Ein Ausfall der IT ist eine alltägliche Gefahr für jedes Unternehmen. Welche gesetzlichen Vorgaben regeln den Umgang mit massiven IT-Störungen und wie lässt sich die Unternehmens-IT zuverlässig und zeitgemäß absichern? Mit diesen Fragen beschäftigt sich das BVSW Seminar „IT-Notfallplanung in 8 Schritten“, das am 29.9.2020 online stattfinden wird.

„Ein Blitzschlag, ein versehentlich durchgebaggertes Glasfaserkabel oder eine Malware-Attacke – es gibt viele Ereignisse, die die Unternehmens-IT zum Stillstand bringen können,“ so Boris Bärmichl, Vorstand BVSW Digital.  „Wenn durch einen solchen Ausfall der Geschäftsbetrieb teilweise oder sogar komplett zum Erliegen kommt, so kostet das nicht nur Nerven, sondern auch bares Geld und kann im Extremfall die Existenz eines Unternehmens bedrohen.“

Ein IT-Notfallplan sei daher für jedes Unternehmen unverzichtbar: Als Bestandteil des gesamten betrieblichen Notfallmanagements gibt er bei schwerwiegenden IT-Problemen klare Handlungsanweisungen und regelt die Zuständigkeiten, um die IT so schnell und reibungslos wie möglich in wieder Betrieb zu nehmen. Damit sichern Unternehmen nicht nur ihre eigene Geschäftskontinuität, sondern sorgen auch für Vertrauen bei Geschäftspartnern, Banken, Versicherungen und vor allem ihren Kunden.

Wer ein Notfall- und Sicherheitsmanagement im Unternehmen etablieren möchte kann sich an verschiedenen Standards orientieren: Für den Bereich der kritischen Infrastrukturen ist ein IT-Notfallplan nach den KRITIS-Verordnungen gesetzlich verpflichtend. Der BSI-Standard 100-4 richtet sich in erster Linie an Behörden und Unternehmen des öffentlichen Sektors und zeigt systematisch Wege auf, über die sich ein effektives Notfallmanagement aufbauen lässt. Der Standard beinhaltet die Verbesserung der Ausfallsicherheit, die Vorbereitung auf mögliche IT-Krisen sowie die schnelle Wiederinbetriebnahme geschäftskritischer Prozesse.

Für Unternehmen ist die internationale Norm ISO 22301 für Business Continuity Management relevant, die ganzheitliche Risikobetrachtung auf allen Geschäftsebenen fokussiert. Damit sind auch die Leitungsebenen näher in das Notfallmanagement eines Unternehmens mit eingebunden. Die überarbeitete Version der ISO 22301 wurde im Oktober 2019 veröffentlicht, Unternehmen haben seit dem 31.10.2019 drei Jahre lang Zeit, um sich nach der aktuellen Version zertifizieren zu lassen.

Prozessorientiertes Vorgehen
Ein häufiger Fehler bei einer IT-Notfallplanung ist der einseitige Blick auf die IT-Infrastruktur. Zwar müssen letztendlich alle IT-Systeme dokumentiert sein, aber das eigentliche Ziel eines IT-Notfallplans ist die Absicherung der umsatzgenerierenden und damit geschäftskritischen Prozesse.  Grundlage für jeden IT-Notfallplan ist deshalb die genaue Erfassung der Unternehmensprozesse und ihrer Kritikalität, um eine Priorisierung der einzelnen Vorgänge zu erstellen. Es gilt die Frage zu beantworten, welche Kosten dem Unternehmen entstehen, sollte einer der Prozesse zum Stillstand kommen. Auch eventuelle Konventionalstrafen oder rechtliche Verpflichtungen fließen hier in die Berechnung mit ein. Dabei lässt sich feststellen, dass manche Vorgänge im Unternehmen ohne weitreichende Konsequenzen für eine Weile ausfallen können. Andere Prozesse sind hochkritisch, weil schon nach kürzester Zeit ein großer monetärer Schaden für das Unternehmen entsteht. Diese gilt es im Fall einer Krise als erstes wiederherzustellen.

Aktualität sichern
Wie hilfreich ein IT-Notfallplan im Falle einer Krise ist, hängt nicht nur von der richtigen Planung ab, sondern im gleichen Maße auch von seiner Aktualität. Auch wenn der Plan nur für eine Ausnahmesituation gemacht ist, muss seine Pflege kontinuierlich erfolgen. Dafür gilt es die entsprechenden Kapazitäten zu schaffen und Zuständigkeiten zu definieren. Ein weiterer Hemmschuh für die Aktualität ist die Tatsache, dass die Dokumentation aus Kostengründen meist in Excel oder Word vorgenommen wird. Durch die vielseitigen Abhängigkeiten der Systeme in Zeiten der zunehmenden Digitalisierung stößt eine solche Lösung schnell an ihre Grenzen. Die Nutzung einer entsprechenden Software kann hier hilfreich sein und der Markt bietet für jeden Zweck und jedes Budget ein passendes Angebot.

Immer verfügbar
Ist der IT-Notfallplan korrekt erstellt und seine Aktualität gesichert, stellt sich noch die Frage, wo und in welcher Form ein solcher Plan am besten aufzubewahren ist. Da der Plan zum Einsatz kommen soll, wenn das IT-System oder zumindest Teile davon nicht mehr erreichbar sind, macht es keinen Sinn ihn auf den Unternehmensservern zu speichern. Auch den kompletten Plan auszudrucken ist nicht sinnvoll, denn damit wäre wieder seine Aktualität nicht gewährleistet.

Eine Möglichkeit sei nach dem BVSW, den Plan auf einem Notebook zu speichern, das in einem Safe aufbewahrt wird. In jedem Fall sollte das Notebook immer über einen vollen Akku sowie über Administratorenkonten mit weitreichenden Kompetenzen verfügen. Auch die Speicherung in der Cloud ist eine Option, die immer beliebter wird. Bei einem Stromausfall jedoch ist auch hier kein Zugriff mehr möglich. 

Proben für den Ernstfall
Auch die beste Vorbereitung ist vergebens, wenn die Verantwortlichen im Ernstfall die Nerven verlieren. Wie die Feuerwehr ihre verschiedenen Einsätze, so muss auch ein Unternehmen einen IT-Notfallplan einmal unter scheinbar echten Bedingungen durchspielen. Damit kommen eventuelle Schwachstellen in der Planung ans Licht und gleichzeitig gewinnen die Mitarbeiter an Sicherheit.

Das BVSW Webseminar zur IT-Notfallplanung geht auf alle kritischen Punkte bei der Erstellung eines Plans ein. Teilnehmer kennen anschließend die rechtlichen Rahmenbedingungen sowie die einzelnen Schritte und auch Hindernisse auf dem Weg zum IT-Notfallplan.

Das Webseminar findet am 29.09.2020 um 10.00 Uhr online statt. Die Teilnehmerzahl ist dabei begrenzt; Interessierte können sich bereits jetzt auf der Webseite des BVSW anmelden.