Es wird schon nichts passieren. Legen auch Sie so eine Haltung an den Tag, wenn es um mögliche IT-Störungen in Ihrem Unternehmen geht? Wenn ja, sollten Sie diese schnellstens ablegen und die Erstellung eines IT-Notfallhandbuchs in Angriff nehmen.
Wir erklären, warum Ihr Unternehmen ein IT-Notfallhandbuch braucht und was darin stehen sollte.
Wofür braucht man ein IT-Notfallhandbuch?
Was für ein Notfall sollte Ihr Unternehmen schon ereilen? Wieso sollten Sie sich mit irgendwelchen hypothetischen Problemen befassen, wenn Sie Ihre Zeit doch viel sinnvoller in das nächste wichtige Projekt stecken könnten? Und selbst wenn es zu einer Störung kommen sollte – braucht man da gleich ein ganzes Handbuch?
Zugegeben: Größere Naturkatastrophen sind bei uns in Deutschland ungewöhnlich. Aber auch hier kommt es gelegentlich zu Hochwasserereignissen. Auch vor einem Brand ist kein Unternehmen gefeit. Und neben solchen elementaren Bedrohungen gibt es noch allerhand weiteres Potenzial für Störungen, zum Beispiel durch einen Stromausfall, einen Netzausfall oder den Befall Ihres Unternehmensnetzwerks durch einen Trojaner.
Sollten Sie für den Umgang mit solchen Ausnahmesituationen keinen Plan haben, sieht es schlecht für Sie aus. Es drohen Chaos, lange Ausfallzeiten und finanzielle Verluste. Im schlimmsten Fall steht sogar Ihre wirtschaftliche Existenz auf dem Spiel. Zeit für ein IT-Notfallhandbuch!
Was ist ein IT-Notfallplan?
Tritt in Ihrem Unternehmen eine Krise ein, ist schnelles Handeln gefragt. Es gilt von jetzt auf gleich, Ausfallzeiten zu minimieren, finanzielle Schäden zu verhindern und einen Image-Verlust zu vermeiden. Denn: Ihre Kunden und Partner haben sicherlich kein Verständnis dafür, dass Sie (Liefer-)Termine nicht einhalten, weil die IT in Ihrem Unternehmen lahmliegt – und Ihre Kunden und Partner ihrerseits in Terminschwierigkeiten geraten.
Genau deshalb benötigt jedes Unternehmen einen IT-Notfallplan. Darin ist genau festgehalten, wie trotz Störfall auf wichtige Informationen zugegriffen, wie die Informationssicherheit auch im Notfall aufrechterhalten und wie der Betrieb nach einer gravierenden Störung schnell und zielgerichtet wiederhergestellt werden kann.
Mit der zunehmenden Digitalisierung und der damit zusammenhängenden Abhängigkeit von funktionierenden IT-Systemen ist eine Verschärfung der Bedrohungslage zu erwarten. Damit bekommt auch die Ausfallsicherheit eine immer größere Bedeutung. Stichwort: Resilienz. Darunter versteht man die Fähigkeit, schwierige Situationen ohne eine dauerhafte Beeinträchtigung zu überstehen.
Was steht in einem IT-Notfallhandbuch?
Wie so ein IT-Notfallhandbuch konkret aussieht, lässt sich pauschal schlecht sagen – schließlich tickt jedes Unternehmen anders, sodass jeder IT-Notfallplan individuell an die jeweiligen Unternehmensstrukturen angepasst ist. Zudem gibt es verschiedene Möglichkeiten, wie ein IT-Notfallhandbuch aufgebaut werden kann. Beispielsweise sind ein Aufbau nach Phasen, eine Gliederung nach Verantwortungsebenen und -bereichen oder auch eine Einteilung nach Prozessen gleichermaßen möglich.
Allgemein lässt sich aber festhalten, dass ein modularer Aufbau Sinn macht, damit die jeweiligen Mitarbeiter die für sie relevanten Bereiche schnell finden können oder damit Informationen, die wiederkehrender Veränderung unterliegen, an zentraler Stelle gesammelt sind. Zudem sollte ein Disaster-Recovery-Plan, wie er im IT-Notfallhandbuch zu finden ist, immer aktuell und präzise formuliert sein.
Wichtig ist zudem grundsätzlich, dass vor oder im Zuge der Erstellung eines IT-Notfallplans Verantwortungsbereiche, Rollen, Abläufe und Risiken genau definiert werden.
Die fünf wichtigsten Themen eines IT-Notfallplans
Zudem gibt es fünf Themen, die sehr häufig Bestandteil von IT-Notfallhandbüchern sind. Diese stellen wir Ihnen im Folgenden kurz und knapp vor:
- Sofortmaßnahmenplan: Sicherheit und Unversehrtheit von Personen hat inbesondere bei physischen Bedrohungen oberste Priorität. Sofortmaßnahmen wie Bergen, Retten oder Evakuieren gehören daher in jeden Notfallplan.
