Haben Sie eigentlich einen IT-Notfallplan?

Ich frage das deshalb, weil ich mir vor gar nicht allzu langer Zeit, gemeinsam mit einer Freundin die Nacht um die Ohren geschlagen habe.  Wir ver­suchten gemeinsam die geschäft­lichen Daten besagter Freundin, die erst kürzlich den Sprung in die Selb­stän­digkeit gewagt hatte, zu retten. Diese Freundin hatte nämlich keinen IT-Not­­fallplan. Genau genommen hatte sie nicht einmal eine saubere Datensicherung.

Eine regel­mäßige Daten­si­cherung gehört unbe­dingt dazu, ist aber noch kein Notfallplan

Als Frei­be­ruf­lerin  ist neben ihrem Know-how ihr Laptop ihr wich­tigstes Betriebs­ka­pital. Zusätzlich zu diesem Laptop ver­fügte sie noch über eine externe Fest­platte, denn das Risiko eines mög­lichen Daten­ver­lustes war ihr durchaus bewusst.

Die Grund­lagen für eine Daten­si­cherung wären also eigentlich vor­handen gewesen. Ihre Kon­zepte und Ent­würfe aller­dings sicherte sie nur spo­ra­disch, denn sie ist viel unterwegs. Die letzte Daten­si­cherung lag rund 3 Wochen zurück. Im ersten Daten­ret­tungs­versuch wollten wir die Daten von der externen Fest­platte auf einen anderen  PC sichern. Das funk­tio­nierte leider nicht. Eine Rück­si­cherung der Daten von der externen Fest­platte auf den Laptop hatte sie noch nie aus­pro­biert. Ich will jetzt auch gar nicht all die Dinge auf­zählen, die wir noch ver­sucht haben, denn sie führten leider sowieso zu keinem Ergebnis. Denn wie sich her­aus­stellte, war die Fest­platte des Laptops defekt.

Ein IT-Notfall kann schnell zum exis­ten­zi­ellen Problem werden
Jetzt war guter Rat teuer, der Kun­den­termin rückte näher und wenn über­haupt jemand helfen konnte, dann nur noch pro­fes­sio­nelle Daten­retter.  Aber  wie auf die Schnelle jemanden finden, wenn man sich vorher noch nie gedanklich  mit einem mög­lichen Notfall befasst hat? Der Fest­plat­ten­defekt war binnen kür­zester Zeit zum exis­ten­zi­ellen Problem geworden.

Das wirklich erstaun­liche in diesem Zusam­menhang ist aller­dings, dass der oben beschriebene Vorfall kein Ein­zelfall ist. Denn laut einer Studie des BITKOM verfügt fast die Hälfte der deut­schen Unter­nehmen über keinen Not­fallplan. An diesem kleinen Bei­spiel sieht man nur erstaunlich gut, wie dras­tisch sich solche IT-Not­­fälle unter Umständen aus­wirken können.

Was muss ein IT-Not­­fallplan enthalten
Ein IT-Not­­fal­l­­konzept sollte deshalb fol­gende Fragen beant­worten: Was pas­siert, wenn die IT aus­fällt? Welche Bereiche sind bei Ausfall welcher Systeme betroffen? Welche Aus­fallzeit kann sich das Unter­nehmen leisten? Welche Maß­nahmen werden ergriffen, um die Lauf­fä­higkeit der Systeme wie­der­her­zu­stellen? Das ist deshalb so wichtig, weil bereits kurze Unter­bre­chungen zu erheb­lichen finan­zi­ellen Schäden führen können. Ein Not­fall­konzept umfasst immer tech­nische und orga­ni­sa­to­rische Lösungen. 

Ziel des Not­fall­ma­nage­ments ist es, sicher­zu­stellen, dass wichtige Geschäfts­pro­zesse selbst in kri­ti­schen Situa­tionen nicht oder nur tem­porär unter­brochen werden und die wirt­schaft­liche Existenz des Unter­nehmens auch bei einem grö­ßeren Scha­dens­er­eignis gesi­chert bleibt. Eine umfas­sende  Betrachtung ist wichtig, um alle Aspekte zu berück­sich­tigen, die zur Fort­führung der kri­ti­schen Geschäfts­pro­zesse bei Ein­tritt eines Scha­dens­er­eig­nisses erfor­derlich sind.

Vor­gehen im Notfall

• Ein Hand­lungsplan mit klaren Prio­ri­täten der Sicher­heits­ziele und ‑maß­nahmen sollte erstellt werden. Wer eine Weile über sinn­volle Schritte zur Erhöhung der eigenen IT-Sicherheit nach­ge­dacht hat, wird sich bald vor mehr Auf­gaben gestellt sehen, als er zeitlich und finan­ziell bewäl­tigen kann. Daher ist eine geeignete Prio­ri­sierung iden­ti­fi­zierter Sicher­heits­ziele und –Maß­nahmen erfor­derlich. Diese Prio­ri­sierung sollte auch unter Abwägung des Kosten-Nutzen-Ver­­häl­t­­nisses getroffen werden.
• Zustän­dig­keiten müssen fest­gelegt werden: Für jede iden­ti­fi­zierte Aufgabe muss fest­gelegt werden, wer für die Durch­führung ver­ant­wortlich ist. Ebenso sollte für alle all­gemein for­mu­lierten Sicher­heits­richt­linien genau dar­gelegt werden, für welchen Per­so­nen­kreis diese ver­bindlich sind: Betreffen diese nur fest­an­ge­stellte Mit­ar­beiter, eine bestimmte Abteilung oder alle? Jeder Ver­ant­wort­liche braucht einen Stell­ver­treter. Wichtig ist, dass der Ver­treter auch in der Lage ist seine Auf­gaben wahr­zu­nehmen. Wurde er in seine Auf­gaben ein­ge­wiesen? Sind not­wendige Pass­wörter für den Notfall hin­terlegt? Benötigt er Dokumentationen?
• Not­fall­check­listen sollten erstellt werden und jedem Mit­ar­beiter bekannt sein: Die Check­listen sollen Mit­ar­beitern die wich­tigsten Hand­lungs­schritte vor­geben. Um im Ein­zelfall bedarfs­ori­en­tiert ent­scheiden zu können, sollten auch Tele­fon­nummern der jeweils Zustän­digen doku­men­tiert sein. Gibt es geeignete Ver­tre­tungs­re­ge­lungen für Ver­ant­wort­liche und sind die Ver­treter mit ihren Auf­gaben ver­traut? Sind die wich­tigsten Pass­wörter für Not­fälle sicher hinterlegt?
• Not­fall­vor­sorge: Gibt es einen Not­fallplan mit Anwei­sungen und Kon­takt­adressen? Werden alle not­wen­digen Not­fall­si­tua­tionen behandelt? Kennt jeder Mit­ar­beiter den Not­fallplan und ist dieser gut zugänglich?

Jeder Not­fallplan ist letztlich so indi­vi­duell, wie das Unter­nehmen, das ihn erstellt. Anre­gungen finden sie bei­spiels­weise auch beim BSI.

Abbildung: BITKOM-Pres­­se­­kon­­ferenz “IT-Sicherheit in der Wirt­schaft” am 07.03.2012