Die Novellierungen der MaRisk und BAIT stellen hohe Anforderungen an die Durchführung von Tests und Übungen
Sisyphos wurde in der griechischen Mythologie für sein ausschweifendes Leben und seinen Spott über den Gott der Unterwelt schwer bestraft. In der Unterwelt angekommen, musste er einen Felsblock einen steilen Hang hinaufrollen. Kurz vor dem Erreichen des Gipfels entglitt ihm der Stein immer wieder und er musste die qualvolle Arbeit wieder von vorne beginnen. Sisyphusarbeit werden daher heute Aufgaben genannt, die trotz großer Mühen nie abgeschlossen werden können.
Mancher BCM-Verantwortliche in der Finanzdienstleistung wird sich an Sisyphos erinnern, wenn er die für das BCM und IT-Notfallmanagement relevanten Passagen der aktualisierten Mindestanforderungen an das Risikomanagement (MaRisk) und der Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin studiert. Die 6. Novelle der MaRisk und die konkretisierenden BAIT wurden am 16.08.2021 von der BaFin veröffentlicht. Für das Business Continuity- und IT-Notfallmanagement gibt es insbesondere hinsichtlich der Durchführung von Übungen und Tests konkretisierte Anforderungen, die für die betroffenen Finanzdienstleister erhebliche Mehraufwände im Testen und Üben nach sich ziehen.
„Für zeitkritische Aktivitäten und Prozesse sind für alle relevanten Szenarien mindestens jährlich und anlassbezogen die Wirksamkeit durch Tests und Übungen nachzuweisen“, so die novellierten MaRisk im Teil AT 7.3.
Für das IT-Notfallmanagement sind die Test-Anforderungen in den BAIT konkretisiert: „Die Wirksamkeit der IT-Notfallpläne ist durch mindestens jährliche IT-Notfalltests zu überprüfen. Die Tests müssen IT-Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, vollständig abdecken. Abhängigkeiten zwischen IT-Systemen bzw. von gemeinsam genutzten IT-Systemen sind angemessen zu berücksichtigen. Hierfür ist ein IT-Testkonzept zu erstellen.” Desweiteren fordern die BAIT: “Das Institut hat nachzuweisen, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse aus einem ausreichend entfernten Rechenzentrum und für eine angemessene Zeit sowie für die anschließende Wiederherstellung des IT-Normalbetriebs erbracht werden können.“
Geht man von 30 zeitkritischen Geschäftsprozessen und vier BCM-Szenarien aus, würde die Anforderungen der MaRisk und der BAIT bereits die Durchführung von mindestens 120 jährlichen Tests und Übungen zur Einhaltung der Mindest-Anforderungen im BCM bedeuten. Anlassbezogene Tests und Übungen sowie Nach-Tests sind hierbei noch nicht einmal eingerechnet. Im IT-Notfallmanagement müssen alle kritischen IT-Systeme, das heißt die kritischen IT-Anwendungen und die darunterliegende IT-Systemarchitektur, einmal im Jahr getestet werden. Hinzu kommt der Test eines Rechenzentrumsschwenks, der gerade für kleine und mittelgroße Unternehmen oftmals noch eine große Herausforderung darstellt.
Die schiere Menge der geforderten Tests und Übungen stellen daher die BCM- und ITSCM- Organisationen in den Instituten angesichts einer knappen Personalausstattung vor große und schier unüberwindlich erscheinende Herausforderungen. Denn die Tests und Übungen müssen vorbereitet, durchgeführt, ausgewertet und dokumentiert werden. Die hohen Anforderungen der Aufsicht sind inhaltlich nachvollziehbar, denn nur ein validierter Notfallplan wird in einem Notfall auch funktionieren. Doch der zu erklimmende Berg ist sehr hoch für die Verantwortlichen im BCM und ITSCM.
Quelle: Adobe Stock
Der Stein muss also hoch auf den Berg, und im nächsten und übernächsten Jahr wieder von vorne, um bei Sisyphos zu bleiben. Den Kopf in den Sand zu stecken oder zu verzweifeln ist auch keine Lösung, denn die nächste Prüfung, in der genau auf diese Themen ein besonderes Augenmerk gelegt wird, steht schon vor der Tür. Es gibt jedoch mehrere Stellschrauben, um den Umsetzungsaufwand für die Tests und Übungen steuern zu können.
Eine dieser Stellschrauben ist die Anzahl der durchzuführenden Tests und Übungen. Tests und Übungen benötigen nicht nur Zeit und Aufwand für die eigentliche Durchführung, sondern auch für die Vor- und Nachbereitung sowie Dokumentation. Indem mehrere Notfallplanungen kritischer Geschäftsprozesse in einer Übung zusammengefasst werden, lässt sich die Anzahl an durchzuführenden Tests und Übungen deutlich reduzieren. Der Schlüssel hierfür ist eine gute Test- und Übungsrahmenplanung. In dieser rollierenden mehrjährigen Übungsrahmenplanung werden die Tests und Übungen zeitlich und inhaltlich geplant. Die Rahmenplanung sollte drei Jahre umfassen und rollierend aktualisiert werden. Die Test- und Übungsrahmenplanung umfasst sowohl die geplanten Daten als auch die Informationen zu den tatsächlich durchgeführten Tests, so dass ein Plan-Ist-Abgleich durchgeführt werden kann.
