In acht Schritten zur IT-Notfallplanung

Feuer, Hochwasser oder ein Virenangriff können die IT-Infrastruktur und damit die Geschäftsprozesse lahmlegen

Datum
19. Juni 2017
Autor

Es muss nicht immer gleich eine Katastrophe wie ein Brand im Rechenzentrum oder ein Hochwasserschaden in der Firma sein. Auch kleinere Störungen der IT-Systeme, zum Beispiel der Ausfall eines Servers oder einer anderen Komponente, können die Geschäftsprozesse empfindlich stören oder sogar lahmlegen.

Schäden können Existenzen bedrohen

Betroffene Unternehmen erleiden in der Regel schmerzhafte finanzielle Schäden. Auch Imageschäden sind oft die Folge, vor allem, wenn sich herausstellt, dass sie die Krise nicht schnell beziehungsweise allein meistern können. Besonders für kleine und mittelständische Unternehmen (KMU) nehmen solche Fälle schnell existenzbedrohende Ausmaße an. Wohl dem, der vorgesorgt hat, beispielsweise mit einer umfassenden prozessorientierten Notfallplanung.

Wir machen das in Excel …

IT-Notfallplanung ist in den meisten Organisationen ein lästiges Thema, mit dem sich niemand beschäftigen will. Sowohl die finanziellen als auch die zeitlichen Ressourcen sind knapp. Daher wird oft auf altbewährte Methoden zurückgegriffen und die IT-Infrastruktur in Excel oder einem anderen Office-Programm dokumentiert. Solche Lösungen bedingen aber einen enormen Pflegeaufwand, was die Mitarbeitenden demotiviert und auch nicht das gewünschte Ergebnis mit sich bringt.

Die Daten müssen an mehreren Stellen gepflegt werden, was den Überblick erschwert oder gar verunmöglicht. Das kann in der Praxis beispielsweise dazu führen, dass die IT-Services jemandem zugewiesen werden, der vielleicht nicht mehr im Unternehmen arbeitet, oder dass im Dokument auf andere Dokumente verlinkt wird, die nicht mehr existieren. Excel & Co. sind nicht nur die aufwendigste, sondern auch die kostspieligste Variante, um eine Notfallplanung oder ein Managementsystem für Informationssicherheit (ISMS) einzuführen.

Investieren und Geld sparen

Warum ist es für eine Organisation wichtig, eine IT-Notfallplanung zu haben, obwohl das im ersten Schritt mehr Aufwand und mehr Kosten bedeutet? Die IT-Notfallplanung ermöglicht größere Transparenz und zeigt Bedrohungen der Kernprozesse auf. Das könnten Kopfmonopole sein, also einzelne Mitarbeitende, die über exklusives wichtiges Spezialwissen verfügen. Aber auch Sicherheitslücken oder fehlende Redundanzen in den Prozessen können die Kernprozesse gefährden. Dank größerer Transparenz können Unternehmen zielgerichtet investieren und so Geld sparen.

Bei den Kernprozessen ansetzen

Oft fehlt die Grundlage für fundierte Entscheidungen. Das hat einen einfachen Grund: Bei der Notfallplanung gehen die Unternehmen meistens von ihrer Infrastruktur aus. Wenn man aber bei den Kernprozessen ansetzt, die Verknüpfung zur IT-Infrastruktur darstellt und die möglichen Ausfallszenarien definiert, werden die Risiken klar. So lässt sich der Schaden eines Ausfalls für die Geschäftsführung leicht beziffern. Diesem Schaden die Investition in eine Notfallplanung gegenüberstellen und betriebswirtschaftlich aufrechnen ist dann kein Problem mehr. Diese Vorgehen hat einen weiteren entscheidenden Vorteil: Statt sich auf die Infrastruktur zu konzentrieren und dort stehen zu bleiben, kann eine umfassende prozessorientierte Notfallplanung entstehen, die die IT einbezieht und die Auswirkungen auf die Kernprozesse aufzeigt. Eine solche Notfallplanung lässt sich in acht einfachen Schritten realisieren.

Der Acht-Schritte-Plan

  1. Nehmen Sie alle notfallrelevanten Prozesse, Services und Basisservices in die Notfallplanung auf und bewerten Sie sie nach ihrer Kritikalität.
  2. Skizzieren Sie auf der Grundlage der Kritikalität mögliche Ausfallszenarien und legen Sie das Schadenpotenzial fest.
  3. Berücksichtigen Sie rechtliche Auflagen, die je nach Notfallsituation gelten können.
  4. Listen Sie alle Mitarbeitenden mit notfallrelevanten Fähigkeiten und Kompetenzen auf.
  5. Weisen Sie die Mitarbeitenden dem Notfallteam beziehungsweise dem Krisenstab zu.
  6. Importieren Sie alle wichtigen Dokumente, die im Notfall relevant werden können, auch in das Notfallsystem, damit sie verfügbar sind.
  7. Dokumentieren Sie die komplette IT-Infrastruktur. Diese kann über Importer und Schnittstellen einfach in die Notfallplanungs-Software hochgeladen werden.
  8. Ordnen Sie die IT-Infrastruktur den unternehmenskritischen Prozessen zu. Dieser Schritt ist besonders wichtig, weil alle Abhängigkeiten dargestellt werden.

IT-Notfallplanung und ISMS

Sobald eine umfassende IT-Notfallplanung erstellt worden ist, kann derselbe Datenbestand als Grundlage für die Einführung eines ISMS oder die Nutzung eines Datenschutzmoduls dienen. Bei der ISMS-Implementierung muss festgelegt werden, welche Informationen schützenswert sind. Wenn diese Informationen beispielsweise woanders gespeichert werden, sollte der Informationssicherheitsbeauftragte sofort informiert werden. Die saubere Abbildung des Risikos der relevanten Fachverfahren  ist für den Datenschutz entscheidend. Nach der einmaligen Datenerfassung können alle Veränderungen zentral gepflegt werden – und alle Auswirkungen sind sofort in allen Bereichen sichtbar. Dadurch kann der Aufwand für die IT-Dokumentation um bis zu 70 Prozent reduziert werden.

Kurz und bündig

Eine umfassende Notfallplanung muss nicht kompliziert sein, wenn Sie sich vorher Gedanken über die Vorgehensweise und die Umsetzung machen.

Gastautor

Contechnet bietet mit seinen Softwarelösungen INDART Professional® und INDITOR® (BSI/ISO) die geeignete Hilfestellung für die Umsetzung einer IT-Notfallplanung sowie die Implementierung eines ISMS. Die Vorteile dieser Lösungen liegen auf der Hand: Man wird strukturiert durch den Aufnahmeprozess geleitet und kann vorhandene IT-Systeme an die Lösung anbinden. Einmal installiert, halten die Lösungen so alle Dokumente und Serverinformationen ohne großen Aufwand aktuell. Auf Knopfdruck lassen sich aus der Software heraus umfangreiche Berichte sowie Notfallpläne erzeugen. Weiterhin werden Abhängigkeiten zwischen Prozessen, Services und IT ebenso abgebildet, wie das Personal mit den entsprechenden Verantwortlichkeiten. Damit sind Organisationen auf jedes Szenario vorbereitet und können im Notfall schnell und gezielt reagieren.