Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.29 — IS während einer Störung

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.29 ISO 27001ISO 27002BSI DER.4

Das Rechenzentrum fällt aus, der Notbetrieb startet. In der Hektik wird der Notfall-VPN-Zugang ohne MFA freigeschaltet, Backup-Daten werden auf unverschlüsselten Speicher zurückgespielt, und temporäre Admin-Konten bleiben wochenlang aktiv. A.5.29 verhindert, dass die Informationssicherheit im Krisenfall zusammenbricht — genau dann, wenn die Organisation am verwundbarsten ist.

Was verlangt die Norm?

  • IS-Anforderungen in BCM integrieren. Informationssicherheit wird als fester Bestandteil in die Geschäftskontinuitätspläne einbezogen.
  • Sicherheit im Notbetrieb definieren. Für jede kritische Maßnahme wird dokumentiert, ob sie im Notbetrieb aufrechterhalten, reduziert oder durch eine Alternative ersetzt wird.
  • Kompensierende Maßnahmen planen. Wenn Kontrollen im Notbetrieb nicht greifen, werden Alternativen vorab festgelegt.
  • Regelmäßig testen. Die IS-Kontinuitätsmaßnahmen werden gemeinsam mit den BCM-Übungen getestet.

In der Praxis

IS-Anforderungen in BCP-Dokumente integrieren. Jeder Business-Continuity-Plan bekommt einen Abschnitt „Informationssicherheit im Notbetrieb”. Inhalt: Welche Sicherheitsmaßnahmen gelten? Welche werden reduziert? Welche kompensierenden Maßnahmen greifen?

Temporäre Zugänge befristet und dokumentiert. Im Notbetrieb werden oft schnell zusätzliche Zugänge vergeben. Regel: Jeder temporäre Zugang bekommt ein Ablaufdatum (maximal 72 Stunden, danach Verlängerung mit Genehmigung). Alle temporären Zugänge werden nach dem Notbetrieb überprüft und entzogen.

Backup-Integrität regelmäßig prüfen. Ein Backup, das im Notfall nicht lesbar oder korrumpiert ist, nützt nichts. Teste die Wiederherstellbarkeit mindestens quartalsweise und prüfe die Integrität (Checksummen).

IS-Aspekte in BCM-Übungen einbauen. Ergänze jede BCM-Übung um Sicherheitsfragen: Wurde die Zugriffskontrolle geprüft? Wurden temporäre Zugänge dokumentiert? Ist die Verschlüsselung im Ausweichsystem aktiv?

Typische Audit-Nachweise

Auditoren erwarten bei A.5.29 typischerweise diese Nachweise:

  • IS-Kontinuitätsplan — dokumentierte Sicherheitsanforderungen für den Notbetrieb (→ Business-Continuity-Plan im Starter Kit)
  • Kompensierende Maßnahmen — dokumentierte Alternativen für nicht aufrechterhaltbare Kontrollen
  • Übungsprotokolle — Nachweis, dass IS-Aspekte in BCM-Übungen getestet wurden (→ Übungsprotokoll im Starter Kit)
  • Backup-Testprotokolle — Nachweis der regelmäßigen Wiederherstellungstests
  • Return-to-Normal-Checkliste — Nachweis der Rückführung aller Notfallmaßnahmen

KPI

% der IS-Kontinuitätsmaßnahmen, die in den letzten 12 Monaten getestet wurden

Ziel: 100%. Jede IS-Kontinuitätsmaßnahme, die nicht im letzten Jahr getestet wurde, ist potenziell unwirksam. Der Test kann im Rahmen einer BCM-Übung oder als eigenständiger Test erfolgen.

Ergänzende KPIs:

  • Anteil der BCM-Übungen, die IS-Aspekte explizit einbeziehen
  • Anzahl der nach einer Störung identifizierten Sicherheitslücken im Notbetrieb
  • Durchschnittliche Dauer bis zur Rücknahme aller Notfall-Sicherheitsmaßnahmen

BSI IT-Grundschutz

A.5.29 mappt auf die BSI-Anforderungen zur Notfallvorsorge:

  • DER.4 (Notfallmanagement) — umfassender Baustein, der die Integration von IS-Anforderungen in das Notfallmanagement fordert.
  • BSI-Standard 200-4 (Business Continuity Management) — detaillierte Methodik für BCM mit expliziten IS-Anforderungen.

Verwandte Kontrollen

A.5.29 verbindet Informationssicherheit mit Geschäftskontinuität:

Quellen

Häufig gestellte Fragen

Was ist der Unterschied zwischen A.5.29 und A.5.30?

A.5.29 stellt sicher, dass die Informationssicherheit während einer Störung aufrechterhalten wird (Sicherheit im Notbetrieb). A.5.30 stellt sicher, dass die IKT-Infrastruktur die Geschäftskontinuität unterstützen kann (Verfügbarkeit der Technik). A.5.29 ist die Sicherheitsperspektive, A.5.30 die Verfügbarkeitsperspektive.

Welche Sicherheitsmaßnahmen dürfen im Notbetrieb reduziert werden?

Grundsätzlich keine ohne bewusste Entscheidung. Wenn eine Maßnahme im Notbetrieb nicht aufrechterhalten werden kann (z. B. MFA bei Ausfall des MFA-Servers), muss eine kompensierende Maßnahme greifen (z. B. erhöhte Protokollierung, eingeschränkter Funktionsumfang). Die Entscheidung wird vorab im IS-Kontinuitätsplan dokumentiert.

Wie teste ich die IS-Kontinuität?

Integriere Sicherheitsaspekte in deine BCM-Übungen: Ist der VPN-Zugang im Notbetrieb gesichert? Funktioniert die Zugriffskontrolle im Ausweichrechenzentrum? Sind Backup-Daten verschlüsselt und integritätsgeprüft? Eine rein technische Wiederherstellungsübung ohne Sicherheitsprüfung ist unvollständig.