DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Tests und Übungen beim Not­fall­ma­nagement

Teil 5 Notfallmanagement

Für das Not­fall­ma­nagement liegen alle Doku­mente vor, die beschreiben, was zu tun ist und wie die Bewäl­tigung abläuft. Rege­lungen sind auf­ge­stellt, um Ent­schei­dungen richtig und schnell zu treffen. Doch ob das stimmt, können Tests veri­fi­zieren.

 

Ist der Aufwand für Tests und Übungen gerecht­fertigt?

Tests und Übungen für das Not­fall­ma­nagement sind mit Aufwand und Kosten für ein Unter­nehmen ver­bunden. Doch nur hier­durch lässt sich über­prüfen, ob die erstellten Doku­mente, Abläufe und Rege­lungen wirklich greifen, um einen Notfall zu bewäl­tigen. Mit Tests und Übungen im Not­fall­ma­nagement soll erreicht werden, dass

Sind alle Mit­ar­beiter, die eine Funktion im Notfall haben, noch im Unter­nehmen, ist ihre Ruf­nummer noch aktuell, sind die Räum­lich­keiten, die Infor­ma­ti­ons­technik und weitere Res­sourcen noch wie geplant nutzbar?

Kennen alle Mit­ar­beiter die Abläufe im Notfall und können sie ohne Hektik und Stress so handeln, wie es in der Doku­men­tation beschrieben ist? Konnten Panik oder über­hastete und unüber­legte Reak­tionen ver­mieden werden?
 

  • das Not­fall­ma­nagement immer aktuell ist
  • Sind alle Mit­ar­beiter, die eine Funktion im Notfall haben, noch im Unter­nehmen, ist ihre Ruf­nummer noch aktuell, sind die Räum­lich­keiten, die Infor­ma­ti­ons­technik und weitere Res­sourcen noch wie geplant nutzbar?

  • die Abläufe im Notfall effi­zient sind
  • können im Notfall die Pro­zesse auch wie in den Plänen vor­ge­sehen, ange­messen und ohne unnö­tigen Res­sour­cen­ver­brauch ablaufen?

  • die Mit­ar­beiter für den Notfall trai­niert sind
  • Kennen alle Mit­ar­beiter die Abläufe im Notfall und können sie ohne Hektik und Stress so handeln, wie es in der Doku­men­tation beschrieben ist? Konnten Panik oder über­hastete und unüber­legte Reak­tionen ver­mieden werden? 

Test- und Übungs­arten

Die Mög­lich­keiten zur Über­prüfung des eigenen Not­fall­ma­nage­ments sind viel­fältig. Sie reichen von ein­fachen Über­prü­fungen von Ein­zel­maß­nahmen bis hin zu kom­plexen Übungen. Mit dem stei­genden Aufwand ist auch immer eine stei­gende Ver­läss­lichkeit der gewon­nenen Erkennt­nisse fest­zu­stellen. Im Fol­genden werden einige Mög­lich­keiten gegliedert nach stei­gendem Aufwand vor­ge­stellt:

Bild zum Teil 5 Notfallmanagement

 
Quelle: Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI)

  • Reviews von Plänen und Doku­menten, Plan­be­spre­chungen
  • Hierbei werden – häufig anhand kon­kreter Sze­narien – die erar­bei­teten Pläne theo­re­tisch durch­ge­spielt und auf ihre Funk­ti­ons­fä­higkeit über­prüft.

  • Stabs­übungen
  • Hier wird die Zusam­men­arbeit im Not­fallstab geübt.

  • Tech­nische Tests
  • Diese dienen der Über­prüfung von red­un­danten Infra­struk­turen wie Server oder Strom­ver­sorgung.

  • Simu­lation von Sze­narien
  • Hierbei wird nicht theo­re­tisch dis­ku­tiert, sondern es werden Pro­zesse getestet, etwa darauf hin, wie gut Alar­mierung und Eska­lation funk­tio­nieren.

  • Ernst- oder Voll­übungen
  • Hierbei werden alle Betei­ligten – auch Ret­tungs­kräfte und Behörden – in eine wirk­lich­keitsnahe Übung ein­be­zogen.

In der Praxis bietet es sich an, zu Beginn mit ein­fa­cheren Tests zu starten und sich als Unter­nehmen suk­zessive zu steigern (hin zu Pra­xis­tests). Zusätzlich sollten die Tests der tech­ni­schen Vor­sor­ge­maß­nahmen regel­mäßig durch­ge­führt werden (z.B. USV-Test, Rück­spielen einer Sicherung, …), um die Funk­ti­ons­fä­higkeit sicher­zu­stellen.

Vor­be­reitung von Tests und Übungen

Alle Tests und Übungen, die geplant werden, müssen zwingend doku­men­tiert werden. Im Ein­zelnen gilt:

  • In einem Übungs­handbuch und einem Übungsplan ist zunächst fest­zu­legen, welche Ziele die Insti­tution mit Tests und Übungen ver­folgt, welche Tests durch­ge­führt werden und welche Mit­ar­beiter in welcher Funktion beteiligt sind. Zudem ist die Häu­figkeit und Rei­hen­folge der Übungen fest­zu­legen.
  • Für jede Testart oder Übung ist ein Konzept zu erar­beiten, das Dauer, Ort, Ziele, Teil­neh­mende anhand eines Sze­narios beschreibt.
  • In einem Übungs­drehbuch wird der zeit­liche Ablauf detail­liert beschrieben. Eine Tabelle ist ein gutes Hilfs­mittel zur Struk­tu­rierung.

Tests und Übungen aus­werten

Das wich­tigste Ziel von Übungen und Tests ist es, die Not­fall­maß­nahmen zu über­prüfen und die getrof­fenen Rege­lungen zu ver­bessern. Dies kann unter Umständen auch dazu führen, dass ein zuvor beschlos­senes Konzept ange­passt werden muss. Alle Mängel sollten in einem Bericht fest­ge­halten und Emp­feh­lungen aus­ge­sprochen werden. Die Wirk­samkeit der daraus abge­lei­teten Maß­nahmen wird wie­derum im nächsten Test oder der nächsten Übung über­prüft. Auch kann es sinnvoll sein bei Tests und Übungen externe Unter­stützung zu nutzen, um unab­hängige und neu­trale Rück­meldung zu erhalten.

Im nächsten Beitrag geht es um die „Kon­ti­nu­ier­liche Ver­bes­serung“. D.h., um das Not­fall­ma­nagement auf­recht zu erhalten und kon­ti­nu­ierlich zu ver­bessern, müssen zum einen die Vor­sor­ge­maß­nahmen umge­setzt sein und die Doku­mente laufend aktua­li­siert werden. Zum anderen muss der Prozess selber auch auf Effi­zienz und Wirk­samkeit über­prüft werden.

Die bisher erschienen Bei­träge zur Serie Not­fall­ma­nagement:

Teil 1: “6 Schritte im Unter­nehmen

Teil 2: “Das kri­tische Potential von Geschäfts­pro­zessen

Teil 3: “Not­fall­vor­sorge

Teil 4: “Not­fall­be­wäl­tigung

Teil 6: “Kon­ti­nu­ier­liche Ver­bes­serung

Bild:  © Jens Bre­dehorn / pixelio.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare