Relevant für:
Geschäftsführer und IT-Verantwortliche im Mittelstand bzw. in kleinen und mittleren Unternehmen (KMU)

Themen:
Business Continuity Management, IT-Sicherheit, IT-Notfallplanung

Warum sollte ich einen IT-Notfallplan erstellen?

Bei einem IT-Notfall, z.B. ein großflächiger Ausfall der IT durch den Befall mit Schadsoftware, entsteht eine sehr komplexe Situation. Sie ist durch mehrere Faktoren geprägt: Es herrscht große Unsicherheit, da häufig die Ursache über längere Zeit unbekannt bleibt und das Ausmaß nicht eingeschätzt werden kann. Im IT-Bereich entsteht eine hohe Arbeitslast und meist wird zusätzliches externes Know-How benötigt. Aufgrund der zentralen Rolle der IT liegen gleichzeitig wesentliche Teile des Geschäftsbetriebs lahm, was einen enorm hohen Kommunikations- und Entscheidungsbedarf generiert. Und es entsteht ein hoher externer Kommunikationbedarf, um sich mit Kunden, Lieferanten und ggf. Behörden abzustimmen, damit die wirtschaftlichen Auswirkungen so gering wie möglich bleiben und Reputationsschäden vermieden werden.

Das passiert alles gleichzeitig und kommt völlig ohne Vorwarnung, vielleicht sogar in einer Zeit, in der ohnehin eine erhöhte Arbeitslast besteht wie z.B. beim Jahresabschluss. Wenn man erst zu diesem Zeitpunkt beginnt sich zu überlegen, was zu tun ist, geht wertvolle Zeit verloren und die Qualität der Entscheidungen wird deutlich hinter dem Möglichen zurückbleiben. Damit kann ein erheblicher wirtschaftlicher Schaden entstehen, der unter Umständen die Existenz des Unternehmens bedrohen kann.

Mit einem IT-Notfallplan hat man wichtige Szenarien bereits gedanklich durchgespielt und die notwendigen Maßnahmen festgehalten. Auch wenn sich ein realer Fall immer anders als in den Planungen darstellen wird und die Situation zunächst immer chaotisch ist, so wird die Organisation trotzdem erheblich von den einzelnen Vorüberlegungen und Handlungsleitfäden profitieren.

Wie sollte ich einen IT-Notfallplan ablegen?

Ein IT-Notfallplan sollte so abgelegt sein, dass auf ihn auch noch in einem IT-Notfall zugegriffen werden kann, d.h. er sollte nicht nur auf einem Dateiordner gespeichert werden, der im Bedarfsfall u.a. nicht mehr zur Verfügung steht.

Papier ist geduldig, daher ist ein Ausdruck nie verkehrt. Natürlich besteht die Risiko, dass Änderungen nicht erneut ausgedruckt werden und das Werk veraltet. Jedoch ist ein in Teilen veralteter Plan immer noch besser als gar kein Plan.

Auch sollten elektronische Varianten abgelegt werden, zumal sie sich einfacher aktualisieren lassen. Hier sollten auf jeden Fall weitverbreitete und herstellerunabhängige Formate gewählt werden, die auf vielen System gelesen werden können, wie z.B. HTML oder PDF. Die Ablage sollte an einem Ort passieren, der unabhängig von der IT des Unternehmens oder der Organisation ist.

Wer sollte Einblick in den Notfallplan bekommen?

Ein IT-Notfallplan enthält sehr viele sensible Details zur IT-Infrastruktur, außerdem die geplanten Maßnahmen zur Schadensabwehr. Gerät er in die falschen Hände, so könnte er Angreifern helfen, in das Unternehmensnetzwerk einzudringen, den Schaden zu vergrößern oder Abwehrmaßnahmen zu unterlaufen. Daher sollte er streng vertraulich behandelt werden und nur ein begrenzter Kreis von vertrauenswürdigen Personen sollte im Vorfeld Einblick in das gesamte Dokument erhalten.

Außerdem sollte er in der Unternehmens-IT besonders gesichert abgelegt werden, damit Hacker keine zusätzlichen Informationen für ihr Tun daraus ableiten können. Da Hacker im Netzwerk häufig Administrator-Zugänge erlangen, sollten die Dokumente nicht nur mit den üblichen Berechtigungen des Betriebssystems geschützt sein, sondern zusätzlich mit starken Passwörtern zum Öffnen der Dokumente.

Üben?

Definitiv! Die Unternehmens-EDV hat heute ein hohes Maß an Zuverlässigkeit erreicht, daher ist es für viele Mitarbeiter außerhalb der Vorstellung, dass die IT auch mal großflächig ausfallen könnte - dieser Umstand trägt wesentlich zum Schockmoment bei, sollte tatsächlich etwas passieren. Daher macht man sich auch keine Gedanken darüber, was zu tun wäre, um die wichtigen Teile des Geschäftsbetriebs aufrecht zu erhalten.

Deshalb sollte die Anwendung des IT-Notfallplans regelmäßig geübt werden, z.B. einmal pro Jahr, am Anfang zweimal pro Jahr. Es könnte z.B. für einen Vormittag lang simuliert werden, dass zwei wichtige Anwendungen nicht verfügbar sind oder dass die komplette Büro-IT wegen eines Krypto-Trojaners unbenutzbar ist und über die kommenden Wochen neu aufgebaut werden muss. Dann müssen die Handlungssequenzen aus dem Notfallplan aufgenommen werden, mit denen man sich auf diese Weise vertraut macht und sie auf ihre Validität prüft. Gleichzeitig zeigt sich, welche Prozesse nun ins Stocken geraten und im Idealfall entstehen weitere Ideen, wie man das abfedern könnte, In einer nachfolgenden Auswertung sollten alle Erkenntnisse besprochen werden und damit der Notfallplan weiterentwickelt werden.

Wie kann ich meinen Chef von der Notwendigkeit überzeugen?

Zeige auf ...

  • Es werden regelmäßig Unternehmen von Schadsoftware getroffen, darunter auch große und renommierte Firmen. Es kann nicht wirklich ausgeschlossen werden, im Gegenteil, heute geht man eher davon aus, dass jedes Unternehmen irgendwann getroffen wird. Siehe Cyber-Angriffe im Jahr 2020
  • Der entstehende Schaden kann immens werden. Siehe Kosten und andere Folgen von Cyber-Angriffen
  • Teilweise geraten Unternehmen damit in die Insolvenz

Aber noch viel wichtiger: Die Vorsorge ist Teil seines Jobs als IT-Verantwortlicher oder als Geschäftsführer.

Cyber-Angriff: sofort handeln!

Unternehmen und Organisationen berichten über ihre Erfahrungen. Wie haben sie reagiert, wie haben sie die Kommunikation organisiert, wie haben sie die wichtigen Geschäftsprozesse ohne IT-Unterstützung organisiert? Folge dem Link ...

Erfahrungen mit IT-Notfällen