DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Haben Sie eigentlich einen IT-Not­­fallplan?

Bitkom Grafik Notfallpläne in KMU

Ich frage das deshalb, weil ich mir vor gar nicht allzu langer Zeit, gemeinsam mit einer Freundin die Nacht um die Ohren geschlagen habe.  Wir ver­suchten gemeinsam die geschäft­lichen Daten besagter Freundin, die erst kürzlich den Sprung in die Selb­stän­digkeit gewagt hatte, zu retten. Diese Freundin hatte nämlich keinen IT-Not­­fallplan. Genau genommen hatte sie nicht einmal eine saubere Daten­si­cherung.

Eine regel­mäßige Daten­si­cherung gehört unbe­dingt dazu, ist aber noch kein Not­fallplan

Als Frei­be­ruf­lerin  ist neben ihrem Know-how ihr Laptop ihr wich­tigstes Betriebs­ka­pital. Zusätzlich zu diesem Laptop ver­fügte sie noch über eine externe Fest­platte, denn das Risiko eines mög­lichen Daten­ver­lustes war ihr durchaus bewusst.

Die Grund­lagen für eine Daten­si­cherung wären also eigentlich vor­handen gewesen. Ihre Kon­zepte und Ent­würfe aller­dings sicherte sie nur spo­ra­disch, denn sie ist viel unterwegs. Die letzte Daten­si­cherung lag rund 3 Wochen zurück. Im ersten Daten­ret­tungs­versuch wollten wir die Daten von der externen Fest­platte auf einen anderen  PC sichern. Das funk­tio­nierte leider nicht. Eine Rück­si­cherung der Daten von der externen Fest­platte auf den Laptop hatte sie noch nie aus­pro­biert. Ich will jetzt auch gar nicht all die Dinge auf­zählen, die wir noch ver­sucht haben, denn sie führten leider sowieso zu keinem Ergebnis. Denn wie sich her­aus­stellte, war die Fest­platte des Laptops defekt.

Ein IT-Notfall kann schnell zum exis­ten­zi­ellen Problem werden
Jetzt war guter Rat teuer, der Kun­den­termin rückte näher und wenn über­haupt jemand helfen konnte, dann nur noch pro­fes­sio­nelle Daten­retter.  Aber  wie auf die Schnelle jemanden finden, wenn man sich vorher noch nie gedanklich  mit einem mög­lichen Notfall befasst hat? Der Fest­plat­ten­defekt war binnen kür­zester Zeit zum exis­ten­zi­ellen Problem geworden.

Das wirklich erstaun­liche in diesem Zusam­menhang ist aller­dings, dass der oben beschriebene Vorfall kein Ein­zelfall ist. Denn laut einer Studie des BITKOM verfügt fast die Hälfte der deut­schen Unter­nehmen über keinen Not­fallplan. An diesem kleinen Bei­spiel sieht man nur erstaunlich gut, wie dras­tisch sich solche IT-Not­­fälle unter Umständen aus­wirken können.

Was muss ein IT-Not­­fallplan ent­halten
Ein IT-Not­­fal­l­­konzept sollte deshalb fol­gende Fragen beant­worten: Was pas­siert, wenn die IT aus­fällt? Welche Bereiche sind bei Ausfall welcher Systeme betroffen? Welche Aus­fallzeit kann sich das Unter­nehmen leisten? Welche Maß­nahmen werden ergriffen, um die Lauf­fä­higkeit der Systeme wie­der­her­zu­stellen? Das ist deshalb so wichtig, weil bereits kurze Unter­bre­chungen zu erheb­lichen finan­zi­ellen Schäden führen können. Ein Not­fall­konzept umfasst immer tech­nische und orga­ni­sa­to­rische Lösungen. 

Ziel des Not­fall­ma­nage­ments ist es, sicher­zu­stellen, dass wichtige Geschäfts­pro­zesse selbst in kri­ti­schen Situa­tionen nicht oder nur tem­porär unter­brochen werden und die wirt­schaft­liche Existenz des Unter­nehmens auch bei einem grö­ßeren Scha­dens­er­eignis gesi­chert bleibt. Eine umfas­sende  Betrachtung ist wichtig, um alle Aspekte zu berück­sich­tigen, die zur Fort­führung der kri­ti­schen Geschäfts­pro­zesse bei Ein­tritt eines Scha­dens­er­eig­nisses erfor­derlich sind.

Vor­gehen im Notfall

  • Ein Hand­lungsplan mit klaren Prio­ri­täten der Sicher­heits­ziele und ‑maß­nahmen sollte erstellt werden. Wer eine Weile über sinn­volle Schritte zur Erhöhung der eigenen IT-Sicherheit nach­ge­dacht hat, wird sich bald vor mehr Auf­gaben gestellt sehen, als er zeitlich und finan­ziell bewäl­tigen kann. Daher ist eine geeignete Prio­ri­sierung iden­ti­fi­zierter Sicher­heits­ziele und –Maß­nahmen erfor­derlich. Diese Prio­ri­sierung sollte auch unter Abwägung des Kosten-Nutzen-Ver­­häl­t­­nisses getroffen werden.
  • Zustän­dig­keiten müssen fest­gelegt werden: Für jede iden­ti­fi­zierte Aufgabe muss fest­gelegt werden, wer für die Durch­führung ver­ant­wortlich ist. Ebenso sollte für alle all­gemein for­mu­lierten Sicher­heits­richt­linien genau dar­gelegt werden, für welchen Per­so­nen­kreis diese ver­bindlich sind: Betreffen diese nur fest­an­ge­stellte Mit­ar­beiter, eine bestimmte Abteilung oder alle? Jeder Ver­ant­wort­liche braucht einen Stell­ver­treter. Wichtig ist, dass der Ver­treter auch in der Lage ist seine Auf­gaben wahr­zu­nehmen. Wurde er in seine Auf­gaben ein­ge­wiesen? Sind not­wendige Pass­wörter für den Notfall hin­terlegt? Benötigt er Doku­men­ta­tionen?
  • Not­fall­check­listen sollten erstellt werden und jedem Mit­ar­beiter bekannt sein: Die Check­listen sollen Mit­ar­beitern die wich­tigsten Hand­lungs­schritte vor­geben. Um im Ein­zelfall bedarfs­ori­en­tiert ent­scheiden zu können, sollten auch Tele­fon­nummern der jeweils Zustän­digen doku­men­tiert sein. Gibt es geeignete Ver­tre­tungs­re­ge­lungen für Ver­ant­wort­liche und sind die Ver­treter mit ihren Auf­gaben ver­traut? Sind die wich­tigsten Pass­wörter für Not­fälle sicher hin­terlegt?
  • Not­fall­vor­sorge: Gibt es einen Not­fallplan mit Anwei­sungen und Kon­takt­adressen? Werden alle not­wen­digen Not­fall­si­tua­tionen behandelt? Kennt jeder Mit­ar­beiter den Not­fallplan und ist dieser gut zugänglich?

Jeder Not­fallplan ist letztlich so indi­vi­duell, wie das Unter­nehmen, das ihn erstellt. Anre­gungen finden sie bei­spiels­weise auch beim BSI.

Abbildung: BITKOM-Pres­­se­­kon­­ferenz “IT-Sicherheit in der Wirt­schaft” am 07.03.2012
 

Ein Kommentar zu Haben Sie eigentlich einen IT-Notfallplan?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.