IT - Notfall Management
Wie Sie sich richtig vorbereiten
Ziel eines IT-Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt. Nur die wenigsten kleinen und mittelständischen Unternehmen sind entsprechend vorbereitet, um in Notfallsituationen z. B. durch Notfallpläne oder ein etabliertes Notfallmanagement gut zu reagieren und Schadensereignisse zu erkennen.
Legen Sie Verantwortlichkeiten für IT-Notfälle fest
Insofern ein durch vordefinierte Kriterien erkannter IT-Notfall auftritt, müssen im Unternehmen zur Bewältigung verantwortliche Personen festgelegt sein. Hier bietet sich ein „Notfallmanager“ an, der zusammen mit einem Verantwortlichen für „Informationssicherheit“ als Team agiert und die Koordination zur Bewältigung der Schadensereignisse übernimmt. Weiterhin sollten diese Personen eng in den Prozess zur Erarbeitung des Notfallmanagements einbezogen und zur Thematik geschult werden.
Analyse der Organisation und ihrer Geschäftsprozese
Es ist essentiell, dass Sie im Falle einer Notsituation geschäftsfähig bleiben. Daher müssen Sie sich im Klaren sein, welche Prozesse besonders zeitkritisch sind bzw. Ihre unternehmerischen „Kronjuwelen“ beinhalten. Diese Vorgänge müssen in der Regel zuerst wieder zum Laufen gebracht werden und sollten in Ihrem IT-Notfallmanagement oberste Priorität genießen.
Dokumentieren Sie Ihre IT-Systeme und Kommunikationswege
Zur Vorbereitung des Notfallmanagements sollten Sie zunächst sicherstellen, dass Ihnen alle im Unternehmen befindlichen IT- bzw. Kommunikationssysteme, -technologien und -schnittstellen bekannt sind.
Hilfreich ist hierbei eine vollständige Dokumentation. Falls Sie diese noch nicht vorliegen haben oder gerne verbessern möchten, sollten Sie sich am besten vom „Groben“ in das „Feine“ innerhalb der Organisation vorarbeiten.
Holen Sie sich Unterstützung
Bei der Gestaltung des Notfallmanagements sollten Sie Ihre IT-Dienstleister mit einbeziehen. Klären Sie im Vorfeld, für welche Sicherheitsvorfälle Ihnen Unterstützung gegeben werden kann, damit eine zeitnahe Bewältigung des Notfalls gesichert wird! Lassen Sie sich dabei die Unterstützung verbindlich bzw. vertraglich zusichern, so dass z. B. die Verfügbarkeit und die Reaktionszeit der angebotenen Services geregelt werden.
Definieren Sie die Leitlinien zum Notfallmanagement
Gemeinsam mit der Geschäftsleitung müssen Leitlinien zum Notfallmanagement erarbeitet werden, in denen diese sich zu den weitreichenden Folgen des Notfallmanagements bekennt sowie Verantwortung übernimmt. In Abhängigkeit der vorliegenden Informationen müssen, zusammen mit den vorher bestimmten Verantwortlichen, die Zielstellungen und Strategien im Rahmen des Notfallmanagements definiert werden. Auch die organisatorischen Voraussetzungen sowie die Bereitstellung von Ressourcen zur Behebung bzw. Behandlung des Notfalls sollten im Rahmen der Leitlinien geschaffen werden.
Erarbeiten Sie ein Vorsorgekonzept
„Vorsorge ist besser als Nachsorge“ – in diesem Sinne sollten Sie schon im Vorfeld Maßnahmen konzipieren, welche präventiv auf die Schadenshöhe oder Eintrittswahrscheinlichkeit einwirken. Zusätzlich sollten Sie sich auch Handlungsweisen zurechtlegen, um die Reaktionsfähigkeit nach einem Schadensereignis sicherzustellen.
Erstellen Sie ein Notfallhandbuch
Das Notfallhandbuch ist der Dreh- und Angelpunkt Ihres Notfallmanagements. Dieses umfasst sämtliche zur Notfallbewältigung notwendigen Dokumente, woraus sich anhand des eingetretenen Schadensereignisses die notwendigen Maßnahmen und Handlungsanweisungen für die Mitarbeiter ableiten lassen. Achten Sie dabei auf kurze Formulierungen und eine übersichtliche Informationsgestaltung. Zur Umsetzung bieten sich sogenannte „IT-Notfallkarten“ an. Die „Allianz für Cybersicherheit“ bietet diese als PDF-Dateien unter www.allianz-fuer-cybersicherheit.de zum Download an. Weiterhin sollte das Notfallhandbuch Geschäftsfortführungspläne enthalten, die einen Notbetrieb im Unternehmen regeln und die in Regel 2 festgestellten Prioritäten in den Geschäftsprozessen umsetzen. Hierzu sind ebenfalls Wiederanlaufpläne (z. B. durch Zuständigkeiten, Schnittstellen, Ressourcen) beizulegen.
Kommunizieren Sie richtig!
Das Notfallhandbuch sollte durch Kommunikationspläne ergänzt werden. Nur wenn die interne und externe Kommunikation richtig und zielgerichtet verläuft, können Sie die Not- bzw. Krisensituationen effektiv und ressourcenschonend bestreiten. Es sollten bei den zuvor erstellten Plänen definierte Ansprechpartner im Unternehmen oder auch bei den Dienstleistern vorliegen. Ebenfalls sollten Sie auch weitere interessierte Parteien bei möglichen Schadensereignissen in Betracht ziehen. Möglich sind hierbei Kunden, Behörden, Angehörige von Mitarbeitern oder die allgemeine Gesellschaft. Insbesondere bei Datenverlusten oder kritischen Datenabflüssen kann es notwendig sein, die Öffentlichkeit zu informieren.
Proben und Schulen
Ihre Mitarbeiter sind sowohl das stärkste als auch das schwächste Glied zur Bewältigung von Notfällen. Schulen Sie daher Ihre Mitarbeiter regelmäßig zum IT-Notfallmanagement und sensibilisieren Sie diese, um Sicherheitsvorfälle zu erkennen. Ferner sollten Sie regelmäßig die Erkennung von Notsituationen und damit verbunden die Wirksamkeit des IT-Notfallmanagements (z. B. durch Anwendung der Notfallpläne im Handbuch) proben. So kann sichergestellt werden, dass Sie auch in echten Notsituationen zielgerichtete Maßnahmen durchführen und der Geschäftsbetrieb zeitnah wiederhergestellt wird.
Ziehen Sie Lehren aus Notfällen
Jedes Schadensereignis ist anders und reale Vorfälle zeigen häufig Schwachstellen an eigenen Plänen und Systemen, denn nicht alle Szenarien können bis ins letzte Detail vorausgeplant werden. Ziehen Sie also im Sinne der kontinuierlichen Verbesserung Lehren aus der bewältigten Notsituation. Passen Sie Ihre Dokumentation sowie Maßnahmen an und optimieren Sie die Meldewege inner- und außerhalb des Unternehmens. Binden Sie dabei auch die eigenen Mitarbeiter mit ein. Wichtig ist es hierbei auch, die durchgeführten Schritte in Abhängigkeit des Sicherheitsvorfalls zu dokumentieren.