IT-Security

Notfallmanagement: Vorsorge statt Nachsorge

22.07.2019 - Trotz ausgefeilter Sicherheitskonzepte für IT-Systeme kommt es immer wieder auch zu Ausfällen im Bereich Gebäude- oder Kommunikationsinfrastruktur. Dies zeigt der Fall eines Stroma...

Trotz ausgefeilter Sicherheitskonzepte für IT-Systeme kommt es immer wieder auch zu Ausfällen im Bereich Gebäude- oder Kommunikationsinfrastruktur. Dies zeigt der Fall eines Stromausfalls in Berlin im Februar 2019.

Als Bauarbeiter am späten Nachmittag des 19. Februar an einer Brücke in Berlin Erdbohrungen vornahmen, gingen im Stadtteil Köpenick die Lichter aus. Die Arbeiter hatten nicht nur ein Stromkabel getroffen, sondern gleich zwei. Die redundante Versorgung des Stadtteils besaß eine Schwachstelle und die Bauarbeiter hatten sie gefunden: An einer zentralen Brücke wurden die beiden Versorgungsleitungen durch einen gemeinsamen Schacht geführt, die Kabel lagen also dicht übereinander. Für den starken Bohrer war es ein Leichtes, beide Kabelstränge auf einen Schlag zu durchtrennen.

Für Unternehmen und Bewohner dieses Stadtteils hatte das gravierende Folgen: Mehr als 30 Stunden mussten sie ohne Strom auskommen. Das Ausmaß der Unterbrechung zeigt, wie schnell eine extreme Notfallsituation eintreten kann. Für Notfallbeauftragte gilt dieser Vorfall als ein Lehrstück, denn er verdeutlicht, dass viele Unternehmen auf solche Situationen nicht hinreichend vorbereitet sind. Notfallmanagement bildet jedoch einen wichtigen Bestandteil der IT-Sicherheitsstrategie.

Mehr zum Thema auf unserer Microsite GIT Cyber Security:

Unerwartete Auswirkungen
Insbesondere die unerwarteten Auswirkungen der verheerenden Erdbohrung verdeutlichen, welche Nebeneffekte bei der Notfallprävention zu berücksichtigen sind. Da zwei Blockheizkraftwerke stromlos wurden, fiel in etlichen Gebäuden während der kalten Jahreszeit die Heizung aus. Die Bewohner hatten Schwierigkeiten, Wohnungen und Arbeitsstätten zu erreichen oder zu verlassen. Straßenbahnen, das Hauptverkehrsmittel in diesem Stadtteil, werden elektrisch betrieben und fuhren nun nicht mehr. Die S-Bahn wurde zwar von zentraler Stelle mit Strom versorgt, dennoch fuhr sie während der Dunkelheit an den betroffenen Bahnhöfen durch, da diese durch den Stromausfall unbeleuchtet blieben. Geschäfte, Betriebe und Büros mussten spontan schließen, da Kassenterminals ebenso stillgelegt waren wie automatische Türen, Kühltruhen oder Überwachungskameras.

Ebenso betraf das Problem auch IT-Systeme. Nur in größeren Betrieben werden diese gewöhnlich über ein Notstromaggregat versorgt, das solche Zeiträume überbrücken kann. Doch selbst dann wären Internet-Verbindungen nicht möglich gewesen.

Die Abhängigkeit der Arbeits- und Lebenszusammenhänge vom Strom wird auch an anderen Stellen deutlich. Mehrere Menschen waren in Fahrstühlen stecken geblieben und konnten teilweise erst nach acht Stunden befreit werden. Die Wasserversorgung in höheren Stockwerken fiel ebenfalls aus, da sie auf elektrischen Pumpen basiert. Hinzu kam, dass auch die Kommunikationsinfrastruktur zusammenbrach: Sowohl Festnetz als auch Mobilfunk standen nicht mehr zur Verfügung.

Die Hilflosigkeit der Behörden wurde darin deutlich, dass sie per Lautsprecherwagen, Radio und Internet dazu aufriefen, in Notfällen zur nächsten Feuerwehr- oder Polizei-Dienststelle zu gehen. Doch ohne Strom erreichte selbst diese Information nur wenige Anwohner.

Wie geht bessere Notfallprävention?
Nach diesem Ereignis stellt sich vielen Firmen die Frage, wie man sich auf solche Situationen vorbereiten kann. Verschiedene Institutionen bieten für die Notfallprävention Unterstützung an, allen voran das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Es hält verschiedene Ratgeber vor, von denen einige auch für Unternehmen relevant sind, etwa der zum Blackout (Stromausfall). Das Amt hat außerdem die Warn-App NINA entwickelt, die über Ausfälle, Unwetter und Krisen informiert. Insbesondere für Unternehmen mit hoher Abhängigkeit von der IT-Infrastruktur bietet das Bundesamt für Sicherheit in der Informationstechnik mit einem Online-Kurs zum selbst entwickelten Standard 100-4 (Notfall-Management) Unterstützung an.

Ein wesentlicher Aspekt für die Bewältigung von Ausnahmesituationen sind Alarmierungsketten. Diese sollen festlegen, wer wen in welcher Situation benachrichtigen muss. Sie müssen ständig aktualisiert werden, denn Telefonnummern können sich ändern und Mitarbeiter werden krank oder sind im Urlaub. Auch zur Unterstützung dieser Kommunikationsprozesse sind spezielle Apps verfügbar.

Im Zentrum jeder Notfallplanung steht außerdem der Umgang mit Betriebsstörungen, um die Kernprozesse eines Betriebes aufrecht zu erhalten und gegebenenfalls schnell wieder in den Regelbetrieb übergehen zu können - „Business Continuity“. Dem liegt zugrunde, dass Störungen möglichst nicht zu Notfällen führen, beziehungsweise Notfälle nicht in Krisen ausarten sollten. Diese drei Kategorien bezeichnen Situationen, für die präventative Maßnahmen notwendig sind, damit niemals die vierte Kategorie eintritt: die Katastrophe.