Blog Notfallmanagement

Wie Du erfolgreich das „IT – Notfallmanagement“ im Unternehmen etablierst

Der Erfolg eines Unternehmens hängt im Wesentlichen von der Aufrechterhaltung der für den Geschäftsbetrieb relevanten Geschäftsprozesse ab. Ist die Durchführung von diesen Geschäftsprozessen für einen längeren Zeitraum gestört und können diese Störungen nicht zeitnah durch die dafür im Unternehmen etablierten Verfahren behoben werden, so kann aus einer Störung schnell ein Notfall werden. Im schlimmsten Fall hat dies erhebliche wirtschaftliche Schäden, für das jeweilige Unternehmen, zur Folge.

Trifft das auch auf Dein Unternehmen zu?

Um die Ausfallsicherheit und Kontinuität des Geschäftsbetriebs sicherzustellen, ist der Aufbau eines hierfür passenden IT – Notfallmanagements zu empfehlen. Durch die Etablierung eines solchen Managementsystems im Unternehmen, wird ein systematischer Umgang mit Notfällen und Krisen im Unternehmen etabliert.

Das Notfallmanagement gibt dabei Antworten auf die Fragen:

  1. Was kann ich als Unternehmen präventiv tun, um Notfälle und Krisen im Idealfall erst gar nicht entstehen zu lassen?
  2. Wie können zentrale Prozesse bei einem Notfall rasch wieder angelaufen werden?
  3. Was sind überhaupt die für mich kritischen Prozesse und Ressourcen im Unternehmen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit seinem „Standard 100-4 Notfallmanagement“ ein erprobtes Vorgehensmodell für die Einführung, den Betrieb und die Weiterentwicklung eines IT – Notfallmanagements bereit.

Wie eine praktische Umsetzung eines Notfallmanagements auf Basis des BSI-Standards „100-4“ erfolgen kann, skizzieren wir Dir hier:

Die „Leitlinie“ als Dein zentrales Dokument des IT – Notfallmanagements

Damit ein IT – Notfallmanagement im Unternehmen erfolgreich und ohne größere Zwischenfälle etabliert werden kann, sind zunächst die hierfür relevanten Rahmenbedingungen in einer Leitlinie festzuhalten. Neben der Übernahme der Verantwortung für das Notfallmanagement durch die Geschäftsführung, wird in der Leitlinie der Geltungsbereich für das Notfallmanagement festgehalten. Es handelt sich hier um die zentralen Kernaussagen für die Notfallstrategie und die dazugehörige Aufbauorganisation des Notfallmanagements.

Welches sind Deine kritischen Geschäftsprozesse und Ressourcen?

Damit Du als Unternehmer im Falle eines Notfalls überhaupt adäquat handeln kannst, brauchst Du zunächst einen Überblick. Einen Überblick darüber, welche Deiner Geschäftsprozesse für die Aufrechterhaltung des Geschäftsbetriebs kritisch sind und welche Ressourcen (Personal, Informationen, Informationstechnik, Infrastruktur, Dienstleister, sonstige Ressourcen) dafür benötigt werden.
Dies geschieht durch die Durchführung einer sogenannten Business Impact Analyse (BIA).

Mit welchem Risiko sind diese behaftet?

Sind die kritischen Geschäftsprozesse und dazugehörigen Ressourcen erst einmal identifiziert, sind die elementaren Gefährdungen zu identifizieren, die dazu führen können, dass die ermittelten kritischen Ressourcen und damit auch die damit verbundenen zentralen Geschäftsprozesse ausfallen können.

Auf Basis der bereits im Unternehmen umgesetzten technischen und organisatorischen Maßnahmen werden darauf aufbauend die Auswirkungen und Eintrittswahrscheinlichkeiten der elementaren Gefährdungen ermittelt und, wo nötig, zusätzliche Maßnahmen zur Reduktion der Gefährdungen festgelegt.

Nach der Analyse und dem Verstehen folgt die Festlegung von Strategien

Unter Berücksichtigung von Kosten-Nutzen-Analysen werden passende Vorsorgestrategien entwickelt und zur Vermeidung von Notfällen festgelegt.

