BVSW: IT-Notfallplan - Gewappnet für den Ausnahmezustand
Es ist der Alptraum jedes Unternehmers: Die komplette IT-Infrastruktur steht still, sei es durch einen Wasserschaden, einen Blitzschlag oder einen Hackerangriff. Wann und ob dieser Fall eintritt lässt sich nicht vorhersagen, Vorkehrungen dafür treffen allerdings schon. Worauf Unternehmer achten müssen, erklärt Boris Bärmichl, BVSW-Vorstand für Digitales.
In den meisten Unternehmen sind Geschäftsprozesse ohne den Einsatz von IT-Systemen mittlerweile undenkbar. Der Geschäftserfolg und der Fortbestand des Unternehmens sind vom reibungslosen Einsatz dieser IT-Infrastrukturen abhängig. Ein kompletter Ausfall der IT-Systeme ist deshalb etwas, auf das Unternehmen sich vorbereiten sollten: Ein IT-Notfallplan ist heute ein wesentlicher Bestandteil des betrieblichen Notfallmanagements. Mit dem Ziel, die IT so schnell wie möglich wieder in Betrieb zu nehmen, regelt ein IT-Notfallplan die Zuständigkeiten und gibt klare Handlungsanweisungen für den Ernstfall.
Je nach Betriebsart gibt es unterschiedliche Standards, an denen sich die Verantwortlichen orientieren können:
Für Unternehmen des öffentlichen Sektors und Behörden ist der BSI-Standard 100-4 relevant. Er zeigt systematisch Wege auf, über die sich ein effektives Notfallmanagement etablieren lässt. Die Verbesserung der Ausfallsicherheit, die Vorbereitung auf mögliche IT-Krisen sowie die schnelle Wiederinbetriebnahme geschäftskritischer Prozesse sind Bereiche, die dieser Standard beinhaltet.
Die internationale Norm ISO 22301 für Business Continuity Management (BCM) gilt für privatwirtschaftliche Unternehmen. Sie fokussiert eine ganzheitliche Risikobetrachtung und bindet die Leitungsebenen damit mehr in das betriebliche Notfallmanagement mit ein. Im Oktober 2019 wurde die überarbeitete Version der ISO 22301 veröffentlicht, die innerhalb von drei Jahren umgesetzt werden muss. Unternehmen haben nun noch ein knappes Jahr Zeit, sich nach der neuen Norm zertifizieren zu lassen.
Prozesse analysieren
Wer einen IT-Notfallplan erstellen will, sollte den Blick nicht einseitig auf die IT-Infrastruktur richten. Alle IT-Systeme müssen in dem Plan dokumentiert werden, aber Priorität haben die umsatzgenerierenden und damit geschäftskritischen Prozesse. Deshalb beginnt jede IT-Notfallplanung bei der Erfassung der Unternehmensprozesse und ihrer Kritikalität.
Priorisierung festlegen
Anschließend gilt es, eine Priorisierung der einzelnen Vorgänge festzulegen. Diese orientiert sich an den Kosten, die einem Unternehmen entstehen, sollte der jeweilige Prozess zum Stillstand kommen. Rechtliche Verpflichtungen sowie eventuelle Konventionalstrafen fließen in die Berechnung mit ein.
Aktualität sichern
Ein Notfallplan ist niemals endgültig, sondern muss regelmäßig an die aktuellen Abläufe und Prozesse angepasst werden. Für diese wichtige Aufgabe gilt es, Zuständigkeiten zu definieren und entsprechende Kapazitäten zu schaffen.
Planungssoftware nutzen
Die meisten IT-Notfallpläne werden mithilfe von Standardsoftware wie Excel oder Word dokumentiert. Aufgrund der vielfältigen Abhängigkeiten stoßen diese Programme jedoch schnell an ihre Grenzen. Die Anschaffung einer speziellen Planungssoftware lohnt sich in jedem Fall und der Markt bietet für jeden Zweck und jedes Budget eine passende Lösung.
Verfügbarkeit sichern
Ein IT-Notfallplan kommt dann zum Einsatz, wenn die IT stillsteht. Damit ist es nicht sinnvoll, ihn auf einem zentralen Unternehmensserver abzuspeichern. Auch eine gedruckte Version hilft nicht weiter, weil sie zu schnell veraltet und eine regelmäßige Aktualisierung mit enormem Aufwand verbunden ist. Besser ist es, den Plan auf einem Notebook abzuspeichern, das mitreichenden Administratorrechten und einem geladenen Akku ausgestattet ist. Ein solches Notebook wird sicherheitshalber in einem Safe aufbewahrt.
Proben für den Ernstfall
Sollte tatsächlich ein IT-Notfall eintreten, müssen die Verantwortlichen nicht nur gut vorbereitet sein, sondern auch die Nerven bewahren. Wie das Verhalten bei einem Feueralarm, so sollte auch ein IT-Notfallplan immer wieder unter scheinbar realen Bedingungen durchgespielt werden, um Schwachstellen zu finden und den Mitarbeitern mehr Sicherheit zu vermitteln. •