DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Not­fall­ma­nagement

Notfallmanagement

Für jedes Unter­nehmen ist eine plan­mäßige Funk­ti­ons­fä­higkeit seiner Geschäfts­pro­zesse eine grund­le­gende Vor­aus­setzung für den wirt­schaft­lichen Erfolg. Haben Sie sich als Unter­nehmer oder Unter­neh­merin schon einmal Gedanken darüber gemacht, was ist, wenn die Funk­ti­ons­fä­higkeit nicht mehr gewähr­leistet ist? Können Sie darauf schnell reagieren?

Not­fall­ma­nagement: Not­fall­vor­sorge oder Not­fall­be­wäl­tigung?

„Wer das Morgen nicht bedenkt, wird Kummer haben, bevor das Heute zu Ende geht“, sagte bereits Kon­fuzius.

Das Not­fall­ma­nagement hat zum Ziel, gefähr­liche Ereig­nisse für das eigene Unter­nehmen früh­zeitig zu erkennen und Maß­nahmen dagegen zu ergreifen. Ziel ist die Scha­dens­wirkung von diesen Ereig­nissen zu begrenzen. Um die Funk­ti­ons­fä­higkeit und damit das Über­leben zu sichern, sind geeignete Prä­ven­tiv­maß­nahmen zu treffen, die zum einen die Robustheit und Aus­fall­si­cherheit der Geschäfts­pro­zesse erhöhen (man spricht hierbei von einer „Not­fall­vor­sorge“) und zum anderen ein schnelles und ziel­ge­rich­tetes Reagieren in einem Notfall (man spricht hierbei von der „Not­fall­be­wäl­tigung“) ermög­lichen.

Im All­ge­meinen spricht man von einem „Notfall“, wenn ein länger andau­ernder Ausfall von Pro­zessen oder Res­sourcen mit hohem oder sehr hohem Schaden ein­tritt und drin­gendes Handeln erfordert. Doch was heißt dies konkret im betrieb­lichen Umfeld? Auch wenn dies im Ein­zelfall für jedes Unter­nehmen natürlich anders aus­sieht, so sind typische Bei­spiele etwa

  • Ener­gie­ausfall (unwahr­scheinlich? Alleine im April 2013 in Städten wie Erfurt, Ober­hausen, Freiburg pas­siert)
  • Hardware-Defekt (Fest­plat­ten­crash, Virus­befall, etc.)
  • Brand (sei es das Büro­ge­bäude oder der Raum, in dem die Server stehen)
  • Per­so­nal­ausfall (viel­leicht eines wich­tigen Mit­ar­beiters, der Preise im Webshop ändern kann oder als Ein­ziger Büro­rechner admi­nis­trieren kann?)
  • Pro­duk­ti­ons­ausfall (weil even­tuell Ersatz­teile nicht vor­handen sind?)

Ist Ihr Unter­nehmen dagegen geschützt oder haben Sie Pläne in der Schublade, um darauf mög­lichst bald reagieren zu können?

Not­fall­ma­nagement in Unter­nehmen

Ein rei­bungs­loser Geschäfts­be­trieb, der für den wirt­schaft­lichen Erfolg sorgt, liegt im Eigen­in­teresse von Unter­nehmern. Aus diesem Grund muss auch die Beschäf­tigung mit Not­fällen und deren Vorsorge/Bewältigung im Eigen­in­teresse der Ver­ant­wort­lichen liegen, denn ansonsten kann der wirt­schaft­liche Erfolg auf Dauer und in allen Situa­tionen nicht garan­tiert werden.

Daneben gibt es jedoch auch gesetz­liche For­de­rungen, die „Not­fall­ma­nagement“ in einem gewissen Maße fordern. Hier sind Rege­lungen zu nennen, wie KonTraG, AktG, GmbhG, Basel II, SOX, MaRisk.

Not­fall­ma­nagement: Umsetzung in Unter­nehmen
 
Bisher wurde in diesem Blog-Beitrag dar­ge­stellt, was ein Notfall bzw. ein Not­fall­ma­nagement ist und warum sich ein Unter­nehmen damit zwingend beschäf­tigen muss. Doch wie setzt ein Unter­nehmen dies am besten und effek­tivsten um? Was ist wie und in welcher Rei­hen­folge zu erle­digen?