Ausgehend von den kritischen Prozessen und deren Ressourcen werden in der Test- und Übungsrahmenplanung die einzelnen Tests und Übungen aus einer Kombination der
- Übungsbestandteile
- Geschäftsprozesse,
- Personal,
- Standorte, Gebäude, Arbeitsplätze,
- IT-Anwendungen, IT-Systeme,
- Technische Ausstattung,
- Dienstleister, Lieferanten, Versorger sowie
- Physische Dokumente
zusammengestellt. Der Ausfall einer IT-Anwendung kann zum Beispiel mit mehreren Geschäftsprozessen geübt werden, die die gleiche IT-Anwendung nutzen. Grundlage hierfür ist die Kenntnisse dieser Zusammenhänge aus der Business Impact Analyse. Daher sind die Auswertungen entsprechender Zusammenhänge aus dem BCM-Tool oder den BIA-Erfassungsbögen eine wichtige Grundlage für die Planung.
Die Test- und Übungsrahmenplanung hat mehrere Planungs-Dimensionen, die in einem Test oder einer Übung kombiniert werden:
- Geschäftsprozesse (die kritischen Geschäftsprozesse)
- Notfallpläne (die zu validierenden Notfallpläne)Notfall-Ressourcen (Personal, Gebäude, IT, Dienstleister, Techn. Ausstattung, physische Dokumente)
- BCM-Szenarien (Personal-, Gebäude-, IT-, Dienstleister-, Technikausfall)
- Test- und Übungstypen (Bsp. Schreibtisch-, Funktionstest, Simulations- oder Krisenstabsübung)
- Zeit (Plan- und Ist-Termin sowie Dauer der Tests und Übungen)
- Standort (Standorte, Gebäude, Arbeitsplätze).
Wie leicht zu erkennen ist, reicht eine zweidimensionale Planung in einem Tabellenkalkulationsprogramm für die Planung in allen diesen Planungsdimensionen nicht mehr aus.
Ich habe daher für die Test- und Übungsprogrammplanung extra ein kleines Planungstool entwickelt in dem auch mehrere Jahre abgebildet werden können und die Planung mit den tatsächlich durchgeführten Tests und Übungen abgeglichen werden kann.
Die zweite Stellschraube zur Regulierung des Aufwands für die Durchführung von Tests und Übungen ist der Umfang. Kein Pilot geht vor jedem Flug in den Simulator, um alle möglichen Notfall-Szenarien durchzuspielen. Dies macht er einmal im Jahr, denn dies ist mit großem zeitlichem Aufwand und sehr hohen Kosten verbunden. Vor, während und nach dem Flug finden jedoch sehr viele kleinere Tests und Überprüfungen statt. Dies beginnt zum Beispiel mit dem prüfenden Rundgang um den Flieger mit der Taschenlampe, dem testweisen Betätigen der Klappen, der Überprüfung der Instrumente und dem Tankinhalt. Die Summe dieser kleinen Tests und Überprüfungen schafft die erforderliche Sicherheit für Start, Flug und Landung des Flugzeugs. Einmal im Jahr geht es dann für den Piloten in den Simulator, um komplexe Notfallszenarien durchzuspielen, die Stressresistenz zu steigern und das Zusammenspiel im Cockpit zu verbessern.
Diese Kombination aus vielen kleineren Tests und Übungen mit wenigen großen Simulationen lässt sich sehr gut auf Unternehmen übertragen. So kann zum Beispiel der Test von Zutritts- oder Zugriffsberechtigungen, die in einem Notfall erforderlich sind, nur wenige Minuten benötigen, sichert aber diesen wichtigen Aspekt der Notfallplanung ab. Grundlage für diese Tests und Übungen sind die Notfallplanungen der kritischen Geschäftsprozesse. Einzelne Planelemente werden herausgegriffen und gezielt überprüft. Dies benötigt wenig Zeit und Aufwand für die Vorbereitung und Durchführung. Die Test- und Übungsrahmenplanung stellt sicher, dass diese kleinen Tests und Übungen aufeinander abgestimmt sind und in der Summe die Notfallplanung validieren.
Die dritte Stellschraube für die Skalierung des Aufwands bildet die Standardisierung der Test- und Übungsdokumentation mittels Templates. Ein nicht zu vernachlässigender Aufwand steckt in der Dokumentation der Tests und Übungen. Hierzu zählen zum Beispiel Test- und Übungskonzepte, Test- und Übungsplanungen, Test- und Übungsprotokolle, Beobachterprotokolle, Übungsberichte, Auswertungen der Protokolle, Maßnahmenverfolgung. Oftmals benötigt die Dokumentation mehr Zeit als die eigentliche Durchführung. Einfache und gut strukturierte Templates mit Auswahlfeldern und Ankreuzboxen nehmen den Fachbereichen die hohen Hürden für die Erstellung der Dokumentationen. Beispielhaft ausgefüllte Templates als Vorlagen erleichtern zudem die inhaltliche Befüllung der Templates.
Der Stein muss hoch auf den Berg, doch wir können uns das Leben etwas leichter machen und die Chancen erhöhen, die Spitze des Gipfels genießen zu können – auch wenn es im neuen Jahr wieder von unten losgeht. Wir kennen dann aber schon die Abkürzungen, Tipps und Kniffe und es geht hoffentlich jedes Jahr etwas leichter von der Hand. Denn Übung macht bekanntlich den Meister!
Matthias Hämmerle MBCI, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschaftswissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.