Fastly, ein von Web-Publishern häufig genutzter Content Delivery Network-Dienst, erlitt am 8. Juni 2021 einen Ausfall, der weltweite Auswirkungen hatte und große Nachrichtenseiten, Amazon und sogar die Websites der britischen Regierung betraf. Obwohl dieser Ausfall nicht mit Cybersicherheit zu tun hatte, ist er dennoch ein Beispiel dafür, warum Unternehmen, die bei der Bereitstellung kritischer Dienste auf Dritte angewiesen sind, die Business-Resilience-Praktiken dieser Lieferanten kontinuierlich bewerten sollten.
Kritische Elemente eines Business-Resilience-Plans für Dritte
Ein Fragebogen zur Geschäftskontinuität von Drittanbietern sollte mindestens folgende Punkte bewerten:
- Betriebskontinuität – Sicherstellung, dass die geschäftskritischen Funktionen einer Organisation auch in einer Vielzahl von Notfällen weiterhin ausgeführt werden können.
- Krisenkommunikation – Sensibilisierung für eine bestimmte Art von Bedrohung, deren Ausmaß, mögliche Folgen und spezifische Verhaltensweisen zur Verringerung der Bedrohung.
- Schutz kritischer Infrastrukturen – Schutz von Diensten, die für das Funktionieren des Unternehmens von entscheidender Bedeutung sind.
- Notfallpläne für Informationssysteme – Planung der Wiederherstellung von Diensten nach einer Störung.
- Reaktion auf Vorfälle und Management – Identifizierung, Beseitigung und Behebung von Cybersicherheitsbedrohungen.
- Notfallwiederherstellung – Wiederherstellung und Schutz der IT-Infrastruktur eines Unternehmens.
10 Fragen zur Unternehmensresilienz, die Sie allen Anbietern kritischer Dienstleistungen stellen sollten
Um eine Grundlage für Maßnahmen zur Gewährleistung der Geschäftskontinuität zu schaffen, empfiehlt Prevalent Unternehmen, alle wichtigen Lieferanten zu bitten, die folgenden 10 Fragen zu beantworten. Diese Fragen dienen als Ausgangspunkt. Die Antworten sollten die nächsten Schritte vorgeben, und Schwachstellen im Plan zur Gewährleistung der Geschäftskontinuität des Lieferanten sollten umgehend behoben werden.
| Fragen | Mögliche Antworten |
|---|---|
| 1) Verfügt Ihre Organisation über einen Business Resilience Plan? Welche der folgenden Aussagen treffen zu?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Wir verfügen über einen dokumentierten Business-Resilience-Plan oder einen ähnlichen Plan. b) Der Plan wird mindestens einmal jährlich oder nach wesentlichen Änderungen überprüft. c) Der Plan hat einen offiziellen Verantwortlichen. d) Der Plan wird allen erforderlichen Vertretern mitgeteilt und steht ihnen zur Verfügung. |
| 2) Welche der folgenden Aspekte sind im Business Resilience Plan enthalten?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Aktivierungskriterien b) Rollen und Verantwortlichkeiten c) Auswirkungen auf die bereitgestellten Dienste d) Regelmäßige Überprüfung der Resilienzmaßnahmen e) Personal f) Systeme und Vermögenswerte g) Einrichtungen h) Kommunikationsprozesse i) Lieferkette und Logistik j) Sicherheitskontrollen |
| 3) Hat die Organisation Anrufketten für interne und externe Parteien festgelegt?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Unser Business Resilience Plan umfasst Kommunikations-Call-Trees. b) Unsere Kommunikationsketten legen fest, wer zu kontaktieren ist und wann und wie oft die Kommunikation mit externen Parteien erfolgen soll. c) Wir haben Rollen festgelegt, die für die Kommunikation mit unseren internen Mitarbeitern zuständig sind, falls das Unternehmen von einem Ausfall betroffen sein sollte. d) Wir haben Rollen festgelegt, die für die Kommunikation mit unseren Kunden zuständig sind, falls das Unternehmen von einem Ausfall betroffen sein sollte. e) Wir haben Rollen festgelegt, die für die Kommunikation mit unseren Dritten zuständig sind, falls das Unternehmen von einem Ausfall betroffen sein sollte. |
| 4) Welche der folgenden Aussagen treffen auf die Vorgehensweise Ihrer Organisation bei der Durchführung von Business Impact Assessments zu?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Für alle Systeme, Vermögenswerte und Funktionen wurden Folgenabschätzungen durchgeführt. b) Nach Abschluss des Folgenabschätzungsprozesses wurden Folgenbewertungen festgelegt. c) Soweit zutreffend, wurden Wiederherstellungszeitziele (Recovery Time Objectives, RTOs) definiert. d) Soweit zutreffend, wurden Wiederherstellungspunkziele (Recovery Point Objectives, RPOs) definiert. e) RTOs und RPOs werden regelmäßig getestet. |
| 5) Verfügt Ihre Organisation über einen speziellen Plan für Systemausfälle? Falls nein, erstellt Ihre Organisation einen solchen Plan?
