Vorbereitet für den Ernstfall: Das IT-Notfallhandbuch

Heute ist ein IT-Ausfall ein unternehmerischer Notfall, denn die Digitalisierung hat sich in fast allen Unternehmenszweigen durchgesetzt. Kommt durch fehlerhafte oder ausgefallene Technik das Tagesgeschäft zum Erliegen, muss schnell gehandelt werden. Um den Betrieb in solchen Situationen schnellstmöglich wieder aufnehmen zu können und den Verlust von wichtigen Daten zu verhindern, muss jedes Unternehmen Vorkehrungen treffen. Ein IT-Notfallhandbuch (engl. it disaster recovery plan) bietet einen Handlungsleitfaden für kritische Situationen, enthält Lösungsansätze und regelt die Verantwortlichkeiten.

Notfallmanagement-Prozesse

Das allgemeine Notfallmanagement bezeichnet man im Fachjargon auch als betriebliches Kontinuitätsmanagement – es soll alle Prozesse im Betrieb, auch in Ausnahmesituationen, am Laufen halten. Dabei kann man die Prozesse grundsätzlich in drei Bereiche aufteilen:

Notfallvorsorge: Unter Notfallvorsorge fallen alle Präventivmaßnahmen, die der Vermeidung von Krisensituationen dienen. Ziel kann im IT-Kontext z. B. sein, die Ausfallsicherheit zu erhöhen oder ein System robuster zu gestalten.
Notfallbewältigung: Bei der Notfallbewältigung geht es um die schnelle Reaktion in Krisensituationen. Dazu gehört die Wiederherstellung der Prozesse und Systeme, die wichtig für den Geschäftsalltag sind. Auch Ausweichplanung und Krisenmanagement sind Teil davon.
Tests und Übungen: Zum Notfall-Management gehört auch die Planung und regelmäßige Durchführung von Tests und Übungen. Ziel ist, den Prozess kontinuierlich zu verbessern und mögliche Schwachstellen zu identifizieren.

Der BSI-Notfallstandard 100-4

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Dokumente und Hilfestellungen zum Thema Notfallmanagement zur Verfügung. Einen Leitfaden für unternehmensweites Notfallmanagement findet man im BSI Standard 100-4. Dieser kann auf der Seite des BSI kostenlos als PDF heruntergeladen werden.

Zum oben genannten Notfallstandard 100-4 gibt es außerdem ein sogenanntes Umsetzungsrahmenwerk, kurz UMRA. Hier finden Unternehmen praktische Hilfe in Form von Dokumenten und Vorlagen.

Unter anderem enthält die UMRA:

Leitlinien zum Notfallmanagement
Vorsorgekonzepte
Ein Notfallhandbuch
Geschäftsfortführungspläne
Wiederaufnahmepläne
Wiederherstellungspläne
Tipps für Sofortmaßnahmen
Übungsanleitungen

Die Abhängigkeit der Unternehmen von ihrer IT-Infrastruktur

Von einer beginnenden Digitalisierung der Arbeitswelt zu sprechen, wäre überholt, denn diese ist längst in vollem Gange. In Wirtschaft und Industrie sind viele Geschäftsmodelle und Prozesse aufs Internet ausgelagert worden: vom Bewerbungsmanagement (E-Recruitment) bis hin zum digitalen Logistikzentrum (E-Logistik). Deshalb sind viele Unternehmen stark abhängig von einer zuverlässigen IT-Infrastruktur, und der Ausfall einer einzigen Komponente kann das komplette Geschäft lahmlegen. Das führt zu immensen Ausfallkosten – solange, bis das System wieder funktioniert. Wer auf professionelle Prävention setzt und über ein IT-Notfallhandbuch verfügt, spart damit im Ernstfall wichtige Zeit und so bares Geld.

Wie kommt es zu einem IT-Notfall?

Ein Teil- oder Komplett-Ausfall des IT-System kann unterschiedlichste Gründe haben: Von physischen Umständen wie Stromausfall oder Wasserschaden bis zur digitalen Fremdeinwirkung und Cyber-Kriminalität. Zu den klassischen Szenarien in der Notfallprävention zählen:

Stromausfall
Wasserschaden
Hard- und Software-Fehler
Fehler eines Anwenders bzw. Mitarbeiters
Hackerangriffe

IT-Dokumentation als wichtige Grundlage

Grundlage für jeden Schritt einer IT-Disaster-Recovery (dt. Notfallwiederherstellung) ist die Dokumentation aller IT-Ressourcen. Die Dokumentation selbst sollte sauber und lückenlos erfolgen und immer auf dem aktuellsten Stand bleiben. Für das IT-Disaster-Management spielen sowohl technische Daten als auch Nutzerlisten, Verantwortlichkeiten und Kontaktdaten eine wichtige Rolle.

