IT-Notfallmanagement Blog Hero

Kein Trend, sondern zeitgemäße Minimierung unternehmenskritischer Risiken

IT-Notfall-management

IT-Notfallmanagement zur Minimierung unternehmenskritischer Risiken

Haben Sie schon einmal für ein Unternehmen gearbeitet, in dessen Büros keine Brandschutzvorrichtungen vorhanden waren? Wahrscheinlich nicht; Behörden oder Genossenschaften geben in der Regel keine Immobilie als Arbeitsplatz frei, in der nicht alle vorgeschriebenen Anforderungen des Brandschutzes im Detail erfüllt sind. Da hierzulande die entsprechenden Bestimmungen und Vorschriften im Bereich des Brandschutzes von den Unternehmen zu 100% umgesetzt werden, erstaunt die folgende Zahl umso mehr: Im mittlerweile vierten Jahrzehnt der „elektronischen Datenverarbeitung“ hatten laut einer Umfrage des Verbandes der Internetwirtschaft, eco, 2019 nur 57% (nochmals in Worten – siebenundfünfzig Prozent, nur rund etwas mehr als die Hälfte!) aller Unternehmen einen Notfallplan für ihre IT!

Gibt es das? Ja, das gibt es – und hier ist sogar schon eine deutliche Steigerung zu konstatieren. Denn 2018 waren es – ebenfalls laut eco – nur rund 32% aller Unternehmen, die sich über den Fall der Fälle Gedanken gemacht hatten.

 

Cyber-Kriminalität und Naturkatastrophen

Wenigstens die Steigerung von 32 auf 57% ist leicht zu erklären: Wenn gezielte Angriffe aus dem Netz sogar Teile der Regierung lahmlegen können - Stichwort: Cyberangriff auf den Bundestag – dann hat das wohl auch den Unternehmen zu denken gegeben. Doch das ist längst nicht alles: Zu den klassischen Security Themen wie Bedrohungen krimineller Natur kommen zudem Phänomene, die es früher so nicht gab. Nur ein Beispiel sind etwa die Tornados, deren verheerende Gewalt, verursacht durch den Klimawandel, nun auch hierzulande zu beobachten ist.

 

Gesetzliche Vorgaben – bald für alle?

Das BSI, das Bundesministerium für die Sicherheit in der Informationstechnologie ist der Lage gefolgt und hat bereits entsprechende Rahmenbedingungen vorgegeben. Dazu gehörte zum Beispiel die Erhöhung des empfohlenen Mindestabstandes für georedundante Rechenzentren von fünf auf 200 km. Ergebnis: Sehr viele Rechenzentren sind heute bereits über „HA-Systeme“ synchron gespiegelt.

Für Teile der Wirtschaft, die vom Gesetzgeber als „kritische Infrastrukturen“ angesehen werden, sowie für alle Bundeseinrichtungen, handelt es sich hierbei nicht um Empfehlungen des BSI, sondern um bindende, gesetzliche Vorschriften. Und Branchenverbände - wie etwa die BAFIN im Bankenbereich - empfehlen ihren Mitgliedern zudem dringend, den Direktiven des BSI zu folgen.
Es besteht also nicht nur rein sachlich jede Notwendigkeit, Maßnahmen für einen IT-Totalausfall, sei er nun durch Kriminalität oder die Natur bedingt, vorab zu planen, sondern es dürfte nur eine Frage der Zeit sein, wann Empfehlungen generell in gesetzliche Vorgaben münden. Dann fehlt den Unternehmen, die sich über Notfälle bis dahin keine Gedanken gemacht haben, jegliches Know-how; sie müssen dann von Null auf 100 hochfahren.

Also sollte umgehend gehandelt werden. Aber wie? Wie verschaffen Unternehmen sich das Wissen, was zu tun ist, vollständige Informationen und eine vorgegebene Umsetzungsstruktur, die dann in Übungen und geplante Tests, wie z.B. Restore, münden kann?

 

Was sind die ersten Schritte zu einem IT-Notfallplan?

Schritt 1:

Zunächst müssen Prozesse beschrieben werden, inklusive einer Schadensdefinition für jeden Prozess. Dann müssen Wiederanlaufpläne für IT-Objekte und IT-Services, vor allem aber für kritische Geschäftsprozesse erstellt werden. Als Ergebnis dieser ersten Bestandsaufnahme stehen dann idealerweise sämtliche Wiederanlaufzeiten fest. Dieser Wert ist dann die Basis für alle folgenden Schritte.

