Haben Sie schon einmal für ein Unternehmen gearbeitet, in dessen Büros keine Brandschutzvorrichtungen vorhanden waren? Wahrscheinlich nicht; Behörden oder Genossenschaften geben in der Regel keine Immobilie als Arbeitsplatz frei, in der nicht alle vorgeschriebenen Anforderungen des Brandschutzes im Detail erfüllt sind. Da hierzulande die entsprechenden Bestimmungen und Vorschriften im Bereich des Brandschutzes von den Unternehmen zu 100% umgesetzt werden, erstaunt die folgende Zahl umso mehr: Im mittlerweile vierten Jahrzehnt der „elektronischen Datenverarbeitung“ hatten laut einer Umfrage des Verbandes der Internetwirtschaft, eco, 2019 nur 57% (nochmals in Worten – siebenundfünfzig Prozent, nur rund etwas mehr als die Hälfte!) aller Unternehmen einen Notfallplan für ihre IT!
Gibt es das? Ja, das gibt es – und hier ist sogar schon eine deutliche Steigerung zu konstatieren. Denn 2018 waren es – ebenfalls laut eco – nur rund 32% aller Unternehmen, die sich über den Fall der Fälle Gedanken gemacht hatten.
Cyber-Kriminalität und Naturkatastrophen
Wenigstens die Steigerung von 32 auf 57% ist leicht zu erklären: Wenn gezielte Angriffe aus dem Netz sogar Teile der Regierung lahmlegen können - Stichwort: Cyberangriff auf den Bundestag – dann hat das wohl auch den Unternehmen zu denken gegeben. Doch das ist längst nicht alles: Zu den klassischen Security Themen wie Bedrohungen krimineller Natur kommen zudem Phänomene, die es früher so nicht gab. Nur ein Beispiel sind etwa die Tornados, deren verheerende Gewalt, verursacht durch den Klimawandel, nun auch hierzulande zu beobachten ist.
Gesetzliche Vorgaben – bald für alle?
Das BSI, das Bundesministerium für die Sicherheit in der Informationstechnologie ist der Lage gefolgt und hat bereits entsprechende Rahmenbedingungen vorgegeben. Dazu gehörte zum Beispiel die Erhöhung des empfohlenen Mindestabstandes für georedundante Rechenzentren von fünf auf 200 km. Ergebnis: Sehr viele Rechenzentren sind heute bereits über „HA-Systeme“ synchron gespiegelt.
Für Teile der Wirtschaft, die vom Gesetzgeber als „kritische Infrastrukturen“ angesehen werden, sowie für alle Bundeseinrichtungen, handelt es sich hierbei nicht um Empfehlungen des BSI, sondern um bindende, gesetzliche Vorschriften. Und Branchenverbände - wie etwa die BAFIN im Bankenbereich - empfehlen ihren Mitgliedern zudem dringend, den Direktiven des BSI zu folgen.
Es besteht also nicht nur rein sachlich jede Notwendigkeit, Maßnahmen für einen IT-Totalausfall, sei er nun durch Kriminalität oder die Natur bedingt, vorab zu planen, sondern es dürfte nur eine Frage der Zeit sein, wann Empfehlungen generell in gesetzliche Vorgaben münden. Dann fehlt den Unternehmen, die sich über Notfälle bis dahin keine Gedanken gemacht haben, jegliches Know-how; sie müssen dann von Null auf 100 hochfahren.
Also sollte umgehend gehandelt werden. Aber wie? Wie verschaffen Unternehmen sich das Wissen, was zu tun ist, vollständige Informationen und eine vorgegebene Umsetzungsstruktur, die dann in Übungen und geplante Tests, wie z.B. Restore, münden kann?
Was sind die ersten Schritte zu einem IT-Notfallplan?
Schritt 1:
Zunächst müssen Prozesse beschrieben werden, inklusive einer Schadensdefinition für jeden Prozess. Dann müssen Wiederanlaufpläne für IT-Objekte und IT-Services, vor allem aber für kritische Geschäftsprozesse erstellt werden. Als Ergebnis dieser ersten Bestandsaufnahme stehen dann idealerweise sämtliche Wiederanlaufzeiten fest. Dieser Wert ist dann die Basis für alle folgenden Schritte.