Die Dokumentation für ein IT-Notfallhandbuch enthält zum Beispiel Informationen über:

Hardware und Peripheriegeräte wie z. B. Drucker
Software-Anwendungen
IP-Adressen
VPN- und Serverzugängen
E-Mail/Exchange-Daten

Damit man in Notfallsituationen schnell den richtigen Ansprechpartner findet, sollten auch die wichtigen Kontaktinformationen Bestandteil der Dokumentation sein. Dazu gehören unter anderem:

User-Listen
Ansprechpartner und Verantwortliche für einzelne Bereiche
Ansprechpartner von externen Dienstleistern
Vertragsinformationen von Internet- bzw. Hosting-Dienstleistern

Das IT-Notfallhandbuch

Auf Basis der gesamtunternehmerischen Prozesse entsteht in enger Zusammenarbeit mit dem Notfallmanagementbeauftragten das IT-Notfallhandbuch. Im Grunde ist das IT-Notfallhandbuch ein Teil des Gesamtsicherheitskonzeptes und ordnet sich in die bestehenden Richtlinien ein. Zu den Inhalten, die in jedem Fall Teil des IT-Notfallhandbuchs sein sollten, gehören unter anderem:

Begriffsdefinitionen (Was ist ein Notfall?)
Personallisten mit Kontaktdaten (s. o.)
Alarmierungspläne und Meldewege
Beschaffungsprozesse für den Notfall
Maßnahmen zur Beendigung und anschließenden Dokumentation des Notfalls
Notfallvorsorgeplanung
Wiederherstellungspläne für alle Anlagen

Notfall-Szenarien und Wiederherstellungspläne

Neben der oben genannten Dokumentation gehören die Wiederherstellungspläne für einzelne Komponenten zu den wichtigsten Bereichen des Disaster-Recovery-Plans. Und meist erfordert ihre Erstellung auch den größten Aufwand.

Als IT-Sicherheits-Verantwortlicher steht man verschiedenen Notfall-Szenarien gegenüber. Für diese Szenarien soll ein IT-Notfallhandbuch die passenden Lösungsansätze und vor allem geeignete Wiederherstellungspläne bieten. Eine genaue Risikoanalyse legt die kritischen Stellen offen und identifiziert Bereiche, die stark gefährdet, aber für den Betriebsablauf unbedingt notwendig sind.

Vor dem Verfassen der Wiederherstellungspläne erfolgt vorab die:

Analyse aller IT-Prozesse und-Verfahren
Analyse der Hardware
Prüfung aller Softwareanwendungen
Abfrage aller relevanten Bewegungs- und Systemdaten

Im Anschluss wird eine Schritt-für-Schritt-Anleitung für die möglichen Notfall-Szenarien erstellt und in das IT-Notfallhandbuch aufgenommen. Das Anlegen eines IT-Notfallhandbuchs, insbesondere der Wiederherstellungspläne, ist aufwendig und nur in enger Abstimmung mit allen Unternehmensbereichen möglich. Auch trotz der Möglichkeit, auf IT -Notfallhandbuch-Vorlagen und -Leitfäden zurückgreifen zu können, bleibt es stets ein zeitintensiver Prozess. Denn neben der Erstellung des komplexen Leitfadens gehören auch regelmäßige Aktualisierungen zur Vorbereitung auf eventuelle Notfälle – ebenso wie Schulungen der Mitarbeiter. Unternehmer sollten daher abwägen, ob es eventuell sinnvoller ist, auf einen externen Dienstleister zu setzen, statt das IT-Disaster-Management komplett durch das eigene Team zu organisieren.

Ausfallsicherheit erhöhen

Die Erstellung eines IT-Notfallhandbuchs ist eine notwendige und wertvolle Arbeit. Unter Umständen schützt sie Unternehmen von Verlusten in Höhe von vielen tausend Euro, wie eine Studie aus dem Jahr 2013 zeigt. Demnach benötigt die Wiederherstellung nach einem IT-Systemausfall im Schnitt 3,8 Stunden, die Kosten pro Stunde liegen bei gut 25.000 Euro. Bei durchschnittlich vier Ausfällen pro Jahr beläuft sich der Gesamtschaden auf 380.000 Euro im Jahr. Durch die genauen Analyse und das Durchspielen verschiedener Was-wäre-wenn-Szenarien können Schwachstellen identifiziert und behoben werden. So bereitet man sich nicht nur auf den Notfall vor, sondern man erhöht gleichzeitig auch die Sicherheit des Systems. Die Ausfallsicherheit wird maximiert, während die Eintrittswahrscheinlichkeit der durchgespielten Szenarien minimiert wird.