IT Notfall – Prozesse (Beipiele aus BSI 100-4)

Kernprozess Service Basis Service 
Vertrieb  Internet Server Virtualisierung 
Produktion Telefonie Netzwerk
Rechnungswesen Mail Klima, USV 
 Schwenk RZ 1 auf RZ 2   SQL Cluster   Firewalls/ DMZ 
 Test     

Schritt 2: Verantwortlichkeiten

Schritt 2 ist die Festlegung der Verantwortlichkeiten für Prozesse und Systeme. Ganz wichtig: Wer sind die Verantwortlichen? Wer hat die Umsetzung des Notfallplans auch bei Null-Vorwarnzeit sicher im Griff? In der Regel sind es auch die in diesem Schritt definierten Mitarbeiter, die nun an die Bildung von Krisenstäben und Notfallteams gehen.


Ziel: „Wiederherstellung“?

Von entscheidender Wichtigkeit ist auch exakte Beantwortung der Frage: Worauf zielt der IT-Notfallplan des eigenen Unternehmens?
Hier ist in der Praxis ein Wandel eingetreten: Backup und Wiederherstellung sind nur noch ein Teil der Aufgabe „Datensicherung“! Grund ist, dass sich viele Unternehmen keine Unterbrechung ihrer Geschäftsabläufe und Anwendungen mehr leisten können. Digitalisierte und automatisierte Abläufe erfordern heute vielmehr einen Recovery Point Objective (RPO) bzw. ein Recovery Time Objective (RTO) von Minuten oder Sekunden, dort, wo früher noch „ein Tag“ als ausreichend erachtet wurde. RTO ist hierbei die Länge der Zeit, die ein Geschäftsprozess nicht verfügbar sein könnte, bevor der Betrieb erheblich eingeschränkt wird; RPO beschreibt die maximal zulässige Dauer des Datenverlusts nach einem ungeplanten Ereignis. Wiederherstellung“ ist also nicht das Ziel eines IT-Notfallplans. An ihre Stelle tritt die Forderung nach dauerhafter Verfügbarkeit. Im IT-Notfallplan steht, was dafür im Krisenfall zu tun ist.


Üben, üben, üben!

Oben haben wir den „Test“ als Kernprozess definiert:

RZ 1 = Ausfallszenario, RZ 2 = Ausfallszenario und IT- Totalausfallszenario sind zum Beispiel Prozesse, die regelmäßig dem Test unterzogen werden müssen. Denn wichtig ist: Nur regelmäßige Tests bringen Routine und zeigen dem jeweiligen Unternehmen, ob sein IT-Notfallplan funktioniert.

Wie beim Brandschutz: Rauchmelder, Feuerlöscher, gekennzeichnete Rettungswege, Notausgänge und Brandschutztüren sind wichtig – ihr Nutzen aber ist nur beschränkt, wenn nicht auch regelmäßige Übungen der gesamten Belegschaft stattfinden.

MultiVendor Helpdesk Supportvertrag

Der Einstieg in die Thematik IT Notfallplan ist übrigens auch über Zeitfenster möglich, die in einem MultiVendor Hepldesk Supportvertrag, kurz MVHD, enthalten sind. Dazu erläutern wir Ihnen gerne nähere Details!

Mehr erfahren

Webinar: MultiVendor Premium Support vorgestellt

23.04.2020 | 9:30 - 10.00 Uhr

Im Webinar stellen wir Ihnen unseren herstellerübergreifenden, flexiblen IT-Support vor. Wir erläutern die Leistungen und von welche konkreten Mehrwerten Ihr Unternehmen profitiert. Melden Sie sich…

Jetzt anmelden

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

SoftwareONE Redaktionsteam

Trend Scouts

IT Trends und branchenbezogene Neuigkeiten

Verwandte Artikel

IT-Support – bedarfsgerecht und flexibel statt pauschaler Abrechnung

IT-Support über Dienstleister ist meist günstiger als Hersteller-Support und dabei flexibel und bedarfsgerecht. Wir erklären worauf es ankommt.

Micrososoft Defender ATP: Was kann der Bedrohungsschutz?

Der moderne Arbeitsplatz soll nicht nur produktiv, sondern auch sicher sein. Wie gut sich Microsoft Defender ATP dazu eignet, erfahren Sie im Blogbeitrag!

Bulletin zur Cybersicherheit: Cyberbedrohungen einen Schritt voraus sein

Cyberbedrohungen nehmen stetig zu. Schützen Sie sich und Ihr Unternehmen. In unserem Bulletin zur Cybersicherheit informieren wir zu aktuellen Bedrohungen.