DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Not­fall­be­wäl­tigung

Notfallmanagement Teil 4

Selbst eine umfas­sende Not­fall­vor­sorge kann ein Rest­risiko nicht aus­schließen: Für den Ernstfall muss eine Stra­tegie ent­worfen werden. Abläufe, die bei Ein­tritt eines Not­falls akti­viert werden, helfen Unter­nehmen bei der erfolg­reichen Not­fall­be­wäl­tigung.

 

Kom­po­nenten der Not­fall­be­wäl­tigung

In jedem Unter­nehmen gilt es, Stra­tegien zur Not­fall­be­wäl­tigung indi­vi­duell zu planen und umzu­setzen. An dieser Stelle bietet es sich an noch einmal kurz darauf ein­zu­gehen, was ein Notfall sein kann. Bei­spiele für typische Not­fälle sind:

  • Gebäu­de­räumung wegen Brand
  • Krankheit des zen­tralen Admi­nis­trators
  • Strom­ausfall, Kom­plett­ausfall
  • Ausfall eines Support-Diens­t­­leisters
  • Ausfall von Servern

Eine funk­tio­nie­rende Not­fall­be­wäl­tigung setzt sich in der Regel aus vier Aspekten zusammen:

  • Ablauf­or­ga­ni­sation für den Notfall
  • Auf­bau­or­ga­ni­sation für den Notfall
  • Not­fall­kom­mu­ni­kation
  • Not­fall­handbuch

Ablauf­or­ga­ni­sation für den Notfall

Wie erhalten die Ver­ant­wort­lichen eines Unter­nehmens Kenntnis über einen Vorfall? Und wie läuft anschließend die interne Kom­mu­ni­kation und Eska­lation ab? Die Antwort auf diese Fragen – also die Fest­legung von Wegen und Ver­fahren für Meldung, Eska­lation und Alar­mierung von Vor­fällen – ist von ent­schei­dender Bedeutung für das Not­fall­ma­nagement.

Zu Beginn der Infor­ma­ti­ons­kette ist oft nicht ersichtlich, ob es sich bei einem Vorfall um einen Notfall handelt. Daher sollte dieser Punkt zunächst bewusst offen gehalten werden. Auch ist es sinnvoll, zwi­schen Störung und Notfall zu unter­scheiden. Bei der Störung handelt es sich um einen Vorfall, der durch die bekannten Ver­fahren in den Fach­ab­tei­lungen lösbar ist.

Ein ein­faches Bei­spiel, für den Ablauf von Meldung, Alar­mierung und Eska­lation, können Sie der fol­genden Abbildung ent­nehmen:

Notfallmanagement Teil 4

Quelle: eigene Dar­stellung; © Bild: DATEV eG

Auf­bau­or­ga­ni­sation für den Notfall

Die Auf­bau­or­ga­ni­sation wird in einem Notfall tem­porär aktiv und ist für die effektive und schnelle Not­fall­be­wäl­tigung inklusive des Wie­der­an­laufs zuständig. Sie ist bereits vor Ein­tritt eines Not­falls fest­zu­legen, auf­zu­bauen und zu doku­men­tieren. Es wird dabei unter­schieden zwi­schen:

Not­fallstab
Das zen­trale Füh­rungs­gremium der Not­fall­be­wäl­tigung ist der Not­fallstab. Bei ihm handelt es sich um ein Organ, das die normale Auf­bau­or­ga­ni­sation eines Unter­nehmens durch­bricht. Der Not­fallstab agiert auf einer hier­ar­chie­losen Ent­schei­dungs­ebene und bündelt abtei­lungs­über­grei­fende Kom­pe­tenzen.

In seiner Ver­ant­wortung liegt es zu planen, koor­di­nieren, infor­mieren, beraten und zu unter­stützen. Er setzt sich aus einem Leiter, einem Kernteam und einem erwei­terten Not­fall­stabsteam zusammen. Die kon­krete Aus­ge­staltung erfolgt unter­neh­mens­in­di­vi­duell.

Mein Tipp: So klein wie möglich und so aus­bau­fähig wie nötig. Grund­sätzlich sollte immer jemand aus der obersten Füh­rungs­ebene ein­ge­bunden sein, zum Bei­spiel die Geschäfts­leitung.

Not­fall­teams
Der ope­rative Teil der Not­fall­be­wäl­tigung wird durch ver­schiedene Not­fall­teams geleistet, die für den Not­fallstab arbeiten. Diese sind jeweils zuständig für Server, Datenbank, Tele­kom­mu­ni­kation, etc. und ermög­lichen so den Wie­der­anlauf bzw. die Wie­der­her­stellung von Geschäfts­pro­zessen, Anwen­dungen und Sys­temen.

Des Wei­teren ist fest­zu­legen, wie und durch wen Not­fallstab und Not­fall­teams im Bedarfsfall alar­miert werden. Denkbar wäre etwa ein manu­elles Abte­le­fo­nieren oder ein Alar­mie­rungs­server. Auch wo sich Stab und Teams treffen sollte geregelt werden, zum Bei­spiel durch die Ein­richtung eines Not­fall­stabs­raums.

