dieses dokumentiert Maßnahmen für die Notfallbewältigung sowie für den Wiederanlauf der Prozesse bzw. deren Aufrechterhaltung in einem definierten Umfang.
  • Führen Sie Übungen durch, um die Effektivität Ihrer Pläne zu überprüfen und um Ihr Personal für den Ernstfall zu schulen.
3. Überwachung & Prüfung
  • Führen Sie interne Audits durch, um sicherzustellen, dass Ihre Strategie Ihren Zielen entspricht und ordnungsgemäß umgesetzt und aktualisiert wird.
  • Mit regelmäßigen Management Reviews überprüfen Sie die Angemessenheit und Effektivität Ihrer Strategie.
4. Wartung & Optimierung
  • Führen Sie Korrektur- und Präventionsmaßnahmen ein, wenn die Prozesse zur Überwachung und Prüfung Ihrer Strategie Schwachstellen aufdecken
  • Sorgen Sie für die dauerhafte Verbesserung Ihrer Strategie: mit kontinuierlichen Reviews Ihrer Leitlinie und Ziele, Audit- und Monitoring-Daten, sowie der implementierten Maßnahmen.

Business Continuity Management in Ihrem Unternehmen

Sind Sie an der Einführung einer Business Continuity Management-Strategie in Ihrem Unternehmen interessiert? In 4 Projektschritten unterstützt plan42 Sie bei der Umsetzung. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

SECURING YOUR BUSINESS ASSETS

Business Continuity Management

Mehr zum Thema

BCM-Standards

Aufgrund der wachsenden Bedeutung, die dem Business Continuity Management (BCM) zukommt, wurden eine Reihe von Best-Practice-Leitfäden entwickelt, die einen standardisierten Ansatz für die Entwicklung einer BCM-Strategie bieten.

Eine wichtige Norm in diesem Zusammenhang ist der British Standard BS 25999. Dieser international anerkannte Standard basiert auf dem Konzept eines Management-Systems für das Notfallmanagement (Business Continuity Management System – BCMS): Im Gegensatz zu einem reinen "Notfallhandbuch", das sich ausschließlich auf die Wiederherstellung des Betriebs nach einer Unterbrechung konzentriert, beinhaltet das BCMS auch die Entwicklung und Umsetzung von Richtlinien und Abläufen zum Schutz aller Werte einer Organisation. Das BCMS bietet sowohl Instrumente, um den Risiken einer Betriebsunterbrechung vorzubeugen, als auch Empfehlungen für die sinnvolle Reaktion auf einen Ausfall. Konkrete Arbeitsschritte werden hier jedoch nicht beschrieben.

Ausgehend vom BS 25999 hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) den BSI-Standard 100-4 entwickelt. Im Gegensatz zum BS 25999 geht der deutsche Standard über abstrakte Empfehlungen hinaus und bietet konkrete Anweisungen zur Implementierung eines Notfallmanagements.

Umsetzung der Standards

Unabhängig davon, welchen Standard Sie auswählen, gilt die folgende Best-Practice-Vorgehensweise:
1. Planung
  • Definieren Sie Ihre Anforderungen, z. B. Ihre strategischen Ziele, Kernprodukte oder -dienstleistungen, Risikotoleranz und Verpflichtungen.
  • Erstellen Sie eine Leitlinie, die Ihre Anforderungen sowie die Unterstützung durch das Management dokumentiert. Planen Sie regelmäßige Reviews ein und informieren Sie alle Mitarbeiter über die Leitlinie.
  • Stellen Sie Ressourcen bereit: Entwerfen Sie Ihre BCM-Organisation und deren Rollen, und sorgen Sie für das nötige Know-how Ihres BCM-Teams.
  • Binden Sie alle Mitarbeiter ein und stellen Sie sicher, dass die gesamte Belegschaft für den Ernstfall ausreichend geschult und informiert ist.
  • Dokumentieren Sie Ihre Strategie und setzen Sie Maßnahmen zur Sicherung und Revision ein.
2. Umsetzung & Betrieb
  • Führen Sie eine Business-Impact-Analyse durch, um alle kritischen Prozesse, Abhängigkeiten zwischen Prozessen und Ressourcen, sowie das Minimum an erforderlichen Ressourcen festzustellen. Die Analyse dient dazu, die maximal tolerierbare Ausfallzeit jedes Prozesses zu bestimmen und Ziele für den Wiederanlauf zu definieren.
  • Mit einer Risikoanalyse bestimmen Sie für jeden Geschäftsbereich, mit welcher Wahrscheinlichkeit die ermittelten Bedrohungen zu einer Geschäftsunterbrechung führen. Zusätzlich wird die zu erwartende Auswirkung der Bedrohungen dokumentiert.
  • Erstellen Sie einen Risikobehandlungsplan, um den Umgang mit den ermittelten Risiken festzulegen. Dabei sind folgende Optionen möglich:
  • Risiko bewusst akzeptieren
  • Angemessene Maßnahmen implementieren
  • Risiko vermeiden, z. B. durch Verzicht auf die damit zusammenhängenden Geschäftsaktivitäten
  • Risiko übertragen, z. B. durch den Abschluss entsprechender Versicherungen oder durch vertragliche Vereinbarungen mit Geschäftspartnern
  • Planen Sie Ihr Vorgehen im Notfall: Ermitteln Sie die Ressourcen und Abläufe, die nötig sind, um angemessene Business-Continuity-Aktivitäten anzustoßen und mit Stakeholdern zu kommunizieren.
  • Erstellen Sie ein Notfallhandbuch. Dieses dokumentiert Maßnahmen für die Notfallbewältigung sowie für den Wiederanlauf der Prozesse bzw. deren Aufrechterhaltung in einem definierten Umfang.
  • Führen Sie Übungen durch, um die Effektivität Ihrer Pläne zu überprüfen und um Ihr Personal für den Ernstfall zu schulen.
3. Überwachung & Prüfung
  • Führen Sie interne Audits durch, um sicherzustellen, dass Ihre Strategie Ihren Zielen entspricht und ordnungsgemäß umgesetzt und aktualisiert wird.
  • Mit regelmäßigen Management Reviews überprüfen Sie die Angemessenheit und Effektivität Ihrer Strategie.
4. Wartung & Optimierung
  • Führen Sie Korrektur- und Präventionsmaßnahmen ein, wenn die Prozesse zur Überwachung und Prüfung Ihrer Strategie Schwachstellen aufdecken
  • Sorgen Sie für die dauerhafte Verbesserung Ihrer Strategie: mit kontinuierlichen Reviews Ihrer Leitlinie und Ziele, Audit- und Monitoring-Daten, sowie der implementierten Maßnahmen.

Business Continuity Management in Ihrem Unternehmen

Sind Sie an der Einführung einer Business Continuity Management-Strategie in Ihrem Unternehmen interessiert? In 4 Projektschritten unterstützt plan42 Sie bei der Umsetzung. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

Weitere Beiträge …

© plan42 GmbH 2000 - 2024