IT-Sicherheit

IT-Notfallhandbuch

Wie ein Notfallkonzept die Resilienz verbessert

von 04.03.2020
Zu sehen ist eine Grafik von einer Hand, die ein IT-Notfallhandbuch hält, im Hintergrund ist in Warndreieck. Bild: Pixabay / Clker-Free-Vector-Images & Mohamed Hassan / Montage IT-SERVICE.NETWORK

Es wird schon nichts passieren. Legen auch Sie so eine Haltung an den Tag, wenn es um mögliche IT-Störungen in Ihrem Unternehmen geht? Wenn ja, sollten Sie diese schnellstens ablegen und die Erstellung von einem IT-Notfallhandbuch in Angriff nehmen.

Wir erklären, warum Ihr Unternehmen ein IT-Notfallhandbuch braucht und was darin stehen sollte.

Wofür braucht man ein IT-Notfallhandbuch?

Was für ein Notfall sollte Ihr Unternehmen schon ereilen? Wieso sollten Sie sich mit irgendwelchen hypothetischen Problemen befassen, wenn Sie Ihre Zeit doch viel sinnvoller in das nächste wichtige Projekt stecken könnten? Und selbst wenn es zu einer Störung kommen sollte – braucht man da gleich ein ganzes Handbuch?

Zugegeben: Größere Naturkatastrophen sind bei uns in Deutschland ungewöhnlich. Aber auch hier kommt es gelegentlich zu Hochwasserereignissen. Auch vor einem Brand ist kein Unternehmen gefeit. Und neben solchen elementaren Bedrohungen gibt es noch allerhand weiteres Potenzial für Störungen, zum Beispiel durch einen Stromausfall, einen Netzausfall oder den Befall Ihres Unternehmensnetzwerks durch einen Trojaner.

Sollten Sie für den Umgang mit solchen Ausnahmesituationen keinen Plan haben, sieht es schlecht für Sie aus. Es drohen Chaos, lange Ausfallzeiten und finanzielle Verluste. Im schlimmsten Fall steht sogar Ihre wirtschaftliche Existenz auf dem Spiel.

Zu sehen ist der Arm eines Geschäftsmanns; er hält mit einem Stift wichtige Punkte für das IT-Notfallhandbuch fest. Bild: Pixabay/Mohamed Hassan

Jedes Unternehmen sollte einen individuellen IT-Notfallplan erstellen (lassen). Bild: Pixabay/Mohamed Hassan

Was ist ein IT-Notfallplan genau?

Tritt in Ihrem Unternehmen eine Krise ein, ist schnelles Handeln gefragt. Es gilt von jetzt auf gleich, Ausfallzeiten zu minimieren, finanzielle Schäden zu verhindern und einen Image-Verlust zu vermeiden. Denn: Ihre Kunden und Partner haben sicherlich kein Verständnis dafür, dass Sie (Liefer-)Termine nicht einhalten, weil die IT in Ihrem Unternehmen lahmliegt – und Ihre Kunden und Partner ihrerseits in Terminschwierigkeiten geraten.

Genau deshalb benötigt jedes Unternehmen einen IT-Notfallplan. Darin ist genau festgehalten, wie trotz Störfall auf wichtige Informationen zugegriffen, wie die Informationssicherheit auch im Notfall aufrechterhalten und wie der Betrieb nach einer gravierenden Störung schnell und zielgerichtet wiederhergestellt werden kann.

Mit der zunehmenden Digitalisierung und der damit zusammenhängenden Abhängigkeit von funktionierenden IT-Systemen ist eine Verschärfung der Bedrohungslage zu erwarten. Damit bekommt auch die Ausfallsicherheit eine immer größere Bedeutung. Stichwort: Resilienz. Darunter versteht man die Fähigkeit, schwierige Situationen ohne eine dauerhafte Beeinträchtigung zu überstehen.

Was sollte in einem IT-Notfallhandbuch festgehalten werden?

