K-Fall-Test gemäß BSI Notfallmanagement

Notfallmanagement Prozess kontinuierlich verbessernBei dem Projekt K-Fall Test galt es, die getroffenen Maßnahmen gemäß BSI Notfallmanagement zu beurteilen und nachzuweisen. Grundlage für die Prüfung bildete der BSI-Standard 100-4 Notfallmanagement. In diesem Zusammenhang wurden das Notfallhandbuch, die Notfallorganisation, die Notfallmanagementprozesse sowie die geplanten Aktivitäten für den K-Fall Test bei dem IT-Dienstleister eines Banken-Verbandes beurteilt und der anschließend durchgeführte K-Fall Test vor Ort begleitet.

Der BSI Notfallmanagement wird in dem BSI Standard 100-4 umfangreich beschrieben und behandelt im Wesentlichen die folgenden Themengebiete:

  • Notfallmanagement Prozess
  • Initiierung des Notfallmanagement Prozesses
  • Konzeption des Notfallmanagements
    • Business Impact Analyse
    • Risikoanalyse
    • Aufnahme des Ist-Zustandes
    • Kontinuitätsregeln
    • Notfallvorsorgekonzept
  • Umsetzung des Notfallvorsorgekonzepts
  • Notfallbewältigung und Krisenmanagement
  • Test und Übungen
  • Aufrechterhaltung und kontinuierliche Verbesserung

Ziel des Projektes war es u.a., die Katastrophenfall-Fähigkeit der wesentlichsten Anwendungssysteme im Rahmen des geplanten Notfalltests unter Beweis zu stellen und gegenüber den Kunden des IT-Dienstleisters in Form einer Bescheinigung zu bestätigen. Bei der Erstellung des Notfallhandbuches sowie der darauf aufbauenden Notfallmaßnahmen wurde darauf geachtet, dass neben den Anforderungen aus dem BSI-Standard 100-4 BSI Notfallmanagement auch die bankaufsichtsrechtlichen Sachverhalte des BaFin (Bundesamt für Finanzdienstleistungsaufsicht)  berücksichtigt wurden und die geschäftskritischen Anwendungen für die Banken innerhalb von maximal vier Stunden wieder zur Verfügung gestellt werden konnten. Hierbei galt es, die IT-Systeme mit den geschäftskritischen Anwendungen zu bestimmen und die Abhängigkeiten dieser Systeme im Rahmen des Notfalltests, insbesondere jedoch im Rahmen der Wiederherstellung des Produktionsbetriebes, zu untersuchen.

Vor Beginn des eigentilichen Notfalltests wurden der K-Fall in Form eines „Trockentest“ durchgespielt. Im Anschluss daran wurde der eigentliche K-Fall getestet. Hierzu wurden die Produktionssysteme an einem Feiertag nahezu vollständig ausgeschaltet. Im Anschluss daran wurde anhand des zuvor gemeinsam erarbeitete Notfallhandbuches der Wiederanlauf im Backup-Rechenzentrum des IT-Dienstleisters innerhalb der maximalen Ausfallzeit von vier Stunden wiederhergestellt. Dieser Notfallbetrieb wurde über mehrere Tage aufrechterhalten. An einem darauf folgenden Wochenende wurde die Rückführung in den Normalbetrieb, d.h. der IT-Betriebes wurde im eigentlichen Produktionsrechenzentrum wiederhergestellt.

Die Kunden des IT-Dienstleisters wurden im Anschluss über den erfolgreichen Katastrophenfall-Test informiert und der erfolgreiche K-Fall-Test wurde in Form eines Testats bescheinigt.

Prüfung von Rechenzentren und Serverräumen

Gegenstand der Prüfung von Rechenzentren und ServerräumenDie Prüfung von Rechenzentren und Serverräumen durch die interne Revision umfasst neben der Prüfung der physischen Sicherheit im Wesentlichen auch die Beurteilung der folgenden Sachverhalte:

  • Aufbauorganisation, insbesondere unter dem Aspekt der Funktionstrennung,
  • Beurteilung der IT-Standorte, z.B. hinsichtlich Verfügbarkeit und Backup-Organisation,
  • Netzinfrastruktur,
  • IT-Strategie,
  • IT-Sicherheitspolitik,
  • Risikoklassifizierung der IT-Systeme,
  • Qualitätsmanagement,
  • Service-Level-Agreements,
  • Management- und Überwachungskontrollen im IT-Bereich bzw. Rechenzentrum,
  • physische Sicherheit der Rechenzentren,
  • Zutrittskontrollen,
  • Zugangskontrollen zu IT-Systemen,
  • logische Sicherheit der Betriebssysteme und Anwendungssysteme auf Großrechnersystemen mit dem Betriebssystem z/OS, Windows-Server oder Unix-/Linux-Derivaten
  • IT-Betrieb, beispielsweise Changemanagement, Konfigurationsmanagement, Netz- und Systemmanagement,
  • Maßnahmen zur Sicherung der Betriebsbereitschaft, insbesondere Verfügbarkeitsmanagement und
    Kapazitätsmanagement,
  • Datensicherungs- und Auslagerungsverfahren,
  • Not- und Katastrophenfallvorkehrungen sowie
  • Notstromversorgung und Klimatisierung.

Die Sicherheitsanforderungen an ein Rechenzentrum sind jedoch von Branche zu Branche sehr unterschiedlich und die notwendigen Maßnahmen müssen sich an dem individuellen Schutzbedarf der Daten des jeweiligen Unternehmens bzw. Behörde orientieren. Rechenzentren von Banken müssen aufgrund von Hochverfügbarkeitsanforderungen sowie dem Schutzbedarf von personenbezogenen Daten wesntlich höheren Ansprüchen genügen. Zudem sind bei Banken die aufsichtsrechtlichen Anforderungen des Bundesamtes für Finanzdienstleistungen – kurz BaFin genannt – zu beachten.

Bei unseren Prüfungshandlungen decken wir auch die spezifischen Anforderungen aus dem Bereich des Datenschutzes ab.

Weiterführende Informationen zu diesem umfangreichen Themengebiet ergeben sich aus den nachfolgenden BSI Grundschutzkatalogen:

Die genannten Bausteine sind inhaltlich fast identisch. In dem Baustein 2.9 Rechenzentrum bekommen jedoch die Themengebiete zur alternativen Stromversorgung und Gefahrenmeldeanlage sowie Brandfrüherkennungssysteme, einschließlich einer automatischen Löschanlage, eine höhere Bedeutung.

SITACS verfügt über eine langjährige Erfahrung in der Prüfung von Rechenzentren und Serverräume von Unternehmen und Behörden. Neben den BSI Anforderungen werden von uns auch die internationalen Anforderungen an die Informationssicherheit gemäß ISO 27001 berücksichtigt. Hierbei beachten wir auch die branchenspezifischen Besonderheiten, wie beispielsweise die besonderen Hochverfügbarkeitsanforderungen bei den Rechenzentren von Banken.

Gerne unterstützen wir Sie bei der Prüfung von Rechenzentren und Serverräumen und zeigen Ihnen branchenspezifische Best-Practice Lösungen bei möglichen Schwachstellen auf.