Kein Trend, sondern zeitgemäße Minimierung unternehmenskritischer Risiken
IT-Notfall-management
Haben Sie schon einmal für ein Unternehmen gearbeitet, in dessen Büros keine Brandschutzvorrichtungen vorhanden waren? Wahrscheinlich nicht; Behörden oder Genossenschaften geben in der Regel keine Immobilie als Arbeitsplatz frei, in der nicht alle vorgeschriebenen Anforderungen des Brandschutzes im Detail erfüllt sind. Da hierzulande die entsprechenden Bestimmungen und Vorschriften im Bereich des Brandschutzes von den Unternehmen zu 100% umgesetzt werden, erstaunt die folgende Zahl umso mehr: Im mittlerweile vierten Jahrzehnt der „elektronischen Datenverarbeitung“ hatten laut einer Umfrage des Verbandes der Internetwirtschaft, eco, 2019 nur 57% (nochmals in Worten – siebenundfünfzig Prozent, nur rund etwas mehr als die Hälfte!) aller Unternehmen einen Notfallplan für ihre IT!
Gibt es das? Ja, das gibt es – und hier ist sogar schon eine deutliche Steigerung zu konstatieren. Denn 2018 waren es – ebenfalls laut eco – nur rund 32% aller Unternehmen, die sich über den Fall der Fälle Gedanken gemacht hatten.
Wenigstens die Steigerung von 32 auf 57% ist leicht zu erklären: Wenn gezielte Angriffe aus dem Netz sogar Teile der Regierung lahmlegen können - Stichwort: Cyberangriff auf den Bundestag – dann hat das wohl auch den Unternehmen zu denken gegeben. Doch das ist längst nicht alles: Zu den klassischen Security Themen wie Bedrohungen krimineller Natur kommen zudem Phänomene, die es früher so nicht gab. Nur ein Beispiel sind etwa die Tornados, deren verheerende Gewalt, verursacht durch den Klimawandel, nun auch hierzulande zu beobachten ist.
Das BSI, das Bundesministerium für die Sicherheit in der Informationstechnologie ist der Lage gefolgt und hat bereits entsprechende Rahmenbedingungen vorgegeben. Dazu gehörte zum Beispiel die Erhöhung des empfohlenen Mindestabstandes für georedundante Rechenzentren von fünf auf 200 km. Ergebnis: Sehr viele Rechenzentren sind heute bereits über „HA-Systeme“ synchron gespiegelt.
Für Teile der Wirtschaft, die vom Gesetzgeber als „kritische Infrastrukturen“ angesehen werden, sowie für alle Bundeseinrichtungen, handelt es sich hierbei nicht um Empfehlungen des BSI, sondern um bindende, gesetzliche Vorschriften. Und Branchenverbände - wie etwa die BAFIN im Bankenbereich - empfehlen ihren Mitgliedern zudem dringend, den Direktiven des BSI zu folgen.
Es besteht also nicht nur rein sachlich jede Notwendigkeit, Maßnahmen für einen IT-Totalausfall, sei er nun durch Kriminalität oder die Natur bedingt, vorab zu planen, sondern es dürfte nur eine Frage der Zeit sein, wann Empfehlungen generell in gesetzliche Vorgaben münden. Dann fehlt den Unternehmen, die sich über Notfälle bis dahin keine Gedanken gemacht haben, jegliches Know-how; sie müssen dann von Null auf 100 hochfahren.
Also sollte umgehend gehandelt werden. Aber wie? Wie verschaffen Unternehmen sich das Wissen, was zu tun ist, vollständige Informationen und eine vorgegebene Umsetzungsstruktur, die dann in Übungen und geplante Tests, wie z.B. Restore, münden kann?
Zunächst müssen Prozesse beschrieben werden, inklusive einer Schadensdefinition für jeden Prozess. Dann müssen Wiederanlaufpläne für IT-Objekte und IT-Services, vor allem aber für kritische Geschäftsprozesse erstellt werden. Als Ergebnis dieser ersten Bestandsaufnahme stehen dann idealerweise sämtliche Wiederanlaufzeiten fest. Dieser Wert ist dann die Basis für alle folgenden Schritte.
IT Notfall – Prozesse (Beipiele aus BSI 100-4)
| Kernprozess | Service | Basis Service |
|---|---|---|
| Vertrieb | Internet | Server Virtualisierung |
| Produktion | Telefonie | Netzwerk |
| Rechnungswesen | Klima, USV | |
| Schwenk RZ 1 auf RZ 2 | SQL Cluster | Firewalls/ DMZ |
| Test |
Schritt 2 ist die Festlegung der Verantwortlichkeiten für Prozesse und Systeme. Ganz wichtig: Wer sind die Verantwortlichen? Wer hat die Umsetzung des Notfallplans auch bei Null-Vorwarnzeit sicher im Griff? In der Regel sind es auch die in diesem Schritt definierten Mitarbeiter, die nun an die Bildung von Krisenstäben und Notfallteams gehen.
Von entscheidender Wichtigkeit ist auch exakte Beantwortung der Frage: Worauf zielt der IT-Notfallplan des eigenen Unternehmens?
Hier ist in der Praxis ein Wandel eingetreten: Backup und Wiederherstellung sind nur noch ein Teil der Aufgabe „Datensicherung“! Grund ist, dass sich viele Unternehmen keine Unterbrechung ihrer Geschäftsabläufe und Anwendungen mehr leisten können. Digitalisierte und automatisierte Abläufe erfordern heute vielmehr einen Recovery Point Objective (RPO) bzw. ein Recovery Time Objective (RTO) von Minuten oder Sekunden, dort, wo früher noch „ein Tag“ als ausreichend erachtet wurde. RTO ist hierbei die Länge der Zeit, die ein Geschäftsprozess nicht verfügbar sein könnte, bevor der Betrieb erheblich eingeschränkt wird; RPO beschreibt die maximal zulässige Dauer des Datenverlusts nach einem ungeplanten Ereignis. Wiederherstellung“ ist also nicht das Ziel eines IT-Notfallplans. An ihre Stelle tritt die Forderung nach dauerhafter Verfügbarkeit. Im IT-Notfallplan steht, was dafür im Krisenfall zu tun ist.
Oben haben wir den „Test“ als Kernprozess definiert:
RZ 1 = Ausfallszenario, RZ 2 = Ausfallszenario und IT- Totalausfallszenario sind zum Beispiel Prozesse, die regelmäßig dem Test unterzogen werden müssen. Denn wichtig ist: Nur regelmäßige Tests bringen Routine und zeigen dem jeweiligen Unternehmen, ob sein IT-Notfallplan funktioniert.
Wie beim Brandschutz: Rauchmelder, Feuerlöscher, gekennzeichnete Rettungswege, Notausgänge und Brandschutztüren sind wichtig – ihr Nutzen aber ist nur beschränkt, wenn nicht auch regelmäßige Übungen der gesamten Belegschaft stattfinden.
Der Einstieg in die Thematik IT Notfallplan ist übrigens auch über Zeitfenster möglich, die in einem MultiVendor Hepldesk Supportvertrag, kurz MVHD, enthalten sind. Dazu erläutern wir Ihnen gerne nähere Details!
Mehr erfahrenHinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!
Kommentar hinterlassen
