DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Not­fall­vor­sorge

Notfall Teil 3

Um das eigene Unter­nehmen vor Schäden zu bewahren, müssen Sie Vor­fällen, die die Funk­ti­ons­fä­higkeit von Pro­zessen beein­träch­tigen, mög­lichst effi­zient begegnen. Wie? Das lesen Sie in diesem Beitrag.

 

 

Um was handelt es sich bei der Not­fall­vor­sorge?

Unter der Not­fall­vor­sorge ver­steht man im All­ge­meinen alle orga­ni­sa­to­ri­schen und kon­zep­tu­ellen Aspekte sowie alle Maß­nahmen und Tätig­keiten des Not­fall­ma­nage­ments, die nicht zur direkten Bewäl­tigung eines Not­falls bei­tragen. Dazu zählen

  • vor­beu­gende Maß­nahmen, die den Schaden oder die Ein­tritts­wahr­schein­lich­keiten von Risiken redu­zieren und die Wider­stands­fä­higkeit des Unter­nehmens erhöhen, wie auch
  • Maß­nahmen, um ein schnelles und sinn­volles Reagieren auf einen Vorfall zu ermög­lichen.

Vor­beu­gende Maß­nahmen zum Schutz gegen Not­fälle

Die Liste der mög­lichen vor­beu­genden Maß­nahmen ist natürlich lang und hängt auch von den indi­vi­du­ellen Gege­ben­heiten des Unter­nehmens ab. Fol­gende ein­fache Bei­spiele sollen den Ein­stieg aber erleichtern:

  • Brand
  • Daten­spie­gelung, red­un­dante Technik, Aus­fall­re­chen­zentrum in räumlich aus­rei­chender Ent­fernung, Ersatz­bü­ro­flächen

  • Strom­ausfall
  • Unter­bre­chungs­freie Strom­ver­sorgung und Netz­er­satz­anlage

  • Hardware-Defekt
  • regel­mäßige Erneuerung kri­ti­scher Bau­teile bzw. prä­ventive Wartung

  • Software-Defekt
  • Ein­richtung eines Test­systems getrennt vom Pro­duk­tiv­system mit iden­ti­scher Kon­fi­gu­ration

  • Bedie­nungs­fehler
  • Bereit­stellung einer aus­rei­chenden Doku­men­tation und Mit­ar­bei­ter­schulung

Wer sich inten­siver mit vor­beu­genden Maß­nahmen in den unter­schied­lichen Bereichen beschäf­tigen möchte (z.B. zur Ide­en­sammlung), dem sei der Besuch der Seiten vom BSI (Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik) emp­fohlen.

Für die Umsetzung der vor­beu­genden Maß­nahmen stehen in der Regel nur beschränkte Res­sourcen an Geld und Per­sonal zur Ver­fügung. Daher bietet es sich an

  1. eine Kosten und Auf­wands­schätzung vor­zu­nehmen
  2. die Umset­zungs­rei­hen­folge der Maß­nahmen fest­zu­legen (Maß­nahmen, die z.B. mehrere kri­tische Geschäfts­pro­zesse schützen, haben Vorrang vor allen anderen)
  3. Fest­legung der Auf­gaben und der Ver­ant­wortung, wer bis wann welche Vor­sor­ge­maß­nahmen umzu­setzen hat.

Maß­nahmen zum schnellen und sinn­vollen Reagieren auf einen Notfall

Zur indi­vi­du­ellen Umsetzung von Maß­nahmen zum Reagieren auf einen Notfall haben sich die soge­nannten 5 W‑Fragen eta­bliert:

1. Was muss getan werden?

Kern­stück der Vor­sor­ge­planung ist es, die not­wen­digen Maß­nahmen und Auf­gaben fest­zu­legen. Dazu zählen die Erst­maß­nahmen, die unmit­telbar nach Vorfall durch­zu­führen sind, wie bei­spiels­weise die Infor­ma­ti­ons­kette.

2. Wer kann etwas tun?

Ein Unter­nehmen muss defi­nieren, wer im Notfall für welche Rollen und Auf­gaben geeignet und vor­ge­sehen ist. Welche Kom­pe­tenzen hat in einer solchen Situation der Leiter IT und wer über­nimmt z.B. die Pres­se­arbeit?

3. Wie muss etwas getan werden?

Erläu­terung und Check­listen helfen den Per­sonen, die im Notfall agieren müssen, Ihre Auf­gaben sicher, geordnet und struk­tu­riert zu erle­digen, auch wenn durch die Situation ein hoher Druck auf Ihnen lastet. Kom­plexe Hand­bücher liest im Notfall sowieso keiner. Besser als PDF‑, Excel- oder Word-Datei sind ein­fache Über­sichten, Schau­bilder und struk­tu­rierte For­mulare.

4. Wann muss etwas getan werden?

Für jede Akti­vität ist der Zeit­punkt fest­zu­legen, außerdem sollte die sinn­volle Rei­hen­folge der Arbeit geklärt werden.

5. Wo muss etwas getan werden?

Da manche Auf­gaben not­wen­di­ger­weise an einem bestimmten Ort erledigt werden müssen, sollte der Arbeitsort jedes Teams oder Mit­ar­beiters eben­falls defi­niert – und soweit möglich – vor­be­reitet sein. Das gilt für Sam­mel­plätze, Not­fall­ar­beits­plätze oder Backup-Rechen­­zentren.

Im nächsten Beitrag geht es um die Not­fall­be­wäl­tigung: Was muss unter­nommen werden, wenn doch einmal der Fall der Fälle ein­ge­treten ist? Welche Orga­ni­sation wird benötigt, wie kom­mu­ni­ziere ich als Unter­nehmen gegenüber der Öffent­lichkeit und anderen inter­es­sierten Par­teien und wie kann ich schnell zum Tages­ge­schäft zurück­kehren?

Die bisher erschienen Bei­träge zur Serie Not­fall­ma­nagement:

Teil 1: “6 Schritte im Unter­nehmen

Teil 2: “Das kri­tische Potential von Geschäfts­pro­zessen

Teil 4: “Not­fall­be­wäl­tigung

Teil 5: “Tests und Übungen

Teil 6: “Kon­ti­nu­ier­liche Ver­bes­serung

Bild:  © Jens Bre­dehorn / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.