- Krisenstabsleitfaden: Dieser Leitfaden greift vor allem in einmaligen und unvorhersagbaren Krisenfällen. Er dient als Entscheidungshilfe zur Beurteilung der Lage und zur Auswahl von geeigneten Unterplänen und Optionen zur Geschäftsfortführung. Ebenfalls darin festgehalten sind Rollen, Aufgaben, Rechte, Ansprechpartner und Abläufe.
- Krisenkommunikationsplan: In diesem Plan werden die interne und externe Kommunikation geregelt und festgelegt, wer welche Informationen an wen und in welcher Form weitergeben darf/muss. Thematisiert wird die Kommunikation mit Mitarbeitern, Angehörigen, wichtigen Interessensgruppen, Öffentlichkeit und Medien.
- Geschäftsfortführungspläne: Sinn und Zweck von Geschäftsfortführungsplänen ist die Bereitstellung einer dokumentierten Vorgehensweise, mit deren Hilfe kritische Geschäftsprozesse innerhalb einer festgelegten Wiederanlaufzeit fortgesetzt werden können. Sinnvolle Themen sind Geltungsbereiche, Kontinuitätsstrategien, Prozesse für verschiedene Schadensszenarien, Zuständigkeiten, eine Priorisierung der Prozesse et cetera. Zudem sind Maßnahmen zur schnellen Aktivierung der Geschäftsfortführung, Prozessbeschreibungen für den Notbetrieb und zur Rückführung in den Normalzustand zu beschreiben.
- Wiederanlaufpläne: Diese Pläne beinhalten spezifische Handlungsanweisungen und notwendige Informationen für die Wiederherstellung und den Wiederanlauf des Betriebs. Auch die Reihenfolge einzelner Bereiche für den Wiederanlauf sollte enthalten sein.
Sehr viel ausführlicher sind Notfallmanagement und Notfallplan übrigens im BSI-Standard 100-4 festgehalten. Dieser stammt allerdings schon aus dem Jahr 2008, ist aber nichtsdestotrotz weiterhin gültig.
Bewusstsein für Notfallmanagement steigt
Die gute Nachricht: Das Bewusstsein für die Notwendigkeit eines Notfallmanagements und eines IT-Notfallplans steigt in der Unternehmenslandschaft. Dennoch bleibt noch viel zu tun: Aus einer Studie von Brand Eins, Cyber-Defense, G Data und Statista aus dem Jahr 2022 geht hervor, dass nur jeder zweite Beschäftigte weiß, was speziell bei einem IT-Sicherheitsvorfall zu tun ist – gäbe es einen IT-Notfallplan wären auch derartige Fälle darin abgedeckt.
Auch das BSI sieht weiteren Handlungsbedarf und hat jüngst den Standard zum Business Continuity Management aktualisiert. Frisch im September 2023 wurde die BSI-Standard 200-4 durch das BSI vorgestellt; er soll den bereits seit Jahren etablierten BSI-Standard 100-4 modernisieren.
Ein Blick in das Machwerk sollte für alle Business-Continuity-Beauftragten, Krisenstabsmitglieder, Zuständigen für Sicherheitsthemen, Sicherheitsfachleute und -beratende, Institutionsleitungen sowie für alle Interessierten, die mit dem Management von Notfällen und Krisen technischen und nicht-technischen Ursprungs betraut sind, Pflichtprogramm sein. Aber planen Sie dafür Zeit ein – es ist mehr als 300 Seiten stark.
Mit uns zu Ihrem IT-Notfallhandbuch!
Und wie sieht es bei Ihnen aus? Haben Sie schon einen IT-Notfallplan in der Schublade, durch den Sie für sämtliche Szenarien gewappnet sind? Oder haben Sie sich zu diesem Thema noch nie Gedanken gemacht? Insbesondere seit Inkrafttreten der DSGVO ist ein gutes IT-Notfallhandbuch wichtig wie nie zuvor, denn geraten im Zuge eines IT-Notfalls zum Beispiel personenbezogene Daten in die falschen Hände, drohen Meldepflicht und hohe Bußgelder. Wie schnell Sie im Fall der Fälle reagieren, kann entscheidend zur Bestimmung der Bußgeldhöhe beitragen.
Wenden Sie sich daher an einen Fachmann, der Ihnen bei der Erstellung eines IT-Notfallhandbuchs beratend zur Seite steht. So einen Fachmann finden Sie selbstverständlich in unseren Experten aus dem IT-SERVICE.NETWORK. Unsere Profis nehmen eine Evaluation Ihres bisherigen Risikomanagements vor, erstellen auf Wunsch eine detaillierte Infrastruktur-Analyse und erarbeiten einen individuellen IT-Notfallplan für Ihr Unternehmen.
Mithilfe eines IT-Notfallsplans haben Sie die Lage im Fall der Fälle schnell und sicher im Griff. Ausfallzeiten, finanzieller Schaden und Image-Verlust werden mit unserer Unterstützung minimiert.
Weiterführende Informationen:
BSI, BSI, Industrie,
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung