IT-Notfälle in Unternehmen

Sind Sie auf den Ernstfall vorbereitet?

Stanislav Wittmann ist selbstständig beratender Ingenieur in der Sicherheitsbranche. Seine Schwerpunkte liegen im vorbeugenden und planerischen Brandschutz sowie in der Informationssicherheit. Hierzu zählen vor allem Risiko- und Notfallmanagement, Spionage-Prävention und die Schulung von Mitarbeitern gegen Know-How-Verlust (Security Awareness). Mehr Infos gibt es auf seiner Website.
Stunden, manchmal nur Minuten entscheiden über Erfolg oder Versagen von Unternehmen. Um IT-Ausfälle zu kompensieren, sollten diese zunehmend ins Notfallmanagement investieren.
Alle Riskien im Blick haben: Welche Geräte besitzen zum Beispiel die am geringsten tolerierbare Ausfallzeit?
Alle Riskien im Blick haben: Welche Geräte besitzen zum Beispiel die am geringsten tolerierbare Ausfallzeit?
Foto: Monkey Business Images - shutterstock.com

Heutige Geschäftsprozesse sollen zum einen im Falle einer Störung nicht beeinträchtigt werden, zum anderen soll im Fall einer Unterbrechung deren rechtzeitige Wiederaufnahme sichergestellt sein. Um beide Aufgaben erfüllen zu können, müssen Unternehmen eine gewisse Vorarbeit leisten.

Ein erster Schritt ist die Identifizierung von kritischen Geschäftsprozessen, bei der Berater und Dienstleister ihre Kunden unterstützen können: Welche Geräte besitzen die am geringsten tolerierbare Ausfallzeit? Welche Daten dürfen niemals verfälscht werden? Diese Fragen müssen in einer Risikoanalyse geklärt sein.

Kritische Geschäftsprozesse aufzuspüren, ist aber nur die halbe Miete. Denn ohne Unterstützung der Geschäftsleitung wird es schwer, ein Notfallmanagement – auch "Business Continuity Management" (BCM) genannt – aufzubauen. Es braucht Zeit, Geld und eventuell auch neues Personal.

Neben Zeit und Geld stellt Personal die dritte tragende Säule dar.
Neben Zeit und Geld stellt Personal die dritte tragende Säule dar.
Foto: Stanislav Wittmann

Ein uneinsichtiges Management lässt sich vielleicht mit den Haftungsrisiken überzeugen, die es im Schadensfall eingeht. Sicherheitsbeauftragte, die weitere Argumente brauchen, können auch eine Business Impact Analyse (BIA) vornehmen. Dabei spielen sie potenzielle Schadensszenarien im Unternehmen durch, um die Bedeutung einer Notfallvorsorge zu unterstreichen. Die kritischen Prozesse, die Schäden verursachen könnten, sollten bereits im Rahmen der Risikoanalyse bekannt sein.

Plan-Do-Check-Act

Der PDCA-Zyklus - Fundament eines jeden Qualitätsmanagementzyklus. Nur durch Einhaltung des Kreislaufes kann ein kontinuierlicher Verbesserungsprozess (KVP) gewährleistet werden.
Der PDCA-Zyklus - Fundament eines jeden Qualitätsmanagementzyklus. Nur durch Einhaltung des Kreislaufes kann ein kontinuierlicher Verbesserungsprozess (KVP) gewährleistet werden.
Foto: Stanislav Wittmann

Ohnehin ist eine BIA sinnvoll, um zielgerichtet Lösungen für ein BCM zu finden. Reicht das zur Überzeugung des Managements immer noch nicht, hilft vielleicht das Argument, dass eine (Re-)Zertifizierung nach ISO 27001 scheitern kann. Denn der Demingkreis (Plan-Do-Check-Act-Zyklus) im Sinne des kontinuierlichen Verbesserungsprozesses ist auch beim BCM ein Muss.

Ist das Management überzeugt, geht es an die Einrichtung eines BCM. Hilfestellungen dazu finden sich beispielsweise in den Dokumentation der ISO 2700+-Reihe. So führt der Anhang A14 der ISO 27001 Anforderungen für ein BCM auf. Konkreter ist die ISO 27002, in der der Leitfaden für ein ISMS (Information Security Management System) samt BCM deutlicher beschrieben ist. Kostenfreie Informationen zum Thema Notfallmanagement stellt auch das Bundesamt für Sicherheits- und Informationstechnik (BSI) bereit, unter anderem im Grundschutzkatalog 100-4.

"Derzeit sind zudem verschiedene Normen für BCM in der Entwicklungsphase", so Ernst Döbbeling, Professor für Security Engineering an der Hochschule Furtwangen und Vorsitzender des betreffenden DIN-Spiegelausschusses. Die Entwicklung spreche dafür, dass das Thema in Zukunft eine größere Relevanz erhalten werde. Zumal nicht mehr nur Großunternehmen, sondern zunehmend auch Mittelständler von der Sinnhaftigkeit des BCM überzeugt seien.

Bleibt die Frage: Wie sieht ein funktionierendes Business-Continuity-Management aus? Im Folgenden werden dafür einige Beispielszenarien aufgezeigt, die besonders der IT-Abteilung im Unternehmen als Checkliste dienen können – gemäß der Frage "Sind Sie auf den Ernstfall vorbereitet?"

Auf den nächsten Seiten geht es um die Risiken Server, Systeme, Anwendungen, Personal und höhere Gewalt.

Zur Startseite