Eindrücke der ersten iBCRM Fachkonferenz

Am 23. März 2018 fand die erste iBCRM Fachkonferenz des Instituts für Business Continuity & Resilience Management e.V. statt, welches u.a. durch Fachkonferenzen wie diese das Bewusstsein von Business Continuity & Resilience Management in Unternehmen steigern will.

Im Rahmen meines Einsatzes beim Kunden im Bereich „Business Continuity Management (BCM)“ sowie „IT Service Continuity Management (ITSCM)“ war die Teilnahme besonders interessant, da unter anderem folgende Themen vorgestellt wurden:

  1. Supply Chain Self Assessment – Wie digitale Werkzeuge helfen Risiken zu beherrschen
  2. BCM in der Informationssicherheit und die Zusammenführung der Schutzbedarfsanalyse und Business Impact Analyse
  3. Planung eines Notfalltests – Zukunftsszenarien unter heutigen Bedingungen richtig planen
  4. Die Entwicklung von Cyber Resilience
  5. Die Ausgestaltung der ISO22301 – Trends und Mehrwert von morgen

Hierzu gleich mehr. Erst einmal möchte ich euch einen kleinen Eindruck vom Tag geben:

Die Lokation „Gürzenich“ in Köln war beeindruckend. Der ein oder andere kennt den Gürzenich aus dem TV, denn hier finden die jährlichen Kölner Karnevalsveranstaltungen statt. Die Konferenz wurde teilweise von namenhaften kleinen Unternehmen wie bspw. „Fact24“, aber auch von großen Unternehmen wie z. B. „PWC“ gesponsert. Die Gründer haben verraten, dass die Teilnehmerzahlen die Erwartungen mehr als übertroffen hätten. Denn neben mir, kamen knapp 100 weitere Teilnehmer aus verschiedensten Unternehmen und Branchen wie bspw. Banken, Versicherungen aber auch Telekommunikationsanbieter. Dies zeigt, dass das Interesse groß ist, die behandelten Themen von Wichtigkeit sind und nicht nur eine Branche betreffen.

Nun aber eine kurze Zusammenfassung von zwei der oben genannten Themen, die ich besonders interessant fand:

Zu Punkt 2: BCM in der Informationssicherheit und die Zusammenführung der Schutzbedarfsanalyse und Business Impact Analyse

Zunächst ein paar Erklärungen meinerseits, um die beiden Begrifflichkeiten „Business Impact Analyse (BIA)“ und die „Schutzbedarfsanalyse (SBA)“ besser einordnen zu können.

Die BIA, die im Rahmen des Business Continuity Managements durchgeführt wird, hat zum Ziel, dass im Rahmen einer umfassenden Analyse die zeitkritischen Geschäftsprozesse und die dafür benötigten zeitkritischen Ressourcen (wie bspw. IT-Services) identifiziert werden. Somit ermittelt die BIA die potenziell unternehmensbedrohenden Auswirkungen von Geschäftsunterbrechungen. Hierfür werden dann risikomindernde Maßnahmen eingeleitet, um das Schadensausmaß im Falle eines Ausfalls gering zu halten.

Die SBA hingegen, die im Rahmen des Informationssicherheitsmanagements durchgeführt wird, betrachtet den Schutzbedarf der Schutzziele wie „Vertraulichkeit, Integrität & Authentizität“ von Daten und IT-Anwendungen.

In dem zugehörigen Beitrag wurden Gemeinsamkeiten und Unterschiede der beiden Analysen vorgestellt. Um die Aufmerksamkeit der Zuhörer zu stärken, wurde dies anhand eines humorvollen Rollenspiels vorgetragen. Ein Ergebnis war, dass gerade am Anfang der Erhebungsphase der beiden Analysen eine Zusammenführung Sinn macht (z. B. Nutzung eines Tools für beide Analysen oder auch zeitgleiche Abfragen der Ansprechpartner), da zum Teil die gleichen Bereiche/Personen innerhalb eines Unternehmens befragt und auch zum großen Teil die gleichen Geschäftsprozesse analysiert werden. Eine weitere Verzahnung macht keinen Sinn, da sich die Ziele unterscheiden.

Zu Thema 4: Die Entwicklung von Cyber Resilience

Hierzu möchte ich euch ein paar Statements vom Sprecher vorstellen, die die Entwicklung und Gegenwart schon sehr gut abbilden und euch allen vermitteln soll, wie wichtig IT-Sicherheit ist und vor allem wie schnell es zu Cyber-Attacken kommen kann:

  • „Angriffe sind günstig, aber Sicherheit ist teuer“
  • „Preise für Cyberattacken sinken“. Beispiel: „Lieferheld vs. Lieferando“: Die beiden Konkurrenten sollen versucht haben mit Hilfe von DDOS1-Attacken in den umsatzstarken Abendstunden den jeweils anderen Online-Bestelldienst aus dem Netz zu drängen.
  • „Security mit kleiner Münze funktioniert nicht“
  • „Hochentwickelte Angriffe zielen auf Smartphones, weil der Laptop auch mal ausgeschaltet wird.“
  • „Man kann einen Angriff nicht vollständig vermeiden, aber man kann es den Kriminellen sehr schwer machen anzugreifen.

Des Weiteren hat der Sprecher ein paar Maßnahmen genannt, wie Unternehmen das Risiko einer Cyber-Attacke reduzieren können:

  • tägliche Datensicherung
  • angemessene Passwörter und sichere Verschlüsselung
  • regelmäßige Überprüfung der Schutzmaßnahmen (z. B. Nutzung und Aktualisierung von Virenscanner)

Insgesamt war die iBCRM-Fachkonferenz aus meiner Sicht sehr spannend und vor allem die Themenwahl sehr interessant. Ich habe wertvolle Tipps mitgenommen und kann die Veranstaltung mit besten Gewissen weiterempfehlen. Im täglichen Berufsalltag fehlt teilweise die Zeit, um sich in verschiedenen Themen auf dem aktuellsten Stand zu halten, daher ist so eine Vorstellung der „Top-Themen“ wirklich sehr hilfreich. Außerdem hat das Netzwerken in den Pausen den Austausch über die vorgestellten Thematiken ermöglicht. Ich freue mich schon jetzt auf die nächste iBCRM Fachkonferenz.

Zum Abschluss möchte ich euch noch das Maskottchen des Instituts vorstellen:

Quelle:

1Distributed Denial of Service (DDOS) ist eine spezielle Form von Cybercrime, der zu einer Dienstblockade – in diesem Fall zu einer Nichtverfügbarkeit der Internetseite – führt.

Diesen Beitrag teilen

Ebru Sakin
Project Management & Consulting
Ebru ist im Bereich Business-und IT Service Continuity Management tätig und beschäftigt sich daher hauptsächlich mit Notfallvorsorge-Themen.