Ein Ausfall der IT ist eine alltägliche Gefahr für jedes
Unternehmen. Welche gesetzlichen Vorgaben regeln den Umgang mit massiven
IT-Störungen und wie lässt sich die Unternehmens-IT zuverlässig und zeitgemäß
absichern? Mit diesen Fragen beschäftigt sich das BVSW Seminar „IT-Notfallplanung
in 8 Schritten“, das Ende September 2020 stattfinden wird.
„Ein Blitzschlag, ein versehentlich durchgebaggertes
Glasfaserkabel oder eine Malware-Attacke – es gibt viele Ereignisse, die die
Unternehmens-IT zum Stillstand bringen können,“ weiß Boris Bärmichl, Vorstand BVSW
Digital. „Wenn durch einen solchen
Ausfall der Geschäftsbetrieb teilweise oder sogar komplett zum Erliegen kommt,
so kostet das nicht nur Nerven, sondern auch bares Geld und kann im Extremfall
die Existenz eines Unternehmens bedrohen.“
Ein IT-Notfallplan ist deshalb für jedes Unternehmen
unverzichtbar: Als Bestandteil des gesamten betrieblichen Notfallmanagements
gibt er bei schwerwiegenden IT-Problemen klare Handlungsanweisungen und regelt
die Zuständigkeiten, um die IT so schnell und reibungslos wie möglich in wieder
Betrieb zu nehmen. Damit sichern Unternehmen nicht nur ihre eigene Geschäftskontinuität,
sondern sorgen auch für Vertrauen bei Geschäftspartnern, Banken, Versicherungen
und vor allem ihren Kunden.
Wer ein Notfall- und Sicherheitsmanagement im Unternehmen
etablieren möchte kann sich an verschiedenen Standards orientieren: Für den
Bereich der kritischen Infrastrukturen ist ein IT-Notfallplan nach den
KRITIS-Verordnungen gesetzlich verpflichtend. Der BSI-Standard
100-4 richtet sich in erster Linie an Behörden und Unternehmen des
öffentlichen Sektors und zeigt systematisch Wege auf, über die sich ein
effektives Notfallmanagement aufbauen lässt. Der Standard beinhaltet die
Verbesserung der Ausfallsicherheit, die Vorbereitung auf mögliche IT-Krisen
sowie die schnelle Wiederinbetriebnahme geschäftskritischer Prozesse.
Für Unternehmen ist die internationale Norm ISO 22301 für
Business Continuity Management (BCM), relevant, die ganzheitliche
Risikobetrachtung auf allen Geschäftsebenen fokussiert. Damit sind auch die
Leitungsebenen näher in das Notfallmanagement eines Unternehmens mit eingebunden.
Die überarbeitete Version der ISO 22301 wurde im Oktober 2019 veröffentlicht,
Unternehmen haben seit dem 31.10.2019 drei Jahre lang Zeit, um sich nach der
aktuellen Version zertifizieren zu lassen.
IT- Notfallplan – prozessorientiertes Vorgehen
Ein häufiger Fehler bei einer IT-Notfallplanung ist der
einseitige Blick auf die IT-Infrastruktur. Zwar müssen letztendlich alle
IT-Systeme dokumentiert sein, aber das eigentliche Ziel eines IT-Notfallplans
ist die Absicherung der umsatzgenerierenden und damit geschäftskritischen
Prozesse. Grundlage für jeden
IT-Notfallplan ist deshalb die genaue Erfassung der Unternehmensprozesse und
ihrer Kritikalität, um eine Priorisierung der einzelnen Vorgänge zu erstellen.
Es gilt die Frage zu beantworten, welche Kosten dem Unternehmen entstehen,
sollte einer der Prozesse zum Stillstand kommen. Auch eventuelle
Konventionalstrafen oder rechtliche Verpflichtungen fließen hier in die
Berechnung mit ein. Dabei lässt sich feststellen, dass manche Vorgänge im
Unternehmen ohne weitreichende Konsequenzen für eine Weile ausfallen können.
Andere Prozesse sind hochkritisch, weil schon nach kürzester Zeit ein großer
monetärer Schaden für das Unternehmen entsteht. Diese gilt es im Fall einer
Krise als erstes wiederherzustellen.
Aktualität sichern
Wie hilfreich ein IT-Notfallplan im Falle einer Krise ist,
hängt nicht nur von der richtigen Planung ab, sondern im gleichen Maße auch von
seiner Aktualität. Auch wenn der Plan nur für eine Ausnahmesituation gemacht
ist, muss seine Pflege kontinuierlich erfolgen. Dafür gilt es die
entsprechenden Kapazitäten zu schaffen und Zuständigkeiten zu definieren. Ein
weiterer Hemmschuh für die Aktualität ist die Tatsache, dass die Dokumentation
aus Kostengründen meist in Excel oder Office vorgenommen wird. Durch die
vielseitigen Abhängigkeiten der Systeme in Zeiten der zunehmenden
Digitalisierung stößt eine solche Lösung schnell an ihre Grenzen. Die Nutzung
einer entsprechenden Software kann hier sehr hilfreich sein und der Markt
bietet für jeden Zweck und jedes Budget ein passendes Angebot.
Verfügbarkeit herstellen
Ist der IT- Notfallplan korrekt erstellt und seine
Aktualität gesichert stellt sich noch die Frage, wo und in welcher Form ein
solcher Plan am besten aufzubewahren ist. Da der Plan zum Einsatz kommen soll,
wenn das IT-System oder zumindest Teile davon nicht mehr erreichbar sind, macht
es keinen Sinn ihn auf den Unternehmensservern zu speichern. Auch den
kompletten Plan auszudrucken ist nicht sinnvoll, denn damit wäre wieder seine
Aktualität nicht gewährleistet.
Eine Möglichkeit ist, den Plan auf einem Notebook zu
speichern, das in einem Safe aufbewahrt wird. In jedem Fall sollte das Notebook
immer über einen vollen Akku sowie über Administratorenkonten mit
weitreichenden Kompetenzen verfügen. Auch die Speicherung in der Cloud ist eine
Option, die immer beliebter wird. Bei einem Stromausfall jedoch ist auch hier
kein Zugriff mehr möglich.
Den Ernstfall proben
Auch die beste Vorbereitung ist vergebens, wenn die
Verantwortlichen im Ernstfall die Nerven verlieren. Wie die Feuerwehr ihre
verschiedenen Einsätze, so muss auch ein Unternehmen einen IT-Notfallplan
einmal unter scheinbar echten Bedingungen durchspielen. Damit kommen eventuelle
Schwachstellen in der Planung ans Licht und gleichzeitig gewinnen die
Mitarbeiter an Sicherheit.
Das BVSW Webseminar „IT-Notfallplanung in 8 Schritten“ geht auf alle kritischen Punkte bei der Erstellung eines IT-Notfallplans ein. Teilnehmer kennen anschließend die rechtlichen Rahmenbedingungen sowie die einzelnen Schritte und auch Stolpersteine auf dem Weg zum IT-Notfallplan.
Das Webseminar findet am 29.09.2020 um 10.00 Uhr statt. Die Teilnehmerzahl ist begrenzt, deshalb jetzt schon anmelden.