Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Haben Sie eigentlich einen IT-Notfallplan?
Ich frage das deshalb, weil ich mir vor gar nicht allzu langer Zeit, gemeinsam mit einer Freundin die Nacht um die Ohren geschlagen habe. Wir versuchten gemeinsam die geschäftlichen Daten besagter Freundin, die erst kürzlich den Sprung in die Selbständigkeit gewagt hatte, zu retten. Diese Freundin hatte nämlich keinen IT-Notfallplan. Genau genommen hatte sie nicht einmal eine saubere Datensicherung.
Eine regelmäßige Datensicherung gehört unbedingt dazu, ist aber noch kein Notfallplan
Als Freiberuflerin ist neben ihrem Know-how ihr Laptop ihr wichtigstes Betriebskapital. Zusätzlich zu diesem Laptop verfügte sie noch über eine externe Festplatte, denn das Risiko eines möglichen Datenverlustes war ihr durchaus bewusst.
Die Grundlagen für eine Datensicherung wären also eigentlich vorhanden gewesen. Ihre Konzepte und Entwürfe allerdings sicherte sie nur sporadisch, denn sie ist viel unterwegs. Die letzte Datensicherung lag rund 3 Wochen zurück. Im ersten Datenrettungsversuch wollten wir die Daten von der externen Festplatte auf einen anderen PC sichern. Das funktionierte leider nicht. Eine Rücksicherung der Daten von der externen Festplatte auf den Laptop hatte sie noch nie ausprobiert. Ich will jetzt auch gar nicht all die Dinge aufzählen, die wir noch versucht haben, denn sie führten leider sowieso zu keinem Ergebnis. Denn wie sich herausstellte, war die Festplatte des Laptops defekt.
Ein IT-Notfall kann schnell zum existenziellen Problem werden
Jetzt war guter Rat teuer, der Kundentermin rückte näher und wenn überhaupt jemand helfen konnte, dann nur noch professionelle Datenretter. Aber wie auf die Schnelle jemanden finden, wenn man sich vorher noch nie gedanklich mit einem möglichen Notfall befasst hat? Der Festplattendefekt war binnen kürzester Zeit zum existenziellen Problem geworden.
Das wirklich erstaunliche in diesem Zusammenhang ist allerdings, dass der oben beschriebene Vorfall kein Einzelfall ist. Denn laut einer Studie des BITKOM verfügt fast die Hälfte der deutschen Unternehmen über keinen Notfallplan. An diesem kleinen Beispiel sieht man nur erstaunlich gut, wie drastisch sich solche IT-Notfälle unter Umständen auswirken können.
Was muss ein IT-Notfallplan enthalten
Ein IT-Notfallkonzept sollte deshalb folgende Fragen beantworten: Was passiert, wenn die IT ausfällt? Welche Bereiche sind bei Ausfall welcher Systeme betroffen? Welche Ausfallzeit kann sich das Unternehmen leisten? Welche Maßnahmen werden ergriffen, um die Lauffähigkeit der Systeme wiederherzustellen? Das ist deshalb so wichtig, weil bereits kurze Unterbrechungen zu erheblichen finanziellen Schäden führen können. Ein Notfallkonzept umfasst immer technische und organisatorische Lösungen.
Ziel des Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens auch bei einem größeren Schadensereignis gesichert bleibt. Eine umfassende Betrachtung ist wichtig, um alle Aspekte zu berücksichtigen, die zur Fortführung der kritischen Geschäftsprozesse bei Eintritt eines Schadensereignisses erforderlich sind.
Vorgehen im Notfall
- Ein Handlungsplan mit klaren Prioritäten der Sicherheitsziele und ‑maßnahmen sollte erstellt werden. Wer eine Weile über sinnvolle Schritte zur Erhöhung der eigenen IT-Sicherheit nachgedacht hat, wird sich bald vor mehr Aufgaben gestellt sehen, als er zeitlich und finanziell bewältigen kann. Daher ist eine geeignete Priorisierung identifizierter Sicherheitsziele und –Maßnahmen erforderlich. Diese Priorisierung sollte auch unter Abwägung des Kosten-Nutzen-Verhältnisses getroffen werden.
- Zuständigkeiten müssen festgelegt werden: Für jede identifizierte Aufgabe muss festgelegt werden, wer für die Durchführung verantwortlich ist. Ebenso sollte für alle allgemein formulierten Sicherheitsrichtlinien genau dargelegt werden, für welchen Personenkreis diese verbindlich sind: Betreffen diese nur festangestellte Mitarbeiter, eine bestimmte Abteilung oder alle? Jeder Verantwortliche braucht einen Stellvertreter. Wichtig ist, dass der Vertreter auch in der Lage ist seine Aufgaben wahrzunehmen. Wurde er in seine Aufgaben eingewiesen? Sind notwendige Passwörter für den Notfall hinterlegt? Benötigt er Dokumentationen?
- Notfallchecklisten sollten erstellt werden und jedem Mitarbeiter bekannt sein: Die Checklisten sollen Mitarbeitern die wichtigsten Handlungsschritte vorgeben. Um im Einzelfall bedarfsorientiert entscheiden zu können, sollten auch Telefonnummern der jeweils Zuständigen dokumentiert sein. Gibt es geeignete Vertretungsregelungen für Verantwortliche und sind die Vertreter mit ihren Aufgaben vertraut? Sind die wichtigsten Passwörter für Notfälle sicher hinterlegt?
- Notfallvorsorge: Gibt es einen Notfallplan mit Anweisungen und Kontaktadressen? Werden alle notwendigen Notfallsituationen behandelt? Kennt jeder Mitarbeiter den Notfallplan und ist dieser gut zugänglich?
Jeder Notfallplan ist letztlich so individuell, wie das Unternehmen, das ihn erstellt. Anregungen finden sie beispielsweise auch beim BSI.
Abbildung: BITKOM-Pressekonferenz “IT-Sicherheit in der Wirtschaft” am 07.03.2012
Ein Kommentar zu Haben Sie eigentlich einen IT-Notfallplan?
Schreiben Sie einen Kommentar

Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.

Ein sehr wichtiges Thema, auch für die Anwaltskanzlei
Hallo, das ist ein toller Blogbeitrag, den Sie da verfasst haben.
Ich bin das Thema etwas breiter angegangen, also nicht nur auf EDV konzentriert. Hier finden Sie meinen Blogbeitrag dazu: http://pabstblog.de/2013/07/haben-sie-schon-einen-notfallplan-fur-ihre-anwaltskanzlei/
Vielleicht möchten Sie Ihre Sicht ja in einem Kommentar ergänzen?