Bitte wählen Sie eine Antwort aus. |
a) Ja, wir haben im Rahmen unserer umfassenden Planung zur Aufrechterhaltung der Geschäftskontinuität einen Ausfallplan entwickelt. b) Nein, wir haben keinen Ausfallplan entwickelt, sind jedoch dabei, einen solchen zu erstellen. c) Nein, wir haben keinen Ausfallplan entwickelt und sind auch nicht dabei, einen solchen zu erstellen. |
| 6) Berücksichtigt der Incident-Management-Plan Ihrer Organisation die Reaktion auf potenzielle Ausfälle, die nicht mit Cyberangriffen zusammenhängen?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Wir verfügen über einen formell dokumentierten Incident-Management-Plan. b) Unser Incident-Management-Plan umfasst die Identifizierung, Reaktion, Eskalation und Wiederherstellung von Diensten nach einem Vorfall. c) Unser Incident-Management-Plan umfasst Methoden zum Umgang mit potenziellen Nicht-Cyber-Ereignissen. d) Unser Incident-Management-Plan enthält Leitlinien für Mitarbeiter zur Identifizierung und Meldung potenzieller Ausfälle. |
| 7) Auf welcher Ebene innerhalb Ihrer Organisation werden Entscheidungen hinsichtlich der Kontinuitäts- und Ausfallplanung getroffen?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Entscheidungen bezüglich der Kontinuitätsplanung werden auf Vorstandsebene getroffen. b) Entscheidungen bezüglich der Kontinuitätsplanung werden von einer für die Geschäftskontinuität verantwortlichen Person getroffen. c) Entscheidungen werden nur auf lokaler Ebene getroffen (z. B. standortspezifisch). d) Entscheidungen werden von einzelnen Funktionen getroffen. e) Die Verantwortung für Entscheidungen bezüglich der Kontinuitätsplanung wurde innerhalb der Organisation nicht zugewiesen. |
| 8) Werden im Falle eines Ausfalls die Service Level Agreements (SLAs) mit Kunden entsprechend den Auswirkungen des Ausfalls angepasst?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Wir werden unsere SLAs für alle kritischen und nicht kritischen Dienste, die betroffen sind, auf der Grundlage unserer Geschäftsauswirkungsanalyse anpassen. b) Wir werden unsere SLAs nur für kritische Dienste, die betroffen sind, auf der Grundlage unserer Geschäftsauswirkungsanalyse anpassen. c) Wir werden unsere SLAs für alle kritischen oder nicht kritischen Dienste, die betroffen sind, auf der Grundlage unserer Geschäftsauswirkungsanalyse anpassen. d) Wir haben die SLAs mit unseren Kunden überprüft und aufgrund unserer Analyse der Auswirkungen auf das Geschäft wird es zu keiner Verschlechterung des Service kommen. |
| 9) Wie sieht der Zeitplan Ihrer Organisation für die Bereitstellung genauer und aktueller Informationen an Kunden aus, wenn Dienstleistungen beeinträchtigt sind?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Wir informieren unsere Kunden bei Aktivierung unseres Notfallplans zunächst über die Situation. b) Wir informieren unsere Kunden regelmäßig, solange die Dienste beeinträchtigt sind. c) Wir informieren unsere Kunden fortlaufend, wenn Änderungen unsere Fähigkeit zur Bereitstellung von Produkten und Diensten beeinträchtigen. |
| 10) Welche der folgenden Prozesse hat Ihre Organisation für die öffentliche Kommunikation eingerichtet?
Bitte wählen Sie alle zutreffenden Angaben aus. |
a) Eine öffentliche Erklärung wird zur Verfügung gestellt. b) Kunden und Interessenten werden regelmäßig auf dem Laufenden gehalten. c) Die Anforderungen an die öffentliche Kommunikation werden im Rahmen eines formellen Triage-Prozesses festgelegt und umgesetzt. d) Wir überwachen die öffentliche Kommunikation von Dritten und der Lieferkette. |
Nächste Schritte
Der Ausfall eines wichtigen Lieferanten oder einervierten Partei kann einen Dominoeffekt auf die Fähigkeit Ihres Unternehmens haben, Produkte und Dienstleistungen zu liefern, wodurch Umsatz, Kundenzufriedenheit und mehr gefährdet sind. Beginnen Sie mit der Bewertung der Prozesse Ihrer wichtigen Drittanbieter zur Krisenbewältigung mit unseren kostenlosen Ressourcen zur Geschäftskontinuität oder kontaktieren Sie uns für eine Strategiesitzung.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