  1. Initi­ierung des Not­fall­ma­nage­ments
    Auf­grund der Wich­tigkeit des Not­fall­ma­nage­ments muss die Leitung des Unter­nehmens auch hierfür die Ver­ant­wortung über­nehmen. Gleich­zeitig muss eine Orga­ni­sa­ti­ons­struktur für die Not­fälle (z.B. ein Not­fallteam in klei­neren Unter­nehmen oder Not­fall­teams in grö­ßeren Unter­nehmen je nach Bereich z.B. Pro­duktion, IT etc.) geschaffen werden, die in solchen Situa­tionen in der Lage ist, Ent­schei­dungen her­bei­führen zu können. Die Not­fall­orga­ni­sation wird nur bei Bedarf aktiv und muss im Vorfeld fest­gelegt worden sein. Anders als bei schlanken Geschäfts­pro­zessen muss hier breites Know-how vor­handen sein.
     
  2. Iden­ti­fi­kation von kri­ti­schen Geschäfts­pro­zessen
    Res­sourcen sind knapp und daher sollte sich ein Unter­nehmen auf kri­tische Geschäfts­pro­zesse kon­zen­trieren. Mittels einer Analyse (Business Impact Analyse) wird ermittelt, welche Pro­zesse wirklich kri­tisch für das eigene Unter­nehmen sind. Wie dies erfolgen kann, wird in Teil 2 der Arti­kel­serie genauer beschrieben.
     
  3. Not­fall­vor­sorge
    Um die kri­ti­schen Geschäfts­pro­zesse zu schützen, können unter­schied­liche Ver­fahren (wie z.B. Daten­si­che­rungen, Red­undanz, Netz­er­satz­an­lagen, Ver­tre­ter­re­ge­lungen) ange­wendet werden. Da im Regelfall die Res­sourcen für die Umsetzung beschränkt sind, gilt es diese Phase besonders effi­zient zu planen und zu gestalten. Wie genau dies geschieht, wird in Teil 3 der Arti­kel­serie genauer beschrieben.
     
  4. Not­fall­be­wäl­tigung
    Auch durch den Schutz von kri­ti­schen Geschäfts­pro­zessen können nicht alle gefähr­lichen Situa­tionen eli­mi­niert werden und es kann ein Notfall ein­treten. Auch hierfür muss ein Unter­nehmen Vor­sorge treffen und eine Not­fall­be­wäl­tigung auf­bauen (wie z.B. benö­tigte Res­sourcen, tech­ni­sches Material, Spe­zi­al­kräfte, Ver­fahren). Was eine funk­tio­nie­rende Not­fall­be­wäl­tigung konkret beinhalten sollte, wird in Teil 4 der Arti­kel­serie vor­ge­stellt.
     
  5. Tests und Übungen
    Um die Aktua­lität und Effek­ti­vität des Not­fall­ma­nage­ments sicher­zu­stellen, muss das Unter­nehmen die Vor­sor­ge­maß­nahmen, Struk­turen und Pläne regel­mäßig testen und üben, damit diese im Ernstfall auch funk­tio­nieren wie geplant. Teil 5 der Arti­kel­serie wird dies ein­ge­hender beleuchten.
     
  6. Kon­ti­nu­ier­liche Ver­bes­serung

    7. Abge­rundet wird der Not­­fal­l­­ma­­nagement-Prozess durch die per­ma­nente Auf­recht­erhaltung durch Schu­lungen und stän­diger Wei­ter­ent­wicklung und Anpas­sungen der Kon­zepte, Doku­mente und Vor­gehen. Nur so kann sicher­ge­stellt werden, dass die Inhalte von den Mit­ar­beitern „ver­standen“ und im Notfall auch richtig ange­wendet werden können. Wie dies am besten umge­setzt wird, wird in Teil 6 der Arti­kel­serie behandelt.

Die bisher erschienen Bei­träge zur Serie Not­fall­ma­nagement:

Teil 2: “Das kri­tische Potential von Geschäfts­pro­zessen

Teil 3: “Not­fall­vor­sorge

Teil 4: “Not­fall­be­wäl­tigung

Teil 5: “Tests und Übungen

Teil 6: “Kon­ti­nu­ier­liche Ver­bes­serung

Bild:  © Jens Bre­dehorn / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Meist gelesen

Neueste Kom­mentare

Links

Blogroll