Not­fall­kom­mu­ni­kation

Die Not­fall­kom­mu­ni­kation ist einer der zen­tralen Erfolgs­fak­toren im Not­fall­ma­nagement. Die Kom­mu­ni­kation mit den ver­schie­denen Inter­es­sen­gruppen hat das Ziel zu infor­mieren sowie einen Ver­­­trauens- und Image­verlust zu ver­meiden, um wei­teren Schaden zu ver­hindern. Sie sollte sowohl während als auch nach dem Notfall statt­finden.

Im Vorfeld ist fest­zu­legen, wer für die Not­fall­kom­mu­ni­kation ver­ant­wortlich ist. Das könnte etwa die Geschäfts­leitung oder ein Pres­se­sprecher sein. Auch müssen ver­schie­denste Inter­es­sen­gruppen berück­sichtigt werden, zum Bei­spiel Öffent­lichkeit, Behörden, Kunden, Anwohner oder Mit­ar­beiter. Als Kom­mu­ni­ka­ti­ons­mittel sind Pres­se­mit­tei­lungen, Kon­fe­renzen, Bür­ger­te­lefon etc. denkbar.

Grund­sätze:

  • Jeder Notfall wird früher oder später öffentlich. Das Unter­nehmen sollte Öffent­lichkeit und Mit­ar­beiter daher recht­zeitig infor­mieren.
  • Nicht alle Details des Not­falls sollten ver­öf­fent­licht werden. Inhaltlich gilt aber die Maxime: Die gemachten Aus­sagen müssen der Wahrheit ent­sprechen.
  • Negative Nach­richten sollten nicht einfach ver­schwiegen werden. In einer digi­talen Gesell­schaft lässt sich der Infor­ma­ti­ons­fluss ohnehin nur begrenzt unter­drücken.
  • Infor­ma­tionen sollten soweit abs­tra­hiert werden, dass Kon­kur­renten keine wert­vollen Vor­teile ableiten können. Auch sollten keine Nach­ahmer ani­miert werden. So sollte nicht etwa berichtet werden, dass ein ver­übter Ein­bruch mangels Alarm­anlage nicht ent­deckt werden konnte.

Not­fall­handbuch

Heute genügt es längst nicht mehr, in einem klas­si­schen Not­fall­handbuch „Standard-Not­­fälle“ wie Brand- oder Was­ser­schäden einfach nur zu beschreiben. Vielmehr ist das Not­fall­handbuch die Gesamtheit aller für die Not­fall­be­wäl­tigung erfor­der­lichen (Teil-)Dokumente. Es fasst alle Infor­ma­tionen, Struk­turen und Aktionen zusammen, die nach Ein­tritt eines Not­falls und zur Wie­der­auf­nahme des Betriebs benötigt werden.

Unter anderem enthält es benö­tigte Sys­tem­daten und Beschrei­bungen der im Notfall aus­zu­füh­renden Pro­zesse, legt Melde- und Eska­la­ti­onswege fest und beschreibt Wie­der­an­lauf­pläne und Aus­weich­pro­zesse für den Not­be­trieb. Trotz umfang­reicher Anfor­de­rungen und not­wen­diger Kom­ple­xität muss es dabei ein­fache und voll­ständige Hand­lungs­an­wei­sungen ent­halten. Erfor­der­liche Maß­nahmen gehen aus dem Not­fall­handbuch klar hervor.

Für den Aufbau eines Not­fall­hand­buchs bieten sich drei alter­native Glie­de­rungen an:

  • Eine Glie­derung nach Phasen, die den zeit­lichen Ablauf der Not­fall­be­wäl­tigung wider­spiegelt
  • Eine Glie­derung nach Ver­ant­wor­tungs­ebenen, ‑bereichen und / oder Rollen, die sich an den Auf­gaben von Bear­beitern ori­en­tiert
  • Eine Glie­derung nach Pro­zessen, die auf die ein­zelnen Geschäfts­pro­zesse oder Gruppen von Pro­zessen zielt

In der Praxis hat sich die letzte Form der Glie­derung besonders bewährt. Gerade in der nicht all­täg­lichen Situation eines Not­falls, fällt es allen Betei­ligten leichter gemäß klar defi­nierten Pro­zessen zu handeln, als die anderen beiden Vari­anten umzu­setzen.

In meinem nächsten Beitrag wird es um die Frage gehen, wie sich ein Unter­nehmen auf Not­fälle vor­be­reiten kann, indem es Übungen und Tests durch­führt. Hierbei geht es mir darum nach­zu­weisen, dass die bisher theo­re­ti­schen Über­le­gungen auch in der Praxis geeignet sind, um auf Not­fälle ange­messen zu reagieren.

Die bisher erschienen Bei­träge zur Serie Not­fall­ma­nagement:

Teil 1: “6 Schritte im Unter­nehmen

Teil 2: “Das kri­tische Potential von Geschäfts­pro­zessen

Teil 3: “Not­fall­vor­sorge

Teil 5: “Tests und Übungen

Teil 6: “Kon­ti­nu­ier­liche Ver­bes­serung

Bild:  © Jens Bre­dehorn / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.