Wie so ein IT-Notfallhandbuch konkret aussieht, lässt sich pauschal schlecht sagen – schließlich tickt jedes Unternehmen anders, sodass jeder IT-Notfallplan individuell an die jeweiligen Unternehmensstrukturen angepasst ist. Zudem gibt es verschiedene Möglichkeiten, wie ein IT-Notfallhandbuch aufgebaut werden kann. Beispielsweise sind ein Aufbau nach Phasen, eine Gliederung nach Verantwortungsebenen und -bereichen oder auch eine Einteilung nach Prozessen gleichermaßen möglich.

Allgemein lässt sich aber festhalten, dass ein modularer Aufbau Sinn macht, damit die jeweiligen Mitarbeiter die für sie relevanten Bereiche schnell finden können oder damit Informationen, die wiederkehrender Veränderung unterliegen, an zentraler Stelle gesammelt sind. Zudem sollte ein Disaster-Recovery-Plan immer aktuell und präzise formuliert sein.

Wichtig ist zudem grundsätzlich, dass vor oder im Zuge der Erstellung eines IT-Notfallplans Verantwortungsbereiche, Rollen, Abläufe und Risiken genau definiert werden.

Die fünf wichtigsten Themen eines IT-Notfallplans

Zudem gibt es fünf Themen, die sehr häufig Bestandteil von IT-Notfallhandbüchern sind. Diese stellen wir Ihnen im Folgenden kurz und knapp vor:

  • Sofortmaßnahmenplan: Sicherheit und Unversehrtheit von Personen hat inbesondere bei physischen Bedrohungen oberste Priorität. Sofortmaßnahmen wie Bergen, Retten oder Evakuieren gehören daher in jeden Notfallplan.
  • Krisenstabsleitfaden: Dieser Leitfaden greift vor allem in einmaligen und unvorhersagbaren Krisenfällen. Er dient als Entscheidungshilfe zur Beurteilung der Lage und zur Auswahl von geeigneten Unterplänen und Optionen zur Geschäftsfortführung. Ebenfalls darin festgehalten sind Rollen, Aufgaben, Rechte, Ansprechpartner und Abläufe.
  • Krisenkommunikationsplan: In diesem Plan werden die interne und externe Kommunikation geregelt und festgelegt, wer welche Informationen an wen und in welcher Form weitergeben darf/muss. Thematisiert wird die Kommunikation mit Mitarbeitern, Angehörigen, wichtigen Interessensgruppen, Öffentlichkeit und Medien.
  • Geschäftsfortführungspläne: Sinn und Zweck von Geschäftsfortführungsplänen ist die Bereitstellung einer dokumentierten Vorgehensweise, mit deren Hilfe kritische Geschäftsprozesse innerhalb einer festgelegten Wiederanlaufzeit fortgesetzt werden können. Sinnvolle Themen sind Geltungsbereiche, Kontinuitätsstrategien, Prozesse für verschiedene Schadensszenarien, Zuständigkeiten, eine Priorisierung der Prozesse et cetera. Zudem sind Maßnahmen zur schnellen Aktivierung der Geschäftsfortführung, Prozessbeschreibungen für den Notbetrieb und zur Rückführung in den Normalzustand zu beschreiben.
  • Wiederanlaufpläne: Diese Pläne beinhalten spezifische Handlungsanweisungen und notwendige Informationen für die Wiederherstellung und den Wiederanlauf des Betriebs. Auch die Reihenfolge einzelner Bereiche für den Wiederanlauf sollte enthalten sein.

Sehr viel ausführlicher sind Notfallmanagement und Notfallplan übrigens im BSI-Standard 100-4 festgehalten. Dieser stammt allerdings schon aus dem Jahr 2008. Daher lässt das BSI aktuell eine neue Version dieses Standards überarbeiten.

