IT-Notfall Konzepte “Fall der Fälle”

Gute Vorbereitung ist elementar für erfolgreiches Business Continuity. Ein Notfallplan bietet Ihnen dabei organisatorische Hilfe bei der Abwicklung außerplanmäßiger Ereignisse.

Er beinhaltet Alarmierungschecklisten, Maßnahmenblätter, Kommunikationswege und technische Details um Ihre definierten Prozess im Notfall aufrechtzuerhalten.

Stellen Sie sich folgendes vor: Sie haben einen absoluten Spezialisten für Backup Prozesse im Unternehmen, welcher Ihr gesamtes Unternehmen perfekt abgesichert hat. Dank der guten Arbeit hat er sich eine Pause verdient und weilt daher für 4 Wochen in der Mongolei.

Leider zerstört ein externer Hacker Angriff ausgerechnet am dritten Tag des Urlaubes das gesamte produktive IT-System. Es gab zwar eine Übergabe, aber leider reagiert das lokale Backup nicht. Wer hat nun noch einmal Zugriff auf das externe Tape Backup? Wo sind die Zugangsdaten? Und warum dauert das so lange?

Ohne aktiv gelebte Notfall Konzepte hilft häufig die beste Technologie wenig. Es sind immer noch Menschen involviert, welche integriert und informiert sein müssen. Wir sehen daher die konzeptionelle Vorbereitung auf Notfälle als wichtige Säule bei dem Thema IT Security und Business Continuity. In vielen Fällen sind IT Landschaften organisch gewachsen, ohne große Planung und Strategie. Daher fehlt häufig allein schon die korrekte Inventarisierung Ihrer Hardware, Software, Lizenzen, Verhaltens- und Verfahrensweisen.

Das Notfallvorsorgekonzept enthält somit alle Informationen, die bei der Konzeption anfallen, inklusive der ausgewählten Maßnahmen zur Risikobehandlung und um einen schnellen Wiederanlauf und die Wiederherstellung zu ermöglichen. Das Notfallhandbuch enthält die Informationen, die direkt für und bei der Notfallbewältigung benötigt werden.

Punkte für einen Notfallplan

Da bei kurzfristigen Systemausfällen schon gravierende Folgen auftreten können, ist ein durchdachter Notfallplan für jedes Unternehmen unerlässlich.

Welche Punkte sollte der Notfallplan also enthalten? Wie sollte vorgegangen werden?

Schutzziele: Definition und Inventarisierung, was will ich überhaupt schützen?

Notfallteam: Wer ist in welchem Notfall der richtige Ansprechpartner? Wer vertritt diese Person und wie erreiche ich Sie?

Verfügbarkeit von Unterlagen: wo liegen welche Unterlagen? Wo finde ich offline alle relevanten Informationen für den Notfall?

Vorbeugende Maßnahmen – Prävention: Was ist im Vorfeld zu tun?

Schulung und Unterweisung der Mitarbeiter: Einbezug der Mitarbeiter, inkl. Schulungen. Wer muss was wissen und wie damit umgehen?

Ausfall- und Wiederanlaufplanung: Welches Backup mit welchem Server auf welcher Partition? Wo kann der Notfallmitarbeiter physisch arbeiten um den Wiederanlauf zu realisieren?

Notfallbewältigung – Intervention: U.a. Interne und externe Alarmierung und Meldung,

Analyse und Bewertung der Notfallsituation sowie der vermutlichen Entwicklung

Alarmierung und Meldepflichten: Welche Behörden müssen wann und wie informiert werden?

Kommunikation mit Medien und Öffentlichkeit: Sind meine Kunden, Zulieferer, etc. betroffen? Wie und von wem werden diese informiert?

Aufarbeitung des Notfalls – Postvention: Aus dem Notfall gewonnenen Erkenntnisse sind aufzuarbeiten. Die Ergebnisse sind in einem Bericht zu dokumentieren, der dem Unternehmer vorzulegen ist.

Aktualisierung der Notfallplanung: Ständige Kontrolle und Anpassung aller genannten Punkte um deren Aktualität zu wahren.

Praktische Übungen: Ständiges Üben der hier gezeigten Punkte und Prozesse erleichtert die Umsetzung im stressigen Notfall

Alle diese Punkte beschreiben nur szenen- und beispielhaft Ausschnitte eines kompletten Notfallplans. Dieser ist Chefsache und Bedarf der Unterstützung des zu schützenden Unternehmens, sowie dessen Führung. Es geht bei einem Notfall Konzept schließlich auch um eine rechtliche Absicherung, um damit den Verantwortlichkeiten eines Unternehmers gerecht zu werden. Wir orientieren uns daher an die Bestimmungen der ISO 27001 Norm.

Falls Sie noch überlegen, versuchen Sie, die aufgeführten Fragen zu beantworten:

• Gibt es in Ihrem Betrieb einen Notfallplan?
• Wissen Sie auf Anhieb wo der Plan liegt, bzw. wie Sie an die Daten kommen?
• Wird der Plan regelmäßig auf Aktualität überprüft?
• Ist der Zugriff auf den aktuellen Plan zu jeder Zeit für alle Verantwortlichen möglich?
• Gibt es in Ihrem Unternehmen Personal, welches auf Sicherheitsfragen spezialisiert ist?
• Ist der Aufwand für die Erstellung, Pflege und Fortführung nebenbei zu erledigen?
• Ist der Plan durch Fachleute geprüft worden?
• Haben Sie den Plan praktisch auf Durchführbarkeit überprüft?
• Führen Sie im Unternehmen regelmäßig Notfallübungen durch?

Wenn Sie eine dieser Frage mit „nein” beantworten, lohnt es sich, uns zu kontaktieren.