Das Notfallvorsorgekonzept als Ergebnisdokument der Strategie

Nach Festlegung der Vorsorgestrategien empfehlen wir, für das Unternehmen ein Notfallvorsorgekonzept zu erarbeiten, das alle notwendigen Aspekte der Notfallprävention, also der Vorsorge, enthält. Hier werden, neben der Festlegung von zentralen Rollen, ebenso die technischen und organisatorischen Mindestanforderungen für die Vorsorge festgelegt.

Das Notfallhandbuch

Alle entwickelten Dokumente und Prozessabläufen finden ihr glückliches Ende in Deinem und speziell auf Deine Anforderungen abgestimmten Notfallhandbuch.

Kommt es zu einem Notfall, der den Geschäftsbetrieb erheblich beeinträchtigt, so findest Du hier alle Dokumente und Hilfsmittel, die Dir helfen, zielgerichtet und adäquat auf einen Notfall zu reagieren und mögliche Schäden zu reduzieren.
Neben Sofortmaßnahmen zum Verhalten im Notfall, sind alle relevanten Rollen, Zuständigkeiten und Kompetenzen festgelegt sowie Wiederanlauf-/ Wiederherstellungspläne beschrieben. Neben Notfall- und Geschäftsfortführungsplänen erhält das Notfallhandbuch auch Anweisungen zur Kommunikation mit internen und externen „Anspruchsgruppen“, sowie Regelungen, die eine geordnete Rückführung in den Normalbetrieb ermöglichen. Nicht schlecht, oder?

Übung macht den Meister – oder ist der Meister bereits tot?

Ist das Notfallmanagement erst einmal etabliert, sind alle glücklich – „…wir haben das ja alles…“ – ähnlich wie bei der ISO 9001:xxxx – alles zertifiziert – nichts lebt; und „…wenn der Prüfer kommt, dann legen wir den Laden lahm und machen schnell alles schön…bis er wieder weg ist“. Kann man so machen, dann ist das Dokument und die Anweisungen und die Verfahren, also der Gesamtinvest in einen verlässlichen Plan…wirklich für die Tonne.
Daher unser Tipp: Überprüft die etablierten Abläufe und erstellten Dokumente in regelmäßigen Abständen auf ihre Wirksamkeit – durch Übungen und Tests. So sind alle im Boot und keiner verwundert, warum das Wichtigste – trotz Notfall – dennoch funktioniert.

Aus den Augen – aus dem Sinn der Schulungs- und Sensibilisierungsmaßnahmen

Wir vermuten, dass jeder in Deutschland mittlerweile alle Cookie-Banner und Consent-Hinweise kennt, überliest und wegklickt, das ist wirklich PitA – mach’ Dir das Leben leicht – in der Informationssicherheit ist ein erfolgreiches Notfallmanagement nur im Team möglich. Erst wenn alle Mitarbeiter über die im Unternehmen existierenden Notfallreaktionsmaßnahmen informiert sind und diese verstanden haben, sind sie im Falle eines Notfall überhaupt dazu in der Lage, mit Sinn & Verstand zu reagieren und Schaden vom Unternehmen abzuwenden.
Sensibilisiere – steter Tropfen höhlt den Stein.

Fazit

Ein funktionierendes Notfallmanagement ist für jedes Unternehmen ein wirklicher Wert – egal wie groß – Mehrwert wird es dann, wenn der Notfall eintritt. Wirtschaftliche Schäden oder Imageschäden können so vermieden oder zumindest minimiert werden. Durch ein etabliertes Notfallmanagement bringst Du Dein Unternehmen in die Lage, strukturiert und nachvollziehbar auf plötzliche Notfälle und Krisen zu reagieren und passende Maßnahmen einzuleiten, um diese wieder in den Griff zu bekommen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit seinem Standard „100-4“ ein in der Unternehmenswelt weit verbreitetes und anerkanntes Verfahren für die Einführung, den Betrieb und die Weiterentwicklung eines Notfallmanagements bereit.

 

Andreas Langendonk und Team
EggSec GmbH
Master-Coach für IT & Datenschutz

Kontaktiere Uns