Zu sehen ist eine Grafik von einer Geschäftsfrau, die vor einem Schatten flüchtet. Sie setzt auf ein IT-Notfallhandbuch. Bild: Pixabay/Mohamed Hassan

Immer mehr Unternehmen sind sich der Gefahren bewusst und erstellen ein IT-Notfallhandbuch. Bild: Pixabay/Mohamed Hassan

Bewusstsein für Notfallplan-Notwendigkeit setzt sich durch

Die gute Nachricht: Das Bewusstsein für die Notwendigkeit eines IT-Notfallplans setzt sich mehr und mehr durch. Im Bericht zur Lage der IT-Sicherheit in Deutschland 2018 nennt das BSI die Ergebnisse aus einer Umfrage zum Thema IT-Notfall-Management in Unternehmen. Demnach gaben 58 Prozent der Befragten an, dass Richtlinien wie etwa Notfallpläne oder Störfallanweisungen existieren, die die Wiederherstellung des Betriebs nach einer schwerwiegenden Betriebsstörung beschreiben.

Allerdings wurde dabei deutlich, dass es diesbezüglich Unterschiede zwischen kleinen, mittleren und großen Unternehmen gibt: Während zwei von drei großen Unternehmen über eine solche Richtlinie verfügen, traf dies nur auf gut jedes zweite kleine oder mittlere Unternehmen zu.
Im Bericht zur Lage der IT-Sicherheit in Deutschland 2019, den wir im Blogbeitrag BSI-Lagebericht 2019 detailliert vorgestellt haben, bestätigt sich dieses Bild. Dort heißt es, dass 49 Prozent der großen Unternehmen ein Notfall-Management betreiben, bei den kleinen und mittleren Unternehmen (KMU) waren es dagegen nur 38 Prozent. Dabei sind es gerade KMU, die bei gravierenden Notfällen einer Existenzbedrohung gegenüberstehen.

Mit uns zu Ihrem IT-Notfallhandbuch!

Und wie sieht es bei Ihnen aus? Haben Sie schon einen IT-Notfallplan in der Schublade, durch den Sie für sämtliche Szenarien gewappnet sind? Oder haben Sie sich zu diesem Thema noch nie Gedanken gemacht? Insbesondere seit Inkrafttreten der DSGVO ist ein gutes IT-Notfallhandbuch wichtig wie nie zuvor, denn geraten im Zuge eines IT-Notfalls zum Beispiel personenbezogene Daten in die falschen Hände, drohen Meldepflicht und hohe Bußgelder. Wie schnell Sie im Fall der Fälle reagieren, kann entscheidend zur Bestimmung der Bußgeldhöhe beitragen.

Wenden Sie sich daher an einen Fachmann, der Ihnen bei der Erstellung eines IT-Notfallhandbuchs beratend zur Seite steht. So einen Fachmann finden Sie selbstverständlich in unseren Experten aus dem IT-SERVICE.NETWORK. Unsere Profis nehmen eine Evaluation Ihres bisherigen Risikomanagements vor, erstellen auf Wunsch eine detaillierte Infrastruktur-Analyse und erarbeiten einen individuellen IT-Notfallplan für Ihr Unternehmen.

Mithilfe eines IT-Notfallsplans haben Sie die Lage im Fall der Fälle schnell und sicher im Griff. Ausfallzeiten, finanzieller Schaden und Image-Verlust werden mit unserer Unterstützung minimiert.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

.zip-Domain als Phishing-Gefahr

Cyberkriminelle nutzen neue Top-Level-Domain

von • 24.05.2023

Eine neue Top-Level-Domain (TLD) sorgt für Aufregung unter Sicherheitsexperten. Denn: Die kürzlich durch Google zur Registrierung freigegebene .zip-Domain stellt eine große Gefahr für Phishing dar...

Weiterlesen
IT-Sicherheit

Sicherheitstechnologie WAAP

Web Application and API Protection

von • 22.05.2023

Mit WAAP wird eine junge Sicherheitstechnologie bezeichnet, die Schnittstellen und Webanwendungen schützt – beispielsweise vor DDoS-Attacken, der Ausnutzung von Sicherheitslücken und Bot-Angriffen...

Weiterlesen
IT-Sicherheit

NIS2-Richtlinie

EU will Cybersicherheit & Resilienz verbessern

von • 17.05.2023

Ist Ihnen die NIS2-Richtlinie ein Begriff? Falls nicht, aufgepasst: Die EU will mit der überarbeiteten Richtlinie zur Sicherheit von Netz- und Informationssystemen (kurz: NIS2) die Cybersicherheit ve...

Weiterlesen